Bei der Diskussion um Datenschutz von Website-Besuchern geht es im Grunde nicht um Cookies, sondern viel mehr um den Schutz der Privatsphäre jedes einzelnen Nutzers. Wir sollten also nicht versuchen rechtliche Vorgaben zu umgehen, sondern an fairen Lösungen für Alle arbeiten.
Mit Cookies werden Besucher einer Webseite markiert und bei jedem weiteren Seitenaufruf wiedererkannt. Dabei werden zwar keine persönlichen Daten im Browser gespeichert, aber mit einer eindeutigen Kennungen je Nutzer können dann Bewegungen auf den Unterseiten oder auch mehrere Besuche gemessen werden.
Dieses Prinzip nutzen beispielsweise Online Shops zum Speichern von Warenkörben, oder Trackingsysteme verbinden mehrere Besuchquellen mit späteren Einkäufen.
Je nach Verwendungszweck muss der Seitenbetreiber dabei rechtliche Vorgaben beachten. Denn nur technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Manche Cookies können im Nachhinein abgelehnt werden (Opt-out). Oder andere dürfen erst dann eingesetzt werden wenn Seitenbesucher der Verwendung aktiv zustimmen (Opt-in).
Im Bezug aufs Tracking, dürfen laut den Orientierungshilfen deutscher Datenschutzbehörden, Werkzeuge zur Reichweitenanalyse nur dann ohne Einwilligung des Nutzers verwendet werden, wenn es sich um lokal installierte Analysewerkzeuge handelt. Zusätzlich sollten diese transparent dargestellt und datensparsam konfiguriert sein. Sehr konkret wird dies auf der Seite des Landesbeauftragten für den Datenschutz und Informationsfreiheit von Baden-Württemberg in den FAQ zu Cookies und Tracking beschrieben. Dort wird neben dem positiven Beispiel Matomo auch das Negativbeispiel Google Analytics erwähnt. Und für Letzteres ausdrücklich ein Opt-in gefordert.
Unser Ziel ist es aber trotzdem, Google Analytics zur Messung der gesamten Kampagnenperformance nutzen. Und den Umstieg auf ein anderes Werkzeug ersparen.
Relevante Daten zur Reichweiten- und Channel-Analyse in Google Analytics.
Zur Analyse von Websitebesuchern und der Effizienzmessung von Kampagnen setzten viele Seitenbetreiber auf Google Analytics. Solche Webanalyse Systeme erfassen jeden Seitenaufruf und wichtige Interaktionen von Besuchern auf Webseiten.
Einzelne Seitenaufrufe und lose Ereignisse ermöglichen keine sinnvolle Auswertungen. Nur wenn wird solche Aktionen mit Nutzern verknüpfen kreieren wir ein aussagekräftiges Bild zur Websitenutzung. Verbinden wir mehrere Besuche miteinander bekommen wir einen besseren Einblick in die Customer Journey unserer Kunden. Dies funktioniert über eine eindeutige Nutzerkennung, welche im Browser, in Form eines Cookies zwischengespeichert wird.
Neben diesen Interaktionen werden auch technische Daten des Browsers und Betriebssystems erfasst. Und durch die Verknüpfung anderer Google-Dienste, wie Google Ads oder Signals, können diese Trackingdaten weiter angereichert werden. Hierfür verwendet Google eindeutige Klick-IDs aus Anzeigen-URLs oder aktive Logins im Browser bzw. dem Endgerät des Nutzers.
Mit diesen Anzeigen-Klick-IDs sind dann tiefere Kampagnenanalyse möglich. Und mit aktiven Logins werden beispielsweise in Google Analytics demografische Merkmale, Interessen und Ladenbesuche angezeigt. Für den Seitenbetreiber sind diese Berichte zwar anonymisiert, aber mithilfe aller teilnehmenden Seitenbetreiber kann Google im Hintergrund persönliche Profile weiter ausbauen.
Selbst ohne die Verknüpfung mit weiteren Google Diensten muss der Seitenbetreiber für eine Standard-Integration des Google Analytics Script eine Einwilligung einholen. Denn beim Tracken des ersten Seitenaufrufs werde Daten, inkl. IP-Adresse, an Google gesendet und auf dem Endgerät des Nutzers ein Cookie gespeichert.
Auf Basis der DSGVO könnte diese Art des Trackings noch mit dem berechtigten Interesse begründet werden. Vorsicht wäre hier nur bei der Verknüpfung dieser Tracking-Daten mit Kundendaten und der Erstellung von Nutzerprofilen geboten.
Die ePrivacy-Richtlinie (und natürlich auch das TTDSG) verlangt jedoch vor dem Speichern von Daten im Browser des Nutzers eine Einwilligung, wenn diese zur Wiedererkennung dienen. Und auf diese Richtlinie stützt sich das BGH-Urteil zu PLANET49.
Da beim Einsatz von Google Analytics personenbezogene Daten in die USA übermittelt werden, ist der Einsatz nach dem "Schrems II Urteil", sogar mit Zustimmung des Nutzers umstritten.
Privacy Firewall zum anonymisierten Google Analytics Tracking - auch ohne vorherige Zustimmung.
Die serverseitige Tracking Technology von DLYX funktioniert wie eine Privacy Firewall: Sie trennt den Website-Besucher von allen anderen Tracking-Servern.
Durch das individuelle Hosting, als On-Premise Lösung, können alle Trackingdaten vor dem Verlassen des Unternehmens-Server gefiltert werden.
Beim anonymisierten Google Analytics Tracking wird die IP-Adresse vor der Übermittlung gekürzt und Google-IDs aus der aktuellen URL entfernt. Denn auch über die Click-ID, einer Google Ads Anzeige, könnte ein Nutzer im Hintergrund von Google identifiziert werden. Über diese ID werden beispielsweise detaillierte Kampagneninformationen in Google Analytics importiert und mit einzelnen Sitzungen verknüpft.
Um Seitenaufrufe innerhalb eines Besuchs zusammenzuführen, benötigen wir für Google Analytic eine Client-ID. Diese ID wird normalerweise im _ga Cookie gespeichert. Da wir ohne Erlaubnis aber keine Cookies im Browser speichern dürfen, generieren wir diese auf dem Server und und nutzen die Server-Session als Zwischenspeicher. Die hierfür benötigte Session-ID existiert bereits oder kann aus anderen implizit erhaltenen Daten generiert werden.
Somit benötigen wir für die Google Analytics Client-ID vorerst kein zusätzliches Cookie. Sobald der Besucher die aktuelle Sitzung beendet, wird die Client-ID automatisch auf dem Server gelöscht.
Erst nach Zustimmung des Besuchers wird ein Cookie mit der Client-ID im Browser gesetzt. Darüber kann er später als wiederkehrender Besucher identifiziert werden. Zusätzlich wird auch die Google Ads Click-ID übermittelt, um ein bestmögliches Kampagnentracking zu ermöglichen.
Neben Cookies, IDs und weiteren Browser-Informationen können andere Tracking-Daten einen Personenbezug ermöglichen. Ein gutes Beispiel ist eine Online-Shop Bestellung. Über die Transaktionsnummer, den Zeitpunkt, einen centgenauen Umsatz oder die bestellten Produkte können diese Bestellungen meistens einem eindeutigen Kunden zugeordnet werden. Das Gleiche gilt aus bei Conversions von Kontaktformularen.
Nur wenn wir all diese Verknüpfungsmöglichkeiten berücksichtigen, können wir einen Personenbezug in den Webanalyse-Daten verhindern. Und an solch einer Lösung arbeite wir mit DLYX.
Diese consent-lose Trackingmethode mit Google Analytics wurde bisher von keinem Anwalt oder Datenschutzbeauftragen abgelehnt. Um sicher zu gehen, müssen individuelle Setups durch eine kompetente Rechtsberatung geprüft werden.
Google Analytics Tracking mit dem DataLayer Proxy DLYX mit fast 100% Analytics Daten.
Beim Vergleich der realen Bestellungen eines Online Shops mit den gemessenen Transaktionen des E-Commerce Tracking erreichen wir mit DLYX häufig mehr als 99% Übereinstimmung.
100% sind aus technischen Gründen kaum möglich. Denn neben den künstlichen Hürden von Browsern und Betriebssystemen könnten Verbindungsprobleme des Besuchers oder sonstige Fehler die Datenerfassung verhindern.
Die wichtigsten Komponenten des DLYX-Setup sind:
Mit dem DataLayer Proxy verlagern wir den Großteil der Tracking-Scripte vom Browser auf einen Server. Die serverseitige Verarbeitung des DataLayer funktioniert wie beim clientseitigen Google Tag Manager — dabei werden natürlich auch alle E-Commerce Ereignisse berücksichtigt.
Nachdem alle Rahmenbedingungen geklärt sind, kann ein Tracking mit DLYX innerhalb kürzester Zeit implementiert werden. Anpassungen und Erweiterungen laufen dann über einen Google Tag Manager Container.
