Zurück zu den Artikeln
Analytics
Analytics Cookies Datenschutz Tracking

Cookieless Tracking: Die Zukunft der Web-Analyse

24. Dezember 2025 8 Min. Lesezeit DPLIANCE

Cookieless Tracking: Warum die Zukunft der Web-Analyse cookiefrei ist

Cookieless Tracking ist nicht mehr nur ein Trend. Es ist die Richtung, in die sich das gesamte Web-Ökosystem bewegt. Und das ist keine technische Frage. Es ist eine Frage des Vertrauens.

Zwanzig Jahre lang funktionierte das Web nach einem Grundsatz: Man kann Individuen verfolgen, um Erfahrungen und Werbung zu optimieren. Cookies waren das zentrale Instrument dieses Modells. Heute wird dieses Modell systematisch abgebaut, getrieben von drei konvergierenden Kräften: den Browsern, den Regulierungsbehörden und den Nutzern selbst.

Bei DPLIANCE sehen wir das als gute Nachricht. Datenschutz ist kein Hindernis für Analytics. Es ist eine Gestaltungsanforderung, die zu besseren Werkzeugen führt.

Die drei Kräfte hinter dem cookielosen Web

Kraft 1: Die Browser schließen den Hahn

Safari — Intelligent Tracking Prevention (ITP)

Apple war der Vorreiter. Seit 2017 hat Safari die Cookie-Restriktionen schrittweise verschärft. Heute blockiert Safari alle Drittanbieter-Cookies und begrenzt JavaScript-gesetzte First-Party-Cookies auf 7 Tage Lebensdauer. Für Tools wie Google Analytics bedeutet das: Ein Besucher, der nach 8 Tagen zurückkehrt, wird als neuer Besucher gezählt.

In Deutschland hat Safari einen Marktanteil von rund 25-30 % (durch iPhones). Das bedeutet: Bis zu ein Drittel Ihres Traffics liefert verfälschte Daten, wenn Sie auf Cookie-basiertes Tracking setzen.

Firefox — Enhanced Tracking Protection (ETP)

Mozilla blockiert seit 2019 standardmäßig bekannte Tracking-Cookies. Die Blockierung basiert auf von Disconnect gepflegten Listen bekannter Tracking-Domains. ETP ist für alle Firefox-Nutzer aktiviert. In Deutschland hat Firefox einen Marktanteil von rund 7-10 %.

Chrome — Privacy Sandbox

Die Chrome-Saga ist die komplexeste. Google kündigte 2020 an, Drittanbieter-Cookies abzuschaffen. Nach mehreren Verschiebungen gab Google im Juli 2024 bekannt, die Cookies doch nicht standardmäßig zu blockieren, sondern den Nutzern die Wahl zu überlassen. Im April 2025 bestätigte Google, dass kein spezieller Zustimmungsprompt in Chrome eingeführt wird.

Parallel werden die Privacy Sandbox APIs ausgerollt: Topics API (Interessenkategorien statt individuellem Tracking), Protected Audience API (Remarketing ohne Drittanbieter-Cookies), Attribution Reporting API (Conversion-Messung ohne individuelle Zuordnung).

Das Fazit: Selbst der Browser mit dem größten Marktanteil bewegt sich in Richtung weniger Tracking.

Kraft 2: Die Regulierung verschärft sich

In Deutschland bilden zwei Gesetze den rechtlichen Rahmen für Cookieless Tracking:

§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)

Seit 2021 (damals noch TTDSG, seit 2024 TDDDG) regelt § 25 den Zugriff auf Endeinrichtungen. Die Grundregel: Wer Informationen im Endgerät des Nutzers speichert oder ausliest (Cookies, localStorage, Fingerprints), braucht eine vorherige, informierte Einwilligung.

Die Ausnahme des § 25 Abs. 2 ist eng: Nur “unbedingt erforderliche” Zugriffe sind ausgenommen — Warenkorb, Login-Session, Sicherheitsfunktionen. Analytics fällt nicht darunter. Die DSK-Orientierungshilfe bestätigt dies.

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Auch ohne Cookies können personenbezogene Daten verarbeitet werden — z. B. vollständige IP-Adressen. Cookieless Tracking ist daher nicht automatisch DSGVO-konform. Entscheidend ist, ob und welche personenbezogenen Daten verarbeitet werden.

Die Einwilligungsverwaltungsverordnung (EinwV)

Seit April 2025 ist die Einwilligungsverwaltungsverordnung in Kraft. Die Idee: Nutzer sollen ihre Cookie-Entscheidungen zentral über anerkannte Dienste verwalten können, statt auf jeder Website erneut zu klicken. In der Praxis ist die Umsetzung noch in den Anfängen.

Kraft 3: Die Nutzer wehren sich

Die Zustimmungsraten für Analytics-Cookies sinken. In Deutschland stimmen durchschnittlich 40-70 % der Nutzer einem Cookie-Banner zu. Das bedeutet: Sie verlieren bis zu 60 % Ihrer Daten. Ihre Analysen basieren auf einer verzerrten Stichprobe. Und Cookie-Banner sind ein UX-Ärgernis, das die Nutzererfahrung beeinträchtigt.

Cookieless Tracking: Die Methoden im Detail

Methode 1: Sessionbasierte Analyse ohne Identifikatoren

Die einfachste und datenschutzfreundlichste Form des cookielosen Trackings. Jeder Seitenaufruf wird einzeln erfasst, ohne Verknüpfung zu einer Nutzeridentität. Metriken wie Seitenaufrufe, Verweildauer, Referrer und Geräteinformationen werden aggregiert gespeichert.

Vorteile: Maximaler Datenschutz, kein Cookie-Banner nötig, vollständig DSGVO- und TDDDG-konform.

Einschränkungen: Keine wiederkehrenden Besucher erkennbar, keine Session-übergreifende Analyse.

Tools: Simple Analytics, Plausible (im Grundmodus).

Methode 2: Tages-Hash-basierte Sessions

Ein Hash wird aus anonymisierten Daten berechnet (z. B. gekürzte IP-Adresse + User Agent + Tagesdatum), der täglich wechselt. Damit lassen sich Seitenaufrufe innerhalb eines Tages einer Session zuordnen, ohne den Nutzer am nächsten Tag wiederzuerkennen.

Vorteile: Sessionbasierte Analyse möglich (Seitenfluss, Verweildauer pro Session), kein Cookie nötig.

Einschränkungen: Keine langfristige Wiedererkennung, Hash muss nicht rückrechenbar sein.

Tools: Plausible, Fathom, Mirage Analytics.

Methode 3: Serverseitiges Tracking

Die Datenerfassung und -auswertung läuft über einen eigenen Server, nicht über den Browser. Statt dass der Browser Daten direkt an eine Plattform sendet, werden die Anfragen vom Server verarbeitet und anonymisiert.

Vorteile: Kein JavaScript im Browser nötig, kein Zugriff auf das Endgerät, vollständig TDDDG-konform.

Einschränkungen: Weniger detaillierte Daten (kein JavaScript-Event-Tracking), aufwändigere Implementierung.

Tools: Server-Log-Analyse, GoAccess, eigene Lösungen.

Methode 4: Privacy Sandbox APIs (Chrome)

Googles Alternative zu Cookies für Werbung und Messung. Die Topics API kategorisiert Nutzerinteressen, die Attribution Reporting API misst Conversions, die Protected Audience API ermöglicht Remarketing — alles ohne Drittanbieter-Cookies.

Vorteile: Unterstützung durch Chrome (größter Marktanteil).

Einschränkungen: Nur in Chrome verfügbar, Datenschutzbedenken wegen Googles Rolle, nicht für Analytics im engeren Sinne gedacht.

Methode 5: Fingerprinting (NICHT empfohlen)

Browser-Fingerprinting erstellt ein Profil aus Geräteeigenschaften (Bildschirmauflösung, installierte Schriften, WebGL-Rendering, etc.), um Nutzer ohne Cookies wiederzuerkennen.

Warum Sie das NICHT tun sollten:

  • § 25 TDDDG erfasst auch den Zugriff auf Geräteinformationen — Fingerprinting erfordert Einwilligung
  • Die DSGVO betrachtet Fingerprints als personenbezogene Daten
  • Browser bekämpfen Fingerprinting aktiv (Safari, Firefox)
  • Die DSK hat Fingerprinting als einwilligungspflichtig eingestuft

Cookieless Tracking und Session Replay: Geht das?

Ja. Mirage Analytics beweist, dass tiefe Einblicke ohne Cookies möglich sind.

Das Session Replay von Mirage basiert auf rrweb-Technologie: Es zeichnet die DOM-Mutationen der Seite auf und rekonstruiert daraus eine pixel-genaue Wiedergabe der Nutzersession. Keine Bildschirmaufnahme, keine Videos, keine personenbezogenen Daten.

Das bedeutet: Sie sehen, wie Ihre Besucher Ihre Website erleben — wo sie klicken, wo sie zögern, wo sie scheitern — ohne einen einzigen Cookie zu setzen und ohne eine einzige Person zu identifizieren.

Zusätzlich bietet Mirage:

  • Heatmaps (Klick + Scroll): Aggregierte Darstellung des Klick- und Scrollverhaltens
  • Error Monitoring: JavaScript-Fehler im Browser erkennen und Sessions zuordnen

Alles ohne Cookies, gehostet auf Scaleway in Europa. Ab 19 EUR netto/Monat.

Ausgangslage

Ein mittelständisches deutsches Unternehmen nutzt Google Analytics (GA4) mit Cookie-Banner. Die Zustimmungsrate liegt bei 55 %. Das bedeutet: 45 % des Traffics werden nicht erfasst. Die Marketingabteilung trifft Entscheidungen auf Basis unvollständiger Daten.

Umstellung

Das Unternehmen wechselt zu Mirage Analytics. Kein Cookie-Banner für Analytics nötig. 100 % des Traffics wird erfasst.

Ergebnisse nach 3 Monaten

  • Traffic-Daten: 45 % mehr erfasste Besuche (die vorher durch Cookie-Ablehnung verloren gingen)
  • Session Replay: 12 JavaScript-Fehler identifiziert, die Conversions blockierten
  • Heatmaps: Call-to-Action auf der Startseite unterhalb der Scroll-Grenze entdeckt und verschoben
  • Rechtskonformität: Cookie-Banner für Analytics entfernt, Datenschutzerklärung vereinfacht
  • Core Web Vitals: LCP um 200ms verbessert durch Entfernung des GA4-Skripts

Cookieless Tracking im Kontext europäischer Regulierung

DSK-Orientierungshilfe

Die Datenschutzkonferenz hat in ihrer Orientierungshilfe für Telemedienanbieter die Bedingungen für einwilligungsfreie Reichweitenmessung definiert. Cookieloses Tracking, das keine Informationen im Endgerät speichert oder ausliest, fällt nicht unter § 25 TDDDG.

BfDI-Position

Der BfDI hat betont: Entscheidend ist nicht das Label “cookieless”, sondern ob tatsächlich kein Zugriff auf das Endgerät stattfindet. Fingerprinting oder localStorage fallen ebenso unter § 25 TDDDG wie klassische Cookies.

Europäischer Kontext

Die ePrivacy-Richtlinie, die § 25 TDDDG zugrunde liegt, wird voraussichtlich durch die ePrivacy-Verordnung abgelöst. Der Entwurf verschärft die Anforderungen an die Einwilligung weiter. Cookieloses Tracking, das keine Geräteinformationen nutzt, bleibt davon unberührt.

Häufig gestellte Fragen (FAQ)

Ist Cookieless Tracking automatisch DSGVO-konform?

Nein. Cookieless Tracking bedeutet nur, dass keine Cookies gesetzt werden. Wenn das Tool trotzdem personenbezogene Daten verarbeitet (z. B. ungekürzte IP-Adressen, Fingerprints), gelten die DSGVO-Anforderungen. Die ideale Kombination ist: keine Cookies + keine personenbezogenen Daten.

Verliere ich Datenqualität mit Cookieless Tracking?

Sie verlieren die Fähigkeit, wiederkehrende Besucher über Sessions hinweg zu identifizieren. Dafür erfassen Sie 100 % Ihres Traffics, weil kein Cookie-Banner die Datenerhebung blockiert. In der Summe erhalten Sie oft zuverlässigere und vollständigere Daten.

Kann ich mit Cookieless Tracking Conversions messen?

Ja. Conversion-Events (Formular abgeschickt, Kauf abgeschlossen, Kontakt aufgenommen) können ohne Cookies gemessen werden. Tools wie Mirage Analytics bieten Multi-Typ-Conversion-Tracking mit Preis-Erfassung über CSS-Selektoren.

Was ist der Unterschied zwischen Cookieless Tracking und serverseitigem Tracking?

Cookieless Tracking ist ein Oberbegriff für alle Tracking-Methoden ohne Cookies. Serverseitiges Tracking ist eine spezifische Methode, bei der die Datenverarbeitung auf dem Server stattfindet, nicht im Browser. Serverseitiges Tracking ist eine Form von Cookieless Tracking, aber nicht alle cookielosen Tools sind serverseitig.

Welche Cookieless-Tracking-Tools empfehlen deutsche Datenschutzbehörden?

Die deutschen Datenschutzbehörden empfehlen keine spezifischen Tools, sondern definieren Anforderungen. Die DSK-Orientierungshilfe beschreibt die Bedingungen, unter denen Reichweitenmessung ohne Einwilligung möglich ist. Tools, die diese Bedingungen erfüllen, können einwilligungsfrei eingesetzt werden.

Fazit: Die Zukunft ist cookiefrei

Das Cookie-basierte Tracking-Modell ist am Ende. Die Browser blockieren es, die Regulierung verbietet es, die Nutzer lehnen es ab. Cookieless Tracking ist nicht die Zukunft — es ist die Gegenwart.

Die Frage ist nicht mehr, ob Sie umsteigen sollten. Die Frage ist, auf welches Tool. Wenn Sie nur Zahlen brauchen: Plausible oder Fathom. Wenn Sie verstehen wollen, was Ihre Besucher tatsächlich erleben: Mirage Analytics.

Mirage Analytics entdecken — Cookieless Tracking mit Session Replay, Heatmaps und Error Monitoring. Ab 19 EUR netto/Monat.

Quellen: § 25 TDDDG, DSK — Orientierungshilfe Telemedien, BfDI — Datenschutz, noyb — Google Analytics, Dr. DSGVO — § 25 TDDDG

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns