Wer Google Analytics möglichst datenschutzkonform nutzen möchte, muss auf Cookies verzichten. Dazu muss der Code zum Einbinden von Google Analytics angepasst werden.
Cookies in Google Analytics deaktivieren
Zum Ausschalten aller Cookies muss der Parameter storage auf den Wert none gesetzt werden. Das geht so:
ga('create', 'UA-XXXXX-Y', {
'storage': 'none'
});
Lediglich die _gac_<property-id>
Cookies können mit folgendem Code deaktiviert werden:
ga('create', 'UA-XXXXX-Y', {
storeGac: false,
});
Web Storage verwenden
Statt herkömmlichen Cookies kann eine Web Storage aktiviert werden. Diese wird auch als Local Storage bezeichnet. Web Storage wird auch als Super Cookie bezeichnet. Das trifft es ganz gut, weil damit mehr Informationen als mit Cookies im Endgerät des Nutzers gespeichert werden können. Für Web Storage gilt aus Datenschutzsicht somit das gleiche wie für First-Party Cookies. Eine Einwilligung ist demnach notwendig, bevor das Tool geladen werden darf.
Die Local Storage kann für Google Analytics mit diesem Code aktiviert werden:
var GA_LOCAL_STORAGE_KEY = 'ga:clientId';
if (window.localStorage) {
ga('create', 'UA-XXXXX-Y', {
'storage': 'none',
'clientId': localStorage.getItem(GA_LOCAL_STORAGE_KEY)
});
ga(function(tracker) {
localStorage.setItem(GA_LOCAL_STORAGE_KEY, tracker.get('clientId'));
});
}
else {
ga('create', 'UA-XXXXX-Y', 'auto');
}
ga('send', 'pageview');
Einwilligung erforderlich?
Ohne Cookies besteht zumindest die Möglichkeit, dass eine Einwilligung nicht notwendig ist. Bei Google Produkten ist allerdings generell die Gefahr der Intransparenz gegeben. Demnach würde ein Verstoß von Art. 12 DSGVO gegeben sein. Dieser ließe sich nur durch eine Einwilligungsabfrage mildern oder ggfs. heilen.
Je nach gewählten Einstellungen für Analytics ist eine Einwilligungspflicht jedenfalls anders zu beurteilen. Die französische Datenschutzbehörde hat jedenfalls Google Analytics für generell rechtswidrig erklärt. Die Datenschutzbehörde aus Österreich hat festgestellt, dass der Einsatz des Tools ohne Einwilligung alleine wegen des Datentransfers in die USA nicht erlaubt ist.
Wer auf Nummer sicher gehen will, wählt lieber einen anderen Tracker. Die Datenqualität von Google Analytics ohne Cookies lässt jedenfalls zu wünschen übrig.
Hallo Herr Meffert,
danke für den gut verständlichen Input. Spätestens 2024 ist ja auch bei Google mit den Cookies Schluss, bei anderen ja jetzt schon. Ich habe eine Frage: Hängt Local Storage mit serverseitigem Tracking als Lösung der Zukunft zusammen oder ist das getrennt zu betrachten? Und kann ich Local Storage mit GA4 verbinden, so dass die Client-Daten vorher verschlüsselt sind bevor Sie an GA übergeben werden, was ja dann DSGVO-konform wäre, oder?
Vielen Dank schon mal.
Beste Grüße
Mario Thurm
Hallo Herr Thurm,
Google hatte schon mal angekündigt, Cookies abschaffe zu wollen. Die Frist war schon vorbei bzw. wurde wieder zurückgenommen. Genauso kann es wieder laufen. Ich glaube Google nicht wirklich.
LocalSorage ist auch ein Gerätezugriff. Es ist wie ein Cookie zu werten.
Sobald Sie Google (etwa GA4) auf Ihrer Webseite einbinden, geben Sie damit die IP-Adresse Ihrer Besucher an Google weiter. Diese ist ein personenbezogenes Datum. Damit besteht bereits ein Problem, egal ob mit oder ohne Cookies/LocalStorage/Web Storage.
Wenn Sie Server Side mit Google sprechen und auf alles Mögliche achten (neben Verschlüsselung/Voll-Pseudonymisierung auch auf zufälligen Zeitversatz der Tracking Requests), dann kann das DSGVO-konform sein. Mit weniger Aufwand erhalten Sie bessere und rechtssicherere Ergebnisse mit anderen Tools rein europäischer Anbieter.