Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics ohne Einwilligung rechtskonform nutzen: So geht’s

1

Google Analytics ist das beliebteste Tracking-Tool, wirft aber auch viele Fragen zum Datenschutz auf. Im Standard ist selbst eine Nutzung nach Einwilligungsabfrage rechtssicher kaum möglich. Es gibt aber eine Lösung ganz ohne Cookie Popup.

Einleitung

Das Einsatzgebiet von Google Analytics ist vielfältig. Hier ein paar häufige Fälle:

  1. Statistik (Besucherzähler)
  2. Optimieren von Inhalten:
    • Hartes Tracking: Demografische Auswertungen, Verhaltensauswertungen, seitenübergreifendes Nachverfolgen von Nutzern
    • Klickpfade
  3. Optimierung von Werbeanzeigen (Conversion Tracking, Retargeting)
  4. Kombination mit Google Optimize (Split Tests)

Rein statistische Auswertungen können sehr gut ohne Google Analytics gefahren werden. Hierfür empfehle ich Matomo ohne Einwilligung oder Trackboxx (kommerzielles Produkt eines deutschen Anbieters).

Auch das Auswerten von Klickpfaden zur Optimierung von Inhalten kann über Matomo stattfinden.

Für A/B-Tests analog zu Google Optimize gibt es sicher auch datenschutzfreundlichere Lösungen, auf die ich hier aber nicht eingehen kann.

Die Optimierung von Werbeanzeigen ist zumindest technisch am einfachsten mit Google Analytics möglich. Rein rechtlich ist die Komplexität aber kaum beherrschbar. Als ein Beleg hierfür sei der Google Tag Manager genannt, den Google netterweise fast schon zwangsweise mit Google Analytics verknüpft, obwohl keinesfalls notwendig. Der Tag Manager alleine ist rechtlich kaum beherrschbar, wie meine einfache Untersuchung bereits zeigt.

Doch wie sieht es mit den Anwendungsfällen aus, in denen Google Analytics Sinn ergibt?

Rechtliche Probleme mit Google Analytics

Wie eben dargestellt, wird oft der Google Tag Manager (GTM) zusammen mit Google Analytics verwendet. Ich kann nur empfehlen, den GTM nicht ohne Einwilligung zu verwenden. Der GTM wird an sich gar nicht benötigt, schon gar nicht zum Laden von Google Analytics.

Wenn Sie einen Tag Manager brauchen, nehmen Sie was anderes oder suchen Sie sich jemanden, der programmieren kann. Eine Alternative für häufige Fälle ist mein Untagmanager. Ihnen hilft das nicht weiter und Sie finden keinen Programmierer oder wollen keine bezahlen? Falls die Antwort auf diese Frage Ja ist, ist möglicherweise der Begriff Datenschutz noch nicht tief genug in Ihrem Bewusstsein verankert. Kein Problem, der Markt und betroffene Personen werden es regeln.

Aufgrund der von Google Universal Analytics eingesetzten Cookies ist eine Einwilligung erforderlich. Das ergibt sich bis vor dem 1. Dezember 2021 aus dem Urteil des BGH zu Planet49. Demnach ist § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 der ePrivacy-Richtlinie anzuwenden.

Die Cookies sind technisch nicht notwendig und erfordern somit eine Einwilligung. Kurzbeweis: Google Analytics kann im Standard so konfiguriert werden, dass keine Cookies verwendet werden.

Auch ohne Cookies ist Google Analytics einwilligungspflichtig. Hierfür gibt es mehrere Gründe. Siehe den Link eben in diesem Abschnitt. Wussten Sie, dass sämtliche Analysedaten immer in den USA verarbeitet werden?

Laut Art. 13 DSGVO sind umfangreiche Informationspflichten zu Google Analytics zu erfüllen. Diese Pflichtinformationen werden oft auch als Datenschutzhinweise bezeichnet. Wissen Sie, wie die zahlreichen mit Google Analytics erhobenen Daten vom Google-Konzern verarbeitet werden? Falls ja, bitte teilen Sie es mir mit, denn ich weiß es nicht. Auch für jedes einzelne Cookie sind Name, Zweck und Lebensdauer zu benennen. Kennen Sie die genauen Zwecke der Google Analytics-Cookies? Ich bestreite es.

Weitere Probleme mit Google Analytics

Da Google Analytics weltweit so häufig eingesetzt wird, sind Webseiten, die dieses Tool nutzen, ein leicht erkennbares und attraktives Angriffsziel.

Hacker können Google Analytics nutzen, um Daten einer kompromittierten Webseite unkompliziert, unauffällig und vor allem kaum erkennbar auszuschleusen. Das Einrichten von Firewall-Regeln, dies das verhindern könnten, erscheint für viele Webseiten komplett unrealistisch.

Nutzt eine Webseite Google Analytics, ist es meiner Erfahrung nach fast sicher, dass die Webseite Datenschutzregeln verletzt. Wer ein Ziel für eine Abmahnung sucht, der sucht womöglich zuerst nach Webseiten, die den Google-Tracker einsetzen. Mittlerweile dürfte jeder mitbekommen haben, dass Analytics großes Gefahrenpotential birgt.

Die Lösung: Analytics ohne Einwilligung

Die Lösung für ein sicheres Erfassen von Nutzern ohne Einwilligung mithilfe von Google Analytics basiert auf einem einfachen Grundprinzip. Für die Lösung gilt natürlich, dass sie ohne technisch nicht notwendige Cookies betrieben wird. Dies ist möglich, weil Google Analytics ohne Cookies genutzt werden kann.

Sinnvoll erscheint mir die Lösung für ein paar bestimmte Anwendungsfälle. Das Verknüpfen von Analytics-Daten mit Google Ads-Daten ist der Fall, der für mich am meisten Sinn ergibt. Google Ads sind eine Möglichkeit, online Werbung auszuspielen. Werbekunden möchten gerne wissen, wie gut eine Anzeige konvertiert und mit welchen Suchbegriffen eine Konvertierung herbeigeführt wurde. Das geht alles auch ohne Google Analytics, aber wer weiß das schon und will mehr Mühe auf sich nehmen?

Eventuell kann es auch sinnvoll sein, die Aktionen des Webseiten-Besuchers tiefer gehend nachzuverfolgen. Viele Analyse-Tools halten nur fest, wie der Klickpfad eines Besuchers war und wie lange er auf einer Seite verweilte. Manche sind vielleicht auch daran interessiert, wie das Scroll-Verhalten des Nutzers war und ähnliches.

Eines erscheint klar: Mit dem Standard-Script von Google Analytics gelingt eine DSGVO-konforme Nutzung kaum bzw. aktuell gar nicht.

Es gibt zwei Lösungsansätze, die unterschiedlich leistungsfähig und unterschiedlich kompliziert sind.

Grundprinzip

Die Lösung basiert generell darauf, dass bei Tracking Events ein Google-Server nicht direkt vom Google Analytics-Script aufgerufen wird. Stattdessen wird der eigene Server der gerade besuchten Webseite aufgerufen. Dem eigenen Server ist das Tracking Event damit bekannt gemacht. Der eigene Server lässt nun sensible Informationen weg, die einen Personenbezug bedeuten könnten. Der Rest der Daten wird an das eigene Google Analytics-Konto geschickt.

Das Prinzip heißt Proxy. Eine Proxy ist ein Stellvertreter. Viele kennen den Begriff sicher aus der Netzwerkwelt. Eine Proxy ist eine Art Tunnel. Wenn der Tunnel lang genug ist, passt die Analogie sogar ganz gut. Denn bei einem langen Tunnel weiß man am Ende des Tunnels nicht, wer eben in den Tunnel hineingefahren ist. Um die Analogie abzurunden, müsste man annehmen, dass mitten im Tunnel ein Fahrerwechsel stattfindet, der von außerhalb des Tunnels nicht beobachtet werden kann.

Für Google Analytics wird also eine Proxy erstellt. Die Proxy tunnelt nun die Tracking Events über einen eigenen Server. Bei diesem Tunnel-Vorgang werden Daten mit Nutzerbezug anonymisiert oder weggelassen. Somit entfällt die Pflicht, eine Einwilligung abzufragen. Wichtig ist auch, dass keine Cookies zum Einsatz kommen, denn diese würden ein sogenanntes Cookie-Popup erforderlich machen. Ein Cookie-Popup müsste eigentlich Einwilligungsabfrage oder Consent Popup heißen. Übrigens könnte ein Cookie-Popup für eine Eigenlösung sogar rechtskonform sein, für Google Analytics in der Originalversion aber eher nicht.

Lösung 1: Direkter Aufruf bei Pageview

Dieser Ansatz trackt nur Seitenaufrufe. Dabei wird die Systemkonfiguration des Browsers des Nutzers mitgeführt, was eine bessere Datenbasis bedeutet. Dies kenn man aus dem Google Analytics-Standard und ist nichts Neues.

Die GA Ereignisse werden vom Browser des Nutzers zu einem eigenen Server geschickt. Dort werden sensible Daten wie die IP-Adresse des Nutzers entfernt bzw. durch völlig andere Werte ohne Personenbezug zu Dritten ersetzt. Wer seine eigene IP-Adresse für GA Tracking Events nutzt, ist offensichtlich damit einverstanden, dass er selber seine eigene Netzwerkadresse an Google übergibt.

const url = 'eigenes-analytics-script.php';
var data = {dt: doc.title,...};
data = serialize(data);
var sender = new XMLHttpRequest();
sender.open("POST", url, true);
sender.send(data);

Der Code zeigt, wie Daten vom Browser zu einem eigenen PHP Script geschickt werden können. In der Variable data stehen alle Werte, die übermittelt werden sollen. Im Beispiel wird der Dokumententitel an den Server geschickt. Der Versand geschieht über HTTP Post, damit keine Probleme mit der Datengröße entstehen können (weil es bei GET eine Limitation für die Datengröße gibt).

Auf dem Server werden die Tracking-Ereignisse dann an Google weitergeschickt. Google erhält, wenn es richtig gemacht wird, keinerlei Daten einer anderen Person. Das Senden an Google kann analog zum originalen Tracking stattfinden, also über Posts an eine HTTP-Adresse wie https://www.google-analytics.com/collect. Für ein Debugging kann die Adresse https://www.google-analytics.com/debug/collect genutzt werden. Stattdessen kann die Analytics Reporting API verwendet werden, was sauberer, aber auch etwas komplexer erscheint.

Lösung 2: Nutzung des Original-Scripts

Eleganter, aber auch komplizierter und wartungsintensiver ist das Modifizieren des originalen Google Analytics Scripts. Das Script wird so angepasst, dass es Daten nicht an google-analytics.com schickt, sondern an einen eigenen Server.

Das generelle Vorgehen auf dem eigenen Server zum Weiterreichen der Daten an Google ist analog zum ersten Lösungsweg.

Gelegentlich gibt es Updates des Google Analytics-Scripts. Nicht immer müssen diese nachgezogen werden. Manchmal kann es aber sein, dass ein Update notwendig ist. Dann müsste das modifizierte Script durch ein neues modifiziertes Script ersetzt werden. Das ist machbar, bedeutet aber etwas mehr Aufwand. Der Aufwand wird sich in Grenzen halten und fällt wahrscheinlich nur alle paar Monate an, wenn überhaupt.

Fazit

Wer unbedingt Google Analytics nutzen möchte, sollte dies m.E. in der beschriebenen Weise tun. Die rechtskonforme Originalvariante wäre nur nach wirksamer Einwilligung nutzbar. Eine Einwilligung wird aber so gut wie nie erteilt, wenn sie korrekt abgefragt wird. Zudem stellt sich die Frage, welche Daten Google wie verarbeitet.

Für die meisten Anwendungsfälle dürfte Matomo in lokaler Installation mehr als ausreichend sein. Wer WordPress nutzt, kann auch auf WP Statistics zurückgreifen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. M.W.

    Das Thema DSGVO ist spannend und nervenzermürbend zugleich. Man darf sich hier keine Fehler erlauben, daher sollte man bzw. muss man hier mit viel Bedacht ran gehen.

    Dein Beitrag ist einfach und spannend geschrieben und gibt einem nochmal weitere Ansichtspunkte.

    Vielen Dank dafür.

    M.W.
    Opal Schmiede

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Ein Leben ohne Facebook: Geht das wirklich und wenn ja, warum nicht schon früher?