Warum Web-Tracking.eu kein Cookie-Banner benötigt

1. Die Rechtsgrundlage: Artikel 5 Absatz 3 der ePrivacy-Richtlinie

Der EU-Rechtsrahmen für das Speichern von oder den Zugriff auf Informationen auf dem Gerät eines Nutzers ist nicht die DSGVO — es ist die ePrivacy-Richtlinie (2002/58/EG), geändert durch die Richtlinie 2009/136/EG. Diese Richtlinie ist älter als die DSGVO und wird von jedem EU-Mitgliedstaat separat umgesetzt (das sogenannte 'Cookie-Gesetz').

Die maßgebliche Bestimmung ist Artikel 5 Absatz 3:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, deren alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder soweit dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Zwei Dinge sind erwähnenswert. Erstens ist der Auslöser technologieneutral: Er deckt Cookies, localStorage, Geräte-Fingerprinting, ETags, Cache-Missbrauch und jeden anderen Mechanismus ab, der Informationen auf einem Endgerät entweder speichert oder von diesem liest. Zweitens gilt die Regel unabhängig davon, ob es sich bei den Informationen um personenbezogene Daten handelt. Selbst ein nicht-personenbezogener Identifier zählt, wenn er auf dem Gerät gespeichert wird.

Die logische Konsequenz ist ebenso wichtig: Wenn ein Dienst weder etwas auf dem Gerät speichert noch auf etwas dort Gespeichertes zugreift, findet Artikel 5 Absatz 3 einfach keine Anwendung. Nach der ePrivacy-Richtlinie ist keine Einwilligung erforderlich, und für diese spezifische Verarbeitungstätigkeit ist rechtlich kein Einwilligungsbanner notwendig.

2. Was wir auf dem Gerät Ihres Besuchers speichern

Nichts. Unser Tracker (t.js) führt einen einzigen fetch()- oder navigator.sendBeacon()-Aufruf an unseren Server durch und kehrt zurück. Er liest vor dem Senden nichts vom Gerät und schreibt danach nichts zurück.

Der einzige Identifier, den wir je berechnen, ist ein Hash, der vollständig auf unserem Server lebt. Der Browser sieht ihn nie, speichert ihn nie und hat keine Möglichkeit, ihn abzurufen. Aus Browsersicht gibt es nichts, dem zugestimmt werden könnte — nichts wurde auf das Gerät geschrieben oder von diesem gelesen, abgesehen von den HTTP-Headern, die automatisch mit jeder Anfrage gesendet werden.

3. Wie hash-basierte Besucheridentifikation funktioniert

Um eindeutige Besucher zu zählen, ohne sie zu verfolgen, leiten wir bei jeder eingehenden Anfrage serverseitig einen deterministischen Hash ab. Der Hash wird aus Anfrageattributen gebildet, die jedem Webserver bereits zur Verfügung stehen, kombiniert mit dem aktuellen UTC-Datum und einem täglichen geheimen Salt.

// Pseudocode — läuft auf dem Web-Tracking.eu-Edge, nie im Browser
function visitorId(req, siteId) {
    const ip     = req.remoteAddr;          // wird nach dem Hashing verworfen
    const ua     = req.headers['user-agent']; // wird nach dem Hashing verworfen
    const date   = today('UTC');             // rotiert um Mitternacht UTC
    const salt   = dailySalt();              // zufällig, rotiert täglich

    return sha256(`${ip}|${ua}|${siteId}|${date}|${salt}`);
}

Vier Designentscheidungen sind hier wichtig:

• Tägliche Rotation. Die Datumskomponente stellt sicher, dass der morgige Hash für denselben Besucher anders ist. Wir können einen Besucher nicht über Tage hinweg verfolgen.
• Tägliches geheimes Salt. Verhindert Rainbow-Table-Angriffe und stellt sicher, dass Hashes selbst bei einem Leck nicht umgekehrt werden können, um die Eingabe-IP wiederherzustellen.
• Site-Beschränkung. Hashes von Site A können nicht mit Site B korreliert werden. Ein Besucher, der auf zwei von Web-Tracking.eu verfolgten Sites erscheint, erzeugt zwei nicht zusammenhängende Hashes. Kein seitenübergreifendes Tracking ist möglich.
• Roh-Eingaben werden verworfen. Die IP-Adresse und der User-Agent werden zur Berechnung des Hashes verwendet und dann verworfen. Sie werden nie in Logs, Datenbanken oder Backups geschrieben.

Dieser Ansatz wurde von der Artikel-29-Datenschutzgruppe (jetzt EDSA) im Gutachten 05/2014 zu Anonymisierungstechniken als akzeptable Anonymisierungstechnik bestätigt, sofern der Hash nicht mit einer Einzelperson in Verbindung gebracht und nicht dazu verwendet werden kann, sie über Sitzungen oder Kontexte hinweg herauszugreifen. Tägliche Rotation kombiniert mit einem rotierenden Salt erfüllt diese Anforderung.

4. Positionen der EU-Datenschutzbehörden zu Analytics und Einwilligung

Die Auslegung von Artikel 5 Absatz 3 ist durch die ePrivacy-Richtlinie harmonisiert, aber Durchsetzung und Nuancen unterscheiden sich zwischen den Mitgliedstaaten. Hier ein kurzer Überblick über die relevantesten Positionen. Keine von ihnen widerspricht der obigen Schlussfolgerung: Wenn nichts auf dem Gerät gespeichert wird, ist kein Einwilligungsbanner erforderlich.

CNIL (Frankreich)

Die französische Aufsichtsbehörde veröffentlicht die detailliertesten Leitlinien zu Analytics und Einwilligung. In ihren Leitlinien und Empfehlungen zu Trackern und Cookies (zuletzt 2020 konsolidiert und weiterhin in Kraft) erkennt die CNIL eine 'Messungsausnahme' für Analyse-Tools an, die bestimmte Bedingungen erfüllen: strikt auf die Messung der Reichweite im Namen des Herausgebers beschränkt, kein seitenübergreifendes Tracking, keine Weitergabe von Daten an Dritte, anonymisierte IP-Adressen, begrenzte Aufbewahrung. Die CNIL hat bestimmte cookiefreie oder cookie-begrenzte Analytics-Konfigurationen ausdrücklich als einwilligungsfrei aufgeführt. Da Web-Tracking.eu überhaupt nichts auf dem Gerät speichert, liegen wir nach französischer Auslegung klar außerhalb des Anwendungsbereichs von Artikel 5 Absatz 3.

BayLDA / DSK (Deutschland)

Die deutschen Datenschutzbehörden, koordiniert durch die Datenschutzkonferenz (DSK), vertreten eine strenge Lesart der deutschen Umsetzung von Artikel 5 Absatz 3 in §25 TTDSG (jetzt TDDDG). Die bayerische Datenschutzbehörde (BayLDA) war historisch einer der aktivsten Durchsetzer gegen Google Analytics und ähnliche cookie-basierte Tools. §25 TTDSG spiegelt die Richtlinie wider: Einwilligung ist für jedes Speichern oder Zugreifen auf Informationen auf dem Endgerät erforderlich, außer wenn es unbedingt erforderlich ist. Ein Tracker, der das Gerät nie berührt, fällt überhaupt nicht unter §25. Die Strenge der deutschen Position wirkt sich tatsächlich zugunsten cookiefreier Designs aus.

Datatilsynet (Dänemark)

Die dänische Datenschutzbehörde folgt der dänischen Cookie-bekendtgørelse, die Artikel 5 Absatz 3 umsetzt. Sie hat spezifische Leitlinien veröffentlicht, in denen es heißt, dass Technologien, die Informationen auf dem Gerät des Nutzers weder setzen noch lesen, nicht von den Cookie-Regeln erfasst sind. Die einzige verbleibende Frage ist in diesem Fall, ob jede tatsächlich stattfindende Verarbeitung (zum Beispiel einer IP-Adresse, die kurzzeitig zur Berechnung eines Hashes verwendet wird) eine gültige DSGVO-Rechtsgrundlage hat — was für Analytics routinemäßig das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f ist.

AP (Niederlande)

Die niederländische Autoriteit Persoonsgegevens hat Leitlinien zu Analytics nach dem niederländischen Telekommunikationsgesetz herausgegeben. Ihre Position ist, dass Analyse-Tools, die keine Cookies (oder Äquivalente) setzen oder lesen, außerhalb der Einwilligungspflicht von Artikel 11.7a des Gesetzes fallen. Die AP hat zuvor bestimmte Analytics-Konfigurationen als einwilligungsfrei zertifiziert, sofern keine Identifier auf dem Gerät des Nutzers bestehen bleiben.

ICO (Vereinigtes Königreich, nach Brexit)

Die britischen Privacy and Electronic Communications Regulations (PECR) setzen Artikel 5 Absatz 3 um und bleiben auch nach dem Brexit in Kraft. Die Cookie-Leitlinien des ICO vertreten dieselbe Position: Das Gesetz gilt für alles, was Informationen auf dem Gerät des Nutzers speichert oder von diesem liest. Ein rein serverseitiger Zählmechanismus, der das Gerät nicht berührt, ist nicht erfasst.

Kurz gesagt: Es gibt keine EU-Datenschutzbehörde, die die Position vertritt, 'cookiefreies Analytics erfordert weiterhin Einwilligung'. Die Kontroverse betrifft ausschließlich Tools, die tatsächlich Identifier auf dem Gerät setzen (GA4-Erstanbieter-Cookies, Plausibles ehemals gehashter localStorage, Meta Pixel usw.). Unser Design umgeht die gesamte Debatte.

5. Wann Sie dennoch ein Einwilligungsbanner benötigen

Der Wechsel zu Web-Tracking.eu beseitigt den analytics-bezogenen Grund für ein Banner, macht Ihre gesamte Website aber nicht automatisch einwilligungsfrei. Sie benötigen weiterhin ein Cookie-Einwilligungsbanner, wenn Ihre Website eines der folgenden verwendet:

• Google Analytics (GA4) clientseitig über gtag.js. GA4 setzt _ga und verwandte Cookies unabhängig vom Consent Mode. Consent Mode v2 steuert nur, ob diese Cookies Identifier tragen — er lässt sie nicht verschwinden.
• Google Tag Manager, wenn er unbedingt geladen wird. GTM setzt selbst ein Cookie und lädt beliebigen Drittanbieter-Code.
• Meta Pixel, TikTok Pixel, LinkedIn Insight Tag — alle setzen Werbecookies und erfordern ausdrückliche Einwilligung.
• Hotjar, Microsoft Clarity, Mouseflow, FullStory — Session-Replay- und Heatmap-Tools, die Session-Identifier speichern und Nutzerinteraktionen aufzeichnen.
• YouTube- oder Vimeo-Einbettungen im Standardmodus (nicht datenschutzfreundlich). Verwenden Sie youtube-nocookie.com oder einen Click-to-Load-Platzhalter, um das Setzen von Cookies zu vermeiden, bis der Nutzer interagiert.
• Intercom, Drift, Crisp, HubSpot Chat und ähnliche Kundenkommunikations-Widgets, die ein Session-Cookie oder einen localStorage-Eintrag persistent machen.
• A/B-Testing-Tools wie Optimizely oder VWO, die Varianten-Zuweisungen in Cookies oder localStorage speichern.
• Cloudflare Bot Management, reCAPTCHA v3 in ihrer Standardkonfiguration — beide setzen persistente Identifier.

Prüfen Sie Ihre Website ehrlich. Öffnen Sie die DevTools, schauen Sie sich den Reiter Application an und listen Sie jedes Cookie, jeden localStorage-Eintrag und jede IndexedDB-Datenbank auf, die gesetzt werden, bevor der Nutzer mit einer Einwilligungs-UI interagiert hat. Alles Nicht-Wesentliche muss weg — oder benötigt Einwilligung.

6. Vergleich: Was jedes Analytics-Tool auf dem Gerät des Besuchers speichert

Cookiefreies Analytics ist nicht mehr exotisch. Mehrere Anbieter — uns eingeschlossen — sind auf dieselbe Architektur konvergiert: einen kurzlebigen Identifier serverseitig aus Request-Metadaten berechnen, die Roh-Eingaben sofort verwerfen, das Gerät nie berühren. Unterschiede bestehen bei den Details des Hashing-Schemas, der Aufbewahrungsdauer und ob der Anbieter zusätzlich Datenübertragungen außerhalb der EU vermeidet.

7. Der DSGVO-Aspekt (getrennt von ePrivacy)

Artikel 5 Absatz 3 der ePrivacy-Richtlinie ist nur die eine Hälfte der Analyse. Auch wenn nach ePrivacy keine Einwilligung erforderlich ist, benötigt jede Verarbeitung personenbezogener Daten dennoch eine Rechtsgrundlage nach Artikel 6 der DSGVO. Für Analytics ist diese Grundlage typischerweise das berechtigte Interesse — Artikel 6 Absatz 1 Buchstabe f — mit einem dokumentierten Abwägungstest.

Web-Tracking.eu verarbeitet die IP-Adresse und den User-Agent-Header des Besuchers kurzzeitig, um den täglichen Hash zu berechnen, und verwirft sie dann. Die gehashte Ausgabe enthält keine personenbezogenen Daten in nutzbarer Form: Sie kann nicht zur Re-Identifikation einer bestimmten Person verwendet werden, rotiert alle 24 Stunden und ist auf eine einzelne Site beschränkt. Unsere Interessenabwägung (auf Anfrage verfügbar) kommt zu dem Schluss, dass diese Verarbeitung verhältnismäßig ist und die Rechte der betroffenen Person nicht außer Kraft setzt.

Wir behaupten nicht, dass zu keinem Zeitpunkt personenbezogene Daten verarbeitet werden — die rohe IP-Adresse existiert für Millisekunden im Speicher. Wir behaupten, dass die Verarbeitung minimal, zweckgebunden und durch angemessene Schutzmaßnahmen geschützt ist und dass die resultierenden gespeicherten Daten nach keiner vernünftigen Lesart von Artikel 4 Absatz 1 DSGVO personenbezogene Daten sind.

8. Quellen und weiterführende Literatur

• ePrivacy-Richtlinie 2002/58/EG (konsolidierter Text)
• CNIL-Leitlinien zu Cookies und anderen Trackern
• CNIL-Liste der von der Einwilligungspflicht ausgenommenen Reichweitenmessungslösungen
• Datenschutzkonferenz (DSK) Orientierungshilfen — Telemedien
• Datatilsynet (Dänische Datenschutzbehörde)
• Autoriteit Persoonsgegevens (Niederländische DSB)
• ICO-Leitlinien zu PECR und Cookies
• Artikel-29-Gruppe Gutachten 05/2014 zu Anonymisierungstechniken