Google Analytics ist wohl das bekannteste und beliebteste Analyse- und Statistiktool für Websites und Apps, welches Unternehmen zur Verfügung steht. Bei seiner Nutzung gibt es jedoch einige Stolpersteine. In diesem Artikel erklären wir die Funktionsweise, die Probleme und ob es erlaubt ist, Google Analytics ohne Einwilligung einzusetzen.
Google Analytics ist das beliebteste Analyse- und Statistiktool für Websites und Apps. Ein grundlegendes Verständnis von der Funktionsweise des Dienstes zu haben ist wichtig für das weitere Verständnis dieses Artikels, besonders um die Standardimplementierung mit einer möglichen Alternativimplementierung für Google Analytics ohne Einwilligung vergleichen zu können.Das folgende Schaubild soll den Prozess etwas verdeutlichen:
Zuerst wird das Google Analytics-Script vom Google-Server abgerufen. Auslöser hierfür könnte ein <script> – Tag im Kopfbereich der Website oder ein Tag-Management-System wie z.B. der Google-Tag-Manager sein.
In einem zweiten Schritt übermittelt das Google-Analytics-Script direkt aus dem Browser sogenannte Tracking-Hits an Google (auch „Tracking Requests“ oder „Collects“ genannt). In diesen Hits stehen dann die eigentlichen Tracking-Informationen, beispielsweise über die besuchte Seite, persönliche Informationen über die Nutzer/innen (Bildschirmauflösung, Sprache etc.) oder die für alle Nutzer/innen individuelle, in einem Cookie gespeicherte Nutzer-ID (auch „Client-ID“ genannt).
Grob zusammengefasst gibt es zwei große datenschutzrechtliche Probleme, die bei der Verwendung von Google Analytics auftreten:
Personenbeziehbare Daten: Da das Google Analytics-Script normalerweise von einem Google-Server abgerufen wird, landen die IP-Adresse und der „User Agent“ des Besuchers zwangsweise bei Google. Auch datenschutzfreundliche Einstellungen wie beispielsweise „Anonymisierte IP-Adresse“ können daran nichts ändern, da die IP-Adresse beim Abruf des Tracking-Scriptes oder beim Senden eines Tracking-Requests (auch „collect“ genannt) zwangsweise mitgesendet werden muss. Nach dem aktuellsten Schrems-II-Urteil stellt das ein besonderes Problem dar, da die personenbeziehbaren Daten in die USA, einem als „unsicheres Drittland“ definierten Raum, übertragen werden.
Cookies & Profilerstellung: Damit Google Nutzer/innen und Nutzersitzungen erkennen kann, wird beim Abruf des Google-Analytics-Scriptes ein Cookie mit einer Client-ID im Browser abgelegt. Mithilfe dieses Cookies können die Nutzer/innen dann über verschiedene Sitzungen und Zeiträume hinweg zugeordnet werden. Die Google-Analytics-Cookies wurden von diversen Aufsichtsbehörden schon vor Jahren als einwilligungspflichtig eingeordnet, aber spätestens nach dem neuen Telekommunikations- und Telemedien-Datenschutzgesetztes (TTDSG) ist es Websitebetreibern auch verboten, andere Möglichkeiten zur Speicherung der Client-ID zu nutzen (wie z.B. Local Storage oder Session Storage).
Ein Großteil der eigentlich mit Google Analytics erfassten Informationen ist gar nicht personenbezogen, dürfte theoretisch also auch ohne Einwilligung verarbeitet werden. Aber da im Standardsetup zwangsweise die Browser-Metadaten (IP-Adresse & User-Agent) übertragen und ein Cookie gesetzt wird, ist eine Verwendung ohne Einwilligung nicht möglich. Das gilt übrigens auch für die Speicherung von Informationen auf dem Smartphone bei Verwendung einer Mobile-App!
Um Google Analytics ohne Einwilligung betreiben zu können, sind also zwei Modifikationen an der Standardkonfiguration erforderlich. Zum einen darf der Dienst keine Cookies oder Ähnliches auf dem Gerät des Nutzers speichern. Zum anderen müssen alle personenbeziehbaren Informationen aus dem Tracking-Hit entfernt werden, bevor dieser seinen Weg zu Google findet. Die Lösung dafür ist ein Server-Tag-Manager. Statt die Daten direkt von dem Browser an Google zu übermitteln, werden die Daten vom Browser aus lediglich an einen eigenen Server geschickt. Dieser Server wiederum baut im Anschluss eine eigene Verbindung mit den Google-Analytics-Servern auf und übermittelt dabei lediglich die Informationen, die nicht personenbeziehbar sind. Sensible Daten wie z.B. die IP-Adresse oder der User-Agent bleiben demnach verborgen. Auf das Setzen von Cookies und einer Client-ID wird einfach verzichtet.In Google Analytics kommen die Basisinformationen (z.B. „Welche Seite wurde wann von welchem Gerät besucht“) weiterhin an, Google kann aber keinen Rückschluss mehr auf die Person ziehen, die den Request ursprünglich ausgelöst hat:
Es gibt grundsätzlich verschiedene Möglichkeiten für das Set-up eines Tagging-Servers. Unsere Empfehlung (insbesondere für Google-Produkte wie Analytics) ist aber der Google Server-Tag-Manager. Wie auch der allseits bekannte „Web-Tagmanager“ (der Google-Dienst, mit dem verschiedene Tags und andere Trackingtools mithilfe von Laderegeln, sogenannten „Triggern“ in der Website eingebaut werden können), ist der Server-GTM kostenfrei für jeden Google-Nutzer verfügbar. Ein 360° -Abonnement ist dafür nicht erforderlich.Innerhalb des Server-Tag-Managers müssen dann sogenannte „Clients“ angelegt werden. Clients sind die Endpunkte, die eingehende Analytics-Daten entgegennehmen, entsprechend manipulieren und dann an den Google-Server weiterleiten. Google bietet für Analytics und Ads eigene Client-Vorlagen, die eingesetzt werden können, diese sind allerdings nicht dafür geeignet, Google Analytics ohne Einwilligung zu betreiben. Stattdessen muss eine eigene Client-Vorlage entwickelt werden, welche die Daten entsprechend entgegennimmt. Die Entwicklung dieser Vorlage ist nicht ganz trivial, Grundlage hierfür sind erweiterte Kenntnisse über die technische Funktionsweise von Google Analytics sowie Javascript-Fähigkeiten.
Mittlerweile arbeitet ein Großteil der Browser mit sogenannten „Tracking-Preventions“ in der Standardeinstellung. Das bedeutet, dass die Browser mithilfe von verschiedenen Techniken versuchen, Tracking zu verhindern. Das funktioniert beispielsweise, indem die Lebensdauer von Cookies reduziert oder der Datenfluss zu bekannten Tracker-Domains unterbrochen wird.Beim Serverseitigen Tagging werden diese Probleme automatisch umgangen, da alle Daten über einen Tagging-Server auf der eigenen Domain fließen. Browser-Tracking-Preventions greifen dementsprechend nicht mehr.
Wir empfehlen unseren Kunden das folgende Set-up: Ein Google Server-Tag-Manager nimmt erst mal alle Daten entgegen, egal ob die Nutzer/innen eine Einwilligung erteilt haben oder nicht. Je nach Consent werden dann entweder nur die sogenannten „Basisdaten“ (nicht personenbeziehbar) oder der vollständige Datensatz (personenbeziehbar) an Google übermittelt. Da die Daten in beiden Fällen parametrisiert sind, kann später in Google Analytics entweder die Gesamtmenge an Daten oder nur die der Nutzer/innen mit oder ohne Einwilligung betrachtet werden.
In allen Fällen konnten wir die Datenbasis unserer Kunden um mindestens 30% steigern. In Einzelfällen war sogar ein Anstieg von bis zu 80% zu verzeichnen.
Grund hierfür sind nicht nur die Erfassung von Basisdaten ohne Consent, sondern auch die Umgehung von Browser-Tracking-Preventions mithilfe des eigenen Servers.