Google Analytics + DSGVO
Ist Google Analytics DSGVO-konform?
Ehrliche Antwort:es kann sein, gerade jetzt, mit etwas Aufwand — und es ist anfällig. Hier erfährst du, was die EU-Regulierungsbehörden tatsächlich entschieden haben, was sich 2023 geändert hat und wie deine Optionen heute aussehen. (Das ist eine Zusammenfassung für Betreiber, keine Rechtsberatung — sprich mit einem Anwalt über deine individuelle Situation.)
Die Kurzfassung
GA4 ist nicht von Haus aus GDPR-konform, aber auch nicht illegal. Seit Juli 2023 gibt das EU-US-Datenschutzrahmenwerk Google eine rechtliche Grundlage, um EU-Daten in die USA zu übertragen, was das Problem entschärfte, das Google Analytics 2022 in Europa als rechtswidrig einstufte. Was bleibt: Du brauchst immer noch ein Opt-in-Cookie-Banner (ein separates Gesetz — die ePrivacy-Richtlinie — regelt Cookies), du musst die Datenfreigabe- und Aufbewahrungseinstellungen von GA4 selbst anpassen, und das ganze Konstrukt basiert auf einer Angemessenheitsentscheidung, die bereits gerichtlich angefochten wird.
Die eigentliche Frage ist also nicht "Ist es legal?" — sondern "Lohnt sich die ständige Compliance-Arbeit und der Verlust von 30–60% an Zustimmungsdaten, wenn cookielose Analysen das ganze Problem umgehen?"
Wie Google Analytics in Schwierigkeiten mit der GDPR geriet
Es geht hier wirklich um Datenübertragungen, nicht um Analytics an sich:
- Juli 2020 — Schrems II.Der oberste Gerichtshof der EU hat den Privacy Shield gekippt, das Abkommen, das den Austausch von Daten zwischen der EU und den USA erleichtert hat. Plötzlich war jedes in den USA gehostete Tool, das persönliche Daten von EU-Bürgern verarbeitet, rechtlich auf wackeligen Beinen nach Artikel 44 der GDPR.
- Januar 2022 — Österreich.Die österreichische DSB entschied, dass Universal Analytics, wie es auf einer österreichischen Seite genutzt wird, personenbezogene Daten rechtswidrig in die USA übertrug. Erster Dominostein.
- Februar 2022 — Frankreich.Die CNIL kam zu dem gleichen Ergebnis und hat betroffene Seiten aufgefordert, die Nutzung einzustellen oder nach konformen Alternativen zu suchen.
- Juni 2022 — Italien.Die Garante hat mit einer passenden Entscheidung nachgelegt; Dänemarks Datatilsynet erklärte ebenfalls Google Analytics ohne zusätzliche Maßnahmen für rechtswidrig.
- Juli 2023 — die Verschnaufpause.Die Europäische Kommission hat das EU-US-Datenschutzrahmenwerk verabschiedet, eine neue Angemessenheitsentscheidung. Google LLC ist jetzt zertifiziert, was eine rechtmäßige Übertragungsgrundlage wiederherstellt und die Urteile von 2022 deutlich entschärft.
Zwei Dinge, die du im Blick behalten solltest: die Entscheidungen von 2022 betrafenUniversal Analytics, das Produkt, das Google mittlerweile eingestellt hat — nicht GA4 an sich. Und das DPF ist dasdritteEU-US-Übertragungsvereinbarung; die beiden vorherigen (Safe Harbor, Privacy Shield) wurden beide vom gleichen Gericht gekippt, und eine Anfechtung dieser Vereinbarung — ein wahrscheinliches "Schrems III" — wird allgemein erwartet. Die Angemessenheit kann auch einfach zurückgezogen werden. GA4s rechtliche Basis ist echt, aber sie ist gemietet.
Der Punkt, den das Datenschutzrahmenwerk nicht angepackt hat: Cookies
Selbst wenn die Übertragungen geregelt sind, setzt GA4 Cookies (_gaund Freunde) — und die ePrivacy-Richtlinie verlangt eine informierte Opt-in-Zustimmung, bevor nicht essentielle Cookies gesetzt werden. Das ist ein eigenes Gesetz, das von der GDPR unabhängig ist, und der DPF hat damit nichts zu tun. Du brauchst also nach wie vor ein Zustimmungsbanner mit einem funktionierenden Ablehnen-Button, GA4 bleibt blockiert, bis der Besucher zustimmt, und eine Consent Management Platform, die in deinen Stack integriert ist. Wir gehen dieser ganzen Frage ausführlich nach in Brauchst du eine Einwilligung für Cookies bei Google Analytics?
Die praktischen Kosten: Die Zustimmungsablehnungsraten in der EU liegen je nach Branche zwischen 30 und 60 %, was dazu führt, dass ein großer Teil deines Traffics einfach aus deinen Berichten verschwindet. Googles Consent Mode v2 schließt die Lücke mitmodelliertDaten — statistische Schätzungen darüber, was abgewanderte Besucher vermutlich gemacht haben — besser als nichts, aber keine echte Messung.
Deine Optionen, ehrlich im Vergleich
Option 1: Behalte GA4 und kümmere dich um die Compliance-Arbeit.Setze eine CMP auf und blockiere GA4 bis zur Einwilligung, aktiviere den Consent Mode v2, schalte Google Signals und die Datenfreigabe für Werbung aus, verkürze die Datenaufbewahrung, unterschreibe die Datenverarbeitungsbedingungen von Google und halte alles in deiner Datenschutzrichtlinie fest. Das ist ein legitimer Weg — Aufsichtsbehörden akzeptieren das gerade — und die richtige Entscheidung, wenn dein Umsatz von der Attribution durch Google Ads oder dem Verknüpfen von Nutzern über Geräte hinweg abhängt. Der Preis: laufende CMP-Kosten, das Datenloch bei Einwilligungsablehnungen und das Risiko, falls die DPF ausfällt.
Option 2: Umstieg auf cookieless Analytics.Tools wie Gizmo, Plausible und Fathom setzen keine Cookies und speichern keine persönlichen Daten, daher ist die ePrivacy-Zustimmung nie nötig und die GDPR-Belastung schrumpft auf ein Minimum. Kein Banner, kein CMP, keine modellierten Daten — du siehst 100 % deines Traffics, einschließlich der 30–60 %, die abgelehnt hätten. Und da keine persönlichen Daten in identifizierbarer Form den Atlantik überqueren, ist das nächste Schrems-Urteil nicht dein Problem. Der Preis: Du verlierst die geräteübergreifende Identität, die Attribution über lange Zeiträume und Remarketing-Zielgruppen.
Viele Teams machen beides: cookieless als die ständig aktive, bannerfreie Seitenanalyse und GA4 nur für die Attribution von bezahlten Akquisitionen hinter dem Zustimmungs-Gate.
GDPR-freundliche Analysen ganz ohne Banner
Gizmo ist von Grund auf cookiefrei: ein ~1KB Einzeiler, Besucher-IDs aus einem täglich rotierenden, gesalzenen Hash von IP + User-Agent, rohe IP wird nie gespeichert, kein Fingerprinting. Kein Zustimmungsbanner nötig. Du bekommst trotzdem Quellen (einschließlich AI-Assistenten), Events, Trichter und Echtzeit — und dein AI-Coding-Agent kann es in einem Prompt über unseren MCP-Server installieren. Für immer kostenlos für 10k Events / Monat, unbegrenzte Seiten.
FAQ
- Ist Google Analytics 4 2026 wirklich DSGVO-konform?
- Es kann so betrieben werden, dass die meisten Regulierungsbehörden es akzeptieren, aber es ist nicht von Haus aus konform. Du brauchst: ein Opt-in-Cookie-Banner (ePrivacy verlangt Zustimmung, bevor die _ga-Cookies gesetzt werden), Googles Datenfreigabeeinstellungen deaktiviert, die IP-Verwaltung und -Aufbewahrung verschärft, einen unterzeichneten Datenverarbeitungsvertrag und das EU-US-Datenschutzrahmenwerk, das vor Gericht Bestand hat. Jedes davon ist ein bewegliches Teil. Cookielose Analyse-Tools umgehen den Großteil dieser Anforderungen komplett, da sie keine Cookies setzen und keine persönlichen Daten speichern.
- Wurde Google Analytics in Europa tatsächlich verboten?
- Nicht formell 'verboten', aber 2022 haben mehrere EU-Datenschutzbehörden entschieden, dass Universal Analytics, wie es normalerweise eingesetzt wird, gegen die DSGVO verstößt: Österreichs DSB (Januar 2022), Frankreichs CNIL (Februar 2022) und Italiens Garante (Juni 2022) haben alle die US-Datenübertragungen als rechtswidrig gemäß Artikel 44 eingestuft; Dänemarks Datatilsynet erklärte es ohne zusätzliche Maßnahmen für rechtswidrig. Diese Entscheidungen betrafen Universal Analytics, nicht GA4 speziell, und der rechtliche Rahmen änderte sich erneut im Juli 2023, als das EU-US-Datenschutzrahmenwerk eine rechtmäßige Übertragungsbasis wiederherstellte. Also: Urteile gegen das alte Produkt, ein wackeliges Waffenstillstandsabkommen für das neue.
- Brauche ich mit GA4 wirklich noch ein Cookie-Banner?
- Ja, das ist unabhängig von der Frage des Datentransfers. GA4 setzt Cookies (_ga und Co.), und die EU ePrivacy-Richtlinie verlangt eine Opt-in-Zustimmung, bevor nicht essentielle Cookies gesetzt werden — egal, wo die Daten landen. Das Datenschutzrahmenwerk regelt Übertragungen, nicht Cookies. In der Praxis lehnen 30–60 % der EU-Besucher ab, und der Consent Mode v2 füllt die Lücke mit modellierten (statistisch geschätzten) Daten anstelle von echten Messungen.
- Was ist das EU-US Datenschutzrahmenwerk und kann man es wieder aufheben?
- Der DPF ist die Angemessenheitsentscheidung vom Juli 2023, die zertifizierten US-Unternehmen (Google LLC ist zertifiziert) erlaubt, EU-Personenbezogene Daten rechtmäßig zu empfangen — er ist der Nachfolger des Privacy Shield, das der CJEU im Urteil Schrems II von 2020 gekippt hat. Er sieht sich bereits rechtlichen Herausforderungen gegenüber, und Datenschutzbefürworter rechnen mit einem 'Schrems III'-Fall; die Europäische Kommission kann auch die Angemessenheit aussetzen oder widerrufen. Fällt der DPF wie seine beiden Vorgänger, ist die Übertragungsbasis von GA4 dahin, und die Seitenbetreiber stehen über Nacht wieder da wie 2022.
- Was muss ich einstellen, um GA4 GDPR-konform zu nutzen?
- Mindestens: eine Consent-Management-Plattform einrichten und GA4 bis zur Zustimmung blockieren; den Consent Mode v2 aktivieren; Google Signals und die Datenfreigabe für Werbung abschalten; die Erfassung von genauen Standort- und Gerätedaten dort deaktivieren, wo du sie nicht brauchst; die Datenaufbewahrung auf das kürzest nützliche Fenster (2 oder 14 Monate) setzen; die Datenverarbeitungsbedingungen von Google akzeptieren; und alles in deiner Datenschutzerklärung sowie in den Verarbeitungsunterlagen festhalten. Das ist echte Dauerarbeit — und es hängt immer noch davon ab, dass das DPF gültig bleibt.
- Welche Analysen brauchen keine GDPR-Zustimmung?
- Analysen, die nichts auf dem Gerät des Besuchers speichern und keine persönlichen Daten behalten. Cookieless-Tools wie Gizmo, Plausible und Fathom setzen keine Cookies (kein ePrivacy-Zustimmungsauslöser) und generieren Besucher-IDs aus einem täglich rotierenden, gesalzenen Hash von IP + User-Agent, wobei die rohe IP verworfen wird — es gibt also keinen persistierenden Identifikator und eine minimale GDPR-Oberfläche. Die CNIL in Frankreich hat Richtlinien zu zustimmungsfreien Analysen veröffentlicht, die genau auf diesem Muster basieren. Kein Banner, kein Verlust von Zustimmungsablehnungsdaten, keine Abhängigkeit von der US-Adequanzpolitik.
- Was macht Gizmo Analytics besonders?
- Gizmo ist cookieless Web-Analytics, das MCP-first entwickelt wurde. Ein ~1KB Einzeiler, keine Cookies, kein Fingerprinting; Besucher-IDs stammen aus einem täglich rotierenden gesalzenen Hash von IP + User-Agent und die rohe IP wird nie gespeichert — also brauchst du kein Zustimmungsbanner und die GDPR-Oberfläche bleibt minimal. Du bekommst trotzdem Quellen (einschließlich KI-Assistenten wie ChatGPT und Claude), Ereignisse, Trichter und Echtzeitbesucher. Der MCP-Server ermöglicht es KI-Coding-Agenten (Cursor, Claude, Codex), es in einem Prompt zu installieren und abzufragen. Für immer kostenlos für 10k Ereignisse / Monat, unbegrenzte Seiten.
Weiterlesen
- Brauchst du eine Einwilligung für Cookies bei Google Analytics?Die rechtliche Antwort, Land für Land — und wie du das Banner einfach überspringst.
- Cookieless Tracking, einfach erklärtWas es ist, wie's funktioniert und die Tools, die das richtig gut hinbekommen.
- Datenschutzfreundliche AnalyticsDSGVO-sichere Analysen ganz ohne Zustimmungsbanner.
- Google Analytics AlternativeWarum Betreiber umschwenken und was dich der Wechsel kostet.