Ein praktischer Leitfaden zu So erstellen Sie GDPR-konforme Website-Analysen

Dieser Leitfaden erklärt So erstellen Sie GDPR-konforme Website-Analysen praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Cookielose Analysen sind nicht automatisch GDPR-kompatibel. Es ist eine Designrichtung, kein magisches Etikett.

Ein Tool kann Cookies vermeiden und dennoch personenbezogene Daten sammeln. Es kann IP-Adressen so hashen, dass sie verknüpfbar bleiben. Es kann Geräte mit Fingerabdrücken versehen. Es kann detaillierte Ereignispfade speichern, die einzelne Personen identifizieren. Um Analysen zu erstellen, bei denen der Datenschutz wirklich an erster Stelle steht, müssen Sie sowohl den Browserspeicher als auch die Identifizierbarkeit reduzieren.

Beginnen Sie mit den beiden rechtlichen Ebenen

Die europäische Analytik berührt normalerweise zwei verwandte, aber unterschiedliche Regime.

Die ePrivacy-Richtlinie, die durch nationale Gesetze umgesetzt wird, regelt die Speicherung von Informationen auf dem Endgerät eines Benutzers oder den Zugriff darauf. Die endgültigen Richtlinien 2/2023 zu Artikel 5 Absatz 3 des EDSA machen deutlich, dass der Anwendungsbereich umfassender ist als bei klassischen Cookies.

Die GDPR regelt die Verarbeitung personenbezogener Daten. Ein Setup kann Cookies vermeiden, aber dennoch personenbezogene Daten verarbeiten, wenn es IP-Adressen, eindeutige IDs, detaillierte Standorte, Gerätefingerabdrücke oder detaillierte Verhaltensweisen erfasst, die eine Person identifizieren oder aussondern können.

Das Architekturziel ist also zweifach:

• Vermeiden Sie unnötigen Browserspeicher und Gerätezugriff
• Persönliche Daten in der Analysepipeline minimieren oder anonymisieren

Was man nicht tun sollte

Ersetzen Sie Cookies nicht einfach durch Fingerabdrücke. Die Kombination von IP-Adresse, Benutzeragent, Zeitzone, Bildschirmgröße, Schriftarten, Sprache und Geräteeigenschaften zur Erstellung einer stabilen Kennung wird immer noch verfolgt. Es kann noch schlimmer sein, weil Benutzer es nicht einfach sehen oder löschen können.

Gehen Sie nicht davon aus, dass Hashing gleichbedeutend mit Anonymisierung ist. Ein Hash einer IP-Adresse und eines Benutzeragenten kann immer noch personenbezogene Daten sein, wenn dieselbe Eingabe dieselbe Ausgabe erzeugt und der Controller die Aktivität im Laufe der Zeit verknüpfen kann. Die GDPR-Leitlinien des EDPB behandeln pseudonymisierte Daten weiterhin als personenbezogene Daten, wenn eine erneute Identifizierung vernünftigerweise möglich bleibt.

Senden Sie nicht die vollständige URLs ohne Bereinigung. Abfragezeichenfolgen enthalten häufig personenbezogene Daten, Token, E-Mail-Adressen, Suchbegriffe oder Anzeigenklick-IDs.

Verwenden Sie Analysedaten nicht für Werbung. Die [Anleitung zur Zielgruppenmessung] (https://www.cnil.fr/en/sheet-ndeg16-use-analytics-your-websites-and-applications) der CNIL behandelt ausgenommene Analysen eng: begrenzter Zweck, kein standortübergreifendes Tracking, keine Kombination mit anderen Daten und keine Offenlegung für nicht verwandte Zwecke.

Eine bessere Architektur ohne Cookies

Eine datenschutzorientierte Analyseveranstaltung sollte klein sein:

{
  "type": "pageview",
  "path": "/pricing",
  "referrer_host": "example.com",
  "utm_source": "newsletter",
  "utm_medium": "email",
  "country": "DE",
  "device": "desktop"
}

Vermeiden Sie das Senden von:

• Roh-IP-Adressen zur Langzeitspeicherung
• Vollständige Benutzeragenten, wenn eine grobe Browser-/Gerätekategorie ausreicht
• vollständige Abfragezeichenfolgen
• E-Mails, Namen, Konto-IDs, Wallet-Adressen oder Kunden-IDs
• Freiformfelder
• genaue Geolokalisierung

Verwenden Sie die IP-Adresse bei Bedarf nur vorübergehend, um das ungefähre Land oder die Region abzuleiten. Entsorgen Sie es vor der dauerhaften Speicherung. Wenn Sie eine Bot-Erkennung oder eine Ratenbegrenzung benötigen, trennen Sie diese Pipeline von den Analyseberichten und wenden Sie eine kurze Aufbewahrungszeit an.

Besuche ohne Cookies zählen

Das Zählen von Seitenaufrufen ist ohne Identifikatoren einfach. Das Zählen von Besuchen ist schwieriger.

Ein gängiges Muster zum Schutz der Privatsphäre besteht darin, einen kurzlebigen abgeleiteten Besuchsschlüssel aus Anforderungsattributen und einem rotierenden geheimen Salt zu erstellen. Beispielsweise könnte ein Server einen Schlüssel aus einem IP-Präfix, einem groben Benutzeragenten, einer Site-ID und einem Salt ableiten, der täglich oder öfter rotiert. Die Roheingaben werden nicht gespeichert und der Schlüssel kann nicht über längere Zeiträume verwendet werden.

Dies ist immer noch ein vorbehaltsintensiver Ansatz. Abhängig von der Implementierung, der Aufbewahrung und der Fähigkeit des Verantwortlichen, Datensätze neu zu berechnen oder zu verknüpfen, kann es sich um ein Pseudonym statt um eine anonyme Datenverarbeitung handeln. Betrachten Sie es als Minimierungstechnik und nicht als Beweis dafür, dass GDPR nicht mehr gilt.

Wenn Sie die Geschäftsfrage mit weniger beantworten können, tun Sie weniger. Viele Teams benötigen lediglich Seitenaufrufe, Top-Seiten, Referrer, Kampagnen und Conversions. Eindeutige Besucherzahlen sind nützlich, aber eine invasive Nachverfolgung lohnt sich nicht.

Einwilligungsfreie Analyse: Wenn es Plausible ist

Einwilligungsfreie Analysen sind am plausibelsten, wenn:

• Es werden keine Cookies, LocalStorage oder ähnliche Identifikatoren verwendet
• Es wird kein Gerätefingerabdruck erstellt
• Personenbezogene Daten werden nicht gespeichert oder schnell und unwiderruflich anonymisiert
• Die Daten werden nur zur aggregierten Zielgruppenmessung verwendet
• Daten werden nicht an Werbenetzwerke weitergegeben oder kundenübergreifend wiederverwendet
• Die Aufbewahrung ist kurz
• Nutzer werden transparent informiert
• Sensible Seiten und Parameter sind ausgeschlossen

Aus diesem Grund sind viele Datenschutz-Tools einfacher als Google Analytics. Einfachheit ist kein fehlendes Merkmal. Es ist die Compliance-Strategie.

Checkliste für die Umsetzung

Testen Sie die Website vor dem Start in einem sauberen Browserprofil:

1. Öffnen Sie DevTools und bestätigen Sie, dass keine Analysecookies gesetzt sind.
2. Überprüfen Sie die LocalStorage-, SessionStorage-, IndexedDB- und Cache-Nutzung.
3. Überprüfen Sie Netzwerkanfragen und stellen Sie sicher, dass die Analysenutzlasten minimal sind.
4. Bestätigen Sie, dass Abfrageparameter auf die Zulassungsliste gesetzt oder entfernt wurden.
5. Stellen Sie sicher, dass GPC oder Einwilligungsoptionen alle Werbe-Tags deaktivieren.
6. Bestätigen Sie, dass die Aufbewahrungseinstellungen mit Ihrer Datenschutzerklärung übereinstimmen.
7. Dokumentieren Sie die Rechtsgrundlage und die ePrivacy-Analyse mit Ihrem Anwalt, wenn Sie in regulierten Märkten tätig sind.

Compliance-Realitätscheck

Betrachten Sie „Cookieless“ nicht als rechtliche Schlussfolgerung. Dokumentieren Sie vor dem Start jedes Ereignis, die Entscheidung, die es unterstützt, ob ein Gerätespeicher oder eine Gerätekennung beteiligt ist, welche Anbieter die Daten erhalten und wann die Rohdatensätze ablaufen.

Anschließend testen Sie die Seite in einem sauberen Browserprofil und vergleichen das Ergebnis mit der Datenschutzerklärung. Wenn der Browser weiterhin Anrufe von Drittanbietern, dauerhafte Identifikatoren oder ungeplante Abfragezeichenfolgendaten anzeigt, muss die Compliance-Story noch weiter bearbeitet werden, bevor der Marketinganspruch in Kraft tritt.

Das Fazit

Eine DSGVO-konforme, cookielose Analyse ist möglich, aber nur, wenn das System auf Datenminimierung ausgelegt ist. Vermeiden Sie die Speicherung auf Geräten, vermeiden Sie standortübergreifende Identifikatoren, vermeiden Sie die Wiederverwendung von Werbung und halten Sie die Berichte aggregiert.

Das Analyse-Setup mit dem geringsten Risiko ist dasjenige, das die Geschäftsfrage beantwortet, ohne dass man wissen muss, wer der Besucher ist.