Rechtlich dürfen wir das nicht beantworten. Rechtliche Experten wie das Bayerische Landesamt für Datenschutz und Datenschutzbeauftragter sowie Rechtsanwalt Martin Erlewein halten diese Lösung für datenschutzkonform. Auszug aus der Anfrage an das Bayerische Landesamt für Datenschutz (Stand 29. Juni 2020):
Nach diesem Verständnis sehen wir keine Einwände gegen eine Verarbeitung auf Grundlage eines berechtigten Interesses, da keine entgegenstehenden Interessen der Nutzer ersichtlich sind, welche überwiegen könnten.
Die von Ihnen dargestellte Möglichkeit, die Skripte lokal vom Server des Verantwortlichen zu laden erscheint daher vorzugswürdig.
Diese Bewertung erfolgt rein auf juristischer Grundlage, eine technische Prüfung ist nicht erfolgt und es wird vorausgesetzt, dass die von Ihnen dargestellten Vorgehensweisen in dieser Art und Weise durchgeführt werden können.
Alternative Webseiten-Statistik-Anbieter wie eTracker, Matomo/ Piwik funktionieren praktisch genauso und reklamieren für sich die DSGVO-Konformität.
Bis dato störte die tendenziell strengen Datenschutzbehörden die mögliche Erstellung und Zusammenführung von Nutzerprofilen. Durch die von uns eingesetzte Anonymisierung der IP-Adresse plus individuell gesalzene Verschlüsselung SHA-256
ist eine solche Erstellung von Nutzerprofilen wirtschaftlich und praktisch abwegig. Dazu speichern wir nichts dieser Daten auf dem Server der Webseite oder dem Rechner des Nutzers.
Daher spricht sehr viel für eine datenschutzkonforme Lösung nach DSGVO.
Wer will, darf (und sollte nach Bayerischem Landesamt für Datenschutz) das Google Analytics-Script analytics.js
auch vom eigenen Server anstatt von Google laden (offiziell erlaubt, vgl. https://support.google.com/analytics/answer/1032389?hl=de). Damit sollten keine personenbezogenen Daten an Google Analytics übermittelt werden.
Update 20. Juli 2020: das gekippte EU-US Privacy Shield-Abkommen betrifft "nur" die Übersendung von personenbezogenen Daten in Drittstaaten. Vorliegende Lösung basiert jedoch gerade auf anonymisierten verschlüsselten Daten, selbst Google kann keine Nutzerprofile erstellen. Demnach spielt das Urteil für unsere Lösung mangels Personenbezug keine Rolle - jedenfalls wenn man das Analytics-Script vom eigenen Server ausliefert (ist einfach und in der Dokumentation ausführlich erklärt). Auch hat Google für viele Dienste bereits die Auftragsdatenverarbeitungsbedingungen inkl. Standardvertragsklauseln angepasst, vgl. https://privacy.google.com/businesses/processorterms/.