Zum Hauptinhalt springen
Alle Beiträge

DSGVO-konformes Analytics ohne Cookie-Banner: Unser Self-Hosted-Setup

· 3 Min. Lesezeit ·
infrastruktur self-hosting dsgvo analytics

Die meisten Unternehmen haben dieselbe Analytics-Geschichte: Google Analytics ist installiert, weil es kostenlos und verbreitet ist. Ein Cookie-Consent-Banner kommt dazu, weil der Rechtsbeistand darauf besteht. Ein Bruchteil der Nutzer klickt auf „Akzeptieren”. Die Datenbasis wird zunehmend lückenhaft, während immer mehr Menschen ablehnen oder Ad-Blocker nutzen. Und irgendwo im Hintergrund werden Besucherdaten auf US-Servern nach Bedingungen verarbeitet, die in Europa wiederholt juristisch angefochten wurden.

Es gibt einen saubereren Weg — ohne Cookie-Banner, mit Daten auf EU-Infrastruktur und trotzdem den Zahlen, die tatsächlich relevant sind.

Warum Self-Hosted Analytics eine eigene Kategorie ist

Cloud-Analytics-Tools leiten Besucherdaten an ihre eigene Infrastruktur weiter. Für die DSGVO bedeutet das: Man verlässt sich auf Standardvertragsklauseln, Angemessenheitsbeschlüsse und die Nutzungsbedingungen eines Dritten, um diese Übermittlung zu rechtfertigen. Das ist in vielen Fällen vertretbar — aber nicht die stärkste Position.

Self-Hosted Analytics überträgt keine Daten an Dritte. Besucherereignisse gehen von der Website zum eigenen Server. Das war’s. Vollständige Kontrolle über Speicherdauer, Zugriff und Löschung. Cookie-Banner entstehen, weil Analytics persistente Identifikatoren setzt — datenschutzorientierte Tools wie Plausible verzichten vollständig auf Cookies und persistente IDs, was die DSGVO-Einwilligungspflicht für das Tracking entfallen lässt.

Zwei Tools für zwei verschiedene Anforderungen

Wir betreiben beide Analytics-Tools parallel, weil sie verschiedene Fragen beantworten.

Plausible ist für Traffic- und Content-Analysen ausgelegt. Wie viele Menschen haben die Website besucht, welche Seiten, aus welchen Quellen, auf welchen Geräten. Es ist von Haus aus datenschutzfreundlich: keine Cookies, kein Cross-Site-Tracking, keine personenbezogenen Daten. Das Tracking-Script wiegt unter 1 KB. Unter der DSGVO ist kein Cookie-Banner erforderlich.

Rybbit konzentriert sich auf Conversion- und Produkt-Analysen: Nutzer-Journeys, Funnels, Retention. Wer einen Onlineshop oder ein SaaS betreibt und verstehen will, wo Nutzer in einem Prozess abspringen, kommt mit Plausibles Session-Modell nicht weit. Rybbit deckt das ab.

Beide laufen auf einem einzigen Hetzner-VPS. Kombinierte Serverkosten: dieselben 16 Euro im Monat, die ohnehin anfallen.

Was man über Plausible CE wissen sollte

Plausible CE ist die selbst-gehostete Community-Edition. Im Vergleich zu Plausible Cloud gibt es einige Punkte zu beachten:

Das 404-Tracking-Plugin existiert in CE nicht. Die Plausible-Oberfläche erlaubt die Auswahl in der Script-Konfiguration, aber die generierte Script-URL gibt HTTP 404 zurück. Keine Kombination mit 404 verwenden — sie bricht das Tracking vollständig. Gültige Kombinationen sind etwa script.outbound-links.js, script.tagged-events.js und deren Kombinationen.

CSP-Konfiguration: Hat die Website eine Content Security Policy, braucht Plausible Einträge in sowohl script-src (wo das Script-File liegt) als auch connect-src (wohin es Daten sendet). Beide zeigen auf die eigene Plausible-Domain. Fehlt einer der Einträge, schlägt das Tracking still fehl.

Was man über Rybbit auf Coolify wissen sollte

Rybbit hat eine geteilte Architektur: ein Next.js-Frontend und einen separaten Backend-API-Server. Das Coolify-One-Click-Deployment startet beide Container, aber der Backend-Container ist standardmäßig nicht öffentlich erreichbar. Das Frontend versucht /api-Routen aufzulösen, die nicht funktionieren — woraufhin das Signup-Formular scheinbar leer erscheint (das Formular ist vorhanden, aber mit opacity: 0 unsichtbar).

Die Lösung: Den Backend-Container über Traefik exponieren und Host(yourdomain) && PathPrefix(/api) auf Port 3001 routen — ohne Strip-Prefix. Sobald das eingerichtet und die SERVICE_URL-Umgebungsvariable auf HTTPS korrigiert ist, funktioniert alles wie erwartet.

Nach dem Erstellen des ersten Accounts DISABLE_SIGNUP=true in den Umgebungsvariablen setzen.

Was das in der Praxis bedeutet

Das Einrichten beider Tools kostet rund 30–40 Minuten zusätzlich zum Basis-VPS-Deployment. Danach ist der laufende Aufwand nahezu null. Beide Tools arbeiten still, senden Daten in die eigenen Datenbanken auf demselben Server und brauchen keine Wartung außer bei Versionsupdates.

Die Compliance-Position ist sauber: Besucherdaten verlassen die eigene Infrastruktur nie, werden nicht mit Dritten geteilt, und Plausibles cookie-freies Design macht kein Consent-Management erforderlich.

Für Unternehmen unter der DSGVO im EU-Raum ist das eine deutlich stärkere Position als Cloud-Analytics — ohne nennenswert höhere Kosten.

Wer dieses Setup eingerichtet und gepflegt haben möchte, ohne sich selbst mit den Deployment-Details zu beschäftigen, übernehmen wir das im Rahmen unseres Infrastruktur-Services.

Mehr zum Thema

Erfahren Sie, wie wir DSGVO-konforme Self-Hosted-Infrastruktur aufsetzen und betreiben, für einen Bruchteil der SaaS-Kosten.

Mehr erfahren
← Alle Beiträge