Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
Nach dem Grundsatzurteil des EuGH (Az. C-673/17) vom 01.10.2019 gilt eine generelle Einwilligungspflicht für technisch nicht notwendige Cookies. Weil hiervon vor allem Tracking- und Analysedienste weitgehend betroffen sind, wird zur Vermeidung des Einwilligungserfordernisses nunmehr vielfach erwogen, bei Möglichkeit das Setzen von Cookies in Anwendungseinstellungen generell zu deaktivieren. Der nachfolgende Beitrag der IT-Recht Kanzlei beschäftigt sich mit dem cookie-losen Betrieb des beliebten Analysedienstes „Google Analytics“, zeigt die hierfür notwendigen Handlungsschritte auf und geht auf die verbleibenden Risiken ein.
Inhaltsverzeichnis
- I. Cookies in Google Analytics deaktivieren (Nutzung von „localStorage“)
- II. Auswirkung der Cookie-Deaktivierung auf die Einwilligungspflicht
- 1.) Entfallen der Cookie-Einwilligungspflicht bei Nutzung von „localStorage“ und Deaktivierung von Cookies?
- 2.) Datenschutzrechtliche Einwilligungspflicht bei Verwendung von Google Analytics?
- III. IT-Recht Kanzlei stellt neue Klauseloptionen für die Datenschutzerklärung bereit
- IV. Fazit
I. Cookies in Google Analytics deaktivieren (Nutzung von „localStorage“)
Google (Universal) Analytics setzt in seiner Standard-Version grundsätzlich Cookies ein. Diese Cookies werden so auf dem jeweiligen Endgerät des Nutzers abgelegt, dass diesem mittels der Cookies eine einmalige „Client ID“ zugewiesen und diese geräteübergreifend nachverfolgt werden kann.
Über diese Client-ID lassen sich nun Nutzerhandlungen nachvollziehen.
Bei Google Analytics besteht nun aber die Möglichkeit, die maßgebliche Client ID nicht über Cookies, sondern über den Browser-Speicher des Nutzers (localStorage) zu manifestieren. Wird diese Einstellung gewählt, lassen sich Cookies von Google (Universal) Analytics abstellen, während das Nutzerverhalten weiterhin nachvollziehbar bleibt.
Für das Abstellen von Cookies und die damit zusammenhängende Speicherung der Client ID in „localStorage“ ist der JavaScript-Code von Google (Universal) Analytics anzupassen.
Verwenden Sie hierfür folgendes Skript
(Quelle: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id):
var GA_LOCAL_STORAGE_KEY = 'ga:clientId'; if (window.localStorage) { ga('create', 'UA-XXXXX-Y', { 'storage': 'none', 'clientId': localStorage.getItem(GA_LOCAL_STORAGE_KEY) }); ga(function(tracker) { localStorage.setItem(GA_LOCAL_STORAGE_KEY, tracker.get('clientId')); }); } else { ga('create', 'UA-XXXXX-Y', 'auto'); } ga('send', 'pageview');
Hinweis:
'UA-XXXXXX-Y’ ist dabei mit Ihrem, von Google individuell vergebenen Tracking-Code, zu ersetzen.
Durch Vornahme dieser Änderung wird die ClientID nun im lokalen Browserspeicher des Nutzers mit der Folge hinterlegt, dass das Setzen von Cookies durch Google (Universal) Analytics unterbunden wird.
II. Auswirkung der Cookie-Deaktivierung auf die Einwilligungspflicht
Beim Einsatz von Google (Universal) Analytics sind in Bezug auf eine potenzielle Einwilligungspflicht zwei verschiedene Ansatzpunkte zu differenzieren.
So kommt zum einen eine Einwilligungspflicht gemäß Art. 5 Abs. 3 der Cookie-Richtlinie in der Fassung der Richtlinie 2009/136/EG für Cookies und cookie-ähnliche Mechanismen in Betracht.
Zum anderen kann sich eine hiervon zu trennende Einwilligungspflicht aber auch aus Art. 6 Abs. 1 lit. a DSGVO für Konstellationen ergeben, in denen durch Google Analytics personenbezogene Daten verarbeitet.
1.) Entfallen der Cookie-Einwilligungspflicht bei Nutzung von „localStorage“ und Deaktivierung von Cookies?
Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.
Daraus ließe sich schlussfolgern, dass die Cookie-Einwilligungspflicht entfällt, wenn das Setzen von Cookies für Google (Universal) Analytics grundsätzlich deaktiviert wird.
Tatsächlich kann mangels Cookie-Einsatzes zwar eine Einwilligungspflicht nicht mehr an das Setzen technisch nicht notwendiger Cookies geknüpft werden.
Allerdings hat der EuGH in seiner Entscheidung vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug genommen, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Nach der Vorschrift gilt die Einwilligungspflicht also nicht nur für Cookies, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.
Für Google (Universal) Analytics wird dies insofern relevant, als dass der Dienst auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollziehen kann.
Unter Device Fingerprinting werden (vom Nutzer meist nicht zu erkennende) Technologien verstanden, die vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.
Auch beim Device Fingerprinting wird im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58/EG aber so auf Informationen vom Endgerät zugegriffen, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden könnte.
Zwar ist die Entscheidung des EuGH nur spezifisch zu Cookies ergangen. Es ist aber nicht unwahrscheinlich, dass die für Cookies bestätigte Einwilligungspflicht auch für das von Google (Universal) Analytics stets betriebene Device Fingerprinting Geltung beansprucht.
Zwar ist dahingehende Rechtsprechung bislang nicht bekannt. Das Abstellen von Cookies kann aber das derzeit bestehende Risiko nicht abbedingen, dass bereits aufgrund des Device Fingerprinting bei Google (Universal) Analytics eine eigenständige Nutzereinwilligung vor dem jeweiligen Einsatz des Dienstes erforderlich wäre.
2.) Datenschutzrechtliche Einwilligungspflicht bei Verwendung von Google Analytics?
Losgelöst von der Einwilligungspflicht für Cookies und (voraussichtlich) derjenigen für vergleichbare Technologien wie das „Device Fingerprinting“ kommt beim Einsatz von Google Analytics auch die Notwendigkeit einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht.
So verarbeitet Google (Universal) Analytics in seiner Standardvariante neben anderen Informationen auch stets die vollständige IP-Adresse des Nutzers, die als personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO gilt.
Im Google Analytics-Skript lässt sich nun allerdings eine Einstellung vornehmen, welche die IP-Adresse der Nutzer vor deren Verarbeitung anonymisiert und so den Personenbezug aufhebt.
Konkret erfolgt dieses durch Aktivierung des Zusatzes „_anonymizeIp()“ im Analytics-Tracking-Code
Eine Anleitung zur Anonymisierung der IP-Adressen in Google Analytics und zur Implementierung weiterer datenschutzrechtlicher Voraussetzungen stellt die IT-Recht Kanzlei in diesem Beitrag bereit.
Bisher war dieses Verfahren von den Datenschutzbehörden so anerkannt, dass bei wirksamer Anonymisierung der IP-Adresse der Einsatz von Google Analytics datenschutzrechtlich über überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden könnte.
Jüngst allerdings hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) neu zu Google (Universal) Analytics positioniert und vertritt nun eine abweichende Auffassung.
Nach Ansicht der Behörde entfällt eine Rechtfertigung über berechtigte Interessen im Falle von Google (Universal) Analytics deswegen, weil diese eine Abwägung widerstreitender Interessen voraussetze und hierfür vollständige Kenntnisse über die konkreten Umstände der Datenverarbeitung bei den Anbietern notwendig seien. Über solche würden Anbieter aber wegen intransparenter Informationen von Google nicht verfügen.
Nach Ansicht des BayLDA setzt also selbst bei Anonymisierung der IP-Adressen die Verwendung von Google (Universal) Analytics eine Nutzereinwilligung voraus. Eine Rechtfertigung über berechtigte Interessen sei wegen eines Informationsdefizites auf der Verwenderseite nicht möglich.
Mithin besteht beim einwilligungslosen Betrieb von Google (Universal) Analytics nach derzeitigem Stand unabhängig von der Cookie-Deaktivierung ein datenschutzrechtliches Risiko.
III. IT-Recht Kanzlei stellt neue Klauseloptionen für die Datenschutzerklärung bereit
In Anbetracht der Möglichkeit eines cookie-losen Einsatzes von Google (Universal) Analytics stellt die IT-Recht Kanzlei Ihren Mandanten ab sofort Klauseln für die Datenschutzerklärung zur Verfügung, welche für den Betrieb von Google (Universal) Analytics ohne Cookies zugeschnitten sind.
Zu beachten ist allerdings, dass trotz der Deaktivierung von Cookies eine Einwilligungspflicht voraussichtlich nicht entfällt. Der einwilligungslose Einsatz von Google (Universal) Analytics ohne Cookies birgt also ein Risiko.
Wir raten daher unabhängig von einer Cookie-Deaktivierung zur Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers im Rahmen der Nutzung von Google Analytics!
IV. Fazit
Unter Verwendung eines lokalen Speichers lässt sich über Google Analytics ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.
Allerdings ist zu beachten, dass damit eine Einwilligungspflichtigkeit des Dienstes voraussichtlich nicht entfällt.
So setzt Google (Universal) Analytics weiterhin sogenanntes „Device Fingerprinting“ ein, welches als cookie-ähnliche Technolie eigenständig Geräteinformationen auslesen und damit für sich gesehen einwilligungspflichtig sein könnte.
Im Übrigen macht das beim Seitenbetreiber vorhandene Informationsdefizit über die konkreten Datenverarbeitungsvorgänge zumindest nach derzeitiger Ansicht des BayLDA bei der Verwendung von Google (Universal) Analytics eine ausdrückliche datenschutzrechtliche Nutzereinwilligung erforderlich.
Selbst beim Abstellen von Cookies in Google (Universal) Analytics besteht daher ein nicht zu missachtendes Risiko, wenn der Einsatz des Dienstes nicht von einer ausdrücklichen Nutzereinwilligung abhängig gemacht wird.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
9 Kommentare
nachdem es nun über den Google Tag Manager mittels Server-Side-Tracking möglich ist, alle Google Analytics Hits zunächst über einen eigenen Tracking Server laufen zu lassen, bevor weitergeleitet wird an Google Analytics, frage ich mich, ob so ggfs. Tracking ohne Consent wieder möglich wird.
Mein Gedanke: Wenn der Nutzer kein Consent für Cookies gibt, wird komplett ohne GA ID gemessen, außerdem das Durchschleifen der IP Adresse und des User Agents an Google Analytics unterbunden. Zwar verliert man so zusammengehörige Sitzungen, kann aber immerhin noch einzelne Seitenaufrufe, Produktaufrufe, etc. messen.
Halten Sie eine solche Lösung für rechtlich umsetzbar? Ist es ein Problem, dass der GTM Tracking Server aktuell noch auf einer virtuellen Maschine in der Google Cloud laufen muss (Standort Deutschland sollte aber möglich sein)? Ohne Consent sollte sicherlich auch Logging auf der virtuellen Maschine deaktiviert sein, damit nicht doch wieder mit Hilfe von Log Dateien Nutzer verfolgbar wären, korrekt?
Vielen Dank vorab und viele Grüße
Lucas
if (window.localStorage) {...}
else {
ga('create', 'UA-XXXXX-Y', 'auto');
}
wie lässt sich der im Beitrag genannte Code mit dem von Ihnen angebotenen Tool (https://www.e-recht24.de/mitglieder/tools/google-analytics/#codegenerierung) zur Generierung des TrackingCodes kombinieren?
Praxisrelevant sind vor allem mögliche Abmahnung auf Grund des EuGH Urteils. Abmahner können leicht analysieren (crawlen), welche Sites Analytics-Cookies, Local Storage etc. verwenden und darauf hin Abmahnungen generieren. Ob und wie interne Logfiles verwendet werden, ist von außen nicht erkennbar.
vielen Dank für Ihren Kommentar.
Wie im Beitrag erörtert, beschränkt sich die von der RL 2002/58/EG etablierte Einwilligungspflicht nicht auf Cookies, sondern umfasst vom Wortlaut her jedes Speichern oder Auslesen von Informationen auf Endgeräten von Nutzern.
Daher ist eine Einwilligungspflicht auch für das Device Fingerprinting zwar sehr wahrscheinlich, aber trotzdem noch nicht als im Rechtssinne endgültig obligatorisch anzusehen.
Dies folgt daraus, dass die Auslegung der Richtlinie und deren Anwendung auf Konstellationen der Praxis allein den Gerichten (und im Zweifel allein dem EuGH) obliegt, sodass richtigerweise eine Einwilligungspflicht für andere informationsauslesende oder -speichernde Tracking-Methoden (wie nun für Cookies geschehen) ausschließlich durch die Rechtsprechung für verbindlich erklärt werden kann.
Ich habe eine Frage: wann wird Cookie Consent Tool für uns zur Verfügung bereit gestellt?
Wegen Urteil von EUGH benutze ich zur Zeit nur die technisch notwendigen Cookies und möchte gerne zurück die GA einsetzen können.
Mit freundlichen Grüßen,
Christoph
Wenn ja dürfte man Webserverfiles eigentlich auch nicht auswerten mit Tools wie Webalizer und co.