PPW 360° | Keksdiät | Cookie-lose Alternativen zu Google Analytics

Nicht jeder mag Cookies. Besonders Marketer und Datenschutzbeauftragte haben einen sehr unterschiedlichen Keks-Geschmack. So reagieren Datenschützer fast allergisch auf Cookies – insbesondere auf solche mit US-amerikanischer Rezeptur. Der Webtracking-Dienst Google Analytics platziert sein „Keks-Angebot“ im Browser und übermittelt fleißig Datenkrümel in Form von Nutzerdaten auf US-Server. Warum sich derzeit einige Website-Betreiber um Google Analytics Alternativen bemühen und wie man dabei auf Cookies verzichten kann, beleuchten wir in diesem Blogpost.

Datenschutz ist seit jeher schwer greifbar, spielen sich dessen Verletzungen doch nahezu unsichtbar ab. Auch wenn sich zuletzt die großen US-Player Datenschutz groß auf ihre Fahne geschrieben haben, so befindet sich der Schutz persönlicher Daten im digitalen Raum weiterhin in einer intransparenten Gemengelage. Hier stehen sich datenhungrige Tech-Unternehmen und die Regulierung durch Behörden und Aktivisten gegenüber. Bevor es konkret um alternative Tracking-Tools für die Analyse deiner Website-Besucher geht, hier ein paar Meilensteine der jüngeren Datenschutz-Historie zur besseren Einordnung.

Chronik der Datenschutz-Gesetze und Urteile

Mai 2018: Einführung der Datenschutz-Grundverordnung (DSGVO) als Ablösung der Datenschutzrichtlinie von 1995
– Erstmalig aktive Einwilligung (Opt-in) für Cookies gefordert
Januar 2019: EuGH „Cookie-Urteil“ nach Klage von Verbraucherschützern gegen Gewinnspielanbieter Planet49
– Einwilligung zwingend erforderlich
– Cookies, die nicht zur Kategorie „Wesentlich“ gehören, dürfen vor Opt-in nicht gesetzt werden
Juli 2020: EuGH kippt „Privacy Shield“ Abkommen (sog. Schrems II Urteil)
– US-Datenschutz entspricht nicht den EU-Voraussetzungen
September 2021: Umsetzung sogenannter neuer Standardvertragsklauseln (SCC)
– Als Basis für die Auftragsdatenverarbeitung mit Drittland bis zu diesem Datum erforderlich
Dezember 2021: Inkrafttreten TTDSG –> Bestätigung des EuGH Urteils auf nationaler Ebene
Januar 2022: Nationale Datenschutzurteile gegen Google Analytics
– Datenschutzbehörden von Österreich und Frankreich erklären den Einsatz von Google Analytics für nicht rechtens
Dezember 2022: Anpassungen bestehender SCC auf neue SCCs (siehe Link)

Rechtlicher Rahmen für Google Analytics

Der § 28 der DSGVO (Abschnitt: Auftragsverarbeiter) sieht vor, dass Datenverarbeiter sicherzustellen haben, dass ihr Datenschutz konform mit der DSGVO ist, dazu zählen beispielsweise Newsletter-Dienste, Hosting-Anbieter oder eben Tracking-Dienste wie Google Analytics.

Der Datenverkehr mit Auftragsverarbeitern in den USA basierte datenschutzrechtlich einige Jahre auf dem sogenannten EU-US Privacy Shield, als Nachfolgerin des ursprünglichen Safe-Harbor-Abkommens zwischen der EU und den USA, das ebenfalls gekippt wurde (Schrems I Urteil von 2015).

Mit dem Schrems II Urteil im Juli 2020 wurde auch das Privacy Shield gekippt, da es beispielsweise Massenüberwachungsmaßnahmen in bestimmten Fällen für zulässig erklärte, was wiederum nicht mit EU-Datenschutzrecht vereinbar ist.

Die Folge: Als Grundlage für die Übermittlung von personenbezogenen Daten von EU-Bürgern auf US-Server fungieren die Standardvertragsklauseln, die es bis zum 27. Dezember dieses Jahres auf ihre neueste Form zu bringen gilt.

Unter folgendem Link findest du eine Tabelle mit den Links zu den jeweiligen Klauseln der häufig genutzten US-Tools:
https://www.e-recht24.de/artikel/datenschutz/12781-neue-standardvertragsklauseln-das-muessen-sie-jetzt-tun.html

Dennoch gehen bereits jetzt einige Unternehmen und Organisationen einen Schritt weiter und verbannen jegliche US-Dienste wie Google Analytics, YouTube, MailChimp, Facebook und Co. von ihren Websites.

Im Bereich Website-Tracking bzw. Webanalyse ist in den meisten Fällen das kostenlose Tool Google Analytics eingebunden und hatte die längste Zeit eine nahezu ähnlich marktbeherrschende Stellung inne wie die Suchmaschine des Konzerns. Laut W3C nutzen rund 86% aller Websites mit Analyse-Dienst die Software des Alphabet Konzerns. Insgesamt setzen über die Hälfte aller Websites weltweit Analytics ein. (Stand März 2022, Quelle: W3C)

Cookies haben es immer schwerer

Nicht erst mit Einzug der DSGVO sind Cookies nicht die 100%-Lösung, um belastbare Nutzerdaten zu erhalten. Restriktive Browser, bspw. Safari oder Brave (mehr dazu siehe https://www.cookiestatus.com) oder spezielle Browser-Add-Ons machen Marketern schon länger einen Strich durch die Rechnung und unterbinden zumindest eine längerfristige saubere Wiedererkennung von Besuchern. Somit ist bereits jetzt auch beim Webtracking mit Cookies eine zuverlässige Aussage über die tatsächliche Verteilung von neuen gegenüber wiederkehrenden Besuchern nur bedingt möglich. Der initiale Datenverlust der „Cookie-Bouncer“ bedingt durch den verpflichtenden Consent-Dialog beim erstmaligen Betreten einer Website führt ohnehin dazu, dass je nach Gestaltung des Banners (manipulative Gestaltung wird bereits abgemahnt, Stichwort: Nudging) circa nur die Hälfte der User die Platzierung von Cookies jenseits der Kategorie „technisch notwendig“ in ihrem Browser gestattet (Schätzung basierend auf der „Analytics & Cookie Consent Studie“ des Tracking-Anbieters eTracker).

Wie funktioniert das Tracking ohne Cookies?

Um Alternativen zu den kleinen lokal im Browser gespeicherten Cookie-Datensätzen zu schaffen, kommen seit etlichen Jahren verschiedene Technologien zum Einsatz. In der Regel sind das Skripte auf der jeweiligen Website, die die Interaktionen mit der Website erfassen und an den jeweiligen Analysedienst übermitteln. Tools wie beispielsweise Fathom oder Trackboxx kreieren hierzu eine Nutzersignatur auf Basis eines Hashwerts. Dieser Hashwert ermöglicht eine anonyme Nutzeridentifizierung ohne Speicherung einer IP-Adresse.

Methoden wie das Fingerprinting gehen deutlich darüber hinaus, weswegen sie datenschutzrechtlich mindestens so kritisch wie Cookies zu betrachten sind, und von Browsern wie Firefox oder Brave bereits unterbunden werden.

DSGVO-konforme Webanalyse ohne Cookies – gehostet in der EU

Mittlerweile gibt es eine Reihe von Google Analytics Alternativen, die ihre Daten DSGVO-konform auf EU-Servern speichern und die teilweise gänzlich Cookie-los funktionieren. Sind dann auf der Website auch keine sonstigen Marketing-Dienste oder ähnliches eingebaut, entfällt somit gänzlich der obligatorische Opt-In beim erstmaligen Betreten der Website. Dies resultiert aus § 25 des TTDSG, bzw. aus der dann nicht mehr gegebenen „Speicherung von Informationen in der Endeinrichtung des Endnutzers“. Lediglich ein Hinweis auf der Datenschutzseite wäre dann noch notwendig.

Die wesentlichen Vorteile des Cookie-losen Trackings zusammengefasst:

Höhere Rechtskonformität und bessere Nutzer-Akzeptanz
Störungsfreie User Experience durch Entfall Consent Banner
Vollständige Datengrundlage (bzw. Entfall des Datenverlusts durch Consent Banner)
Unabhängigkeit gegenüber spezifischen Browser- und Add-On-Regeln

Die Nachteile des Cookie-losen Trackings:

Keine Wiedererkennung von Besuchern (Kombinierung von unterschiedlichen Sitzungen) somit keine Attribution bzw. Customer Journey Identifikation möglich (vorrangig für Webshops relevant)
Kein Cross-Device-Tracking mehr möglich (Wechsel von Smartphone auf PC)

In dieser Tabelle siehst du eine Auswahl von fünf Google Analytics Alternativen und ihre Spezifikationen.

Name	Monatliche Kosten*	Standort Server	Cookie-los	Besonderheiten und Link Website
Fathom	$ 14,-	D	ja	Website
Matomo	€ 35,-	EU	Standardmäßig nicht	Cloud-Plan (On-Premise ebenfalls möglich) Website
eTracker	€ 19,-	D	ja	eTracker Academy und Inhouse-Schulungen möglich Website
Trackboxx	€ 14,-	D	ja	Business-Paket für max. 5 User Website
Simple Analytics	€ 19,-	NL	ja	Nur 1 User (Starter-Plan) Website

*jeweils für Plan bis 100.000 mtl. Seitenaufrufe

Fazit

Auch wenn gewisse Einbußen in Kauf genommen werden müssen, so ist die Webanalyse auch ohne Cookies und DSGVO-konform möglich. Es gilt, die Augen offen zu halten, da sich das Thema dynamisch weiterentwickelt. Zum einen stecken auf Basis der europäischen Gesetzgebung nationale Datenschutzbehörden bzw. Urteile kontinuierlich den Handlungsrahmen neu ab. Zum anderen bieten neue Technologie-Lösungen veränderte Möglichkeiten.

Legt man § 25 der DSGVO zugrunde, der Privacy by design – anders formuliert „Datenschutz durch Technikgestaltung“ – fordert, lässt sich jedoch eine Handlungsempfehlung ableiten. So sollte eine zeitgemäße und möglichst datensparsame Lösung des Webtrackings bevorzugt werden. Andernfalls müssten sich die Vorteile einer Cookie-basierten Variante als notwendig begründen lassen.

Bilder

Titelbild: PPW
Keks: Photo by Vyshnavi Bisani on Unsplash

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

PPW bloggt über Internet-Projekte, Trends, Tipps, Technik, Design, UX mit vielen Insights.

Keksdiät | Cookie-lose Alternativen zu Google Analytics