Back to blog
-- 13 min read

Können Sie Analytics ohne Einwilligungsbanner betreiben? Was die EU-Datenschutzbehörden sagen

Eine Übersicht darüber, wie europäische Datenschutzbehörden (CNIL, BayLDA, Datatilsynet, AP) Analytics-Tools und die Einwilligungspflicht behandeln. Welche Tools qualifizieren sich für die Messungsausnahme?

Die Frage und warum sie wichtig ist

Niemand mag Cookie-Banner. Website-Betreiber mögen sie nicht, weil sie die Konversion schaden und das Design überladen. Besucher mögen sie nicht, weil sie eine Unterbrechung jeder einzelnen Browsing-Sitzung sind. Datenschutzexperten mögen sie nicht, weil sie zu einem Ritual der Scheinzustimmung geworden sind, das niemanden schützt.

Die Frage wird also ständig gestellt: Kann man einfach darauf verzichten? Genauer gesagt: Kann man Analytics betreiben — Seitenaufrufe, Absprungraten, Traffic-Quellen, Kampagnenleistung messen — ohne Einwilligung zu verlangen?

Die Antwort lautet "manchmal, und es hängt davon ab, von welcher Datenschutzbehörde Sie am ehesten hören werden." Unterhalb der scheinbaren Uneinigkeit ist der rechtliche Rahmen in der gesamten EU derselbe: Artikel 5 Absatz 3 der ePrivacy-Richtlinie kontrolliert die Speicherung und den Zugriff auf dem Gerät des Nutzers, und die DSGVO kontrolliert die Verarbeitung personenbezogener Daten. Die Unterschiede zwischen den Datenschutzbehörden betreffen alle die Auslegung, die Durchsetzungspriorität und die Enge der Ausnahme "unbedingt erforderlich".

Dieser Beitrag gibt einen Überblick über die Positionen der Datenschutzbehörden, die Ihre Website am wahrscheinlichsten prüfen werden, wenn Sie in der EU tätig sind. Er ist beschreibend, nicht vorschreibend — wir geben keine Rechtsberatung, und Sie sollten Ihre spezielle Einrichtung mit Ihrem eigenen Anwalt prüfen, bevor Sie Änderungen vornehmen.

CNIL (Frankreich): am detailliertesten und am zulässigsten

Die CNIL, die französische Commission Nationale de l'Informatique et des Libertés, hat detailliertere Leitlinien zu Analytics und Einwilligung erstellt als jede andere EU-Datenschutzbehörde. Ihre Position ist in mancher Hinsicht die strengste und in mancher die zulässigste.

Der strenge Teil: Die CNIL hat aktiv gegen Google Analytics in seiner Standardkonfiguration durchgesetzt und festgestellt, dass die Datenübertragung in die Vereinigten Staaten und das Setzen identifizierender Cookies mit dem EU-Recht unvereinbar waren. Mehreren französischen Websites wurde angeordnet, ihre GA-Bereitstellungen in Konformität zu bringen oder die Nutzung des Tools einzustellen. Diese Durchsetzung sendete ein klares Signal, dass der Betrieb des GA4-Skripts, wie es von Google geliefert wird, auf einem französischen Publikum nicht akzeptabel ist.

Der zulässige Teil: Die CNIL erkennt ausdrücklich an, dass einige Analytics-Tools vollständig von der Einwilligungspflicht befreit sind. Sie nennt dies die "Ausnahme für Reichweitenmessung". Ein Tool qualifiziert sich, wenn es alle folgenden Bedingungen erfüllt:

  • Sein Zweck ist streng darauf beschränkt, anonyme Statistiken für den Herausgeber zu erstellen
  • Es wird ausschließlich vom Herausgeber oder seinem Auftragsverarbeiter verwendet
  • Daten werden nicht mit anderen Verarbeitungen abgeglichen oder an Dritte weitergegeben
  • Das Tracking ist auf eine einzelne Website beschränkt
  • IP-Adressen werden vor der Aufbewahrung anonymisiert (typischerweise durch Kürzung)
  • Die Aufbewahrung ist auf einen angemessenen Zeitraum beschränkt

Tools, die die Anforderungen erfüllen, können in Frankreich ohne Einwilligungsbanner eingesetzt werden. Die CNIL führt eine veröffentlichte Liste der von ihr geprüften Lösungen und hat mehrere cookiefreie Analytics-Produkte (darunter Matomo im cookiefreien Modus mit bestimmten Einstellungen, Piwik Pro, Abla Analytics, AT Internet und andere) als konform anerkannt.

Ein Tool, das nie etwas auf dem Gerät speichert — wie Web-Tracking.eu, Plausible, Fathom und Pirsch — steht über der Ausnahme. Es benötigt die Ausnahme nicht, weil es Artikel 5 Absatz 3 überhaupt nicht auslöst. Die Leitlinien der CNIL machen dies nebenbei klar, sind aber primär für den schwierigeren Fall von Analytics-Tools geschrieben, die das Gerät berühren.

Praktische Erkenntnis für französische Websites: Wenn Sie ein cookiefreies Analytics-Tool ohne Gerätespeicherung, ohne seitenübergreifendes Tracking, mit EU-Hosting und angemessener Aufbewahrung verwenden, benötigen Sie kein Einwilligungsbanner für die Analytics-Ebene. Sie benötigen möglicherweise noch eines für andere Tracker.

DSK und BayLDA (Deutschland): strenge Lesart des Gesetzesbuchstabens

Deutschland setzt die ePrivacy-Richtlinie durch §25 TTDSG um, der kürzlich in TDDDG umbenannt wurde. Die Durchsetzung ist auf sechzehn Landesdatenschutzbehörden (LDI NRW, BayLDA in Bayern, LfD Niedersachsen usw.) verteilt, die sich über die Datenschutzkonferenz (DSK) abstimmen.

Die Position der DSK zu Analytics ist streng. Jede Speicherung von Informationen auf dem Endgerät oder der Zugriff auf diese erfordert eine Einwilligung nach §25 TTDSG, es sei denn, sie ist unbedingt erforderlich für einen Dienst, den der Nutzer ausdrücklich angefordert hat. Analytics qualifiziert sich nicht als unbedingt erforderlich. Jedes Analytics-Tool, das das Gerät berührt, benötigt in Deutschland also ein Einwilligungsbanner.

Das BayLDA, die bayerische Datenschutzbehörde, war der aktivste Durchsetzer. Es hat Leitlinien herausgegeben, die klarstellen, dass:

  • Das Setzen von Analytics-Cookies ohne Einwilligung nach §25 TTDSG illegal ist
  • Die Übertragung von Daten an Server in Drittländern (insbesondere in den USA gehostete Dienste) zusätzlich eine Rechtsgrundlage nach Kapitel V DSGVO erfordert
  • Die "Consent Mode"-Funktionen von Google und anderen das zugrundeliegende Einwilligungsproblem nicht lösen — die Cookies werden weiterhin gesetzt, auch wenn sie weniger Daten tragen

Diese strenge Lesart wirkt sich tatsächlich zugunsten cookiefreier Architekturen aus. Wenn jede Gerätespeicherung Einwilligung erfordert, dann erfordert keine Gerätespeicherung keine Einwilligung. Deutsche Datenschutzbehörden akzeptieren diese Logik. Ein Tool, das nichts auf dem Gerät speichert, fällt einfach nicht in den Anwendungsbereich von §25 TTDSG, und die Einwilligungspflicht gilt nicht dafür. Sie benötigen dennoch eine DSGVO-Rechtsgrundlage für jede Verarbeitung personenbezogener Daten, aber das ist eine andere Frage, die unter Artikel 6 behandelt wird, typischerweise über das berechtigte Interesse.

Praktische Erkenntnis für deutsche Websites: Der cookiefreie Ansatz ist in Deutschland der sicherste Weg. Es gibt kein Äquivalent zur französischen "Messungsausnahme" — Sie benötigen entweder eine Einwilligung oder eine Architektur, die §25 überhaupt nicht auslöst.

Datatilsynet (Dänemark): treu der Richtlinie

Die dänische Datenschutzbehörde, Datatilsynet, wendet die dänische Cookie-bekendtgørelse an, die eine direkte Umsetzung von Artikel 5 Absatz 3 ist. Ihre veröffentlichten Leitlinien betonen zwei Punkte:

  • Die Cookie-Regeln gelten für jede Speicherung von oder jeden Zugriff auf Informationen auf dem Gerät des Nutzers, nicht nur für Cookies im engeren Sinne
  • Wenn ein Dienst nichts auf dem Gerät speichert oder darauf zugreift, gelten die Cookie-Regeln einfach nicht für ihn

Dies ist die sauberste Formulierung der Position unter den EU-Datenschutzbehörden. Datatilsynet führt keine detaillierte "Genehmigungsliste" wie die CNIL, aber ihre Leitlinien sind eindeutig, dass ein cookiefreies Analytics-Tool mit serverseitiger Zählung kein Einwilligungsbanner für seinen eigenen Betrieb benötigt. Datatilsynet hat die Cookie-Regeln gegen dänische Websites, die nicht konforme Tracker betreiben, aktiv durchgesetzt, mit mehreren Bußgeldern seit 2022.

Praktische Erkenntnis für dänische Websites: Die Logik ist identisch mit der für Deutschland. Wenn Sie ein Tool verwenden, das das Gerät nicht berührt, sind die dänischen Cookie-Regeln nicht ausgelöst, und Sie benötigen kein Einwilligungsbanner für dieses Tool.

AP (Niederlande): cookie-spezifische Regeln, breite Auslegung

Die niederländische Autoriteit Persoonsgegevens setzt Artikel 11.7a des Telekommunikationsgesetzes (Telecommunicatiewet) durch, der die niederländische Umsetzung von Artikel 5 Absatz 3 ist. Die Position der AP entspricht der gängigen europäischen Lesart: Jede Speicherung oder jeder Zugriff auf dem Gerät erfordert eine Einwilligung, es sei denn, es ist unbedingt erforderlich.

Die AP hat Stellungnahmen und Durchsetzungsmaßnahmen gegen Websites erlassen, die Drittanbieter-Werbecookies ohne Einwilligung verwenden, und sich besonders auf die Praktiken großer Medienverlage konzentriert. Analytics war kein primäres Durchsetzungsziel, aber die AP war explizit, dass sie Analytics mit Gerätespeicherung als einwilligungspflichtig betrachtet.

Die AP hat keine "Genehmigungsliste" im CNIL-Stil veröffentlicht, aber sie hat in mehreren öffentlichen Erklärungen bestätigt, dass cookiefreie Analytics-Lösungen außerhalb des Anwendungsbereichs von Artikel 11.7a liegen. Die eigenen digitalen Dienste der niederländischen Regierung verwenden ein cookiefreies Analytics-Tool (früher Piwik/Matomo in einer abgespeckten Konfiguration, in jüngerer Zeit andere Optionen), um die Einwilligungspflicht auf Websites des öffentlichen Sektors zu vermeiden.

Praktische Erkenntnis für niederländische Websites: Gleich wie in Deutschland und Dänemark. Ein cookiefreies Tool löst Artikel 11.7a nicht aus, also ist kein Einwilligungsbanner dafür erforderlich.

ICO (Vereinigtes Königreich, nach Brexit): pragmatische Leitlinien

Das Vereinigte Königreich unterliegt weiterhin PECR, das Artikel 5 Absatz 3 der ePrivacy-Richtlinie umsetzt, auch nach dem Austritt aus der EU. Die Leitlinien des ICO zu PECR und Cookies sind einer der praktischsten regulatorischen Texte in diesem Bereich und lohnen das vollständige Lesen.

Das ICO bestätigt, dass:

  • PECR auf jede Speicherung oder jeden Zugriff auf dem Gerät gilt, nicht nur auf Cookies
  • First-Party-Analytics unter begrenzten Umständen für die Ausnahme "unbedingt erforderlich" in Frage kommen kann, obwohl das ICO warnt, dass dies ein schmaler Weg ist und Einwilligung die sicherere Standardeinstellung für Analytics mit Gerätespeicherung ist
  • Ein Tool, das sich nicht mit Speicherung oder Zugriff auf dem Gerät befasst, fällt überhaupt nicht unter PECR

Das ICO war bei der Durchsetzung nachsichtiger als einige kontinentale Datenschutzbehörden. Es hat groß angelegte Verstöße und ungeheuerliche Tracker gegenüber analytiklastigen Websites priorisiert. Dennoch sind seine schriftlichen Leitlinien klar, und die Compliance-Erwartungen sind theoretisch die gleichen.

Praktische Erkenntnis für UK-Websites: Die cookiefreie Architektur hat unter PECR denselben Effekt wie unter der ePrivacy-Richtlinie. Keine Gerätespeicherung, keine PECR-Aktivierung, kein Einwilligungsbanner für die Analytics-Ebene.

Gemeinsame Anforderungen über die Datenschutzbehörden hinweg

Beim Lesen der Leitlinien der oben genannten Datenschutzbehörden zeigt sich ein konsistenter Satz von Anforderungen, die cookiefreie Analytics erfüllen sollten. Betrachten Sie diese als gemeinsame Grundlage, nicht ganz in einem einzelnen Dokument niedergeschrieben, aber in allen präsent:

  • Kein seitenübergreifendes Tracking. Jeder Identifier muss auf eine einzelne Website beschränkt sein. Sie sollten einen Besucher nicht mit demselben Analytics-Tool von Site A zu Site B verfolgen können.
  • Begrenzte Aufbewahrung. Roh-Eingaben (IP, User-Agent) müssen sofort verworfen werden. Aggregierte Daten sollten nicht länger als nötig aufbewahrt werden — die CNIL hat 13 Monate für Cookies und 25 Monate für aggregierte Statistiken als grobe Obergrenzen vorgeschlagen.
  • Anonymisierte oder verworfene IPs. Wenn IPs überhaupt gespeichert werden, sollten sie gekürzt werden. Besser: Verwerfen Sie sie ganz, nachdem Sie das Nötige extrahiert haben.
  • Keine Datenweitergabe an Dritte. Die Analytics-Daten sollten beim Herausgeber (und seinem Auftragsverarbeiter) bleiben und nicht zu Werbenetzwerken, Datenmaklern oder anderen Dritten fließen.
  • First-Party-Bereitstellung. Der Tracker sollte von der Infrastruktur des Herausgebers oder von einem Auftragsverarbeiter mit ordnungsgemäßem Auftragsverarbeitungsvertrag bereitgestellt werden, nicht von einem Dritten, der die Daten mit anderen Quellen kombinieren kann.
  • Dokumentierte Rechtsgrundlage nach DSGVO. Auch ohne Einwilligungsbanner benötigt die Verarbeitung eine DSGVO-Rechtsgrundlage nach Artikel 6 — typischerweise berechtigtes Interesse mit einer dokumentierten Bewertung.

Cookiefreie Tools wie Web-Tracking.eu, Plausible, Fathom und Pirsch erfüllen all diese Bedingungen in ihren Standardkonfigurationen. Einige Tools können so konfiguriert werden, dass sie sie erfüllen (Matomo im cookiefreien Modus; Piwik Pro mit entsprechenden Einstellungen), erfordern aber eine bewusste Einrichtung.

Welche Tools qualifizieren sich (cookiefrei von Natur aus)

Tools, die niemals etwas auf dem Gerät speichern, von Natur aus, sind der einfachste Fall. Sie erfüllen den ePrivacy-Auslösertest automatisch und müssen nur noch die DSGVO-Verarbeitungshürde nehmen (was sie über berechtigtes Interesse und geeignete Schutzmaßnahmen tun). Die engere Liste:

  • Web-Tracking.eu — serverseitiger täglich rotierender Hash, EU-Hosting
  • Plausible — serverseitiger täglich rotierender Hash, EU-Hosting
  • Fathom — serverseitiger Hash, EU-Rechenzentrumsoption verfügbar
  • Pirsch — serverseitiger gesalzener Fingerabdruck, EU-Hosting
  • Simple Analytics — serverseitiger Hash, EU-Hosting

In all diesen Fällen kann die Analytics-Ebene ohne Cookie-Einwilligungsbanner in der gesamten EU eingesetzt werden. Die genaue Formulierung der Datenschutzerklärung ist nach wie vor wichtig, und andere Teile der Website (Einbettungen, Chat-Widgets, Anzeigen) erfordern möglicherweise ein eigenes Banner.

Welche Tools sich nicht qualifizieren (ohne sorgfältige Konfiguration)

Die folgenden Tools berühren das Gerät in ihrer Standardkonfiguration und erfordern daher Einwilligung oder sorgfältige Neukonfiguration, um sich für eine Messungsausnahme zu qualifizieren.

  • Google Analytics 4 (gtag.js) — setzt First-Party-Cookies (_ga, _ga_*). Consent Mode v2 passt das Verhalten an, entfernt aber die Cookies nicht. Benötigt ein Banner in jeder EU-Gerichtsbarkeit.
  • Microsoft Clarity — Session-Replay- und Heatmap-Tool, das Identifier speichert und Interaktionen aufzeichnet. Benötigt Einwilligung.
  • Hotjar — Session-Replay, Heatmaps, Umfragen und mehr. Setzt mehrere Cookies und Identifier. Benötigt Einwilligung.
  • Facebook Pixel / Meta Pixel — Werbe-Tracker mit seitenübergreifender Verknüpfung. Benötigt Einwilligung und hat zusätzliche Übertragungsprobleme nach Kapitel V DSGVO.
  • LinkedIn Insight Tag — Werbe-Cookies und seitenübergreifende Verknüpfung. Benötigt Einwilligung.
  • Matomo (Standard) — setzt First-Party-Cookies (_pk_id, _pk_ses). Benötigt Einwilligung, es sei denn, es wird in den cookiefreien Modus umkonfiguriert, und selbst dann kann der cookiefreie Fingerabdruck je nach Datenschutzbehörde für eine Messungsausnahme qualifizieren oder nicht.
  • Adobe Analytics — setzt mehrere Cookies, historisch als gerätespeicherndes Analytics-Tool betrachtet. Benötigt Einwilligung.

Keines davon ist an sich "illegal" — sie können alle rechtmäßig mit einem entsprechenden Einwilligungsflow und in der richtigen Konfiguration eingesetzt werden. Aber sie sind nicht cookiefrei und können nicht ohne Banner eingesetzt werden.

Die serverseitige GA4-Frage

Eine häufige Frage ist, ob man GA4 konform machen kann, indem man es serverseitig lädt, entweder über Google Tag Manager Server-Side, über Measurement Protocol oder über eine CDN-gehostete Alternative. Die kurze Antwort lautet: Vielleicht, aber die schwierigen Teile verschwinden nicht.

Serverseitiges GA4 kann die clientseitigen Cookies für Seitenaufrufe vermeiden, wenn Sie die Integration sorgfältig aufbauen. In dieser Konfiguration wird nichts auf dem Gerät gespeichert (für den GA4-Teil), und Artikel 5 Absatz 3 wird für die Anfrage selbst nicht ausgelöst. Mehrere Probleme bleiben jedoch bestehen:

  • Googles serverseitiges Tagging-Tool setzt typischerweise weiterhin ein clientseitiges Cookie, es sei denn, Sie deaktivieren es aktiv
  • Wenn Sie eine GA4-Funktion verwenden, die auf einem clientseitigen Identifier basiert (Enhanced Measurement, geräteübergreifendes Tracking, Werbeintegrationen), kommt das Cookie zurück
  • Daten werden immer noch an Google in den Vereinigten Staaten übertragen, was DSGVO-Kapitel-V-Pflichten unabhängig von Artikel 5 Absatz 3 schafft
  • Sie übernehmen die volle Ingenieurslast einer serverseitigen Bereitstellung, die nicht trivial und teuer ist

In der Praxis bietet Ihnen ein ordnungsgemäß gebautes cookiefreies Analytics-Tool dieselbe ePrivacy-Ausnahme mit weniger Komplexität und ohne die Frage der internationalen Übertragung. Deshalb ist der "serverseitige GA4"-Weg bei großen Unternehmen beliebt, die bereits über GA-Infrastruktur verfügen, sich aber nicht auf kleinere Websites ausgebreitet hat.

Was Sie Ihrem Rechtsteam sagen sollten

Wenn Sie vorschlagen, Ihre Website ohne Cookie-Banner zu betreiben, weil Sie cookiefreies Analytics verwenden, wird Ihr Rechtsteam eine konkrete Compliance-Story sehen wollen. Hier ist eine Checkliste, die Sie ihm geben können:

  1. Rechtsgrundlage nach ePrivacy. Dokumentieren Sie, dass das Analytics-Tool keine Informationen auf dem Gerät des Nutzers speichert oder darauf zugreift. Zitieren Sie den spezifischen Mechanismus (serverseitiger Hash, keine Cookies, kein localStorage). Verweisen Sie auf Artikel 5 Absatz 3 und erklären Sie, warum er nicht ausgelöst wird.
  2. Rechtsgrundlage nach DSGVO. Dokumentieren Sie eine Interessenabwägung, die die Verarbeitung der IP-Adresse und des User-Agents als transiente Hash-Eingaben und die Aufbewahrung des resultierenden Hashes als nicht-personenbezogene Daten abdeckt. Gehen Sie auf die drei DSGVO-Notwendigkeitstests ein: Zweck, Notwendigkeit, Abwägung.
  3. Datenaufbewahrung. Geben Sie an, wie lange gehashte Daten aufbewahrt werden, was aggregiert wird und wann es gelöscht wird.
  4. Unterauftragsverarbeiter und Standorte. Listen Sie den Analytics-Anbieter als Unterauftragsverarbeiter auf und bestätigen Sie das EU-Hosting. Fügen Sie den Auftragsverarbeitungsvertrag des Anbieters bei.
  5. Andere Tracker. Prüfen Sie den Rest der Website. Bestätigen Sie entweder, dass keine anderen gerätespeichernden Tools vorhanden sind, oder dass diese Tools einen eigenen Einwilligungsfluss haben.
  6. DSB-spezifische Überlegungen. Wenn Ihr Hauptpublikum in einem bestimmten Land ist, erwähnen Sie die veröffentlichte Position der DSB zu cookiefreien Analytics und fügen Sie einen Link zu ihren Leitlinien bei.
  7. Dokumentation des Tracker-Verhaltens. Bitten Sie Ihren Analytics-Anbieter um eine technische Beschreibung dessen, was bei jeder Anfrage genau passiert. Ein Anbieter, der keine liefern kann, sollte nicht auf Ihrer engeren Liste stehen.

Mit diesem Paket in der Hand wird ein vernünftiges Rechtsteam den Betrieb ohne Einwilligungsbanner für die Analytics-Ebene genehmigen. Erwarten Sie Nachfragen zum Rest der Website — insbesondere zu Einbettungen, Anzeigen, Chat-Widgets und allem, was von einem Drittanbieter-CDN geladen wird — da das Argument für cookiefreies Analytics diese nicht abdeckt.

Das Fazit

Es gibt keine EU-Datenschutzbehörde, die die Position vertritt "cookiefreies Analytics erfordert immer noch ein Einwilligungsbanner". Die Debatte in der EU dreht sich ausschließlich um Tools, die etwas auf dem Gerät speichern, und um die enge Frage, wann die Ausnahme "unbedingt erforderlich" oder eine messungsspezifische Ausnahme in Anspruch genommen werden kann. Ein Tool, das Artikel 5 Absatz 3 überhaupt nicht auslöst, schreitet über die gesamte Debatte hinweg.

Der praktische Weg für Website-Betreiber, die ihr Cookie-Banner abschaffen wollen, ist daher:

  1. Wechseln Sie zu einem cookiefreien Analytics-Tool, das Identifier serverseitig berechnet
  2. Entfernen oder rekonfigurieren Sie andere gerätespeichernde Tracker (Anzeigen, Einbettungen, Chat-Widgets)
  3. Dokumentieren Sie die Rechtsgrundlage nach DSGVO Artikel 6 für die verbleibende Verarbeitung
  4. Aktualisieren Sie die Datenschutzerklärung, um die neue Architektur widerzuspiegeln
  5. Entfernen Sie das Cookie-Banner

Jeder Schritt ist erreichbar. Der rechtliche Rahmen unterstützt ihn. Jede oben untersuchte Datenschutzbehörde hat direkt oder indirekt bestätigt, dass dies die richtige Lesart des Gesetzes ist.

Web-Tracking.eu ist eine cookiefreie Analytics-Plattform. Erfahren Sie mehr über unseren Ansatz in der rechtlichen Erläuterung kein Cookie-Banner.