Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Google Analytics ist Googles kostenlose Webanalyse-Plattform, die auf ueber 50 Prozent aller Websites weltweit eingesetzt wird. Sie erfasst ueber ein JavaScript-Tag das Besucherverhalten, Trafficquellen, Konversionen und demografische Informationen. Die Daten werden auf Googles Servern in den USA verarbeitet und erfordern gemaess DSGVO und ePrivacy-Richtlinie eine vorherige Nutzereinwilligung.
Google Analytics ist ein kostenloser Webanalysedienst von Google, der ueber ein JavaScript-Snippet in Webseiten eingebunden wird. Bei jedem Seitenaufruf sendet der Browser des Besuchers Daten wie aufgerufene Seiten, Sitzungsdauer, Geraetetyp, Browserversion, geografische Herkunft und Trafficquelle an Googles Server in den USA. Fuer die Identifizierung von Wiederbesuchern setzt Google Analytics persistente Cookies (insbesondere _ga mit zwei Jahren Laufzeit), die eine langfristige Nutzungsanalyse ermoeglichen. Die so gewonnenen Daten werden in Berichten fuer Website-Betreiber aufbereitet.
Google Analytics ist kein technisch notwendiger Dienst und erfordert daher nach DSGVO und ePrivacy-Richtlinie eine vorherige, informierte und freiwillige Einwilligung der Nutzer. Das Google Analytics-Skript darf erst nach Erteilung der Einwilligung geladen und ausgefuehrt werden. Eine Consent-Management-Plattform (CMP) blockiert das Skript standardmaessig und aktiviert es nur fuer zustimmende Nutzer. Ohne gueltige Einwilligung ist der Einsatz von Google Analytics auf EU-Nutzer-Geraeten rechtswidrig und kann zu Bussgeld-Verfahren durch Datenschutzbehoerden fuehren.
Alle von Google Analytics erfassten Daten werden auf Servern von Google LLC in den USA verarbeitet. Fuer diesen Datentransfer in ein Drittland benoetigt der Website-Betreiber eine geeignete Transfergrundlage. Google setzt Standardvertragsklauseln (SCC) der EU-Kommission ein und ist seit Juli 2023 als Teilnehmer des EU-US Data Privacy Framework (DPF) zertifiziert, das als Angemessenheitsbeschluss gilt. Betreiber sollten in ihrer Datenschutzerklaerung sowohl die Verwendung von SCC als auch die DPF-Zertifizierung Googles erwaehnen und regelmaessig pruefen, ob die Grundlage noch aktuell ist.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google Analytics 4 (GA4) loest Universal Analytics ab und bringt datenschutzrelevante Aenderungen mit sich. GA4 unterstuetzt den Consent Mode v2, mit dem Website-Betreiber Google mitteilen, ob ein Nutzer in Analytics- und Werbe-Cookies eingewilligt hat. Bei fehlender Einwilligung modelliert GA4 Trafikdaten anhand von Beobachtungen einwilligender Nutzer. GA4 verfuegt ausserdem ueber eine IP-Anonymisierung, die standardmaessig aktiviert ist, und bietet die Moeglichkeit, Daten in der EU zu verarbeiten (Google Analytics 360). Eine vollstaendige Datenschutzkonformitaet erfordert jedoch weiterhin die korrekte Implementierung des Consent Mode und eines AV-Vertrags mit Google.
Fuer grossangelegte Deployments oder Anwendungsfaelle mit sensiblen Daten kann eine Datenschutzfolgenabschaetzung (DSFA) gemaess Art. 35 DSGVO verpflichtend sein. Relevante Faktoren sind: Verarbeitung von Daten besonderer Kategorien, umfangreiches Profiling, Betreiber oeffentlicher Stellen oder kritischer Infrastruktur. Auch ohne Pflicht ist eine DSFA empfehlenswert, um Risiken aus US-Datentransfers, Browser-Fingerprinting und persistenten Tracking-Kennzeichnern systematisch zu bewerten und geeignete Massnahmen zu dokumentieren.
Website-Betreiber haben mehrere Optionen, um die Datenschutzfreundlichkeit ihrer Analysestrategie zu erhoehen. GA4 mit aktiviertem Consent Mode v2 und Server-Side Tagging reduziert die direkte Datenerfassung im Browser. Als vollstaendige Alternative bieten sich datenschutzkonforme Analyseplattformen wie Matomo (selbstgehostet), Plausible oder Fathom an, die ohne persistente Cookies auskommen und Daten in der EU speichern. Diese Optionen erfordern keine Einwilligung fuer die Basisanalyse und werden von Datenschutzbehoerden wohlwollend bewertet.
Websites using Google Analytics must obtain user consent under GDPR regulations.
DPIA considerations
Google Analytics erfasst IP-Adressen (auch bei Kuerzelung), weist persistente Client-IDs ueber den _ga-Cookie (Laufzeit 2 Jahre) zu und verfolgt sitzungsuebergreifendes Verhalten. Alle Daten werden an Google LLC in den USA uebertragen. Wesentliche DSFA-Aspekte: (1) Risiko grenzueberschreitender Datentransfers, SCC und US-Angemessenheit muessen per Transfer Impact Assessment bewertet werden; (2) Google agiert als Auftragsverarbeiter gemaess DPA, kann Daten aber auch als eigenstaendiger Verantwortlicher fuer eigene Zwecke verarbeiten; (3) potenzielles Browser-Fingerprinting ueber User-Agent, Bildschirmaufloesung und Sprachheader; (4) persistente Kennzeichner ermoeglichen langfristiges Nutzerprofiling ueber mehrere Besuche hinweg; (5) IP-Adressverarbeitung trotz aktivierter IP-Anonymisierung (nur teilweise Kuerzelung). Eine DSFA ist fuer jede grossangelegte oder sicherheitssensible Nutzung empfohlen und kann gemaess Art. 35 DSGVO verpflichtend sein.
Sample consent text
Wir nutzen Google Analytics, um den Website-Traffic zu messen und zu verstehen, wie Besucher mit unseren Inhalten interagieren. Google Analytics setzt Cookies auf Ihrem Geraet, um anonymisierte Nutzungsdaten zu erfassen (besuchte Seiten, Sitzungsdauer, Geraetetyp, Trafficquelle). Diese Daten werden an Google LLC in den USA uebertragen und dort verarbeitet. Sie koennen Ihre Einwilligung jederzeit ueber unsere Cookie-Einstellungen widerrufen.
Third-party domains contacted
google-analytics.comanalytics.google.comstats.g.doubleclick.netwww.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _ga | Analytics | 2 years | Assigns a unique Client ID to distinguish individual users. Used to calculate sessions and user counts in reports. |
| _gid | Analytics | 24 hours | Stores and updates a unique value for each page visited. Used to distinguish users within a single day. |
| _ga_<MEASUREMENT_ID> | Analytics | 2 years | Persists GA4 session state, including session count and campaign source data, across page views. |
| _gac_<ID> | Analytics / Advertising | 90 days | Stores campaign-related information (Google Ads click IDs). Used to attribute conversions to ad campaigns. |
Google Analytics erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Google Analytics kann DSGVO-konform eingesetzt werden, erfordert jedoch spezifische Massnahmen: einen Auftragsverarbeitungsvertrag mit Google, korrekte Einwilligungssteuerung ueber eine CMP, transparente Datenschutzerklaerung mit Hinweis auf den US-Datentransfer sowie aktivierte IP-Anonymisierung. Ohne diese Massnahmen ist der Einsatz rechtswidrig.
Ja, Google Analytics erfordert eine vorherige, informierte und freiwillige Einwilligung. Das Skript darf erst nach Erteilung der Einwilligung geladen werden. Kein angemessener Ansatz waere es, das Skript zu laden und dann erst nach der Einwilligung zu fragen. Eine Consent-Management-Plattform ist die zuverlaessigste Methode zur Umsetzung.
Google Analytics 4 setzt primaer den _ga-Cookie (Laufzeit 2 Jahre) zur Unterscheidung von Nutzern sowie den _ga_XXXXXXXX-Cookie (Container-ID, Laufzeit 2 Jahre) fuer die Sitzungserfassung. Universal Analytics setzte zusaetzlich _gid (24 Stunden), _gat (1 Minute) und optionale Kampagnen-Cookies. Alle diese Cookies erfordern eine vorherige Einwilligung.
Ja, alle erfassten Daten werden an Google LLC in den USA uebertragen. Seit Juli 2023 ist Google im Rahmen des EU-US Data Privacy Framework (DPF) zertifiziert, das als Angemessenheitsbeschluss gilt. Zusaetzlich kommen Standardvertragsklauseln zum Einsatz. Betreiber sollten beide Transfergrundlagen in ihrer Datenschutzerklaerung dokumentieren.
Google Analytics 4 ermoeglicht ueber den Consent Mode v2 und Server-Side Tagging eine Messung mit reduziertem Cookie-Einsatz. Vollstaendig cookielos ist GA4 jedoch nicht. Fuer eine echte cookielose Analyse empfehlen sich datenschutzkonforme Alternativen wie Matomo im cookielosen Modus, Plausible Analytics oder Fathom, die keine persistenten Tracking-Kennzeichner setzen.
Universal Analytics (UA) war die Vorgaengerversion, die im Juli 2023 abgeschaltet wurde. Google Analytics 4 (GA4) basiert auf einem ereignisbasierten Datenmodell statt sitzungsbasierter Erfassung, unterstuetzt den Consent Mode v2, bietet erweiterte Datenschutzkontrollen und verfuegt ueber eine standardmaessige IP-Anonymisierung. GA4 ist der aktuelle Standard und der einzige aktiv gepflegte Dienst.
In Google Analytics 4 koennen Betreiber die Datenspeicherungsfrist fuer Nutzer- und Ereignisdaten auf 2 oder 14 Monate einstellen. Aggregierte Berichtsdaten werden laenger aufbewahrt. Betreiber sollten die kuerzestmoegliche Speicherfrist waehlen, die ihren Analysezwecken entspricht, und diese Einstellung in ihrer Datenschutzerklaerung dokumentieren.
Eine DSFA ist bei grossangelegten Deployments, Verarbeitung sensibler Daten oder umfangreichem Profiling erwagenswert und kann nach Art. 35 DSGVO verpflichtend sein. Auch ohne Pflicht empfiehlt sich eine DSFA, um Risiken aus US-Datentransfer, Browser-Fingerprinting und persistenten Kennzeichnern systematisch zu dokumentieren und geeignete Schutzmassnahmen zu definieren.