Google Analytics reagiert mit einem Einwilligungsmodus auf die datenschutzrechtlich erforderliche Zustimmungshürde. Diese im Englischen „Consent Mode“ genannte Erweiterung führt neue Einstellungen ein, mit denen man Google Analytics ohne Cookies einsetzen kann. Was leistet dieser Einwilligungsmodus?
Google Analytics und der Datenschutz
Spätestens seit Einführung der Datenschutzgrundverordnung hat Google Analytics ein Problem. Genau genommen mehrere. Es beginnt bei der Übertragung der IP-Adresse beim Script-Aufruf. Auch die Speicherung einer personenbezogenen ID in einem Cookie und die Datenübertragung in die USA sind problematisch. Kritisiert wird ebenso die Bildung von Nutzer:innenprofilen in Google Analytics.
Google Analytics‘ Einwilligungsmodus
Google Analytics bietet für gtag.js und Google Analytics 4 einen Einwilligungsmodus an. Dieser befindet sich derzeit noch im Beta-Stadium. Dort gibt es die Option analytics_storage=‘denied‘. Google Analytics liest und schreibt dann keine eigenen Analytics Cookies. Kombiniert mit ad_storage=‘denied‘ liest und schreibt auch Google Ads keine entsprechenden Cookies. Google sendet dann nur so genannte „Pings“ zu grundlegenden Mess- und Modellzwecken an Google Analytics.
Diese Art von Pings werden von allen Seiten einer Website aus gesendet, auf denen Google Analytics implementiert ist, und auch dann, wenn Ereignisse protokolliert werden,
heißt es auf dem Google Analytics Support Blog.
Bindest du darüber hinaus das Analytics Script vom eigenen Server ein (erlaubt) und achtest bei gtag.js auf IP-Anonymisierung (bei Google Analytics 4 aktiv per Default), sieht die Datenschutzthematik deutlich besser aus:
Durch das Script auf dem eigenen Server entfällt bereits die Datenanfrage an Google. Dank des strengen Einwilligungsmodus werden kein Cookie und keine personenbezogene ID gesetzt. Damit ist die Datenübermittlung in die USA ebenfalls deutlich entschärft. Auch die Nutzer:innenprofilbildung ist zumindest deutlich eingeschränkt, wenngleich man dies von außen nur begrenzt beurteilen kann.
Je nach datenschutzrechtlicher Abwägung könnte man diese Konstellation für zulässig auch ohne Einwilligungsvorbehalt sehen.
Welche Daten der Einwilligungsmodus liefert und welche nicht
Entscheidend ist, welche Statistikdaten diese „Pings“ liefern und welche nicht. Der Einwilligungsmodus soll grundsätzliche Statistikdaten bis zu einer Zustimmung in Statistik-/ Marketing Cookies ermöglichen. Wenn diese Daten für dich ausreichend sind, kannst du den Statistik-Code permanent im Einwilligungsmodus ausliefern. Das erspart dir unter Umständen den Cookie Consent.
Für eine Vergleichbarkeit scheidet Google Analytics 4 aus, da hier keine Sitzungen, sondern Nutzer:innenverhalten und Ereignisse die Datenbasis bilden. Aber das sogenannte Universal Analytics mit gtag.js und analytics.js lässt sich vergleichen:
Werte wie Sitzungen und Seiten pro Sitzung scheinen durchaus vergleichbar. Bei den Seitenaufrufen wird die Abweichung schon deutlicher.
Problematisch sind die starken Abweichungen bei Daten zum Nutzer:innenverhalten. Hier kommt der reduzierte Ping an seine Grenzen. Absprungrate und Sitzungsdauer sind zwar wichtig, folglich jedoch nicht belastbar für Auswertungen und Verbesserungen.
Die Statistikdaten dürften im Einwilligungsmodus für die meisten Website-Betreiber:innen daher nicht ausreichen. Als Option bis zu einer Einwilligung in den „vollwertigen“ Code ist es eine Lösung. Um die stark abweichenden Werte nicht zu verwässern, sollte man die User mit Zustimmung separierbar erfassen, notfalls über eine eigene Property.
Alternativen zum Einwilligungsmodus
Es bleibt die Option bis zur Einwilligung User nicht statistisch zu erfassen. Nimmt man Datenschutz ernst, muss die Cookie-Ablehnung optisch und praktisch mindestens genauso einfach wie die Zustimmung sein. Dazu kommen Consent Blocker für Browser. Die Zustimmungsraten sind dann trotz Consent-Optimierung überschaubar.
Viele wissen nicht, dass man auch analytics.js ohne Cookies verwenden kann. Dies geht zwar nicht mit dem Einwilligungsmodus, aber mit dem Tag storage:none: Google Analytics setzt dann kein Cookie mit der User ID („ClientID“). Diese muss man selbst vergeben.
Das bietet sich an, um einen pseudonymisierten, nicht rückauflösbaren Wert zu setzen. Man kann dazu die IP-Adresse anonymisieren, diese mit der Domain und einem extern unbekannten, sogenannten Salz kombinieren und diesen Wert durch ein starkes Verschlüsselungsverfahren hashen. Damit verhindert man auch domainübergreifendes Tracking. Will man noch weiter gehen, kann man User Agent, Browser-Sprache und eine zeitliche Komponente für statische IP-Adressen hinzufügen. Das Bayerische Landesamt für Datenschutz sowie Datenschutzbeauftragter und Rechtsanwalt Martin Erlewein erachten eine solche Lösung als datenschutzkonform.
Weiter gibt es nicht nur Google Analytics. Alternativen wie Open Web Analytics, Matomo/Piwik, Statify, Clicky, etracker Analytics, Mapp Intelligence, Adobe Analytics usw. bieten oft Vorteile im Bereich Datenschutz. Daher kann ein Wechsel trotz Umstellungsaufwand und fehlenden Altdaten Sinn ergeben.
Wie geht es mit Cookies weiter?
Die ePrivacy-Verordnung von 2017 ist trotz jüngster Bemühungen der portugiesischen Ratspräsidentschaft nicht in Sicht. Dennoch kommt seit kurzem Bewegung in die Thematik. Diese kommt auch von Google („Building a more private web“). So will Google mit dem eigenen Chrome Browser bald Third Party Cookies blockieren und mit einer „Privacy Sandbox“ arbeiten. Google selbst will dann mittels „Federated Learning of Cohorts“ (Floc) die Nutzer:innen einordnen – vor allem um die Werbeerlöse hochzuhalten. Diese auf gruppierten Kohortendaten basierende Erfassung ist etwas anonymer. In der datenschutzsensiblen EU will Google damit aber vorerst nicht starten.
In Deutschland könnte das bis dato kaum beachtete Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) Tatsachen schaffen und alle (technisch nicht notwendigen) Cookies verbieten. Das Thema Cookies wird uns also zunehmend beschäftigen. Daher ist es sinnvoll, sich rechtzeitig mit Cookies und Website-Statistik zu befassen. Wenn du proaktiv Cookies vermeidest, kannst du die Entwicklung entspannter verfolgen und in Ruhe entscheiden und umstellen.