Google Analytics & Marketing / Tracking Pixel in Zeiten von Datenschutz, DSGVO & e-Privacy Verordnung

Wie schon in meinem Artikel zur DSGVO erwähnt, kann ich grundsätzlich keine verbindliche Aussagen oder Empfehlungen bezüglich der Nutzung von Google Analytics und den Marketing / Tracking Pixeln aus rechtlicher Sicht bezüglich Datenschutz machen.

Bevor ich aber meine unverbindliche Einschätzung und Empfehlung abgebe, ein paar allgemeine Erklärungen zur aktuellen Situation (damit Du nachvollziehen kannst, wie ich überhaupt zu meiner Empfehlung komme und Du für Dich selber eine Entscheidung treffen kannst):

Was sind aktuell die rechtlichen Vorgaben?

Auch wenn es sich noch nicht rumgesprochen hat und von vielen Websites noch nicht so umgesetzt wird (wahrscheinlich einfach, weil es im Moment rechtlich noch kaum Konsequenzen gibt):

Cookies dürfen im EU-Raum unter der DSGVO nur mit aktiver Einwilligung gesetzt werden (also via Cookie-Banner via sogenannter Opt-in Lösung).

Wichtig: In der Schweiz ist der Cookie-Banner nach Einschätzung von einem Anwalt auch mit dem neuen Schweizer Datenschutzgesetz immer noch nicht Pflicht. Für eine kurze und knackige Erklärung: Neues Datenschutzgesetz Schweiz in 151 Worten zusammengefasst (revDSG 2023)

Sprich, Google Analytics oder eben die Marketing Pixel für das Conversion Tracking dürfen nur nach aktiver Einwilligung eingesetzt werden.

Sowohl der Europäische Gerichtshof als auch der Deutsche Bundesgerichtshof haben das so entschieden. Hier ein Artikel, in dem diese Entscheide erläutert werden: https://piwikpro.de/blog/bgh-bestatigt-eugh-urteil-zum-cookie-consent/

Kurz gesagt: Ein simpler Cookie Banner, der mit einem simplen „Akzeptieren/OK“ Button im Hintergrund alle Analytics und Tracking Pixel erlaubt, ist nicht zulässig.

Hier ein Beispiel, wie ein Cookie-Hinweis wahrscheinlich aussehen müsste (die Cookiebot Lösung):

Wobei ganz ehrlich: Ich wäre mir nicht so sicher, ob ein „Cookie zulassen“ Button, der ohne die Checkboxen aktiv anzuwählen funktioniert, rechtlich tatsächlich zulässig wäre. Das wirkt für mich eher irreführend.

Wie gesagt, auch wenn aktuell die Mehrheit aller Websites das noch nicht erfüllt bzw. es natürlich auch immer noch Leute gibt, die das nicht ganz so eng sehen: Mittelfristig wird sich das meiner Meinung nach höchstens weiter verschärfen. Die Mühlen der Bürokratie mahlen langsam, aber stetig. Ich denke wirklich, die Zeit der unkontrollierten Datensammlung bzw. Datenweitergabe wird ablaufen.

Bestes Beispiel und Vorreiter:

Max Schrems und der Datenschutzverein noyb.eu haben Facebook vor den Europäischen Gerichtshof gezogen, eben weil Facebook Daten in die USA geliefert hat: https://noyb.eu/de/irische-behoerde-will-zuegig-zu-facebooks-eu-us-datenuebermittlungen-entscheiden

Auch hat der Verein 101 grosse Unternehmen angeklagt, die trotz den oben erwähnten Gerichtsentscheiden weiterhin Daten an Google oder Facebook in die USA senden: https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht

Und hier ein Urteil zur Dating-App „Grindr“, welche eine Busse über knapp 10 Millionen Euro(!) wegen eines DSGVO-Verstosses bezahlen muss (was einem Drittel des Jahresgewinns von Grindr entspricht): https://noyb.eu/de/eu10-mio-strafe-fuer-grindr-nach-dsgvo-beschwerde

Es wird sicher noch dauern, bis weitere Urteile gefällt werden und die Entscheide in der Praxis dann auch tatsächlich weitherum konsequent umgesetzt werden.

Aber die Weichen sind gestellt.

Mein persönliches Ziel hier ist darum eine nachhaltige und zukunftssichere Lösung zu finden – keine temporäre Umgehung oder Alibi-Lösung, die in 1-2 Jahren wieder angepasst werden muss, wenn es eben weiter verschärft wird oder es allenfalls sogar zu einer regelrechten Abmahn-Welle kommt.

Wenn wir also davon ausgehen, dass Google Analytics und Tracking Pixel nur nach expliziter Einwilligung erlaubt sind, stellt sich als Nächstes die folgende Frage:

Wie sinnvoll sind die gesammelten Daten überhaupt, wenn diese nur eine Minderheit der Nutzer abdecken?

Die wenigsten Besucher erlauben aktiv, dass sie getrackt werden möchten.

Es gibt noch kaum grosse Statistiken/Studien, aber hier zumindest eine kleinere Studie die ich gefunden habe: https://amazeemetrics.com/en/blog/76-ignore-cookie-banners-the-user-behavior-after-30-days-of-gdpr/

Das Ergebnis:

• Nur 11% aller Besucher akzeptieren alle Cookies.
• 12% aller Besucher schliessen den Cookie Banner.
• 76% aller Besucher ignorieren den Cookie Banner komplett.
• Und schliesslich nur 0.5% aller Besucher öffnen die erweiterten Cookie-Einstellungen.

Selbst wenn wir grosszügig sind und mit 30-40% Einwilligung rechnen:

Damit hat man eine sehr unvollständige und irreführende Datenbasis.

Meiner Meinung nach kann man sich so die Datensammlung auch gleich komplett sparen (Anmerkung: Ich spreche hier jetzt von der durchschnittlichen Website, welche nicht Zehntausende Besucher pro Monat hat).

UPDATE 14.6.2021: Thema iOS Version 14.5
Mit diesem Update werden Benutzer auf iPhones gefragt, ob sie das Werbe Tracking in Apps erlauben wollen (während man früher aktiv in den iOS Einstellungen das Tracking deaktivieren musste – was natürlich nur die wenigsten Nutzer machen). Gemäss Infos hier muss man hier auch damit rechnen, dass man nur noch ca. 4 bis 11% aller Nutzer tracken darf.
Also auch hier: Die Entwicklung geht ganz klar Richtung Datenschutz.

Die nächste Frage ist aber mindestens genau so wichtig (zumindest für mich):

Will ich Besucher meiner Website wirklich fragen, ob sie ihre Privatsphäre aufgeben wollen?

Natürlich gibt es genügend Leute, denen diese Frage keine schlaflosen Nächte bereitet.

Aber wenn man die Sache ganz objektiv und nüchtern betrachtet – und auch wenn es aktuell weitherum verbreitet ist – ist nur schon die Frage nach einer Einwilligung, man solle sich doch bitte tracken lassen und seine Daten verschenken, schlicht unangebracht und extrem benutzerunfreundlich.

Ich persönlich will darum in Zukunft aus Prinzip keine persönlichen Daten von Besuchern an Drittanbieter wie Google senden (sofern es natürlich nicht nötig bzw. offensichtlich ist, wie z.B. bei einem Newsletter Tool). Mit dem netten Nebeneffekt, dass ich damit eben auch komplett auf einen Cookie Banner verzichten kann.

Das ist natürlich einfach nur meine Meinung. Aber die Entwicklung hat gezeigt, das die Leute immer mehr auf die Privatsphäre achten. Ich denke, früher oder später wird das Fragen nach der Einwilligung von der Mehrheit der Besucher verpönt sein.

Was uns zur möglichen „perfekten“ Lösung führt:

Die „perfekte“ Lösung…

Ein komplett anonymisiertes und Cookie-freies Google Analytics und Conversion Tracking wäre in meinen Augen die wünschenswerte und perfekte Lösung.

Das eben auch die ganzen sinnlosen Cookie-Banner wieder überflüssig machen würde.

Aber:

Problem #1: Anonymisiertes Analytics/Tracking hat gegenüber personalisiertem Analytics einige deutliche Nachteile:

1. Conversion Tracking: Wenn ein Besucher nicht direkt nach dem Klick auf eine Google oder Facebook Anzeige auf der Website kauft (bzw. ein anderes Conversion Ziel erreicht), sondern vielleicht erst beim nächsten oder übernächsten Besuch der Website, dann kann diese Conversion nicht der Google bzw. Facebook Werbe Kampagne zugewiesen werden. Denn anonymisiert bedeutet eben, dass wir den wiederkehrenden Besucher nicht über Tage, Wochen, Monate oder gar Jahre mit Cookies identifizieren können.
2. Retargeting: Retargeting ist grundsätzlich nicht möglich. Denn dafür müssten wir ebenfalls einen bestimmten Besucher identifizieren und über Drittanbieter Websites verfolgen.

Sprich: Wer heute bereits freiwillig auf ein anonymisiertes Analytics umsteigt, hat natürlich unter Umständen entscheidende Nachteile gegenüber Konkurrenten, die weiter personalisiertes Analytics einsetzen.

Hier ein Artikel mit mehr Infos zum anonymisierten Analytics: https://piwik.pro/blog/how-to-do-useful-analytics-without-personal-data/

Ausserdem noch eine Anmerkung zum Retargeting selbst:

Google hat angekündigt, in relativ naher Zukunft das Retargeting und somit das Tracking der Besucher über verschiedene Websites hinweg zu beenden (also eben was beim Retargeting gemacht wird).

Hier die Original Ankündigung von Google: https://blog.google/products/ads-commerce/a-more-privacy-first-web/

Natürlich wird die individuelle Werbung nicht komplett aussterben. Im Prinzip heisst das einfach: Anstatt eine bestimmte Person zu verfolgen, werden Personen von Google in enge Interessensgruppen eingeteilt, welche anonym sind. Das ganze heisst „FLoC“ (Federated Learning of Cohorts).

Problem #2: Aktuell ist das anonymisierte Analytics/Tracking schlicht nicht 100%ig umsetzbar mit Google Analytics bzw. dem Conversion Tracking Pixel für Google Ads oder Facebook Ads.

Das ist im Prinzip logisch, da es bisher ja schlicht nicht interessant bzw. nötig war, das anzubieten.

Es ist zwar theoretisch möglich, Google Analytics so zurechtzubiegen, dass keine Cookies gesetzt werden und keine persönlichen Daten gesammelt werden.

Aber:

Das ist rein experimentell für Bastler, im tatsächlichen Alltag macht es meiner Meinung nach schlicht keinen Sinn, so eine Bastel-Lösung langfristig zu pflegen und überwachen, ob bei jeder Änderungen von Google Analytics diese Anpassung immer noch funktioniert und weiterhin rechtlich wasserdicht ist.

Denn ganz wichtig: Cookie-frei heisst nicht automatisch Cookie-Banner bzw. Einwilligungs-frei.

Es geht nicht nur um die Cookies, sondern darum, ob und wie Daten grundsätzlich an Google gesendet werden. Ein zentrales Problem ist eben, dass obwohl wir die Daten wie z.B. die IP-Adresse anonymisiert an Google senden (und wir selber ja in Google Analytics keinerlei persönliche Daten sehen), Google im Hintergrund durchaus die von uns gesendeten Daten nutzt und mit anderen Daten zusammenführt.

Google kann also auch ohne Cookies die Besucher identifizieren (sogenanntes „Device Fingerprinting“).

Hier 2 Artikel, die das genauer erklären:

• https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html
• https://datenschutzbeauftragter-hamburg.de/2020/10/die-google-consent-mode-api-analytics-ohne-einwilligung/

Und hier noch ein Artikel, der die gleiche Problematik bezüglich dem Conversion Tracking mit dem Facebook Pixel erklärt: https://www.e-recht24.de/artikel/facebook/10585-facebook-pixel.html

Der Vollständigkeitshalber hier trotzdem eine ausführliche (technische) Beschreibung und Anleitung, wie man Google Analytics grundsätzlich komplett Cookie-frei und anonym betreiben könnte (natürlich ohne rechtliche Garantie): https://helgeklein.com/blog/2020/06/google-analytics-cookieless-tracking-without-gdpr-consent/

Wie gesagt, das überschreitet die Fähigkeiten und Möglichkeiten von den meisten Website Betreibern.

Ja, theoretisch könnte man das mit etwas Zeit und Energie sicherlich nachbauen, aber wie schon gesagt, man müsste diese Lösung dann langfristig unterstützen und im Auge behalten, damit es bei Google Analytics Updates immer noch funktioniert – ich persönlich würde mir dieses Gebastel auf keinen Fall antun. Und dann gibt es schliesslich wie gesagt keine Garantie, ob man es tatsächlich rechtlich wasserdicht umgesetzt hat.

Oder man kann sich auch z.B. hier eine „Lösung“ kaufen (ist eher eine Anleitung und angepasstes Google Analytics Script): https://www.analytics-ohne-cookies.de/

Aber auch hier:

Die Idee ist gut, aber ich bin nicht sicher, ob diese Lösung die nächsten Jahre zuverlässig weiterentwickelt wird. Und bereits jetzt wird von dieser Lösung das neue Google Analytics 4 nicht unterstützt.

Und mit Google Analytics 4 wären wir beim nächsten Thema angelangt. Es gibt seitens Google nämlich durchaus eine Entwicklung in die richtige Richtung (= mehr Datenschutz):

Google Analytics 4 & der „Consent Mode“

Google hat im Oktober 2020 eine neue Version von Google Analytics veröffentlicht: Google Analytics 4 (GA4).

Zu diesem GA4 gehört auch der sogenannte „Consent Mode“, zu Deutsch „Einwilligungsmodus“. Dieser befindet sich aktuell aber noch in der Beta-Phase (also Test-Phase).

Die Idee hinter dem Consent Mode ist grundsätzlich sehr gut:

Je nachdem ob der Besucher in seinem Browser eine Einwilligung zum Tracking gegeben hat, werden die Besucherdaten vollständig und „ungefiltert“ oder eben anonymisiert gesammelt.

Ich persönlich würde also gerne Google Analytics standardmässig im „No Consent Mode“ einsetzen – also eben gar nicht nach einer Einwilligung fragen, sondern standardmässig einfach Analytics und Conversion Tracking anonym (und ohne Cookie-Banner) nutzen.

Hier eine gute Erklärung zum Consent Mode: https://www.e-dialog.at/blog/consent-management/der-google-consent-mode-web-analytics-auch-ohne-consent/

Da gibt es aber leider noch ein grosses Aber bzw. Fragezeichen: Ob dieser Consent Mode tatsächlich so anonym ist wie Google behauptet, und entsprechend auf eine aktive Einwilligung verzichtet werden kann.

Und aktuell sieht es leider nicht so aus, als würde der Consent Mode den rechtlichen Vorgaben entsprechen.

Hier in diesem Artikel z.B. wird die Problematik genau beschrieben: https://datenschutzbeauftragter-hamburg.de/2020/10/die-google-consent-mode-api-analytics-ohne-einwilligung/

Fazit: GA4 mit dem Consent Mode geht in die richtige Richtung und ist tendenziell besser als das aktuelle Standard Google Analytics. Aber aktuell genauso in einem rechtlichen Graubereich, wie das ganze leidige Thema Analytics und DSGVO.

Aber man muss auch bedenken, dass GA4 noch relativ neu und der Consent Mode noch in der Beta-Phase ist.

Wir sind aktuell schlicht in einer unsicheren Umbruchphase, in der noch niemand zu 100% weiss, was aktuell tatsächlich erlaubt ist und wie sich die Situation in den nächsten paar Jahren entwickelt.

Du siehst: Es ist im Moment praktisch unmöglich, eine zukunftssichere Prognose bzw. Empfehlung abzugeben.

Ich denke (bzw. hoffe), in den nächsten 2-3 Jahren wird sich das Thema von Seiten der Anbieter wie eben Google und Facebook klären – mit Druck von Seiten der Gerichte.

Meine persönliche Einschätzung und Blick in die Zukunft: Was können wir heute tun?

Meiner Meinung nach sieht die Situation kurz zusammengefasst also so aus:

Google Analytics und Tracking Pixel für Conversion Tracking oder Retargeting sind also ohne explizite Einwilligung durch den Besucher nicht erlaubt.

Fakt ist aber auch: Da in der Praxis kaum Konsequenzen alà Bussen drohen (bzw. wie oben beschrieben jetzt erst so langsam am kommen sind), halten sich aktuell weder die Anbieter wie Google oder Facebook noch die meisten Website Betreiber daran.

Wobei man den meisten Website Betreibern sicher keine bösartigen Absichten unterstellen darf. Das Thema ist sowohl fachlich als auch technisch sehr komplex (was dieser Artikel wahrscheinlich auch gezeigt hat).

Im Prinzip haben wir meiner Meinung nach in der aktuellen Situation also nur 4 Möglichkeiten:

1. Wir sitzen die aktuelle rechtliche Grauzone aus. Und warten im Prinzip darauf, dass Google und Facebook ihre Tools irgendwann entsprechend anpassen, damit wir diese anonymisiert und ohne Bedenken verwenden können. Stichwort Google Analytics 4 mit dem Consent Mode.
2. Wir nutzen Google Analytics und Tracking Pixel mit einer aktiven Einwilligung via Cookie-Banner, und haben somit nur die Daten von ca. 10-30% aller Besucher.
3. Wir wechseln von Google Analytics auf eine alternative Lösung für das anonymisierte Analytics und Tracking. Die bekannteste Alternative dürfte Matomo (ehemals Piwik) sein, andere Anbieter sind z.B. Plausible, Fathom oder Simple Analytics. Was aber einerseits natürlich wieder zusätzlicher Aufwand ist (der Umstieg generell, aber auch um das Conversion Tracking für Google Ads oder Facebook Ads einzurichten). Und andererseits stehen wir dann allenfalls wieder „dumm“ da, wenn wir in 1-2 Jahren doch wieder Google Analytics einsetzen könnten, weil Google doch irgendwann nachzieht und ihre ganzen Tools DSGVO-/Datenschutz-konform machen.
4. Wir verzichten komplett auf Analytics und Tracking Pixel. Wer aktuell sowieso keine Pay Per Click Werbung mit Google Ads, Facebook Ads oder sonst einer Plattform nutzt, der muss also sowieso „nur“ auf Analytics verzichten. Und meiner Erfahrung nach arbeiten sowieso die meisten Selbständigen und KMUs praktisch kaum aktiv mit Google Analytics. Ja, es ist zwar eingerichtet und ist auch ganz spannend zu sehen, wie viele Besucher man hat. Aber es wird nicht wirklich gebraucht, um tatsächlich die Website zu analysieren und Conversion Optimierung zu betreiben. Und wenn man es eigentlich nicht wirklich braucht, kann man ja auch gleich ganz darauf verzichten und sich so das Risiko sparen.

Ja, keine der Möglichkeiten ist wirklich toll bzw. ohne Nachteile. Ich habe unzählige Stunden recherchiert und analysiert, aber ich sehe für Selbständige und kleinere Unternehmen aktuell schlicht keine eindeutige „perfekte“ Lösung.

OK, und was entscheide ich jetzt für mich persönlich? Bzw. was wäre meine Empfehlung für Selbständige und KMUs?

Ich empfehle Folgendes:

1. Auf Google Analytics (vorerst) zu verzichten.
2. Falls Analytics gewünscht ist, eine der Alternativen (Matomo, Plausible, Fathom oder Simple Analytics) einrichten.

Wie gesagt:

Wer aktiv seine Google Analytics Statistiken auswertet, analysiert und für das Conversion Tracking darauf angewiesen ist (also es wirklich braucht, nicht einfach nur aus Interesse), der muss selber entscheiden, ob er das Ganze einfach noch etwas aussitzen will und allenfalls in naher Zukunft dafür sorgt, dass wirklich nur mit aktiver Einwilligung Daten gesammelt werden.

Noch ein wichtiger Hinweis bzw. Tipp: Die Google Search Console ist Datenschutzrechtlich völlig unbedenklich und kann ich darum für wirklich jede Website empfehlen.

Wenn Du also primär auf SEO setzt, bist Du mit der Search Console sehr gut bedient und kannst durchaus auf weitere Analytics Tools verzichten.

Mit der Google Search Console siehst Du:

• Für welche Suchbegriffe Du in Google auf welcher Position durchschnittlich rankst.
• Wie viele Besucher Du über jeden Suchbegriff gewinnst.
• Welche fremden Websites auf Deine Websites verlinken.

Und falls Du mehr Informationen brauchst, kannst Du zusätzlich zur Google Search Console eben auch auf eine Alternative wie Matomo setzen.

Aber eben, das alles nur als meine persönliche Meinung und Einschätzung.