Google Analytics ohne Cookies
Google Analytics Rechtskonform einsetzen
Nach dem EuGH Cookie Urteil müssen nun neue Cookie Banner gesetzt werden. Momentan überarbeiten viel Entwickler Ihre angebotenen Plugins und Module dahingehend. Grundsätzlich gilt jedoch, man sollte so wenig Cookies setzen wie möglich.
Google Analytics setzt Cookies.
Allerdings kann man diese ersetzen durch die "Local Storage" Option, die Google anbietet. Durch eine Erweiterung des Analytics Skripts, werden nun keine Cookies mehr gesetzt. Dafür wird der Speicher im Browser des Nutzers genutzt. Das Nutzerverhalten ist jedoch weiterhin nachvollziehbar.
Da nun keine Cookies mehr gesetzt werden, muss dafür auch keine Erlaubnis mehr eingeholt werden. Oder?
Leider doch. Die Local Storage Option sollte man nutzen, aber was gerne übersehen wird ist, dass das EuGH Urteil sich gar nicht explizit auf Cookies bezieht, sondern auf alle Mechanismen, die Informationen auf Nutzerendgeräten speichern oder von diesen ausgelesen werden können.
Auch bei Deaktivierung von Cookies, nutzt Google Analytics das sogenannte „Device Fingerprinting“, um ein bestimmtes Nutzerverhalten nachzuvollziehen. Mit Device Fingerprinting werden vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) ausgelesen und zusammengeführt, so dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.
Nun mag man einwenden, dass Google hierfür u.a. die IP Anonymisierung im Skript anbietet (und die rechtlich in der EU ein Muss ist). Bisher war dieses Verfahren auch die Datenschutzbehörden anerkannt. Das Bayrische Landesamt für Datenschutzaufsicht vertritt seit kurzem jedoch eine andere Sichtweise.
Da hierfür vollständige Kenntnisse über die konkreten Umstände der Datenverarbeitung notwendig seien. Über solche verfügt man aber wegen intransparenter Informationen von Google nicht. Nach Ansicht des Bayrischen Landesamtes setzt also selbst bei Anonymisierung der IP-Adressen die Verwendung von Google Analytics eine Nutzereinwilligung voraus.
Damit müsste beim Einsatz von Google Analytics weiterhin, auch bei Local Storage und IP Anonymisierung, der Nutzer um Einwilligung gefragt werden.
Diese Einschränkungen gelten auch für andere Analyse Tools, die auf der Webseite eingesetzt werden.
Fazit:
Zunächst sollten Sie prüfen, ob Sie Google Analytics wirklich benötigen. Schauen Sie sich die angebotenen Informationen nur flüchtig an und regelmäßig im Detail? Reichen Ihnen die angebotenen Statistiken von Google Business und der Google Search Console? Wenn das so wäre, dann sollten Sie auf Google Analytics verzichten, bis sämtliche Rechtsunsicherheiten geklärt sind.
Wenn Sie Google Analytics einsetzen, weil Sie öfter auch Google Ads Anzeigen schalten und tiefergehende Statistiken benötigen, dann sollten Sie auf Local Storage umstellen, über das Cookie Banner den Nutzer um eine explizite Erlaubnis bitten und die Datenschutztexte anpassen.