Google Analytics und DSGVO: Rechtslage und Alternativen
Der Einsatz von Google Analytics ist in Europa seit Jahren umstritten. Mehrere Datenschutzbehoerden haben ihn als rechtswidrig eingestuft, das EU-US Data Privacy Framework soll Rechtssicherheit schaffen — doch Risiken bleiben. Dieser Artikel fasst die aktuelle Rechtslage zusammen und zeigt DSGVO-konforme Alternativen.
Die Geschichte: Google Analytics und europaeischer Datenschutz
Die Probleme begannen 2020, als der Europaeische Gerichtshof (EuGH) im Urteil "Schrems II" das EU-US Privacy Shield fuer ungueltig erklaerte. Damit fehlte die Rechtsgrundlage fuer Datentransfers in die USA — und Google Analytics uebertraegt standardmaessig Nutzerdaten an Google-Server in den Vereinigten Staaten.
In der Folge entschieden mehrere europaeische Datenschutzbehoerden, dass der Einsatz von Google Analytics gegen die DSGVO verstoesst:
- Oesterreich (DSB, Januar 2022): Erster offizieller Bescheid, dass Google Analytics gegen die DSGVO verstoesst.
- Frankreich (CNIL, Februar 2022): Bestaetigte die oesterreichische Einschaetzung und ordnete die Einstellung des GA-Einsatzes an.
- Italien (Garante, Juni 2022): 90-Tage-Frist zur Umstellung auf DSGVO-konforme Alternativen.
- Daenemark (Datatilsynet, September 2022): Empfahl den Verzicht auf Google Analytics.
Das EU-US Data Privacy Framework (DPF)
Im Juli 2023 verabschiedete die EU-Kommission das EU-US Data Privacy Framework als Nachfolger des Privacy Shield. Unternehmen, die unter dem DPF zertifiziert sind — darunter Google — duerfen wieder Daten aus der EU in die USA uebertragen.
Google ist unter dem DPF zertifiziert. Damit hat der Einsatz von Google Analytics wieder eine Rechtsgrundlage fuer den US-Datentransfer. Die oben genannten Bescheide der Datenschutzbehoerden sind damit formell ueberholt.
Aber: Restrisiken bleiben
Das DPF steht auf unsicherem Boden. Max Schrems und seine Organisation noyb haben bereits angekuendigt, auch das neue Framework vor dem EuGH anzufechten. Es gibt berechtigte Zweifel, ob das DPF einer gerichtlichen Pruefung standhaelt — genau wie seine Vorgaenger Safe Harbor und Privacy Shield.
Sollte der EuGH das DPF fuer ungueltig erklaeren, stuenden Website-Betreiber erneut ohne Rechtsgrundlage da. Wer auf Nummer sicher gehen will, sollte sich nicht allein auf das DPF verlassen.
DSGVO-Anforderungen fuer Google Analytics
Selbst mit dem DPF muessen Website-Betreiber in Deutschland folgende Anforderungen erfuellen:
1. Cookie-Consent einholen
Google Analytics setzt Cookies, die nicht technisch notwendig sind. Gemaess TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) und ePrivacy-Richtlinie ist eine aktive Einwilligung erforderlich — vor dem Setzen der Cookies.
- GA4 darf erst laden, nachdem der Nutzer aktiv zugestimmt hat
- Keine vorausgewaehlten Checkboxen
- Gleichwertige Ablehnungsmoeglichkeit ("Alle ablehnen"-Button)
- Widerruf muss jederzeit moeglich sein
2. Auftragsverarbeitungsvertrag (AVV)
Sie benoetigen einen AVV mit Google gemaess Art. 28 DSGVO. Google stellt diesen ueber die GA4-Einstellungen bereit. Aktivieren Sie die Datenverarbeitungsbedingungen in den Admin-Einstellungen Ihres GA4-Kontos.
3. IP-Anonymisierung
In GA4 ist die IP-Anonymisierung standardmaessig aktiviert — im Gegensatz zu Universal Analytics, wo sie manuell konfiguriert werden musste. IP-Adressen werden anonymisiert, bevor sie gespeichert werden.
4. Datenschutzerklaerung aktualisieren
Ihre Datenschutzerklaerung muss GA4 vollstaendig beschreiben:
- Name und Anbieter (Google Ireland Ltd. / Google LLC)
- Zweck der Datenerhebung
- Art der erhobenen Daten
- Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)
- Datentransfer in die USA (DPF als Rechtsgrundlage, SCCs als Backup)
- Cookie-Laufzeiten
- Widerrufsmoeglichkeit
5. Google Signals und Remarketing deaktivieren
Google Signals verknuepft Analytics-Daten mit den Google-Konten eingeloggter Nutzer. Diese Funktion ist aus DSGVO-Sicht hochproblematisch und sollte deaktiviert werden. Gleiches gilt fuer Remarketing-Funktionen und die Datenweitergabe an Google-Werbeprodukte.
Bussgeldrisiko bei Verstoessen
Die DSGVO ermoeglicht Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. In der Praxis sind die Bussgelder bisher moderater, aber es gibt zunehmend Verfahren:
- Mehrere deutsche Unternehmen haben bereits Abmahnungen wegen des GA-Einsatzes ohne korrekte Einwilligung erhalten
- Aufsichtsbehoerden pruefen verstaerkt Cookie-Banner und Tracking-Implementierungen
- Auch Wettbewerber koennen ueber das UWG abmahnen
Das Risiko ist nicht nur finanziell: Ein Datenschutz-Skandal kann erheblichen Reputationsschaden verursachen.
DSGVO-konforme Alternativen zu Google Analytics
Wer das Restrisiko des US-Datentransfers vermeiden will, hat mehrere Optionen:
Matomo (Self-Hosted)
Die vollstaendigste Alternative. Matomo bietet einen aehnlichen Funktionsumfang wie GA4, kann selbst gehostet werden und ist bei korrekter Konfiguration ohne Cookie-Consent einsetzbar. Alle Daten bleiben auf Ihrem Server.
Plausible Analytics
Leichtgewichtige, EU-basierte Alternative. Kein Cookie-Banner noetig, DSGVO-konform ab der Installation. Ideal fuer Websites, die nur grundlegende Traffic-Metriken benoetigen.
Umami
Open-Source und selbst hostbar. Umami sammelt nur das Notwendigste und kommt ohne Cookies aus. Einfache Installation via Docker.
Microsoft Clarity
Kein direkter GA-Ersatz, aber eine hervorragende Ergaenzung fuer die Verhaltensanalyse. Clarity ist datenschutzfreundlicher als GA4, da die Daten nicht fuer Werbezwecke genutzt werden. Cookie-Consent ist dennoch erforderlich.
Vergleich: GA4 vs. Alternativen (Datenschutz)
| Kriterium | GA4 | Matomo | Plausible | Clarity |
|---|---|---|---|---|
| US-Datentransfer | Ja | Nein (Self-Hosted) | Nein (EU) | Ja |
| Cookie-Consent noetig | Ja | Optional | Nein | Ja |
| Daten fuer Werbung | Moeglich | Nein | Nein | Nein |
| Bescheide gegen Tool | Mehrere | Keine | Keine | Keine |
| Self-Hosting | Nein | Ja | Ja | Nein |
Handlungsempfehlungen fuer 2026
- Wenn Sie GA4 weiter nutzen wollen: Implementieren Sie ein korrektes Cookie-Banner, deaktivieren Sie Google Signals und Remarketing, schliessen Sie den AVV ab, und dokumentieren Sie DPF + SCCs als Rechtsgrundlage.
- Wenn Sie maximale Rechtssicherheit wollen: Wechseln Sie zu Matomo Self-Hosted oder Plausible. Ergaenzen Sie mit Microsoft Clarity fuer Verhaltensanalyse.
- Fuer alle: Pruefen Sie regelmaessig die Rechtslage — insbesondere die Stabilitaet des EU-US Data Privacy Framework.
Fazit
Google Analytics kann 2026 mit dem richtigen Setup DSGVO-konform eingesetzt werden — aber es erfordert sorgfaeltige Konfiguration und birgt Restrisiken durch den US-Datentransfer. Wer diese Risiken vermeiden will, findet mit Matomo, Plausible und Umami leistungsfaehige europaeische Alternativen. Die wichtigste Erkenntnis: DSGVO-Konformitaet ist keine einmalige Massnahme, sondern ein fortlaufender Prozess, der regelmaessige Ueberpruefung erfordert.
Automatische Clarity-Berichte gewuenscht?
ClarityInsights analysiert Ihre Daten und sendet woechentliche AI-Berichte mit UX-Empfehlungen.
Zur Warteliste