TL;DR — Cookieless Analytics bezeichnet Webmessmethoden, die keine einwilligungspflichtigen Tracking-Cookies setzen. Zwei Hauptansätze existieren: eine behördliche Ausnahme für streng konfigurierte Reichweitenmessung (CNIL-Ausnahme in Frankreich, vergleichbare BfDI-Leitlinien in Deutschland) und cookielose Alternativen, die andere technische Mechanismen nutzen. Beide ermöglichen die Verkehrsmessung ohne Einwilligungsbanner, unter spezifischen Bedingungen.
Die Messung von Website-Traffic ohne Analyse-Cookies ist seit 2022 ein zentrales Thema. Europäische Datenschutzbehörden verschärften die Durchsetzung der ePrivacy-Richtlinie, Google Analytics sah sich in mehreren EU-Ländern mit negativen Entscheidungen konfrontiert, und die Ablehnungsraten für Cookie-Banner stiegen. Viele Websites arbeiten nun mit weniger als 60 % Analytics-Abdeckung. Dieser Leitfaden stellt die realen Optionen, ihre Bedingungen und ihre praktischen Grenzen vor.
Was ist Cookieless Analytics?
Cookieless Analytics umfasst alle Web-Traffic-Messtechniken, die nicht auf das Setzen von einwilligungspflichtigen persistenten Cookies angewiesen sind. Dies schließt zwei große Kategorien ein: Tools, die von einer behördlichen Ausnahme profitieren, und Alternativen, die Tracking-Cookies durch andere technische Mechanismen umgehen.
Was 'cookieless' wirklich bedeutet
Cookieless bedeutet nicht datenfrei. Einige Tools verwenden serverseitige Session-Tokens, andere aggregieren Daten ohne Identifizierung von Personen. Das Fehlen eines Cookies bedeutet nicht das Fehlen einer Datenverarbeitung im Sinne der DSGVO, wenn personenbezogene Daten verarbeitet werden. Die entscheidende Frage ist, ob die Technik eine individuelle Identifikation ermöglicht.
Behördliche Ausnahme vs. cookielose Alternativen
Die erste Kategorie umfasst Tools mit einer Rechtsausnahme (Matomo im strikten Modus, einige europäische Analytics-Lösungen). Die zweite Kategorie umfasst cookielose Lösungen mit anderen Messmethoden (Server-Logs, aggregierte Daten, Modellierung). Beide Ansätze unterscheiden sich erheblich in Bedingungen und Datenpräzision.
Die Ausnahme für Reichweitenmessung
Mehrere europäische Datenschutzbehörden gewähren eine Einwilligungsausnahme für Reichweitenmessungs-Tools, die strenge Bedingungen erfüllen. In Frankreich ist dies in der CNIL-Beratung vom 28. September 2020 festgelegt. In Deutschland haben BfDI und die Landesdatenschutzbehörden vergleichbare Leitlinien veröffentlicht. Ein Tool, das diese Bedingungen erfüllt, kann ohne Cookie-Banner für die Analytics-Komponente eingesetzt werden.
Die fünf Bedingungen für die Ausnahme
- Streng begrenzte Zweckbindung: nur Reichweitenmessung, kein Profiling, keine Verknüpfung mit anderen Daten.
- Auf die Website beschränkter Geltungsbereich: Daten dürfen nicht mit Dritten geteilt oder für andere Domains genutzt werden.
- Begrenzte Speicherdauer: maximal 13 Monate für Daten, 6 Monate für die Gültigkeit der zugehörigen Einwilligung.
- Information der Nutzerinnen und Nutzer: Besuchende müssen informiert werden und eine Opt-out-Möglichkeit erhalten.
- Kein domainübergreifendes Tracking: derselbe Nutzer darf nicht über verschiedene Domains hinweg verfolgt werden.
Welche Tools kommen infrage?
Matomo (früher Piwik) ist das Referenz-Tool für die Ausnahme, wenn es im Ausnahme-Modus konfiguriert ist: Cookies deaktiviert, IP anonymisiert, minimale lokale Speicherung, keine Datenweitergabe. Eine Standard-Matomo-Konfiguration setzt Cookies und ist nicht ausgenommen. Andere europäisch gehostete Analytics-Lösungen streben ebenfalls diese Ausnahme an. Google Analytics 4 in seiner Standardkonfiguration erfüllt die Bedingungen nicht: Daten werden über US-Server übertragen und potenziell mit anderen Google-Diensten verknüpft.
Verfügbare cookielose Alternativen
Neben der Rechtsausnahme gibt es mehrere Ansätze zur Reichweitenmessung ohne einwilligungspflichtige Tracking-Cookies.
Server-Log-Analyse
Server-Zugriffsprotokolle (Apache, Nginx) zeichnen jede Anfrage ohne Cookie auf. Dies ist ohne Einwilligung rechtmäßig (Betriebsdaten) und liefert Gesamt-Traffic-Daten. Einschränkungen: Es werden Bots nicht von Menschen unterschieden, In-Page-Verhalten (Scrollen, Klicks) wird nicht erfasst, und die Präzision ist geringer als bei modernen Analytics-Tools. Nützlich für einfache Websites oder als Ergänzung.
Aggregierte Daten und Modellierung
Einige Tools bieten aggregierte, anonymisierte Daten, ohne Individuen zu identifizieren. Sie schätzen Trends (beliebte Seiten, Traffic-Quellen, ungefähre Absprungrate) auf Basis nicht-persistenter Session-Daten. Diese Ansätze sind weniger präzise, erfordern aber keine Einwilligung, wenn keine personenbezogenen Daten im Sinne der DSGVO verarbeitet werden.
Google Consent Mode v2 und Konversionsmodellierung
Google Consent Mode v2 ermöglicht eine statistische Konversionsmodellierung auch ohne explizite Einwilligung. Im Basismodus sendet GA4 aggregierte Signale, ohne ablehnende Nutzer zu identifizieren, und Google modelliert dann die fehlenden Konversionen. Dies ersetzt kein vollständiges Analytics, gewinnt aber einen Teil der verlorenen Konversionsdaten zurück. Die Konfiguration wird im FlowConsent-Leitfaden /de/blog/google-consent-mode-v2-implementierung-leitfaden erklärt.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler
'Cookieless' mit 'keine Einwilligung nötig' verwechseln. Ein Tool kann cookielos sein, aber trotzdem personenbezogene Daten (digitaler Fingerabdruck, IP-Adresse) verarbeiten, die eine Rechtsgrundlage erfordern.
Annehmen, dass Matomo standardmäßig ausgenommen ist. Standard-Matomo setzt Cookies und ist nicht ausgenommen. Die Ausnahme erfordert eine spezifische, dokumentierte Konfiguration.
Nutzer nicht informieren. Die Rechtsausnahme befreit nicht von der Pflicht, Besuchende in der Datenschutzerklärung zu informieren und eine Opt-out-Möglichkeit anzubieten.
GA4 für einwilligungsfrei halten. GA4 ist nach DSGVO nicht einwilligungsfrei. Es erfordert eine konforme CMP und Consent Mode v2 für den rechtmäßigen Einsatz in der EU.
Mehrere Tools ohne Prüfung kombinieren. Ein cookieloses Tool neben GA4 zu betreiben kann Datendoppelungen und Fragen zur Rechtsgrundlage aufwerfen. Jede Verarbeitung im DSGVO-Verzeichnis dokumentieren.
Checkliste Cookieless Analytics
- Bedarf definieren: nur Reichweitenmessung oder auch Konversionsverfolgung und Werbung?
- Für Reichweitenmessung: Matomo im Ausnahme-Modus oder eine anerkannte europäische Analytics-Lösung prüfen.
- Alle Ausnahmebedingungen verifizieren: Zweck, Umfang, Speicherdauer, Nutzerinformation, kein Cross-Site-Tracking.
- Für Konversionsverfolgung: Google Consent Mode v2 mit konformer CMP aktivieren.
- Alle Analytics-Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
- Besuchende in der Datenschutzerklärung informieren, direkten Opt-out-Link bereitstellen.
- Im Inkognito-Modus testen, dass kein einwilligungspflichtiges Analytics-Script ohne Zustimmung lädt.
- Website unter /de/scan auf alle aktiven Analytics-Cookies prüfen.
- Nach jedem Analytics-Tool-Update einen erneuten Scan planen.
- Einen Datenschutzbeauftragten konsultieren, wenn mehrere Tools kombiniert werden oder sensible Daten verarbeitet werden.
Cookieless Analytics ist ein Kompromiss zwischen Datenpräzision, regulatorischer Konformität und technischen Ressourcen. Die Rechtsausnahme ist der direkteste Weg für Websites, die das Analytics-Einwilligungsbanner loswerden möchten, unter strengen Bedingungen. Für Websites mit Konversions- und Werbeanforderungen bleibt Consent Mode v2 als Ergänzung unverzichtbar. Scannen Sie Ihre Website unter /de/scan, um alle aktiven Analytics-Cookies zu identifizieren.
Häufig gestellte Fragen
Was ist cookielose Analyse?
Cookielose Analyse bezeichnet Methoden zur Website-Messung, die keine Cookies zur Nutzerverfolgung verwenden. Diese Ansätze basieren auf aggregierten Daten, serverseitiger Messung oder datenschutzfreundlichen Proxys. Sie ermöglichen eine grundlegende Messung von Traffic und Conversions ohne die Einwilligung der Besucher nach DSGVO.
Ist cookielose Analyse DSGVO-konform?
Ja, wenn sie korrekt implementiert ist. Cookielose Analyse-Tools, die nur aggregierte, nicht identifizierende Daten verarbeiten, erfordern keine Einwilligung nach DSGVO. Server-seitiges Tracking oder Fingerprinting-Methoden können jedoch weiterhin eine Verarbeitung personenbezogener Daten darstellen, wenn sie Nutzer re-identifizieren können. Überprüfen Sie immer mit Ihrem DSB, dass das gewählte Tool den geltenden Anforderungen entspricht.
Welche Tools gibt es für cookielose Analyse?
Mehrere Lösungen existieren: Plausible Analytics und Fathom bieten standardmäßig cookielose, DSGVO-konforme Messung. Matomo kann ohne Cookies im aggregierten Modus konfiguriert werden. Google Analytics 4 bietet einen cookielosen Modus, aber seine DSGVO-Konformität ist je nach Serverkonfiguration umstritten. Die Wahl hängt von Ihren Genauigkeitsanforderungen und Ihrer technischen Infrastruktur ab.
Ist cookielose Analyse weniger genau als traditionelle Analyse?
Im Allgemeinen ja, aber der Unterschied hat sich deutlich verringert. Cookielose Tools können keine individuellen Nutzerreisen über Sitzungen hinweg verfolgen, was Attribution und Kohortenanalyse einschränkt. Für die Messung von Traffic, Top-Seiten und allgemeinen Conversion-Trends bieten moderne cookielose Lösungen jedoch ausreichende Genauigkeit. Der Präzisionsverlust muss gegen das rechtliche Risiko nicht-konformer Verfolgung abgewogen werden.
Kann ich cookielose Analyse neben einwilligungsbasiertem Tracking verwenden?
Ja, das ist sogar der empfohlene Ansatz. Cookielose Analyse bietet eine Basisansicht aller Traffic-Daten, einschließlich Besucher, die die Einwilligung abgelehnt haben. Einwilligungsbasierte Tools wie Google Analytics 4 oder Meta Pixel liefern reichhaltigere Daten für zustimmende Nutzer. Die Kombination bietet sowohl regulatorische Abdeckung als auch Marketingpräzision, während die Entscheidungen aller Besucher respektiert werden.