Zum Inhalt springen
R Ronny Reblitz

Case Study · Datenschutz & Technik

Cookieloses Web-Analytics auf Shared Hosting: Besucherzahlen ohne Consent-Banner

Diese Website misst Besucherzahlen, Verweildauer und Conversion-Ereignisse, ohne ein einziges Cookie zu setzen und ohne Daten an Drittanbieter zu geben. Das System dahinter ist selbst entwickelt, läuft auf gewöhnlichem Shared Hosting und ist inzwischen auf zwei Live-Websites im Einsatz. So funktioniert es.

Von Ronny Reblitz · 12. Juni 2026 · Lesedauer ca. 5 Min.

Warum überhaupt selbst bauen?

Die üblichen Optionen für Web-Analytics haben alle einen Haken. Google Analytics liefert viel, schickt die Daten aber an einen Drittanbieter und verlangt ein Einwilligungs-Banner, das Besucher nervt und Messdaten verzerrt: Wer das Banner ablehnt, taucht in der Statistik nicht auf. Bezahlte Privacy-Tools wie Plausible sind gut, kosten aber laufend Geld und legen die Daten ebenfalls in fremde Hände.

Für die Entscheidungen, die ein kleines Unternehmen aus Webstatistiken ableitet, reicht ein schlankeres System: Welche Seiten werden gelesen, woher kommen die Besucher, was wird geklickt, wo brechen Leute ab. Genau das leistet die hier beschriebene Eigenentwicklung, nach dem Vorbild von Plausible, aber auf dem eigenen Webspace.

Messen ohne Cookies: das Prinzip

Die Kernfrage jeder Reichweitenmessung lautet: Wie erkennt man, dass zwei Seitenaufrufe zum selben Besuch gehören, ohne den Besucher dauerhaft zu markieren? Die Antwort dieses Systems:

  • Auf dem Endgerät wird nichts gespeichert und nichts gelesen. Kein Cookie, kein localStorage, kein Fingerprinting über Canvas oder Fonts.
  • Der Server bildet aus IP-Adresse, Browser-Kennung und einem täglich wechselnden Zufallswert einen Hash. Der Hash unterscheidet Besuche desselben Tages, die IP-Adresse selbst wird zu keinem Zeitpunkt gespeichert.
  • Um Mitternacht wird der Zufallswert überschrieben. Danach lässt sich kein gestriger Besuch mehr einem heutigen zuordnen, auch von mir nicht. Eine dauerhafte Wiedererkennung ist technisch ausgeschlossen.

Erfasst werden Seitenaufrufe mit Referrer und Kampagnenparametern, die sichtbare Verweildauer, die Scrolltiefe, Klicks auf externe Links sowie erfolgreich abgeschickte Formulare. Also genau die Ereignisse, aus denen sich ablesen lässt, ob eine Website ihren Zweck erfüllt.

Die rechtliche Einordnung, kurz gefasst

Das Einwilligungs-Erfordernis aus § 25 TDDDG knüpft an den Zugriff auf das Endgerät an: Wer Cookies setzt oder Gerätespeicher ausliest, braucht vorher ein Ja. Diese Messung tut beides nicht, deshalb entfällt das Banner. Die Verarbeitung stützt sich auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO und ist in der Datenschutzerklärung transparent beschrieben, inklusive einer Abschaltmöglichkeit pro Gerät. Rohdaten werden nach 14 Monaten automatisch gelöscht.

Eine Anmerkung der Ehrlichkeit halber: Ich bin Techniker, kein Anwalt. Die Umsetzung folgt dem Modell etablierter cookieloser Tools und dokumentiert jede Designentscheidung, die rechtliche Bewertung im Einzelfall bleibt Aufgabe der Rechtsberatung.

Shared Hosting als Randbedingung

Das System läuft auf einem gewöhnlichen Strato-Webspace. Das klingt nach einer Einschränkung und war tatsächlich eine der interessanteren Engineering-Aufgaben, denn Shared Hosting bedeutet: kein Cron, kein Node-Prozess, keine Root-Rechte. Drei Entscheidungen haben sich bewährt:

  • PHP plus eine SQLite-Datei als gesamter Stack. Keine eigene Datenbank-Instanz, kein Server-Prozess. Die komplette Messung einer Website liegt in einer einzigen Datei, die per .htaccess von außen gesperrt ist.
  • Wartung ohne Cron: Die tägliche Salt-Rotation und das Löschen alter Rohdaten laufen „lazy" beim jeweils ersten Request nach Mitternacht beziehungsweise stichprobenartig mit. Der Betrieb braucht keinerlei manuelle Pflege.
  • Konservative SQLite-Einstellungen: Auf Shared-Hosting-Storage ist der WAL-Modus riskant, deshalb läuft die Datenbank bewusst im klassischen Journal-Modus mit großzügigem Busy-Timeout.

Was das Dashboard zeigt

Ein passwortgeschütztes Dashboard auf demselben Webspace wertet die Daten aus: Besucher und Seitenaufrufe im Zeitverlauf, Top-Seiten, Referrer, Herkunftsländer (über eine lokale Länderdatenbank, ohne externe Geo-Dienste), Verweildauer, Scrolltiefe und Conversion-Ereignisse wie abgeschickte Kontaktformulare. Die Diagramme rendert eine lokal eingebundene Chart-Bibliothek, auch das Dashboard lädt nichts von fremden Servern nach.

Bewährt im Betrieb, wiederverwendbar in Stunden

Das System läuft im Live-Betrieb auf zwei Websites, und die zweite Installation war innerhalb weniger Stunden einsatzbereit. Entwickelt wurde es ursprünglich für betreut-ohne-heim.de, wo es seit dem Launch die komplette Reichweitenmessung übernimmt. Für diese Website hier brauchte die zweite Instanz nur eine eigene Datenbank, ein eigenes Dashboard-Passwort und angepasste erlaubte Hosts. Gute Systeme zahlen sich beim zweiten Einsatz doppelt aus.

Bewusst nicht enthalten sind Personenprofile, geräteübergreifende Funnels und Werbenetzwerk-Anbindungen. Wer solche Auswertungen braucht, braucht ein anderes Setup samt Einwilligungs-Management. Für die Frage „funktioniert meine Website und was sollte ich verbessern?" liefert die schlanke Messung verlässliche Antworten, ohne Besucher zu behelligen.

Wie diese Website auch ihre eingehenden Anfragen automatisiert vorsortiert, zeigt die zweite Case Study: Anfrage-Triage mit lokalem Sprachmodell. Die technischen Grundsätze hinter beiden Systemen stehen im Tech-&-Compliance-Hub.

Ist selbst gehostetes Analytics auch für Ihre Website eine Option?

Ob Reichweitenmessung, Formular-Backend oder Schnittstellen: Im Erstgespräch klären wir gemeinsam, welche Lösung zu Ihrer Website und Ihren Anforderungen passt.

Erstgespräch anfragen

Alle Beiträge: Insights-Übersicht