Wie Sie DSGVO-konforme Website-Analytics ohne Cookies aufbauen
Wie Sie DSGVO-konforme Website-Analytics ohne Cookies aufbauen
TL;DR — Kurzantwort
3 Min. LesezeitCookielose Analytics kann eindeutige Besuche über SHA256-Hashing von IP-Adressen, User-Agent-Strings und rotierenden Salts tracken und produziert irreversibel anonymisierte Daten, die den DSGVO-Anforderungen entsprechen.
Den Betrieb eines datenschutzorientierten Analytics-Dienstes zu führen bedeutet, ständig nach Wegen zu suchen, die Privatsphäre der Nutzer zu verbessern und gleichzeitig nützliche Website-Analytics zu liefern. Die zentrale Herausforderung besteht darin, eindeutige Besuchszahlen und Gesamtseitenaufrufe bereitzustellen, ohne das Besuchererlebnis zu stören. Kein Website-Betreiber möchte aufdringliche Cookie-Einwilligungs-Pop-ups anzeigen, es sei denn, das Gesetz verlangt es.
Hier ist ein technischer Überblick, wie cookielose, datenschutzkonforme Analytics implementiert werden kann.
Cookie-ähnliche Technologie vermeiden
Um die vollständige Compliance mit der ePrivacy-Richtlinie zu erreichen, einschließlich PECR und anderer mitgliedstaatlicher Umsetzungen, muss ein Analytics-Tool alle Formen cookie-ähnlicher Technologie vermeiden:
- Cookies
- localStorage
- sessionStorage
- Von "Endgeräten" abgeleitete Daten (Zeitzone, Gerätedimensionen usw.)
Diese Einschränkungen sind aus Datenschutzperspektive eigentlich vernünftig. Das Inspizieren von Daten, die auf dem Gerät eines Besuchers gespeichert sind, fühlt sich invasiv an, sodass diese technischen Beschränkungen gut mit einer datenschutzorientierten Philosophie übereinstimmen.
Besuche ohne Cookies tracken
Jede sinnvolle Analytics-Plattform benötigt die Fähigkeit, zwischen eindeutigen Besuchen und reinen Seitenaufrufen zu unterscheiden. Seitenaufrufe allein, ohne Besuchsdaten, bieten nur begrenzte Einblicke in tatsächliche Traffic-Muster.
Die Verarbeitung bestimmter personenbezogener Daten (insbesondere IP-Adressen und User-Agent-Strings, wie von der DSGVO definiert) ist auf Grundlage der sechs Rechtsgrundlagen der Verordnung zulässig. Website-Betreiber können sich auf berechtigtes Interesse berufen, wenn kein Risiko für die betroffene Person besteht und eine ordnungsgemäße Anonymisierung angewendet wird.
Der Ansatz beinhaltet die Kombination mehrerer Datenpunkte zur Erzeugung eines eindeutigen Hashs pro Besucher:
- Ein rotierender Salt-Wert, der an die IP-Adresse und den Site-Identifikator gebunden ist
- Die IP-Adresse selbst
- Der User-Agent-String
- Der Hostname (die Domain der Website)
- Ein site-spezifischer Identifikator
Diese Eingaben werden durch einen SHA256-Hashing-Algorithmus verarbeitet, der folgende Ausgabe erzeugt: cd3f1ed906bb12b62dd5eff809aa1778211a02d1c11992476f0c9977c0db0646
Die resultierenden Hashes sind mathematisch irreversibel. Es ist wichtig anzumerken, dass Hashing sich grundlegend von Verschlüsselung unterscheidet. Verschlüsselte Daten können mit dem richtigen Schlüssel entschlüsselt werden, während Hashing strikt einseitig ist.
Die tägliche Rotation des Salt-Strings um Mitternacht fügt eine zusätzliche Schutzschicht gegen zukünftige Fortschritte in der Rechenleistung und Rainbow-Table-Angriffe hinzu.
Das Ergebnis ist ein anonymisierter Hash, der in der Datenbank gespeichert wird und nicht zur Identifizierung einer einzelnen Person verwendet werden kann.
Schrems-II-Compliance
Nach dem Schrems-II-Urteil von 2020 müssen Analytics-Anbieter, die grenzüberschreitend arbeiten, auch die EU-Datentransferanforderungen adressieren. Da mehrere EU-Datenschutzbehörden Google Analytics als nicht konform befunden haben, muss jede datenschutzorientierte Alternative eine robuste Compliance nachweisen.
Ein effektiver Ansatz ist die Schaffung isolierter europäischer Infrastruktur, bei der kein EU-Traffic jemals EU-basierte Server verlässt. Daten durchlaufen zusätzliche Hashing-Runden unter Verwendung von Verschlüsselungsschlüsseln, die ausschließlich auf EU-Infrastruktur gespeichert werden, bevor sie mit nicht-EU-Diensten in Berührung kommen. Der Zugang zu diesen Servern kann auf Ingenieure beschränkt werden, die in der EU oder in Ländern mit DSGVO-Angemessenheitsbeschlüssen, wie Kanada, ansässig sind. Selbst CI/CD-Systeme können innerhalb der EU selbst gehostet werden, um vollständige Isolation aufrechtzuerhalten.
Die Rolle der Anonymisierung
Der Zweck des Hashings von Besucherdaten besteht darin, sicherzustellen, dass keine Einzelperson jemals aus den erfassten Analytics-Daten identifiziert werden kann. Dies ist das Fundament wirklich datenschutzorientierter Analytics.
Die Einhaltung der DSGVO, des CCPA und der PECR sollte kein Nachgedanke sein. Erwägungsgrund 26 der DSGVO bietet wichtige Orientierung:
| Erwägungsgrund 26 | Analyse |
|---|---|
| Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, wie z. B. das Herausgreifen. | Bei ordnungsgemäßem Hashing kann eine natürliche Person nicht herausgegriffen werden. Seitenaufruf-Updates erfolgen innerhalb einzelner Datenbanktransaktionen, und Abfrageprotokolle werden nicht aufbewahrt. |
| Alle objektiven Faktoren sollten berücksichtigt werden, wie die Kosten und der Zeitaufwand für eine Identifizierung. | Das Brute-Forcing eines 256-Bit-Hashs würde ungefähr das 10^44-fache des globalen BIP kosten -- was eine Rückidentifizierung mit aktueller oder absehbarer Technologie im Wesentlichen unmöglich macht. |
| Die Grundsätze des Datenschutzes sollten nicht für anonyme Informationen gelten oder für personenbezogene Daten, die so anonymisiert wurden, dass die betroffene Person nicht mehr identifizierbar ist. | Ordnungsgemäß gehashte Daten machen Personen unidentifizierbar, was solche Analytics potenziell außerhalb des Geltungsbereichs der DSGVO stellt. |
| Diese Verordnung betrifft nicht die Verarbeitung solcher anonymen Informationen, einschließlich für statistische oder Forschungszwecke. | Selbst wenn die DSGVO als anwendbar erachtet würde, besteht ein berechtigtes geschäftliches Interesse am Verständnis der Website-Performance durch aggregierte, anonymisierte Statistiken. |
Abschließende Gedanken
Der Aufbau von Analytics ohne Cookies unter Beibehaltung aussagekräftiger Besuchsmetriken ist durch sorgfältige Anwendung von Hashing- und Anonymisierungstechniken erreichbar. Einige cookie-freie Analytics-Plattformen tracken nur Seitenaufrufe und lassen eindeutige Besuchsdaten gänzlich weg. Für Unternehmen, die auf das Verständnis von Traffic-Mustern angewiesen sind, stellen eindeutige Besuche eine kritische Metrik dar, die datenschutzwahrende Techniken wie die hier beschriebenen effektiv liefern können.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
Browser-Cookies verstehen: Ein vollständiger Einsteigerleitfaden
Alles, was Sie über Browser-Cookies wissen müssen: Typen, rechtliche Klassifizierungen, Datenschutzvorschriften und wie sie Web-Analytics und Mobile-App-Tracking beeinflussen.
Enterprise-Web-Analytics: Balance zwischen Datenerkenntnissen und Datenschutz-Compliance
Wie Enterprise-Organisationen komplexe Analytics-Anforderungen über mehrere Rechtsräume hinweg erfüllen können und dabei Datenschutz-Compliance und Datenhoheit wahren.
Anforderungen an die Datenschutzerklärung bei Verwendung von Google Analytics auf Ihrer Website
Wenn Ihre Website Google Analytics verwendet, muss Ihre Datenschutzerklärung spezifische Details zur Datenerhebung, zu Cookies, Übertragungen und Nutzerrechten offenlegen. Hier erfahren Sie, was für die DSGVO-Konformität enthalten sein muss.