Ist Google Analytics DSGVO-konform?

TL;DR

Google Analytics 4 ist standardmäßig nicht DSGVO-konform. Das Tool erhebt personenbezogene Daten (IP-Adressen, Cookie-Kennungen, Navigationsdaten) und überträgt sie in die USA, was mehrere europäische Behörden dazu veranlasst hat, es für nicht konform zu erklären. GA4 kann konform genutzt werden, sofern Scripts vor der Einwilligung blockiert, der Consent Mode v2 korrekt konfiguriert und alles in der Datenschutzerklärung dokumentiert wird. Ohne diese Maßnahmen setzt sich Ihre Website konkreten rechtlichen Risiken aus.

Warum die Frage 2026 immer noch gestellt wird

Google Analytics ist nach wie vor das meistgenutzte Audience-Measurement-Tool der Welt. Dennoch ist seine DSGVO-Konformität seit Jahren Gegenstand von Debatten und regulatorischen Entscheidungen. Das Thema ist nicht theoretisch: Mehrere Datenschutzbehörden in Europa haben Entscheidungen getroffen, die der Nutzung von Google Analytics widersprechen.

Das zentrale Problem ist zweifach. Einerseits erhebt GA4 Daten, die im Sinne der DSGVO als personenbezogene Daten gelten (eindeutige Kennungen, IP-Adressen, Navigationsdaten). Andererseits werden diese Daten in die USA übertragen, ein Land, dessen Datenschutzniveau von der europäischen Justiz mehrfach in Frage gestellt wurde.

Für Website-Betreiber geht es nicht darum, ob Google Analytics gut oder schlecht ist, sondern darum zu verstehen, was konfiguriert werden muss, um es ohne rechtliches Risiko zu nutzen, und in welchen Fällen eine Alternative sinnvoller ist.

Was verlangt die DSGVO von Analytics-Tools?

Die DSGVO (Datenschutz-Grundverordnung) ist der europäische Rechtsrahmen, der seit Mai 2018 die Erhebung und Verarbeitung personenbezogener Daten regelt. Sie gilt für jede Website, die Daten von EU-Ansässigen verarbeitet, unabhängig vom Hostingstandort.

Für Analytics-Tools wie Google Analytics stellt die DSGVO mehrere konkrete Anforderungen.

Obligatorische Rechtsgrundlage. Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Für Analytics-Cookies ist die häufigste Grundlage die ausdrückliche Einwilligung des Nutzers. Die CNIL ist der Ansicht, dass Google Analytics-Cookies keine unbedingt erforderlichen Cookies sind und daher einer vorherigen Einwilligung bedürfen.

Blockierung vor der Einwilligung. Analytics-Scripts dürfen nicht geladen werden, solange der Nutzer seine Zustimmung nicht erteilt hat. Google Analytics vor der Einwilligung zu laden ist ein häufiger Verstoß, der von Regulatoren oft festgestellt wird.

Klare Information. Ihre Datenschutzerklärung muss erklären, welche Daten gesammelt werden, warum und wie der Nutzer seine Rechte ausüben kann (Zugang, Löschung, Widerruf der Einwilligung).

Geregelte Datenübertragungen. Wenn Daten außerhalb der EU übertragen werden, sind zusätzliche Garantien erforderlich (Standardvertragsklauseln, Angemessenheitsbeschluss oder ergänzende technische Maßnahmen).

Erhebt Google Analytics personenbezogene Daten?

Ja. Google Analytics erhebt mehrere Datenkategorien, die nach der DSGVO als personenbezogene Daten gelten. Dazu gehören die IP-Adresse des Besuchers, die Cookie-Kennungen der einzelnen Nutzer, Navigationsdaten (besuchte Seiten, Sitzungsdauer, durchgeführte Aktionen), technische Informationen (Browsertyp, Betriebssystem, Bildschirmauflösung) und ungefähre Standortdaten.

Google agiert als Auftragsverarbeiter (data processor) im Auftrag des Website-Betreibers, der der Verantwortliche (data controller) bleibt. Es ist der Website-Betreiber, der sich für die Installation von Google Analytics entscheidet und daher rechtlich für die Konformität dieser Datenerhebung verantwortlich ist.

Der Unterschied ist wichtig: Auch wenn Google Konfigurationswerkzeuge zur Verbesserung der Konformität bereitstellt, liegt es an Ihnen, diese zu aktivieren und sicherzustellen, dass alles korrekt funktioniert.

Was die europäischen Behörden entschieden haben

Mehrere Datenschutzbehörden in Europa haben die Nutzung von Google Analytics geprüft und bedeutsame Entscheidungen getroffen.

Österreich (Januar 2022). Die österreichische Behörde (DSB) war die erste, die feststellte, dass die Nutzung von Google Analytics durch eine österreichische Website gegen Kapitel V der DSGVO über internationale Datenübermittlungen verstieß. Die Entscheidung stützte sich auf das Schrems-II-Urteil des EuGH.

Frankreich (Februar 2022). Die CNIL stellte fest, dass die Nutzung von Google Analytics einen Verstoß gegen Artikel 44 der DSGVO darstellte, da personenbezogene Daten ohne angemessenen Schutz in die USA übertragen wurden. Die CNIL forderte mehrere französische Websites auf, sich innerhalb eines Monats in Einklang zu bringen.

Italien (Juni 2022). Der Garante italiano traf eine ähnliche Entscheidung und ordnete eine italienische Website an, Google Analytics unter den bestehenden Bedingungen nicht mehr zu nutzen.

Dänemark und Norwegen. Die dänische und norwegische Behörde kamen ebenfalls zu dem Schluss, dass Google Analytics unter den Bedingungen des Datentransfers in die USA nicht DSGVO-konform war.

Diese Entscheidungen teilen eine gemeinsame Grundlage: die Ungültigkeitserklärung des Privacy Shield durch das Schrems-II-Urteil im Juli 2020 und den fehlenden ausreichenden Schutz europäischer Daten vor US-amerikanischen Überwachungsprogrammen.

Seit Juli 2023 bietet das EU-US Data Privacy Framework (DPF) einen neuen Rahmen für transatlantische Übertragungen. Google ist unter diesem Rahmen zertifiziert. Die rechtliche Stabilität des DPF bleibt jedoch ungewiss: Mehrere Organisationen, darunter noyb, haben Klagen vor dem EuGH eingereicht, und eine Entscheidung wird in den kommenden Jahren erwartet.

Wie Google Analytics rechtskonform genutzt werden kann

GA4 kann DSGVO-konform genutzt werden, erfordert aber eine aktive Konfiguration. Die Installation von GA4 mit den Standardeinstellungen reicht nicht aus.

Schritt 1: GA4 vor der Einwilligung blockieren

Das ist die wichtigste Regel. Das Google Analytics-Script darf nicht geladen werden, solange der Nutzer keine Analytics-Cookies über Ihr Cookie-Banner. Ein Banner, das angezeigt wird, aber die Scripts nicht effektiv blockiert, ist nicht konform.

Öffnen Sie zur Überprüfung Ihre Website in einem sauberen Browser (privates Surfen) und prüfen Sie die Netzwerkanfragen, bevor Sie mit dem Banner interagieren. Wenn Sie Anfragen an google-analytics.com oder googletagmanager.com sehen, werden Ihre Scripts vor der Einwilligung geladen.

Schritt 2: Consent Mode v2 konfigurieren

Der Consent Mode v2 ist der Google-Mechanismus, der das Verhalten der Google-Tags entsprechend der Einwilligung des Nutzers anpasst. Er ist seit März 2024 obligatorisch, um die Remarketing- und Messfunktionen im EWR zu erhalten.

Die vier zu konfigurierenden Parameter sind analytics_storage, ad_storage, ad_user_data und ad_personalization. Alle müssen für europäische Besucher standardmäßig auf denied gesetzt werden und dann über Ihre CMP aktualisiert werden, wenn der Nutzer seine Einwilligung erteilt.

Der Consent Mode v2 ersetzt nicht die Script-Blockierung. Im basic-Modus laden Google-Tags vor der Einwilligung nicht. Im advanced-Modus werden auch ohne Einwilligung cookielose Pings gesendet, was rechtliche Fragen aufwirft.

Schritt 3: GA4 für Datensparsamkeit konfigurieren

Aktivieren Sie die IP-Adressanonymisierung (standardmäßig in GA4 aktiviert). Reduzieren Sie die Datenspeicherungsdauer auf das notwendige Minimum (2 oder 14 Monate je nach Bedarf). Deaktivieren Sie Google Signals, wenn Sie es nicht benötigen, da es geräteübergreifendes Tracking aktiviert. Deaktivieren Sie die granulare Erfassung von Standort- und Gerätedaten, wenn diese für Ihre Analyse nicht erforderlich sind.

Schritt 4: Datenschutzerklärung aktualisieren

Ihre Datenschutzerklärung muss ausdrücklich die Nutzung von Google Analytics, die erhobenen Daten, die Rechtsgrundlage (Einwilligung), die Aufbewahrungsdauer, die Übertragungen in die USA und den anwendbaren Rechtsrahmen (DPF) sowie die Nutzerrechte (Zugang, Löschung, Widerruf der Einwilligung) erwähnen.

Schritt 5: Eine konforme CMP verwenden

Ihre Consent-Management-Plattform muss Scripts vor der Einwilligung effektiv blockieren, die Consent Mode v2-Signale übermitteln, den Einwilligungsnachweis aufzeichnen und speichern sowie den jederzeitigen Widerruf der Einwilligung ermöglichen. Um eine geeignete CMP auswählen, stellen Sie sicher, dass sie die technische Script-Blockierung und nicht nur die Anzeige eines Banners verwaltet.

Häufige Fehler (und wie man sie vermeidet)

GA4 vor der Einwilligung laden. Das ist der häufigste Fehler. Das Script lädt beim Seitenaufruf, vor jeder Interaktion mit dem Banner. Abhilfe: Konfigurieren Sie Ihre CMP so, dass sie den GA4-Tag blockiert, bis die Einwilligung erteilt wurde.

Sich ausschließlich auf den Consent Mode verlassen. Der Consent Mode passt das Verhalten der Google-Tags an, blockiert aber keine Drittanbieter-Scripts. Wenn Sie andere Tracker verwenden (Facebook Pixel, TikTok usw.), müssen diese von Ihrer CMP separat blockiert werden. Um das Funktionsprinzip der verschiedenen Cookie-Typen zu verstehen, lesen Sie unseren entsprechenden Leitfaden.

Nach der Konfiguration nicht testen. Viele Websites zeigen ein konformes Banner an, überprüfen aber nicht, ob die Scripts tatsächlich blockiert werden. Verwenden Sie einen Cookie-Scanner um das tatsächliche Verhalten Ihrer Website zu überprüfen.

Datenübertragungen ignorieren. Das EU-US DPF deckt Übertragungen zu Google in die USA ab, seine Beständigkeit ist jedoch nicht garantiert. Dokumentieren Sie Ihre Risikobewertung.

Ein Banner ohne gleichwertige Ablehnungsoption verwenden. Die CNIL verlangt, dass der Button Ablehnen genauso sichtbar und zugänglich ist wie der Button Akzeptieren. Ein Banner mit einem gut sichtbaren Akzeptieren-Button und einem Link Einstellungen in kleiner Schrift ist nicht konform.

Technische Konformität und rechtliche Konformität verwechseln. GA4 korrekt zu konfigurieren ist notwendig, aber nicht ausreichend. Es ist auch notwendig, Ihre Rechtsgrundlage, Ihre Aufbewahrungsrichtlinie und Ihre Verfahren zur Beantwortung von Betroffenenanfragen zu dokumentieren.

Konforme Alternativen zu Google Analytics

Wenn die Konfigurationsanforderungen von GA4 für Ihr Unternehmen zu aufwendig sind oder Sie die Risiken transatlantischer Übertragungen lieber vermeiden möchten, gibt es mehrere Alternativen.

Die CNIL hat eine Liste von Audience-Measurement-Tools veröffentlicht, die unter bestimmten Bedingungen einwilligungsfrei sein können. Matomo (in konformer Konfiguration) gehört zu den von der CNIL anerkannten Tools. Die Einwilligungsbefreiung gilt nur, wenn das Tool so konfiguriert ist, dass es anonyme und aggregierte Statistiken ohne Datenübertragung außerhalb der EU erzeugt.

Checkliste DSGVO-Konformität Google Analytics

1. Prüfen, dass das GA4-Script vor der Einwilligung des Nutzers blockiert ist.
2. Consent Mode v2 mit den vier Parametern standardmäßig auf denied für den EWR konfigurieren.
3. Eine CMP verwenden, die Scripts effektiv blockiert (nicht nur ein Banner anzeigt).
4. IP-Anonymisierung in GA4 aktivieren.
5. Datenspeicherungsdauer auf das unbedingt Notwendige reduzieren.
6. Google Signals deaktivieren, wenn geräteübergreifendes Tracking nicht unbedingt erforderlich ist.
7. Datenschutzerklärung mit den Pflichtangaben aktualisieren.
8. Das tatsächliche Verhalten der Website mit einem Cookie-Scanner testen.
9. Risikobewertung bezüglich der Übertragungen in die USA dokumentieren.
10. Ein Verfahren zur Beantwortung von Betroffenenanfragen (Zugang, Löschung) vorsehen.

FAQ

Ist Google Analytics in Europa illegal? Google Analytics ist als solches nicht verboten. Mehrere europäische Behörden haben geurteilt, dass seine Nutzung unter den damaligen Bedingungen für Datenübertragungen in die USA gegen die DSGVO verstieß. Seit der Annahme des Data Privacy Framework im Juli 2023 hat sich der Rechtsrahmen für Übertragungen weiterentwickelt, aber Klagen sind beim EuGH anhängig.

Benötige ich ein Cookie-Banner, wenn ich Google Analytics nutze? Ja. Google Analytics setzt Cookies und erhebt personenbezogene Daten. Die DSGVO und die ePrivacy-Richtlinie verlangen eine ausdrückliche Einwilligung, bevor nicht erforderliche Cookies gesetzt werden.

Macht der Consent Mode v2 Google Analytics DSGVO-konform? Nein, nicht allein. Der Consent Mode v2 passt das Verhalten der Google-Tags entsprechend der Einwilligung an, stellt jedoch keine vollständige Compliance-Lösung dar.

Anonymisiert GA4 IP-Adressen automatisch? GA4 kürzt IP-Adressen standardmäßig, aber diese Kürzung stellt keine vollständige Anonymisierung im Sinne der DSGVO dar.

Kann ich Google Analytics ohne Cookies nutzen? GA4 verwendet standardmäßig First-Party-Cookies. Es ist möglich, GA4 über den Consent Mode im Cookie-losen Modus zu konfigurieren, die erfassten Daten sind dann jedoch sehr begrenzt.

Welche Sanktionen gibt es bei Nichteinhaltung? Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Die CNIL hat mehrere französische Websites aufgefordert, sich in Folge von Beschwerden der Organisation noyb in Einklang zu bringen.

Fazit und nächste Schritte

Google Analytics 4 kann DSGVO-konform genutzt werden, erfordert aber eine rigorose Konfiguration: Script-Blockierung vor der Einwilligung, korrekt konfigurierter Consent Mode v2, aktualisierte Datenschutzerklärung und funktionsfähige CMP. Wenn Sie nicht sicher sind, ob Ihre Website diese Anforderungen erfüllt, beginnen Sie mit einem Audit Ihrer Cookies um die Scripts zu identifizieren, die vor der Einwilligung geladen werden, sowie nicht deklarierte Cookies.