Zurück zu den Artikeln
Analytics
Analytics Cookies DSGVO Datenschutz

Analytics ohne Cookies: So geht's 2026

25. März 2026 8 Min. Lesezeit DPLIANCE

Warum Analytics ohne Cookies der neue Standard ist

Analytics ohne Cookies ist kein Nischenthema mehr. Es ist der neue Standard für datenschutzbewusste Unternehmen in Deutschland und Europa. Und es funktioniert besser, als die meisten denken.

Jahrelang war die Web-Analyse untrennbar mit Cookies verbunden. Google Analytics, Adobe Analytics, Piwik — alle setzten auf kleine Textdateien im Browser, um Besucher zu identifizieren und über Sessions hinweg zu verfolgen. Dieses Modell ist am Ende.

Drei Kräfte haben es zerstört: die Browser, die Regulierung und die Nutzer selbst. Das Ergebnis ist ein besseres Web, in dem Analyse und Datenschutz kein Widerspruch mehr sind.

Die Browser sperren Cookies aus

Die technische Realität im März 2026 ist eindeutig:

Safari — Intelligent Tracking Prevention (ITP)

Apple war der Vorreiter. Seit 2017 hat Safari die Cookie-Restriktionen schrittweise verschärft:

  • ITP 1.0 (2017): Drittanbieter-Cookies auf 24 Stunden begrenzt
  • ITP 2.0 (2018): Alle Drittanbieter-Cookies standardmäßig blockiert
  • ITP 2.1 (2019): JavaScript-gesetzte First-Party-Cookies auf 7 Tage begrenzt
  • ITP 2.3+: Zusätzliche Einschränkungen für localStorage und Referrer

Für Google Analytics bedeutet das: Ein Safari-Nutzer, der nach 8 Tagen wiederkommt, wird als neuer Besucher gezählt. Ihre Daten sind verfälscht.

Firefox — Enhanced Tracking Protection (ETP)

Mozilla blockiert seit 2019 standardmäßig bekannte Tracking-Cookies. ETP ist für alle Firefox-Nutzer aktiviert, ohne Konfiguration.

Chrome — Privacy Sandbox

Google hat den Plan, Drittanbieter-Cookies in Chrome komplett abzuschaffen, mehrfach verschoben und schließlich 2024 aufgegeben. Stattdessen können Nutzer Cookies über die Datenschutzeinstellungen verwalten. Die Privacy Sandbox APIs werden parallel ausgerollt. Das Ergebnis: Ein zunehmend fragmentiertes Tracking-Ökosystem.

Die DSGVO und das TDDDG verlangen Einwilligung

In Deutschland regelt § 25 TDDDG (ehemals TTDSG) den Zugriff auf Informationen im Endgerät des Nutzers. Die Kernregel: Wer Cookies setzt oder ausliest, braucht eine vorherige Einwilligung des Nutzers.

Die Ausnahme in § 25 Abs. 2 TDDDG ist eng gefasst: Nur Cookies, die “unbedingt erforderlich” sind, damit der Nutzer einen ausdrücklich gewünschten Dienst nutzen kann, sind ausgenommen. Login-Cookies, Warenkorb-Cookies, Sicherheits-Cookies — ja. Analytics-Cookies — nein.

Die DSK-Orientierungshilfe für Telemedienanbieter bestätigt diese Position. Der BfDI hat klargestellt: Personenbezogenes Webtracking erfordert eine ausdrückliche Einwilligung.

Die Nutzer lehnen Cookies ab

Die Opt-in-Raten für Analytics-Cookies sinken kontinuierlich. In Deutschland liegt die durchschnittliche Zustimmungsrate je nach Branche zwischen 40 % und 70 %. Das bedeutet: Wenn Sie Google Analytics mit einem Cookie-Banner einsetzen, erfassen Sie nur einen Bruchteil Ihres Traffics. Ihre Daten sind unvollständig, Ihre Analysen verzerrt.

Cookie-Banner sind nicht nur ein rechtliches Problem. Sie sind ein UX-Problem. Jeder Banner ist eine Unterbrechung, ein Moment der Reibung zwischen Ihrem Besucher und Ihrem Inhalt.

Wie funktioniert Analytics ohne Cookies?

Das Prinzip: Sessionbasierte Analyse statt Nutzer-Tracking

Cookielose Analytics-Tools verzichten auf die Identifikation einzelner Nutzer über Sessions hinweg. Stattdessen analysieren sie Besuche (Sessions) auf Basis anonymer Parameter:

  • Referrer: Woher kommt der Besucher?
  • User Agent: Welcher Browser und welches Betriebssystem?
  • Seitenaufrufe: Welche Seiten werden in welcher Reihenfolge besucht?
  • Verweildauer: Wie lange bleibt der Besucher auf einer Seite?
  • Scroll-Tiefe: Wie weit scrollt der Besucher?
  • Klick-Ereignisse: Worauf klickt der Besucher?

Keine dieser Informationen erfordert ein Cookie. Keine erfordert eine Nutzer-ID. Keine ermöglicht die Identifikation einer natürlichen Person.

Technische Methoden

1. Fingerprint-freie Session-Erkennung

Einige Tools verwenden einen Hash aus anonymisierten Daten (z. B. abgekürzter IP-Adresse + User Agent + Datum), der täglich wechselt. Damit lassen sich Seitenaufrufe innerhalb eines Tages einer Session zuordnen, ohne den Nutzer am nächsten Tag wiedererkennen zu können.

2. Rein serverseitige Analyse

Serverseitige Analytics-Tools werten die HTTP-Anfragen aus, ohne JavaScript im Browser auszuführen und ohne Informationen im Endgerät zu speichern. Diese Methode ist vollständig konform mit § 25 TDDDG, da kein Zugriff auf das Endgerät stattfindet.

3. Aggregierte Datenerhebung

Statt individuelle Nutzerprofile zu erstellen, erfassen cookielose Tools aggregierte Statistiken: 150 Besucher kamen heute über Google, 80 % nutzten ein Mobilgerät, die durchschnittliche Verweildauer betrug 2:30 Minuten. Keine individuellen Profile, keine Identifizierbarkeit.

Die besten Tools für Analytics ohne Cookies

Mirage Analytics (DPLIANCE)

Mirage Analytics geht einen Schritt weiter als reine Reichweitenmessung. Neben den Standard-Metriken bietet Mirage nativ:

  • Session Replay: Sehen Sie, was Ihre Besucher tatsächlich erleben — ohne sie zu tracken
  • Heatmaps (Klick + Scroll): Verstehen Sie, wohin geklickt und wie weit gescrollt wird
  • Error Monitoring: Erkennen Sie JavaScript-Fehler, die Ihre Nutzer beeinträchtigen

Alles ohne Cookies, ohne persistente Tracker, gehostet auf Scaleway in Europa.

Preis: Ab 19 EUR netto/Monat.

Plausible Analytics

Minimalistisch, leichtgewichtig (< 1 KB Skript), Open Source. Ideal für einfache Reichweitenmessung. Kein Session Replay, keine Heatmaps. Ab 9 USD/Monat.

Fathom Analytics

Ähnlicher Ansatz wie Plausible, mit EU-Servern in Frankfurt. Kein Session Replay, keine Heatmaps. Ab 15 USD/Monat.

eTracker

Deutsches Unternehmen, Datenverarbeitung ausschließlich in Deutschland. Cookieless Tracking möglich. Heatmaps im Business-Plan. Ab 19 EUR/Monat.

Matomo (cookieless konfiguriert)

Matomo kann ohne Cookies betrieben werden, erfordert aber manuelle Konfiguration. Self-Hosting möglich, Cloud ab 22 EUR/Monat. Session Replay nur als kostenpflichtiges Plugin.

DSGVO-Konformität: Was Analytics ohne Cookies bedeutet

§ 25 TDDDG: Die Einwilligungspflicht entfällt

Wenn ein Analytics-Tool keine Cookies setzt und keine Informationen im Endgerät des Nutzers speichert oder ausliest, fällt die Einwilligungspflicht nach § 25 TDDDG weg. Das bestätigt auch die DSK-Orientierungshilfe.

Aber Achtung: Die DSGVO gilt trotzdem. Wenn das Tool personenbezogene Daten verarbeitet (z. B. ungekürzte IP-Adressen), brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO — in der Regel Art. 6 Abs. 1 lit. f (berechtigtes Interesse).

Die ideale Kombination: Keine Cookies + keine personenbezogenen Daten

Tools wie Mirage Analytics, Plausible und Fathom setzen weder Cookies noch verarbeiten sie personenbezogene Daten. Damit sind sie sowohl unter § 25 TDDDG als auch unter der DSGVO ohne Einwilligung einsetzbar.

Voraussetzungen:

  • Keine Cookies, kein localStorage, keine Fingerprints
  • IP-Adressen werden nicht gespeichert oder vollständig anonymisiert
  • Keine eindeutigen Nutzer-IDs
  • Keine Datenweitergabe an Dritte
  • Daten werden nur für Reichweitenmessung und Website-Optimierung genutzt
  • Nutzer werden in der Datenschutzerklärung informiert

Was die deutschen Behörden sagen

Die DSK hat in ihrer Orientierungshilfe für Telemedienanbieter (Version 1.1) die Bedingungen für einwilligungsfreie Reichweitenmessung definiert. Der Niedersächsische Landesbeauftragte für Datenschutz hat in seinen FAQ zum TDDDG konkretisiert: Wenn keine Informationen auf dem Endgerät gespeichert oder ausgelesen werden, greift § 25 TDDDG nicht.

Der BfDI hat betont, dass die Ausnahme des § 25 Abs. 2 TDDDG eng auszulegen ist. Marketing-Cookies, Analyse-Tools mit personenbezogenem Tracking und Browser-Fingerprinting erfordern immer eine Einwilligung.

Praxisleitfaden: Umstieg auf cookielose Analytics

Schritt 1: Aktuellen Zustand analysieren

Prüfen Sie, welche Cookies Ihre Website setzt. Nutzen Sie die Browser-Entwicklertools (F12 > Application > Cookies) oder einen Online-Scanner. Identifizieren Sie alle Analytics-Cookies.

Schritt 2: Tool auswählen

Wählen Sie ein cookieloses Analytics-Tool, das Ihren Anforderungen entspricht. Wenn Sie nur grundlegende Metriken brauchen: Plausible oder Fathom. Wenn Sie tiefere Einblicke mit Session Replay und Heatmaps wollen: Mirage Analytics.

Schritt 3: Neues Tool einbinden

Die meisten cookielosen Tools lassen sich in wenigen Minuten einrichten. Skript einbinden, Konfiguration prüfen, fertig.

Schritt 4: Parallelbetrieb (optional)

Betreiben Sie das alte und das neue Tool für 2-4 Wochen parallel. Vergleichen Sie die Daten. Bauen Sie Vertrauen in das neue Tool auf.

Schritt 5: Altes Tool entfernen

Entfernen Sie Google Analytics, den Tag Manager und ggf. den Cookie-Banner (wenn keine anderen einwilligungspflichtigen Dienste mehr aktiv sind).

Schritt 6: Datenschutzerklärung aktualisieren

Passen Sie Ihre Datenschutzerklärung an: Entfernen Sie Google Analytics, fügen Sie das neue Tool hinzu. Beschreiben Sie, welche Daten erhoben werden und auf welcher Rechtsgrundlage.

Häufig gestellte Fragen (FAQ)

Sind Analytics ohne Cookies weniger genau?

Nein, sie sind anders genau. Cookielose Tools können keine wiederkehrenden Besucher über Sessions hinweg identifizieren. Dafür erfassen sie 100 % des Traffics, weil kein Cookie-Banner die Datenerhebung blockiert. In der Summe erhalten Sie oft zuverlässigere Daten.

Wenn Ihr Analytics-Tool keine Cookies setzt und Sie keine anderen einwilligungspflichtigen Dienste nutzen (Google Ads, Facebook Pixel, etc.), dann brauchen Sie tatsächlich kein Cookie-Banner. Eine Datenschutzerklärung ist aber weiterhin Pflicht.

Was ist Cookieless Tracking?

Cookieless Tracking bezeichnet Methoden der Web-Analyse, die ohne Cookies im Browser auskommen. Dazu gehören serverseitiges Tracking, sessionbasierte Analyse ohne persistente Identifikatoren und aggregierte Datenerhebung. Nicht jede Form von Cookieless Tracking ist automatisch DSGVO-konform — entscheidend ist, ob personenbezogene Daten verarbeitet werden.

Kann ich Google Ads ohne Google Analytics nutzen?

Ja. Google Ads bietet eigene Conversion-Tracking-Methoden, die unabhängig von Google Analytics funktionieren. Allerdings erfordern auch diese in der Regel eine Einwilligung.

Was sagt die DSK-Orientierungshilfe zu Analytics ohne Cookies?

Die DSK bestätigt: Wenn kein Zugriff auf Informationen im Endgerät stattfindet (keine Cookies, kein localStorage, kein Fingerprinting), greift § 25 TDDDG nicht. Die DSGVO erfordert dennoch eine Rechtsgrundlage — bei anonymisierten Daten ohne Personenbezug kann diese aber problemlos über Art. 6 Abs. 1 lit. f (berechtigtes Interesse) abgebildet werden.

Fazit: Cookies sind das Problem, nicht die Analyse

Die Frage war nie “Analytics oder Datenschutz?”. Die Frage war immer “Cookies oder bessere Methoden?”. 2026 ist die Antwort klar: Analytics ohne Cookies funktioniert, liefert vollständigere Daten und eliminiert das rechtliche Risiko.

Bei DPLIANCE glauben wir, dass die Privatsphäre ein Grundrecht ist. Deshalb haben wir Mirage Analytics ohne Cookies gebaut — mit Session Replay, Heatmaps und Error Monitoring, die Ihnen zeigen, was Ihre Besucher erleben, ohne sie zu verfolgen.

Mirage Analytics entdecken — Analytics ohne Cookies. Ab 19 EUR netto/Monat.

Quellen: § 25 TDDDG, DSK — Orientierungshilfe Telemedien, BfDI — Webtracking nur mit Einwilligung, LfD Niedersachsen — FAQ TDDDG

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns