Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics ist auch ohne Cookies einwilligungspflichtig wegen eines Endgerätezugriffs

2

Google und einige Marketing People hätten gerne, dass Google Analytics einwilligungsfrei ist, wenn Cookies durch Konfiguration deaktiviert wurden. Richtig ist, dass Google Analytics immer auf das Endgerät des Nutzers zugreift und bereits alleine deswegen einwilligungspflichtig ist. Daran ändert auch der Google Consent Mode nicht, der seinen Namen nicht verdient hat.

Einleitung

Vorab: Das Gesetz kennt den Begriff des Cookies nicht. Die rechtlichen Regelungen thematisieren Zugriffe auf Ihr und mein Endgerät. Cookies sind „nur“ der populärste Vertreter dieser Kategorie, aber eben nicht der einzige relevante Fall.

Mit dem Google Consent Mode verspricht Google, dass Google Analytics auch ohne Einwilligung (weil ohne Cookies) genutzt werden darf. Dass dies falsch ist, zeige ich durch ein einfaches Beispiel. Auch ohne Consent Mode binden manche Google Analytics ohne Cookies und ohne Einwilligung ein. Das macht es nicht wesentlich besser. Vielleicht wissen einige nicht, dass der Consent Mode von Google einem Auftragverarbeitungsverhältnis entgegensteht, weil Google damit Daten zu eigenen Zwecke verarbeitet (vgl. Art. 28 DSGVO). Der Dumme bzw. Hauptverantwortliche ist jedenfalls der Betreiber der Website. Möchten Sie zu den Dummen gehören?

Dieser Beitrag zeigt, dass Google Analytics Zugriffe auf das Endgerät des Nutzers vornimmt, die einer Einwilligung bedürfen. Die Rechtsvorschrift hierzu ist sehr einfach.

Neben diesem Problemchen, welches ich unten benenne, sei hier nur auf weitere rechtliche Probleme mit Google Analytics hingewiesen.

Datentransfer in die USA

Hier wurden bereits viel gesagt. Sogar Google hat einiges zum Datentransfer in die USA gesagt:

Google Analytics verarbeitet sämtliche Analysedaten immer in den USA.

Schriftliche Aussage gegenüber der Österreichischen Aufsichtsbehörde.

Mehr Details finden Sie in einem früheren Beitrag zu Google Analytics.

Nutzerprofilbildung und Personenbezug

Google Analytics gilt als extrem mächtig. Kaum vorstellbar, dass dies ohne Nutzerprofilbildung möglich ist. Die Google Client ID, die Analytics mitführt, ist ein personenbezogener Datenwert. Mehr dazu in einer Untersuchung von Google Analytics.

Europäische Datenschutzbehörden

Mittlerweile halten übrigens einige europäische Datenschutzbehörden Google Analytics für generell rechtswidrig oder für generell nur nach Einwilligung erlaubt (im Idealfall, falls das Tools nicht sowieso an sich nicht mit der DSGVO vereinbar ist). Hier finden Sie mehr dazu:

Nun zum eigentlichen Thema dieses Beitrags:

Der Grund, warum Google Analytics immer einer Einwilligung bedarf.

Der Cookie-Paragraph

Im TTDSG, dem deutschen Datenschutzgesetz, das seit dem 01.12.2021 gilt, taucht das Wort Cookie nicht ein einziges Mal auf. Für alle, die es wissen wollen, hier ist der § 25 TTDSG, der auch als Cookie-Regel bezeichnet wird (leicht gekürzt für bessere Verständlichkeit):

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer eingewilligt hat. 

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich, 
  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Kurzfassung in Bezug auf Webseiten und Google Analytics:

Zugriffe auf das Endgerät des Nutzers sind nur ohne Einwilligung erlaubt, wenn der Zugriff technisch notwendig ist.

§ 25 TTDSG in Bezug auf Google Analytics

Der Zugriff auf mein Endgerät ist nicht notwendig, damit Google Analytics funktionieren kann. Das gilt schon alleine deswegen, weil Google Analytics nicht notwendig ist. Wir wollen exakt sein: Selbst für die Reichweitenmessung ist ein Cookie nicht erforderlich, wie ich aus eigener Erfahrung objektiv (weil technisch beweisbar) berichten kann.

Zur Klarstellung: Eine Einwilligung ist erforderlich, wenn es nicht technisch notwendig ist, dass

  • Daten im Endgerät des Nutzers gespeichert werden ODER
  • auf Daten im Endgerät des Nutzers zugegriffen wird.
Exkurs: Was ist der Unterschied des Zugriffs auf den Viewport zum Zugriff auf den Referrer, die aktuelle URL oder die IP-Adresse? Der Referrer, die aktuelle URL und die IP-Adresse werden bei jedem HTTP-Request in den HTTP-Kopfdaten direkt mitgeschickt. Ein expliziter Endgerätezugriff ist für diese Daten deswegen nicht erforderlich. Ganz anders beim Viewport: Dieser muss explizit von der besuchten Webseite (bzw. dem dort eingebundenen Dienst Google Analytics) abgefragt werden. Somit findet ein Endgerätezugriff statt, der über § 25 TTDSG legitimiert werden muss.

Übrigens muss die Verarbeitung der Daten, die entweder explizit (Viewport) oder implizit (Referrer etc.) aus dem Endgerät des Nutzers ausgelesen wurden, gemäß Art. 6 Abs. 1 DSGVO legitimiert werden.

Die Rechtsprüfung muss also so ablaufen:
1. Liegt ein Zugriff nach § 25 TTDSG vor? Falls ja: Ist dieser einwilligungsfrei. Es spielt hier keine Rolle, ob die Daten personenbezogen sind oder nicht. Damit es jeder versteht, hat der EuGH den Gesetzestext noch einmal vorgelesen und dies explizit festgestellt.
2. Nachdem (!) der vorige Prüfschritt erfolgreich durchlaufen wurde, muss nach Art. 6 Abs. 1 DSGVO geprüft werden, ob die Verarbeitung der Daten zulässig ist. Diese Rechtsvorschrift gilt nur für personenbezogene Daten. Cookies sind immer personenbezogen, weil sie immer an die potentiell personenbezogene IP-Adresse des Nutzers geknüpft sind oder (zusätzlich), weil sie Identifier enthalten, die einen Personenbezug zulassen. Besonders gut wird das bei Google-Tools deutlich, die das Cookie namens IDE verwenden, um den Nutzer direkt einem Google-Konto zuzuordnen.

Eine Einwilligung ist also auch dann notwendig, wenn nichts abgespeichert wird, sondern auf Daten im Endgerät zugegriffen wird, die dort schon abgespeichert waren!

Das böse Google macht es aber dennoch

Hier ein typisches Tracking Event von Google Analytics. Dieses Tracking Event ist dafür da, um die zum Besucher einer Webseite gesammelten Daten an den Google Analytics Datenpool zu schicken.

GET https://www.google-analytics.com/collect?v=1&_v=j98&aip=1&a=829475794&t=pageview&_s=1&dl=https://www.asctechnologies.com/&ul=de&de=UTF-8&dt=BDX – Wir sind die Experten für irgendwas&sd=24-bit&sr=1696x954&vp=1491x331&je=0&_u=YCgAiAABBAAAAAAAIk~&cid=1201829514.1665683574&tid=UA-476697-1&_gid=553010699.1665683574&gtm=2wgaa0NF2377V&gcs=G100&z=1872566096

Fett gedruckt die relevanten Stellen:

  • URL: Zeigt auf den Google Analytics Dienst
  • vp = Viewport: Größe des Browser-Fensters

Die Bedeutung des Parameters namens vp wird von Google in der Dokumentation zum Google Analytics Measurement Protocol offiziell beschrieben: „Specifies the viewable area of the browser / device.“

Auszug aus der Google-Dokumentation zum Google Analytics Measurement Protocol.

Die Größe des Browser-Fensters wird im Endgerät des Nutzers gespeichert. Machen Sie den Test: Browser-Fenster kleiner als Vollbild machen, Browser schließen, Browser wieder öffnen. Wenn das Fenster nun so groß ist wie vor dem Schließen, dann speichert Ihr Browser offensichtlich die Größe des Fensters auf Ihrem Computer ab. Wenn Sie den Computer ausschalten und ihn morgen wieder anschalten, erscheint Ihr Browser wiederum in der zuvor eingestellten Größe.

Somit liegt ein Zugriff auf das Endgerät vor. Der § 25 TTDSG gilt für alle Arten von Daten, auch für solche, die nicht personenbezogen sind. Es gibt auch kein berechtigtes Interesse in dieser Rechtsvorschrift.

Der Viewport ist ein Datenwert, der verschiedene Werte annehmen kann. Das ist aber egal. Hierzu steht nichts im Gesetz. Als kleine Analogie seien dynamische IP-Adressen genannt. Insbesondere bei DSL-Zugängen ändern sie sich dauernd. Der EuGH urteilte, dass dynamische IP-Adressen personenbezogene Daten sind. Zur Klarstellung und zur Unterscheidung von IP-Adressen, noch einmal: Für den § 25 TTDSG ist es egal, welche Daten zugegriffen werden! Die Analogie zu IP-Adressen bezog sich nur auf die Verdeutlichung, dass auch sich ändernde Werte kritisch sein können bzw. es gemäß § 25 TTDSG (wohl immer) sind.

Fazit: Google Analytics greift auf das Endgerät des Nutzers zu, womit immer eine Einwilligungspflicht gegeben ist.

Übrigens wurde der Zugriff auf das Endgerät auch auf der IDACON 2022 in München von Frau Prof. Weiden thematisiert. Die Konferenz fand am 17. und 18. Oktober 2022 statt. Zusammen mit Herrn Breyer hielt ich dort auch einen Vortrag zum Thema Cloud Computing und Datenschutz. Diesen Beitrag hier schrieb ich schon vor der IDACON und hatte ihn nur noch nicht veröffentlicht, da sich bereits einige andere Beiträge in der Warteschlange befanden.

Beispiele für Daten, bei denen nicht (explizit) auf das Endgerät des Nutzers zugegriffen wird:

  • Aktuelle URL: Die wird nämlich mit den Kopfdaten des HTTP-Requests mitgeschickt. Der Verantwortliche (=Betreiber der besuchten Webseite) greift also gar nicht selbst auf das Endgerät zu.
  • IP-Adresse des Besuchers der Webseite: Dito, also impliziter Teil der HTTP-Request-Daten und kein expliziter Endgerätezugriff durch den Verantwortlichen
  • Bildschirmauflösung (strittig): Ich sage, diese ist nicht im Endgerät gespeichert, sondern nirgendwo und wenn, dann nur aus Komfortgründen im Betriebssystem. Eine Begründung: Handy im Hochformat halten und ausschalten, im Querformat halten und einschalten. Nun ist die Auflösung offensichtlich eine andere als beim Ausschalten (sofern das Handy den Bildschirm automatisch dreht).

Der Google Consent Mode

Zum Abschluss ein Exkurs in den Google Consent Mode.

Spoiler: Der Google Consent Mode ist selbst für Marketing-Mitarbeiter nicht hilfreich.

Forget the f**ing Google Consent Mode. Was ist der Consent Mode von Google? Kurzfassung: Wenn Ihre Webseite den Google Consent Mode nutzt und Google Analytics einbindet, passiert folgendes:

  1. Hat der Nutzer nicht eingewilligt, wird Google Analytics trotzdem geladen und verwendet hoffentlich keine Cookies. Die Daten bekommt erstmal nur Google. Großzügigerweise werden aggregierte, also statistisch verfälschte Daten, auch in Ihr Google Analytics Konto eingestreut.
  2. Hat der Nutzer eingewilligt, wird Google Analytics ebenfalls geladen, dann aber je nach Konfiguration auch mit Cookies. Ihr Analytics Konto wird wie im klassischen Fall (ohne Nutzung des Consent Modes) mit hochwertigen Daten beschickt.

Meine Meinung dazu:

Der Google Consent Mode ist Volksverdummung auf niedrigstem Niveau.

Meine Meinung.

Der Web-Analyse Guru Markus Baersch hat mir für diesen Beitrag seine Einschätzung zum Google Consent Mode mitgeteilt:

Auch als „Marketing-Mensch“ kann und sollte man den Consent Mode kritisch betrachten. Denn ungeachtet des harmlosen Namens hat ein Betrieb von Google Analytics oder Google Ads Tagging bei fehlender Zustimmung im Consent Mode nichts damit zu tun, dass man die Anforderungen des Datenschutzes beachtet oder gar den Consent respektiert. Daten, die im Consent Mode erhoben werden, unterscheiden sich von denjenigen mit Consent im Wesentlichen nur durch ein Merkmal: Die Client ID, mit der Besucher zwischen zwei Seitenaufrufen wiedererkannt werden, ist nicht mehr die gleiche, weil keine Cookies eingesetzt werden, um diese zu speichern. Es ist also ein (schlechter) „TTDSG Mode“, aber kein „Consent Mode“. Ohne Zustimmung erwartet man i. d. R. nicht, dass dennoch Tracking stattfindet – mit allen Dimensionen und sonstigen Implikationen; bei jedem Seitenaufruf. Ohne dass diese Daten direkt in der Analytics Oberfläche auftauchen (außer in BigQuery), sondern theoretisch nur dazu dienen, Conversions zu modellieren und so die Tracking-Lücke zu schließen. Wobei dazu z. B. einer Single Page Application (SPA) nicht viel Maschinenintelligenz erforderlich ist, denn die Client ID bleibt dort mangels eines Neulade-Vorgangs i. d. R. stets konstant, genau wie beim regulären Tracking. Auch ein Conversion Linker, der bei Fehlen von Zustimmung Klick IDs von der Eintritts-Seite bis zur Conversion-URL mitschleppt, erlaubt eine direkte Zuordnung von Conversions zur Quelle, ohne dass Machine Learning o. Ä. nötig wäre: Alle erforderlichen Daten sind in diesem Fall in den Hits vorhanden, die Google als harmlose „Conversion Pings“ bezeichnet.

In der Realität wird also bei 100 % der Seitenaufrufe für 100 % aller Besucher, die die Zustimmung zum Tracking verweigert haben, deren Entscheidung missachtet und dennoch findet Tracking statt. Das ist kein angemessenes Mittel. Es müssen andere Wege gefunden werden, Rückmeldungen für Conversions zu generieren, wenn diese wirklich stattgefunden haben, ohne dabei die Wünsche der Website-Besucher zu ignorieren und Datenschutz-Anforderungen mit unangemessenen Mitteln wie dem Consent Mode zu begegnen.

Zitat von Markus Baersch.

Selbst aus Marketing-Sicht ist der Consent Mode von Google also größtmöglicher Bullshit. Er verwässert gute Daten mit schlechten Daten. Es gibt nur einen Gewinner, und der heißt Google. Vielleicht lassen Sie es einfach sein mit dem Google Consent Mode. Vielleicht versteht Ihre Marketing-Abteilung das, was oben steht.

Wie sagte es ein Leser in einem Kommentar auf meinen Beitrag:

Google Consent Mode ist ein genauso irreführender Begriff wie militärische Spezialoperation.

Fazit

Zahlreiche rechtliche und technische Gründe zeigen, dass Google Analytics entweder gänzlich rechtswidrig ist oder erst nach Einwilligung geladen werden darf.

Ein einfaches Beispiel zeigt, dass Google Analytics bereits wegen der Abfrage des Viewports einwilligungspflichtig ist. Dieser Zugriff ist technisch nicht notwendig und somit nicht einwilligungsfrei.

Google Analytics ist immer einwilligungspflichtig und nie rechtssicher nutzbar.

Siehe Beitrag für Gründe.

Falls Sie vorhaben, serverseitiges Tracking mit Google Analytics zu betreiben, rate ich davon ab. Entweder ist dieser Ansatz einwilligungspflichtig, oder die Datenlage ist so schlecht, dass andere Tools wie Matomo viel bessere Ergebnisse liefern, und das ganz ohne Einwilligung und ohne rechtliche Probleme. Lediglich große Unternehmen könnten aus dem Server Side Tracking einen Vorteil ziehen, machen sich dann aber auch wiederum (wahrscheinlich) mehr angreifbar, wie meine Erfahrung zeigt. Wer viel tut, bietet viel Angriffsfläche.

PS: Das Beitragsbild wurde vollautomatisch von einem Computer-Programm erstellt.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Mike

    Guten Tag Herr Meffert,

    Sie können die Liste oben auch um Italien erweitern.

    Siehe https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874#english

    Besonders interessant finde ich die Aussage:

    “the Italian SA reiterated that an IP address is a personal data and would not be anonymised even if it were truncated – given Google’s capabilities to enrich such data through additional information it holds.”

    Gruss

    • Dr. DSGVO

      Sehr gute Info, danke. Beitrag ist ergänzt.
      Ja, die Aussage von Italien zu IP-Adressen ist schon bemerkenswert.
      Google sagt ja immer wieder: “Wir protokollieren die IP-Adresse nicht” oder “Wir kürzen die IP-Adresse”. Kann sein. Aber vorher wird sie in einen nutzerbezogenen Hash-Wert überführt und weitergeschickt oder abgespeichert.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Alando Palais: Heimat von IT-Security und Datenschutz. So wird Datenschutz wieder sexy