Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Ereignisbasierte Web- und App-Analyseplattform von Google mit geräteübergreifendem Tracking, Consent Mode v2 und EU-Datenverarbeitungsoption.
Google Analytics 4 (GA4) ist die aktuelle Web- und App-Analyseplattform von Google. Anders als Universal Analytics nutzt GA4 ein ereignisbasiertes Datenmodell und ermöglicht geräteübergreifendes Tracking, prädiktive Analysen sowie eine verbesserte Datenschutzkonfiguration. Seit Juli 2023 ist GA4 die Standardplattform, da Universal Analytics abgeschaltet wurde.
GA4 setzt standardmäßig folgende First-Party-Cookies: _ga (2 Jahre, eindeutiger Besucheridentifikator), _ga_XXXXXXXX (2 Jahre, Sitzungsstatus für die jeweilige Property) sowie bei Einsatz von Google Ads weitere Werbe-Cookies. GA4 erfasst Seitenaufrufe, benutzerdefinierte Ereignisse, Verweildauer, Geräte- und Browserinformationen sowie anonymisierte IP-Adressen. Bei aktivierten Google Signals werden auch angemeldete Google-Nutzer geräteübergreifend erfasst.
Mehrere europäische Datenschutzbehörden haben festgestellt, dass der Standardeinsatz von Google Analytics gegen die DSGVO verstößt, insbesondere wegen der Datenübertragung in die USA. Betroffen sind Entscheidungen der österreichischen DSB (2022), der französischen CNIL (2022), der italienischen Garante sowie weiterer nationaler Behörden. GA4 darf nach der ePrivacy-Richtlinie erst nach ausdrücklicher Einwilligung geladen werden, da es Cookies im Browser speichert. Consent Mode v2 ist für die Nutzung aller Google-Werbefunktionen seit März 2024 verpflichtend.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die einzige tragfähige Rechtsgrundlage für GA4-Cookies ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit der ePrivacy-Richtlinie. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) reichen nicht aus, da das Speichern von Cookies auf Endgeräten der Nutzer stets einer Einwilligung bedarf. Das Skript darf erst nach positiver Zustimmung im Consent Management Platform (CMP) geladen werden.
GA4 überträgt Daten standardmäßig an Google LLC in den USA. Google ist seit Juli 2023 unter dem EU-US-Datenschutzrahmen (DPF) zertifiziert, was Übertragungen auf Basis eines Angemessenheitsbeschlusses ermöglicht. Alternativ bietet Google eine EU-Datenverarbeitungsoption (EDP) und Standarddatenschutzklauseln (SCC). Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit Google ist in jedem Fall verpflichtend.
GA4 erst nach Einwilligung laden: Verwenden Sie den Consent-Callback Ihrer CMP. Consent Mode v2 implementieren: Konfigurieren Sie ad_storage, analytics_storage, ad_user_data und ad_personalization korrekt. AVV mit Google abschließen und EU-Datenverarbeitungsoption aktivieren. Datenaufbewahrungszeitraum auf das Minimum (2 Monate) reduzieren. Google Signals nur bei expliziter Nutzereinwilligung aktivieren. IP-Anonymisierung aktivieren (in GA4 standardmäßig aktiv). Datenschutzerklärung aktualisieren und GA4 sowie alle übermittelten Datenkategorien transparent offenlegen.
Websites using Google Analytics 4 must obtain user consent under GDPR regulations.
DPIA considerations
DSFA empfohlen bei Einsatz von Google Signals, geräteübergreifendem Tracking oder Verknüpfung mit Google-Werbediensten. Risiken: Datenübertragung in die USA, IP-Protokollierung, Erstellung von Nutzerprofilen. AVV mit Google sowie SCC oder EU-US-DPF-Zertifizierung erforderlich.
Sample consent text
Ich stimme der Nutzung von Google Analytics 4 zur Analyse meines Nutzungsverhaltens zu. Dabei werden Cookies gesetzt und Daten an Google LLC in den USA übertragen.
Third-party domains contacted
www.google-analytics.comgoogle-analytics.comanalytics.google.comanalytics.google.comwww.googletagmanager.comwww.googletagmanager.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _ga | Analytics | 2 years | Distinguishes unique users |
| _ga | persistent | 2 years | Google Analytics 4 unique client identifier for distinguishing individual users across sessions |
| _ga_<container-id> | Analytics | 2 years | Maintains session state |
| _ga_XXXXXXXX | persistent | 2 years | Google Analytics 4 session state identifier specific to the GA4 property |
| _gid | persistent | 24 hours | Google Analytics 4 24-hour session identifier for grouping interactions within a session |
Google Analytics 4 erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Yes. GA4 processes personal data (IP addresses, cookies, device identifiers) and transfers it to Google servers. Under GDPR, you must obtain explicit user consent before loading the GA4 tracking script.
Ja. GA4 speichert Cookies auf dem Gerät des Nutzers und überträgt Daten an Google in den USA. Nach der ePrivacy-Richtlinie ist eine vorherige Einwilligung erforderlich. Das GA4-Skript darf erst nach positiver Zustimmung im CMP geladen werden.
GA4 setzt standardmäßig _ga (2 Jahre, eindeutiger Besucheridentifikator) und _ga_XXXXXXXX (2 Jahre, Property-spezifischer Sitzungsstatus). Bei Einsatz von Google Ads kommen Werbe-Cookies wie _gcl_au hinzu. Alle diese Cookies erfordern eine Einwilligung.
Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit der ePrivacy-Richtlinie. Berechtigte Interessen sind für Analytics-Cookies nicht ausreichend, da das Speichern von Cookies auf dem Endgerät stets einer Einwilligung bedarf.
Ja. GA4 überträgt Daten standardmäßig an Google LLC in den USA. Google ist seit Juli 2023 unter dem EU-US-Datenschutzrahmen (DPF) zertifiziert. Zudem stehen Standarddatenschutzklauseln (SCC) und eine EU-Datenverarbeitungsoption zur Verfügung. Ein AVV mit Google ist verpflichtend.
Eine DSFA ist bei umfangreichem Einsatz mit Google Signals, geräteübergreifendem Tracking oder Verknüpfung mit Google-Werbediensten empfehlenswert. Berücksichtigen Sie: Datenübertragung in die USA, Erstellung von Nutzerprofilen und Verknüpfung mit anderen Google-Diensten.
Consent Mode v2 ist ein Google-Framework zur Übergabe von Einwilligungssignalen an GA4 und Google Ads. Seit März 2024 ist er für die Nutzung aller Google-Werbefunktionen verpflichtend. Konfigurieren Sie ad_storage, analytics_storage, ad_user_data und ad_personalization entsprechend dem Nutzerstatus in Ihrer CMP.
Ja. EU-basierte Alternativen sind Matomo (selbst gehostet oder Cloud mit EU-Server), Plausible Analytics (Irland, cookielos), Fathom Analytics (Kanada, cookielos) und Piwik PRO (Polen, EU-Hosting). Diese setzen keine Einwilligung für Basis-Statistiken voraus.
Geben Sie in Ihrer Datenschutzerklärung an: dass GA4 eingesetzt wird, welche Cookies gesetzt werden (_ga, _ga_*), dass Daten an Google LLC in den USA übertragen werden, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, und wie Nutzer ihre Einwilligung widerrufen können. Verlinken Sie auf die Datenschutzrichtlinie von Google.
GA4 sets _ga (2 years) and _ga_<container-id> (2 years) cookies to distinguish unique users and maintain session state.
GA4 supports consent mode which allows basic measurement without cookies. However, some data collection still occurs, and legal guidance on whether consent is still required varies by jurisdiction.