Das Dokument diskutiert die Herausforderungen und Probleme von Google Analytics im Kontext von Datenschutzanforderungen, insbesondere der DSGVO, und der Notwendigkeit von Alternativen. Es wird auf die Funktionsweise des Consent Mode eingegangen, der in der Praxis oft nicht die erwartete Datenschutzkonformität bietet. Zudem werden Lösungsansätze wie Server-Side Tagging betrachtet, um datenschutzkonformes Tracking zu gewährleisten, jedoch bleibt die Frage, ob damit die Effektivität der Analysen aufrechterhalten werden kann.

1. Ist Google Analytics noch zu retten?
Serverside Tracking & Consent Mode = Alles Tutti?
Anforderungen, Grenzen und Alternativen
Markus Baersch

2. Ist Google noch zu retten?

3. Beispiel GA4 Migration

4. Analytics in Not!

5. cookiestatus.com
Die drei Spielverderber
Identität
ITP
ETP
ATT
PII?

6. Datenschutz
Bedrohung oder überfällig?
Sonderproblem:
Google Analytics
DSGVO konform?
ePrivacy vs. Cookies
IP Adresse & USA
“Personal Data”
?
!
GDPR Timeline:
kuan0.com/transfers-google-
analytics-GDPR-enforcement.html
>

7. Tracking-Schutz:
Auswirkungen

8. Beispiel Brave: Blockierte Scripts und Hits

9. Blocker vs. Scripts und Hits

10. ETP & VPN: Blockierte Trackingfunktionen

11. Quelle: Cardinal Path
ITP: Wiedererkennungsrate sinkt

12. Quelle: JENTIS (https://policyreview.info/articles/analysis/and-after-gdpr-tracking-mobile-apps)
Datenverlust in Summe: Hoch

13. Adressierbarkeit geht verloren

14. 📁 Identifier / Sessions
● Cookies, Fingerprints & Co.
● Kurzzeit oder Langzeit
…ermöglichen
● First Party Kampagnen-
Reichweitenmessung
● Eigene Erfolgskontrolle +
Attribution + Modellierung via
Attribution anhand UTM & Co.
📇 Adressierbarkeit
● Click- / Vendor IDs oder PII
(“Enhanced Conversions”)
● Conversions vs. Retargeting
Identifier vs.
Adressierbarkeit
Wo ist der Unterschied?

15. Consent Mode

16. 100% Mogelpackung
Consent Mode
● Tracking ohne Consent: gtag.js
lädt, sendet Hits, alles schon vor
Consent, nur mit einem Marker
und ohne “persistente” ID
● Tracking trotz verweigertem
Consent: Läuft auch bei
Verweigerung. Consent Mode
steuert nur Cookies. Consent
Management betrifft Tracking.
● Datenfluss ungehindert: Keine
Entkopplung des Browsers
(ohne ssGTM), Google
bekommt “alles”, GA4 wenig

17. 100% Mogelpackung
Consent Mode
● “Machine Learning”: 100%
Blackbox. Im SPA Fall nicht mal
nötig. Es geht aber (fast) nur um
Conversions!
● Vendor ID: Click IDs landen bei
Google. Conversions auch.
Einzige Aufgabe: Matching
● SPA?: Client ID bleibt immer
gleich bis zum nächsten Reload
● PII?: Enhanced Conversions und
Automatische Erhebung via
Google Tag finden dennoch
statt
● BigQuery: BQ bekommt alle
verfügbaren Daten

18. Ist das im Sinne
der Consent Entscheidung?
❌

19. Wenn wir ehrlich sind:
Ohne Consent kein
Google Analytics
#noconsentnotracking

20. Lösungen, Junge! Lösungen!

21. Server-Side:
Lösungsansätze

22. Server-Side
Tagging vs. Tracking
Vereinfachte Differenzierung:
➔ Tracking: “Server To Vendor”
➔ Tagging: “Browser To Server
To Vendor”

23. GTM
googletagmanager.co
m
Webserver
www.abc.de
1.
Besucher
ruft
Seite
auf
2.
Webserver
liefert
Seite
inkl.
GTM-Code
aus
3. Browser fordert GTM Container an
Google Analytics
*.google-analytics.com
4. Container mit
Trackingcodes
Tag-Server
data.abc.de
6. Tag Server sendet Trackinghits ggf. an Analytics…
5.
Browser
sendet
Trackinghits
an
Tag-Server
…und evt. FB, Matomo, BigQuery
und andere Empfänger; je nach
Consent Facebook Google Ads
Matomo
1st Party
DB
GTM
data.abc.de
Server-Side Tagging
❌
❌

24. ssGTM nicht einzige Lösung
Alternativen
Build Your Own Endpoint

25. Server-Side
● First Party: Script-Quelle +
Endpunkt unbedenklich
● Proxy: Entkopplung des
Browsers
● Identität: Robuste Cookies,
Fingerprinting optional
● Parallelsysteme
● Kontrolle über Datenfluss
● “Risk Management by
Obfuscation”
Welche Probleme…
werden gelöst?

26. Server-Side
● No Consent, No Tracking
● (Adressierbarkeit)
● Datenschutz: IP-Adresse / US
Transfer, (PII)
Welche Probleme…
bleiben bestehen?

27. https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr

28. https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
Pseudonymized
data
🔪
🩸
🩸
🩸
🩸

29. https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr

30. Bleibt genug übrig?
“GA datenschutzkonform”
Ohne… 🔪
● Referrer
● PII / Ersatzidentifier
● Click IDs / Parameter
● IP + weitere Dimensionen (User
Agent & Co)
…keine Attribution, wenig Nutzen!

31. https://noyb.eu/en/data-protection-authorities-support-noybs-call-fair-yesno-cookie-banners

32. Bleibt genug übrig?
“GA datenschutzkonform”
Ohne Consent keine Daten!
● Anforderungen an Dialoge werden
strenger
● Sobald Ablehnen und Zustimmung
gleichwertig: Warum zustimmen?
● Raten werden weiter sinken
Es muss mindestens eine Parallel-Lösung
her!

33. Ist Google Analytics noch zu
retten?
Hohe Abdeckung aller Events?
“Nein. Auf keinen Fall!”
Trackingschutz?
“Ja”
Identität & Adressierbarkeit?
“Jein”
Datenschutz?
Hardliner: “Nein”
Marketer: “It Depends”: Wie konform
muss man sein?
Kontrolle und Entkopplung sind
nennenswerte Unterschiede!

34. Traurige Wahrheit:
Alles andere ist unproblematischer
selbst wenn es nicht immer einen guten Grund gibt

35. “GA Alternative” GA4

36. Alternativen
Ersatz oder Ergänzung
Real First Party Tracking

37. First Party Tracking
Minimal-Beispiel für Eigenbau
Link: Playlist auf YouTube
● “100% Capturing”, z. B. mit walker.js
● Eigener Endpunkt mit PHP, Node, Whatever
● Eigene Persistenz, z. B. SQLite
● Auswertungen im Browser, Looker Studio

38. markus-baersch.de/fpt

39. Danke! :)
Fragen?