Google Analytics und Zustimmung zu Cookies

Image of Iron Brands

Veröffentlicht am 12. Feb. 2024 und bearbeitet am 23. Aug. 2024 von Iron Brands

Die Handhabung der Zustimmung in Google Analytics ist kompliziert. Die Regeln für die Cookie-Einwilligung sind von Land zu Land unterschiedlich. Und selbst wenn Sie herausgefunden haben, welche Regeln gelten, kann es schwierig sein, Google Analytics auf eine konforme Weise einzurichten.

  1. Brauche ich eine Einwilligung für Cookies?
  2. Brauche ich auch für Google Analytics 4 eine Einwilligung?
  3. Wie sammle ich Einwilligungen?
  4. Wie sammle ich Einwilligungen in Google Analytics?
  5. Wie richte ich eine Schaltfläche "Nicht verkaufen" in Google Analytics ein?
  6. Wie erkenne ich "Do-not-track"-Anfragen in Google Analytics an?
  7. Das klingt alles unnötig kompliziert
  8. Wie richte ich eine CMP richtig ein?
  9. Wie kann ich einen Cookie-Banner mit einer guten Opt-in-Rate entwerfen?
  10. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Hier erfahren Sie, wie Sie mit Google Analytics und der Cookie-Einwilligung beginnen können!

Brauche ich eine Einwilligung für Cookies?

Die Einwilligung in Cookies ist ein Minenfeld. In der EU ist die Lage ziemlich klar: Die Datenschutzrichtlinie für elektronische Kommunikation und die Datenschutz-Grundverordnung verlangen eine Zustimmung für Cookies.

Das Gleiche gilt für den Europäischen Wirtschaftsraum, denn die Datenschutz-Grundverordnung gilt auch für die EWR-Mitglieder (d. h. alle EU-Länder sowie Island, Liechtenstein und Norwegen). Dies gilt auch für Länder wie das Vereinigte Königreich und Brasilien, deren Datenschutzgesetze sich eng an die DSGVO anlehnen.

Andere Länder haben laxere Vorschriften: So gibt es beispielsweise im US-Recht kein Erfordernis für eine Opt-In- oder gar Opt-Out-Zustimmung, obwohl die Gesetze der einzelnen Bundesstaaten manchmal restriktivere Vorschriften enthalten. Das CCPA beispielsweise schreibt eine Opt-out-Option vor, allerdings nur für bestimmte Websites.

Es wird noch verwirrender, weil das Gesetz in manchen Situationen eine Einwilligung vorschreibt, in anderen jedoch nicht. So schränkt beispielsweise das US-COPPA die Möglichkeiten für die Verwendung von Cookies bei der Überwachung von Kindern ein.

Unterm Strich ist dies eine komplizierte Frage, und die Antwort hängt sowohl von den Rechtsvorschriften als auch vom jeweiligen Szenario ab. Für die EU ist die Antwort jedoch eindeutig: Google Analytics erfordert in der EU eine Zustimmung. Wir haben auch eine interaktive Karte erstellt, die Informationen pro Land enthält.

Brauche ich auch für Google Analytics 4 eine Einwilligung?

Ja, das müssen Sie - zumindest in der EU. Google Analytics 4 ist keine cookielose Lösung. Es unterstützt keine Cookies von Drittanbietern, verwendet aber dennoch Erstanbieter-Cookies, die nach EU-Recht eine Zustimmung erfordern.

Beachten Sie, dass datenschutzfreundliche Website-Analysetools wie Simple Analytics keine Zustimmung erfordern und daher kein Cookiebanner erforderlich ist.

Wie sammle ich Einwilligungen?

Am praktischsten ist es, die Einwilligung über einen Cookie-Banner einzuholen. Dieser Banner muss klare Informationen über den Zweck der Cookies enthalten und eine klare und einfache Möglichkeit bieten, sie abzulehnen.

Websites verlassen sich in der Regel auf Software von Drittanbietern, so genannte Consent Management Platforms (CMP), um die Einwilligung zu verwalten. Glücklicherweise sind die meisten CMPs in Google Analytics integriert, so dass es nicht allzu schwierig ist, sie miteinander zu verbinden.

Bitte beachten Sie, dass die EU-Zustimmung immer und ohne Ausnahme eine Opt-in-Zustimmung ist. In der Praxis bedeutet dies, dass Ihr Besucher auf eine Art Schaltfläche "Ja, gib mir Cookies" klicken muss. Es reicht nicht aus, ihm die Möglichkeit zu geben, sich abzumelden!

Wie sammle ich Einwilligungen in Google Analytics?

  • Verwenden Sie eine Consent Management Platform (CMP): Implementieren Sie eine CMP auf Ihrer Website. Diese Plattform zeigt den Nutzern ein Einwilligungsbanner an und ermöglicht es ihnen, ihre Präferenzen bezüglich der Cookie-Nutzung und Datenerfassung zu wählen.
  • Konfigurieren Sie Ihre CMP: Es liegt an Ihnen, sicherzustellen, dass Ihre CMP GDPR-konform eingerichtet ist! Gehen Sie nicht davon aus, dass die Arbeit getan ist, nur weil Sie eine CMP haben. Unter anderem müssen Sie sicherstellen, dass Ihr Cookie-Banner eine klare Option zur Ablehnung von Cookies bietet und transparente Informationen über deren Verwendung bereitstellt
  • Konfigurieren Sie GA4 für den Zustimmungsmodus: In GA4 können Sie den Zustimmungsmodus aktivieren, mit dem Sie das Verhalten von Google Analytics auf der Grundlage der vom Nutzer erteilten Zustimmung anpassen können. Dies kann in den GA4-Eigenschaftseinstellungen vorgenommen werden.
  • Ändern Sie Ihre GA4-Konfiguration: Passen Sie Ihre GA4-Konfiguration an, um die von den Nutzern getroffenen Entscheidungen zu respektieren. Dies beinhaltet in der Regel die Änderung des Analytics-Tags auf Ihrer Website, um den Zustimmungsstatus vor dem Abschuss zu überprüfen. Mit dem Google Tag Manager können Sie beispielsweise Auslöser basierend auf dem Einwilligungsstatus einrichten.
  • Testen Sie Ihre Implementierung: Abschließend sollten Sie Ihre Implementierung gründlich testen, um sicherzustellen, dass sich die Analysefunktionen auf der Grundlage der erteilten Einwilligung korrekt verhalten.
  • Regelmäßige Überprüfung und Aktualisierung: Gesetze und Vorschriften können sich ändern, daher sollten Sie Ihren Einwilligungsmanagementprozess regelmäßig überprüfen und bei Bedarf aktualisieren.

Schritt 4 hängt von den von Ihnen verwendeten CMP- und Google-Analytics-Integrationen ab, daher gibt es kein einzelnes Skript, das Sie kopieren und einfügen können. Lesen Sie die Dokumentation von Google Analytics und Ihrer CMP, um zu erfahren, welchen Code Sie in Ihrem speziellen Fall benötigen. Als allgemeine Regel gilt jedoch, dass Ihre Website den Zustimmungscode aufrufen muss, bevor Sie Cookies platzieren. Andernfalls werden Cookies unabhängig von den Nutzerpräferenzen gesetzt, was in einigen Ländern illegal ist.

Wie richte ich eine Schaltfläche "Nicht verkaufen" in Google Analytics ein?

Einige Datenschutzgesetze, wie z. B. das CCPA, verlangen eine Opt-out-Option für den Verkauf von personenbezogenen Daten. Hier erfahren Sie, wie Sie eine Opt-Out-Option einrichten können:

  • Entwickeln Sie auf Ihrer Website einen Mechanismus (z. B. eine Schaltfläche oder einen Link auf der Seite mit den Datenschutzbestimmungen), mit dem Nutzer ihren Wunsch äußern können, die Nachverfolgung durch Google Analytics abzulehnen.
  • Nutzen Sie die JavaScript-API von Google Analytics, um diese Abmeldemöglichkeit zu respektieren. Wenn sich ein Nutzer abmeldet, können Sie im Cookie oder im lokalen Speicher Ihrer Website eine Markierung setzen, um diese Einstellung zu speichern, und Ihren Google Analytics-Verfolgungscode so ändern, dass er vor dem Senden von Daten auf diese Abmeldemarkierung überprüft wird.
  • Alternativ können Sie eine Cookie-basierte Lösung verwenden, bei der das Setzen eines bestimmten Cookies das Google Analytics JavaScript anweist, für diesen Nutzer keine Informationen an Google Analytics zu senden.

Natürlich müssen Sie sicherstellen, dass diese Lösung mit jeder CMP- oder GA-Integration, die Sie verwenden, funktioniert.

Auch dies ist nicht mit dem EU-Recht vereinbar. Die GDPR und die ePrivacy-Richtlinie erfordern eine Opt-in-Einwilligung!

Wie erkenne ich "Do-not-track"-Anfragen in Google Analytics an?

Google Analytics erkennt nicht automatisch "Do-not-track"-Anfragen, was ziemlich ärgerlich ist. Sie müssen also die Ärmel hochkrempeln und die Arbeit selbst erledigen:

  • DNT-Einstellungen erkennen: Verwenden Sie zunächst JavaScript, um festzustellen, ob der Nutzer DNT in seinem Browser aktiviert hat. Sie können den DNT-Status mit navigator.doNotTrack in JavaScript überprüfen, das 1 zurückgibt, wenn DNT aktiviert ist.
  • GA4 bedingt laden: Bevor Sie Ihren GA4-Tracking-Code initialisieren, rufen Sie eine Funktion auf, um festzustellen, ob DNT aktiviert ist. Ist dies der Fall, überspringen Sie die Initialisierung von GA4.
  • Server-seitige Behandlung: Alternativ können Sie den DNT-Status auf der Serverseite behandeln. Wenn eine DNT-Anfrage erkannt wird, kann Ihr Server die Seite so ändern, dass sie entweder den GA4-Tracking-Code nicht enthält oder eine geänderte Version, die das Senden von Daten deaktiviert.

Es besteht keine Verpflichtung, DNT-Anfragen von EU-Benutzern zu berücksichtigen, aber wenn Sie es trotzdem tun wollen, empfehlen wir Ihnen dringend, den DNT-Status serverseitig zu behandeln. Die Erkennung von DNT über JavaScript ist im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation etwas heikel, und es ist besser, auf Nummer sicher zu gehen.

Das klingt alles unnötig kompliziert

Google hat beschlossen, sich nicht mit der Verwaltung von Einwilligungen in Google Analytics zu befassen, sondern überlässt es dem Kunden, eine konforme CMP zu finden und herauszufinden, wie sie in Google Analytics integriert werden kann.

Das hat einige Vorteile: Es bietet dem Kunden viel Flexibilität und gibt ihm die Möglichkeit, das Einwilligungsmanagement intern zu verwalten, wenn er über das erforderliche Know-how verfügt. Auf der anderen Seite macht es die Nutzung von Google Analytics schwieriger, da GA nicht mit einem einzigen, durch Kopieren und Einfügen erstellten Code mit den CMPs und Integrationen ihrer Wahl funktioniert.

Wie richte ich eine CMP richtig ein?

Bitte bedenken Sie, dass die Verwendung einer CMP nicht sicherstellt, dass Sie eine gültige Einwilligung einholen. Eine CMP gibt Ihnen die Werkzeuge an die Hand, die Sie für den Umgang mit Einwilligungen benötigen, aber es liegt an Ihnen, sie richtig zu konfigurieren.

Um die GDPR einzuhalten, müssen Sie zum Beispiel:

  • klar erklären, wozu Ihre Cookies dienen
  • einen Link zu Ihrer Datenschutzrichtlinie bereitstellen
  • eine deutlich sichtbare Schaltfläche "Ablehnen" auf der ersten Ebene anbieten

Die Anforderungen können in anderen Rechtsordnungen unterschiedlich sein. In Kalifornien gibt es zum Beispiel keine Zustimmungsregeln, aber einige Websites (nicht alle! Siehe unseren Blog) sind verpflichtet, "Do-not-track"-Signale zu beachten und eine Opt-out-Option für Datenverkäufe anzubieten (und ja, das schließt Webanalysen ein!).

Die meisten CMPs schwören darauf, dass sie sofort einsatzbereit und bereits so konfiguriert sind, dass sie bestimmte Gesetze einhalten, aber es ist trotzdem besser, vorsichtig zu sein - einige CMPs sind dafür bekannt, dass sie in der Vergangenheit mit den Regeln ein wenig zu schnell und locker umgegangen sind.

Unterm Strich:

  • Verstehen Sie, welche Anforderungen Sie erfüllen müssen
  • Stellen Sie sicher, dass die CMP diese Anforderungen erfüllt.

Indem man das Gesetz bricht - so einfach ist das.

CMP-Anbieter wollen Ihnen weismachen, dass es eine geheime Zauberformel für ein GDPR-konformes Cookie-Banner mit himmelhohen Opt-in-Raten gibt, aber so funktioniert es nicht. Es gibt einige Tricks, mit denen Sie Ihre Opt-in-Raten erhöhen können, aber die sind bestenfalls dubios und schlimmstenfalls illegal.

Die europäischen Aufsichtsbehörden haben zu den heiklen Fragen der Gestaltung von Cookie-Bannern Stellung genommen und klargestellt, dass viele weithin missbrauchte Gestaltungstricks gegen die Datenschutzgrundverordnung verstoßen. Wenn Sie das Gesetz einhalten wollen, verstecken Sie die Schaltfläche "Alle ablehnen" nicht in einer zweiten oder dritten Ebene Ihres Cookie-Hinweises. Zwingen Sie die Nutzer nicht dazu, ihre Einstellungen anzupassen", damit Sie ihnen zwanzig verschiedene Einstellungen vorgeben können, in der Hoffnung, dass sie es leid sind und einfach auf Alles akzeptieren" klicken. Verstecken Sie Ihre Schaltfläche "Ablehnen" nicht mit kleinen oder kontrastarmen Schriftarten und bieten Sie keine dummen Optionen wie "Speichern" an.

Ein GDPR-konformer Cookie-Banner bietet dem Nutzer eine sichtbare, sofort verfügbare und klar formulierte Option zur Ablehnung nicht benötigter Tracker. Diese Art von Banner wird Ihnen auch niedrige Opt-in-Raten bescheren, da die Menschen nicht gerne verfolgt werden. Erfahren Sie hier mehr über Website-Analysen ohne Cookies.

Abschließende Überlegungen

TL;DR: Es gibt einen Kompromiss zwischen der Einhaltung der DSGVO und den Opt-in-Raten. Es gibt keinen cleveren Weg, dies zu umgehen.

Die Einrichtung von Google Analytics ist komplizierter, als sie sein müsste, und kann für kleinere Organisationen recht mühsam sein. Simple Analytics ist eine intuitivere und datenschutzfreundlichere Lösung! Sie können es mit ein paar Zeilen Code installieren und konfigurieren. Mit der intuitiven Benutzeroberfläche und dem integrierten KI-Assistenten können Sie im Handumdrehen loslegen.

Wir sind auch stolz darauf, dass unser Produkt datenschutzfreundlich und GDPR-konform ist! Wir geben Ihnen alle Einblicke, die wir brauchen, ohne persönliche Daten zu sammeln. Diese Politik respektiert die Privatsphäre des Nutzers und verhindert, dass Sie sich um die Einhaltung der Vorschriften sorgen müssen!

Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten