Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse

Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
25.10.2019 | Lesezeit: 7 min

Nach dem Grundsatzurteil des EuGH (Az. C-673/17) vom 01.10.2019 gilt eine generelle Einwilligungspflicht für technisch nicht notwendige Cookies. Weil hiervon vor allem Tracking- und Analysedienste weitgehend betroffen sind, wird zur Vermeidung des Einwilligungserfordernisses nunmehr vielfach erwogen, bei Möglichkeit das Setzen von Cookies in Anwendungseinstellungen generell zu deaktivieren. Der nachfolgende Beitrag der IT-Recht Kanzlei beschäftigt sich mit dem cookie-losen Betrieb des beliebten Analysedienstes „Google Analytics“, zeigt die hierfür notwendigen Handlungsschritte auf und geht auf die verbleibenden Risiken ein.

I. Cookies in Google Analytics deaktivieren (Nutzung von „localStorage“)

Google (Universal) Analytics setzt in seiner Standard-Version grundsätzlich Cookies ein. Diese Cookies werden so auf dem jeweiligen Endgerät des Nutzers abgelegt, dass diesem mittels der Cookies eine einmalige „Client ID“ zugewiesen und diese geräteübergreifend nachverfolgt werden kann.

Über diese Client-ID lassen sich nun Nutzerhandlungen nachvollziehen.

Bei Google Analytics besteht nun aber die Möglichkeit, die maßgebliche Client ID nicht über Cookies, sondern über den Browser-Speicher des Nutzers (localStorage) zu manifestieren. Wird diese Einstellung gewählt, lassen sich Cookies von Google (Universal) Analytics abstellen, während das Nutzerverhalten weiterhin nachvollziehbar bleibt.

Für das Abstellen von Cookies und die damit zusammenhängende Speicherung der Client ID in „localStorage“ ist der JavaScript-Code von Google (Universal) Analytics anzupassen.

Verwenden Sie hierfür folgendes Skript
(Quelle: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id):

var GA_LOCAL_STORAGE_KEY = 'ga:clientId';

if (window.localStorage) {
  ga('create', 'UA-XXXXX-Y', {
    'storage': 'none',
    'clientId': localStorage.getItem(GA_LOCAL_STORAGE_KEY)
  });
  ga(function(tracker) {
    localStorage.setItem(GA_LOCAL_STORAGE_KEY, tracker.get('clientId'));
  });
}
else {
  ga('create', 'UA-XXXXX-Y', 'auto');
}

ga('send', 'pageview');

Hinweis:
'UA-XXXXXX-Y’ ist dabei mit Ihrem, von Google individuell vergebenen Tracking-Code, zu ersetzen.

Durch Vornahme dieser Änderung wird die ClientID nun im lokalen Browserspeicher des Nutzers mit der Folge hinterlegt, dass das Setzen von Cookies durch Google (Universal) Analytics unterbunden wird.

Banner Unlimited Paket

II. Auswirkung der Cookie-Deaktivierung auf die Einwilligungspflicht

Beim Einsatz von Google (Universal) Analytics sind in Bezug auf eine potenzielle Einwilligungspflicht zwei verschiedene Ansatzpunkte zu differenzieren.

So kommt zum einen eine Einwilligungspflicht gemäß Art. 5 Abs. 3 der Cookie-Richtlinie in der Fassung der Richtlinie 2009/136/EG für Cookies und cookie-ähnliche Mechanismen in Betracht.

Zum anderen kann sich eine hiervon zu trennende Einwilligungspflicht aber auch aus Art. 6 Abs. 1 lit. a DSGVO für Konstellationen ergeben, in denen durch Google Analytics personenbezogene Daten verarbeitet.

1.) Entfallen der Cookie-Einwilligungspflicht bei Nutzung von „localStorage“ und Deaktivierung von Cookies?

Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.

Daraus ließe sich schlussfolgern, dass die Cookie-Einwilligungspflicht entfällt, wenn das Setzen von Cookies für Google (Universal) Analytics grundsätzlich deaktiviert wird.

Tatsächlich kann mangels Cookie-Einsatzes zwar eine Einwilligungspflicht nicht mehr an das Setzen technisch nicht notwendiger Cookies geknüpft werden.

Allerdings hat der EuGH in seiner Entscheidung vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug genommen, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Nach der Vorschrift gilt die Einwilligungspflicht also nicht nur für Cookies, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Für Google (Universal) Analytics wird dies insofern relevant, als dass der Dienst auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollziehen kann.

Unter Device Fingerprinting werden (vom Nutzer meist nicht zu erkennende) Technologien verstanden, die vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Auch beim Device Fingerprinting wird im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58/EG aber so auf Informationen vom Endgerät zugegriffen, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden könnte.
Zwar ist die Entscheidung des EuGH nur spezifisch zu Cookies ergangen. Es ist aber nicht unwahrscheinlich, dass die für Cookies bestätigte Einwilligungspflicht auch für das von Google (Universal) Analytics stets betriebene Device Fingerprinting Geltung beansprucht.

Zwar ist dahingehende Rechtsprechung bislang nicht bekannt. Das Abstellen von Cookies kann aber das derzeit bestehende Risiko nicht abbedingen, dass bereits aufgrund des Device Fingerprinting bei Google (Universal) Analytics eine eigenständige Nutzereinwilligung vor dem jeweiligen Einsatz des Dienstes erforderlich wäre.

2.) Datenschutzrechtliche Einwilligungspflicht bei Verwendung von Google Analytics?

Losgelöst von der Einwilligungspflicht für Cookies und (voraussichtlich) derjenigen für vergleichbare Technologien wie das „Device Fingerprinting“ kommt beim Einsatz von Google Analytics auch die Notwendigkeit einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht.

So verarbeitet Google (Universal) Analytics in seiner Standardvariante neben anderen Informationen auch stets die vollständige IP-Adresse des Nutzers, die als personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO gilt.

Im Google Analytics-Skript lässt sich nun allerdings eine Einstellung vornehmen, welche die IP-Adresse der Nutzer vor deren Verarbeitung anonymisiert und so den Personenbezug aufhebt.
Konkret erfolgt dieses durch Aktivierung des Zusatzes „_anonymizeIp()“ im Analytics-Tracking-Code

Eine Anleitung zur Anonymisierung der IP-Adressen in Google Analytics und zur Implementierung weiterer datenschutzrechtlicher Voraussetzungen stellt die IT-Recht Kanzlei in diesem Beitrag bereit.

Bisher war dieses Verfahren von den Datenschutzbehörden so anerkannt, dass bei wirksamer Anonymisierung der IP-Adresse der Einsatz von Google Analytics datenschutzrechtlich über überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden könnte.

Jüngst allerdings hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) neu zu Google (Universal) Analytics positioniert und vertritt nun eine abweichende Auffassung.

Nach Ansicht der Behörde entfällt eine Rechtfertigung über berechtigte Interessen im Falle von Google (Universal) Analytics deswegen, weil diese eine Abwägung widerstreitender Interessen voraussetze und hierfür vollständige Kenntnisse über die konkreten Umstände der Datenverarbeitung bei den Anbietern notwendig seien. Über solche würden Anbieter aber wegen intransparenter Informationen von Google nicht verfügen.

Nach Ansicht des BayLDA setzt also selbst bei Anonymisierung der IP-Adressen die Verwendung von Google (Universal) Analytics eine Nutzereinwilligung voraus. Eine Rechtfertigung über berechtigte Interessen sei wegen eines Informationsdefizites auf der Verwenderseite nicht möglich.

Mithin besteht beim einwilligungslosen Betrieb von Google (Universal) Analytics nach derzeitigem Stand unabhängig von der Cookie-Deaktivierung ein datenschutzrechtliches Risiko.

III. IT-Recht Kanzlei stellt neue Klauseloptionen für die Datenschutzerklärung bereit

In Anbetracht der Möglichkeit eines cookie-losen Einsatzes von Google (Universal) Analytics stellt die IT-Recht Kanzlei Ihren Mandanten ab sofort Klauseln für die Datenschutzerklärung zur Verfügung, welche für den Betrieb von Google (Universal) Analytics ohne Cookies zugeschnitten sind.

Zu beachten ist allerdings, dass trotz der Deaktivierung von Cookies eine Einwilligungspflicht voraussichtlich nicht entfällt. Der einwilligungslose Einsatz von Google (Universal) Analytics ohne Cookies birgt also ein Risiko.

Wir raten daher unabhängig von einer Cookie-Deaktivierung zur Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers im Rahmen der Nutzung von Google Analytics!

IV. Fazit

Unter Verwendung eines lokalen Speichers lässt sich über Google Analytics ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Allerdings ist zu beachten, dass damit eine Einwilligungspflichtigkeit des Dienstes voraussichtlich nicht entfällt.

So setzt Google (Universal) Analytics weiterhin sogenanntes „Device Fingerprinting“ ein, welches als cookie-ähnliche Technolie eigenständig Geräteinformationen auslesen und damit für sich gesehen einwilligungspflichtig sein könnte.

Im Übrigen macht das beim Seitenbetreiber vorhandene Informationsdefizit über die konkreten Datenverarbeitungsvorgänge zumindest nach derzeitiger Ansicht des BayLDA bei der Verwendung von Google (Universal) Analytics eine ausdrückliche datenschutzrechtliche Nutzereinwilligung erforderlich.

Selbst beim Abstellen von Cookies in Google (Universal) Analytics besteht daher ein nicht zu missachtendes Risiko, wenn der Einsatz des Dienstes nicht von einer ausdrücklichen Nutzereinwilligung abhängig gemacht wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

O
O. Tisch 22.12.2021, 16:31 Uhr
alter Code
Wenn man Google mit Cookies nutzt, hat man bereits irgendwo eine entsprechenden Code hinterlegt. Nun sind die meiste Shopbetreiber keine Programmierer und sehen auf Anhieb, welches Stück HTML zu welcher Funktion gehört. Denn ich vermute, dass der alte Google-Code durch das Muster ersetzt werden muss. Dafür wäre es hilfreich, zu wissen, was man auch entfernen muss. Etwas mehr oder weniger kann ggf. unerwünschte Wirkungen haben.
L
Lucas 24.09.2020, 10:38 Uhr
Server Side Tracking ohne IP und User Agent
Liebes IT Recht Kanzlei Team,

nachdem es nun über den Google Tag Manager mittels Server-Side-Tracking möglich ist, alle Google Analytics Hits zunächst über einen eigenen Tracking Server laufen zu lassen, bevor weitergeleitet wird an Google Analytics, frage ich mich, ob so ggfs. Tracking ohne Consent wieder möglich wird.

Mein Gedanke: Wenn der Nutzer kein Consent für Cookies gibt, wird komplett ohne GA ID gemessen, außerdem das Durchschleifen der IP Adresse und des User Agents an Google Analytics unterbunden. Zwar verliert man so zusammengehörige Sitzungen, kann aber immerhin noch einzelne Seitenaufrufe, Produktaufrufe, etc. messen.

Halten Sie eine solche Lösung für rechtlich umsetzbar? Ist es ein Problem, dass der GTM Tracking Server aktuell noch auf einer virtuellen Maschine in der Google Cloud laufen muss (Standort Deutschland sollte aber möglich sein)? Ohne Consent sollte sicherlich auch Logging auf der virtuellen Maschine deaktiviert sein, damit nicht doch wieder mit Hilfe von Log Dateien Nutzer verfolgbar wären, korrekt?

Vielen Dank vorab und viele Grüße
Lucas
S
Sven Burkert 14.02.2020, 11:31 Uhr
Das Snippet deaktiviert Cookies nicht
Es werden noch immer Cookies gesetzt, wenn "window.localStorage" nicht zur Verfügung steht:

if (window.localStorage) {...}
else {
ga('create', 'UA-XXXXX-Y', 'auto');
}
J
Jens Hummelt 26.12.2019, 12:07 Uhr
CEO
Hallo,










wie lässt sich der im Beitrag genannte Code mit dem von Ihnen angebotenen Tool (https://www.e-recht24.de/mitglieder/tools/google-analytics/#codegenerierung) zur Generierung des TrackingCodes kombinieren?
S
Stefan Riegel 12.11.2019, 13:30 Uhr
Antwort zu "Matomo (Piwik)"
Im Urteil des EuGH geht es primär um Tracking mittels Cookies und ähnlichen Verfahren. Analysetools, die sich auf Daten aus Logfiles etc. stützen, haben stark eingeschränkte Tracking-Möglichkeiten. IP-Adressen, Referer ... viel mehr fällt mir dazu spontan nicht ein. Damit ist nur sehr rudimentäres "Tracking" möglich. IPs sind oft dynamisch und für aussagekräftiges Tracking eher ungeeignet. Ob sich Gerichte auch damit beschäftigen werden, bleibt abzuwarten.



Praxisrelevant sind vor allem mögliche Abmahnung auf Grund des EuGH Urteils. Abmahner können leicht analysieren (crawlen), welche Sites Analytics-Cookies, Local Storage etc. verwenden und darauf hin Abmahnungen generieren. Ob und wie interne Logfiles verwendet werden, ist von außen nicht erkennbar.
I
IT-Recht Kanzlei 29.10.2019, 12:09 Uhr
Ausweitung der Einwilligungspflicht ist Sache der Gerichte
Sehr geehrter Herr Mager,
vielen Dank für Ihren Kommentar.

Wie im Beitrag erörtert, beschränkt sich die von der RL 2002/58/EG etablierte Einwilligungspflicht nicht auf Cookies, sondern umfasst vom Wortlaut her jedes Speichern oder Auslesen von Informationen auf Endgeräten von Nutzern.

Daher ist eine Einwilligungspflicht auch für das Device Fingerprinting zwar sehr wahrscheinlich, aber trotzdem noch nicht als im Rechtssinne endgültig obligatorisch anzusehen.

Dies folgt daraus, dass die Auslegung der Richtlinie und deren Anwendung auf Konstellationen der Praxis allein den Gerichten (und im Zweifel allein dem EuGH) obliegt, sodass richtigerweise eine Einwilligungspflicht für andere informationsauslesende oder -speichernde Tracking-Methoden (wie nun für Cookies geschehen) ausschließlich durch die Rechtsprechung für verbindlich erklärt werden kann.
C
Christian Mager 29.10.2019, 11:08 Uhr
Das Gesetz unterscheidet nicht zwischen Cookie, local storage, oder fingerprinting
Es macht laut Gesetz keinen Unterschied ob ich via Cookie, local storage oder fingerprinting tracke. Wie kann man nur schreiben, es besteht "gegebenenfalls eine Einwilligungspflicht"; die besteht 100%! weil local storage in dem Fall die selbe Funktionalität erfüllt wie der cookie. Der geschilderte technische Sachverhalt hilft in der Praxis nichts.
C
Christoph 24.10.2019, 23:53 Uhr
Consent Tool
Liebe IT-Recht-Kanzlei Team,
Ich habe eine Frage: wann wird Cookie Consent Tool für uns zur Verfügung bereit gestellt?
Wegen Urteil von EUGH benutze ich zur Zeit nur die technisch notwendigen Cookies und möchte gerne zurück die GA einsetzen können.
Mit freundlichen Grüßen,
Christoph
S
Sebastian Enders 24.10.2019, 20:16 Uhr
Matomo (Piwik)
Gilt das Risiko auch beim Einsatz vom selbst gehosteten Matomo (Piwik) Analyse Tool, wenn dies ohne Cookies implementiert ist.
Wenn ja dürfte man Webserverfiles eigentlich auch nicht auswerten mit Tools wie Webalizer und co.

Weitere News

Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
(31.05.2022, 16:13 Uhr)
Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
(14.01.2022, 11:49 Uhr)
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
(18.08.2021, 11:58 Uhr)
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
(10.08.2020, 13:59 Uhr)
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
(08.04.2020, 09:16 Uhr)
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
(04.07.2019, 11:54 Uhr)
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

© 2004-2024 · IT-Recht Kanzlei