Google Analytics 4 und DSGVO-Cookies: der Konformitätsleitfaden

TL;DR

Google Analytics 4 (GA4) setzt Cookies (_ga, _ga_XXXXXX, _gid), die es Google ermöglichen, Besuchende und ihr Verhalten zu verfolgen. Unter der DSGVO erfordert die Nutzung von GA4 eine vorherige Einwilligung für Analyse-Cookies. Wer GA4 nicht vor der Einwilligung blockiert, riskiert eine Nichteinhaltung der DSGVO, wie der BfDI und mehrere europäische Datenschutzbehörden betont haben.

Google Analytics ist das weltweit meistgenutzte Analyse-Tool. Doch seit 2022, als mehrere europäische Datenschutzbehörden Entscheidungen zu Universal Analytics trafen, steht sein Nachfolger GA4 unter besonderer regulatorischer Aufmerksamkeit. Wie nutzt man GA4 DSGVO-konform? Dieser Leitfaden beantwortet diese Frage.

Welche Cookies setzt GA4 und welche Daten erfasst es?

Die wichtigsten Cookies von GA4

1. _ga: eindeutiger Besucher-Identifier, standardmäßig 2 Jahre gültig, auf Ihrer Domain gesetzt
2. _ga_XXXXXX (Mesungs-ID): GA4-Sitzungs-Cookie, 2 Jahre gültig
3. _gid: Sitzungs-Identifier, 24 Stunden gültig
4. _gat_UA-XXXXXX: Cookie zur Drosselung von Anfragen (sofern vorhanden), 1 Minute gültig

GA4 erfasst besuchte URLs, Interaktionsereignisse (Klicks, Scroll, Formulare), Performance-Daten, ungefähre Geolokalisierung sowie Geräte- und Browserinformationen. Diese Daten werden an die Server von Google übertragen, von denen sich ein Teil in den USA befindet.

Die geltenden Aufbewahrungsfristen für _ga-Cookies finden Sie in unserem Leitfaden zur Cookie-Speicherdauer unter der DSGVO.

Erfordert GA4 eine Einwilligung unter der DSGVO?

Ja. GA4 setzt persistente Cookies zu Analysezwecken, die für den angeforderten Dienst nicht unbedingt erforderlich sind. Die ePrivacy-Richtlinie, in Deutschland durch das TTDSG umgesetzt, und die DSGVO verlangen für solche Tracker eine vorherige Einwilligung. Es gibt keine allgemeine Befreiung für Analyse-Tools.

Der regulatorische Kontext seit 2022

Im Jahr 2022 stellten mehrere europäische Datenschutzbehörden fest, dass die Nutzung von Google Analytics (Universal Analytics) Datenübertragungen in die USA verursachte, die unter den damaligen technischen Bedingungen nicht DSGVO-konform waren. Diese Entscheidungen verboten GA nicht, unterstrichen jedoch die Compliance-Pflichten: vorherige Einwilligung, korrekte Konfiguration und Bewertung von Drittlandübertragungen.

Führen Sie vor der Konfiguration von GA4 unter Einwilligung ein vollständiges Cookie-Audit durch.

Wie wird GA4 an die Einwilligung geknüpft?

Die empfohlene Methode ist die Kombination aus Google Consent Mode v2 und einer regelkonformen CMP. Dies ermöglicht GA4, vor der Einwilligung im Degradierten Modus (ohne Cookies) zu arbeiten und nach der Zustimmung vollständige Daten zu laden.

Google Consent Mode v2 und GA4

Google Consent Mode v2 übermittelt den Einwilligungsstatus der Nutzenden an GA4 über zwei Schlüsselparameter: analytics_storage (für Analyse-Cookies) und ad_storage (für Werbe-Cookies). Vor der Einwilligung arbeitet GA4 ohne Cookies und erfasst aggregierte, anonymisierte Daten. Nach der Zustimmung werden vollständige Cookies gesetzt.

Unseren vollständigen Leitfaden zu Google Consent Mode v2 finden Sie hier.

Empfohlene GA4-Konfiguration für die DSGVO-Konformität

1. Google Consent Mode v2 über Ihre CMP vor dem Laden von GA4 aktivieren
2. analytics_storage = 'denied' und ad_storage = 'denied' standardmäßig im dataLayer setzen
3. Google Signals in den GA4-Einstellungen deaktivieren, wenn Ihre Zielgruppe hauptsächlich europäisch ist
4. Datenspeicherung auf 14 Monate reduzieren (kürzeste Option in GA4)
5. Sicherstellen, dass die IP-Anonymisierung aktiv ist (Standard in GA4, aber prüfen ob nicht deaktiviert)
6. Anzeigenpersonalisierung nicht aktivieren

Häufige Fehler mit GA4 und der DSGVO

GA4 lädt im <head> ohne Bedingung. Das Skript und die Cookies werden beim Seitenaufruf ausgelöst, bevor das Banner erscheint. Lösung: GTM mit Consent Mode v2 oder Skriptblockierung durch die CMP.

Die Analytics-Einwilligungsausnahme wird geltend gemacht. Einige Datenschutzbehörden erkennen eine begrenzte Ausnahme für Erstanbieter-Analyse-Tools unter strengen Bedingungen an, aber GA4 in seiner Standardkonfiguration erfüllt diese Kriterien nicht.

IP-Anonymisierung wird als ausreichend angesehen, um die Einwilligung zu umgehen. Partielle IP-Anonymisierung befreit GA4's persistente Cookies nicht von der Einwilligungspflicht. Das sind zwei getrennte Fragen.

Google Signals ist aktiv, ohne spezifisch darüber zu informieren. Google Signals ermöglicht geräteübergreifendes Remarketing und erfordert eine spezifische Information und Einwilligung. Deaktivieren Sie es, wenn Sie es nicht nutzen.

Die Datenspeicherung ist auf 26 Monate belassen (Standardwert). Reduzieren Sie sie in den GA4-Einstellungen auf 14 Monate (Admin > Dateneinstellungen > Datenspeicherung).

Checkliste: GA4 DSGVO-konform einsetzen

1. GA4- oder GTM-Skript standardmäßig über Ihre CMP blockieren
2. Google Consent Mode v2 mit analytics_storage und ad_storage auf 'denied' standardmäßig implementieren
3. Prüfen, dass GA4 kein _ga-Cookie vor der Zustimmung setzt (Test im privaten Browsermodus)
4. Datenspeicherung in GA4 auf 14 Monate reduzieren
5. Google Signals deaktivieren, sofern kein geräteübergreifendes Remarketing genutzt wird
6. Anzeigenpersonalisierung nicht aktivieren
7. GA4 und Google Ireland Ltd in der Datenschutzerklärung erwähnen
8. Drittlandübertragung in die USA und Abdeckung durch das EU-US DPF dokumentieren
9. Verarbeitung im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentieren
10. Regelmäßige Audits einplanen

Fazit

GA4 lässt sich DSGVO-konform einsetzen, wenn eine vorherige Einwilligung eingeholt und Google Consent Mode v2 korrekt konfiguriert wird. Die Kombination aus CMP und Consent Mode v2 ermöglicht es, Analysedaten zu behalten und gleichzeitig die Entscheidungen der Nutzenden zu respektieren.

Prüfen Sie mit dem FlowConsent Cookie-Scanner, dass _ga-Cookies vor der Zustimmung nicht gesetzt werden.