Google Analytics DSGVO: So nutzen Sie GA4 rechtskonform

Was ist Google Analytics 4 (GA4)?

Google Analytics 4 ist das aktuelle Webanalyse-Werkzeug von Google. Es hilft Websitebetreibern zu verstehen, wie Besucher mit ihrer Website interagieren: Welche Seiten werden aufgerufen, wie lange verweilen Nutzer, woher kommt der Traffic, welche Aktionen führen zur Konversion.

Im Juli 2023 stellte Google die Vorgängerversion Universal Analytics (UA) endgültig ab. GA4 unterscheidet sich von UA in wesentlichen Punkten: Es verfolgt ein ereignisbasiertes Datenmodell statt sitzungsbasierter Messung, sammelt weniger personenbezogene Daten standardmäßig und bietet erweiterte Funktionen für cookieloses Tracking über serverseitige Modellierung.

Dennoch bleiben aus datenschutzrechtlicher Sicht mehrere Fragen bestehen — und ein sorgloser Einsatz von GA4 birgt Risiken für Websitebetreiber in der EU.

Warum Google Analytics datenschutzrechtlich heikel ist

Personenbezogene Daten werden erhoben

Auch GA4 erhebt beim Laden einer Website Daten, die als personenbezogen im Sinne der DSGVO gelten können:

• IP-Adresse: Beim Laden des Tracking-Skripts baut der Browser des Besuchers eine Verbindung zu Google-Servern auf. Die IP-Adresse wird dabei übermittelt.
• Gerätedaten: Browser-Typ, Betriebssystem, Bildschirmauflösung.
• Verhaltensdaten: Aufgerufene Seiten, Scrolltiefe, Klicks, Verweildauer.
• Geolokalisierung: Aus der IP-Adresse wird der ungefähre Standort abgeleitet.

Obwohl GA4 IP-Adressen nach eigenen Angaben nicht langfristig speichert, findet die Übermittlung statt — und damit eine Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage gemäß Art. 6 DSGVO Abs. 1 erforderlich ist.

Datentransfer in die USA

Google LLC ist ein US-amerikanisches Unternehmen. Die über GA4 erhobenen Daten werden möglicherweise auf Servern in den USA verarbeitet. Damit greift der in der DSGVO geregelte Drittlandtransfer (Art. 44 ff.).

Historisch war dieser Transfer problematisch: Der Europäische Gerichtshof erklärte im Schrems-II-Urteil (Juli 2020) das frühere Privacy-Shield-Abkommen für ungültig, weil US-Nachrichtendienste uneingeschränkten Zugriff auf Daten von EU-Bürgern haben könnten.

Seit Juli 2023 gibt es jedoch einen neuen Rechtsrahmen: das EU-US Data Privacy Framework (DPF). Google ist im DPF zertifiziert, was die Übermittlung von Daten an Google-Server in den USA auf eine neue rechtliche Grundlage stellt. Ob dieses Abkommen dauerhaft Bestand hat, ist unter Datenschutzbehörden und Juristen weiterhin Gegenstand der Diskussion.

Cookies und Einwilligungspflicht

GA4 nutzt standardmäßig Cookies — insbesondere den _ga-Cookie, der eine Besucher-ID für bis zu zwei Jahre speichert. Das Setzen von Tracking-Cookies ohne vorherige Einwilligung ist nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) in Deutschland nicht zulässig.

Mehr zu den Anforderungen an Cookie-Banner lesen Sie in unserem Ratgeber Cookie Banner Pflicht: Richtig umsetzen.

Was die Datenschutzbehörden zu Google Analytics sagen

Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Datenschutzbehörden, hat sich mehrfach kritisch zu Google Analytics geäußert. Im Januar 2022 verabschiedete die DSK einen Beschluss, in dem sie feststellte, dass der Einsatz von Google Analytics in der damaligen Form nicht ohne weiteres DSGVO-konform sei — insbesondere wegen des Datentransfers in die USA ohne angemessene Garantien.

Österreich, Frankreich, Italien und die Niederlande erließen ähnliche Beschlüsse ihrer nationalen Datenschutzbehörden gegen den Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen.

Mit dem EU-US Data Privacy Framework hat sich die Lage rechtlich verändert. Dennoch empfehlen viele Datenschutzexperten weiterhin eine sorgfältige Dokumentation und den Einsatz technischer Schutzmaßnahmen — da das DPF vor dem EuGH erneut angefochten werden könnte (Schrems III).

Google Analytics 4 DSGVO-konform einbinden: Schritt für Schritt

Wer GA4 trotz dieser Risiken einsetzen möchte, sollte folgende Maßnahmen umsetzen:

1. Auftragsverarbeitungsvertrag (AVV) mit Google abschließen

Die DSGVO Art. 28 verpflichtet Verantwortliche, mit Auftragsverarbeitern einen schriftlichen Vertrag abzuschließen. Google stellt einen AVV bereit, der über die Google Analytics-Einstellungen akzeptiert werden kann.

So geht es: Google Analytics → Verwaltung → Konto → Kontodetails → Datenverarbeitungszusatz (Data Processing Amendment) → Prüfen und akzeptieren.

Ohne diesen AVV ist der Einsatz von GA4 formal nicht DSGVO-konform.

2. Cookie-Einwilligung korrekt einholen

Das Setzen von GA4-Cookies und das Tracking von Nutzern darf erst nach ausdrücklicher Einwilligung des Besuchers erfolgen. Ein rechtskonformer Cookie-Banner muss:

• Klare Informationen über den Einsatz von Google Analytics enthalten
• Eine aktive Zustimmung ermöglichen (kein vorangekreuztes Kästchen)
• Eine echte Möglichkeit bieten, abzulehnen — ohne Nachteile für den Besucher
• Die Einwilligung dokumentieren

Mehr dazu in unserem Ratgeber DSGVO-konformer Cookie Banner: Anleitung.

3. Consent Mode v2 implementieren

Google hat mit dem Consent Mode v2 eine Funktion eingeführt, die GA4 auch ohne vollständiges Tracking funktionsfähig hält. Wenn ein Besucher die Einwilligung verweigert, werden keine vollständigen Messdaten erhoben. Google modelliert stattdessen aus anonymisierten Signalen aggregierte Statistiken.

Wichtig: Der Consent Mode v2 ersetzt keine rechtskonforme Einwilligung. Er ist eine technische Ergänzung, keine rechtliche Lösung. Die Pflicht zur Einholung einer gültigen Einwilligung bleibt bestehen.

Consent Mode v2 wird über eine Consent Management Platform (CMP) gesteuert — etwa Usercentrics, Cookiebot oder eine eigene Implementierung.

4. Datenschutzerklärung aktualisieren

In der Datenschutzerklärung müssen Besucher transparent über den Einsatz von Google Analytics informiert werden:

• Name und Anschrift des Auftragsverarbeiters (Google Ireland Limited)
• Art der erhobenen Daten
• Zweck der Verarbeitung
• Rechtsgrundlage (Art. 6 DSGVO Abs. 1 lit. a — Einwilligung)
• Informationen zum Datentransfer in die USA und zum DPF
• Hinweis auf Widerspruchsrecht und Opt-out-Möglichkeit

Ein automatisierter Website-Check kann helfen, fehlende Datenschutzinformationen zu identifizieren.

5. Server-Side Tagging prüfen (optional, aber empfohlen)

Beim Server-Side Tagging wird das Tracking-Skript nicht direkt vom Browser des Besuchers an Google übermittelt, sondern über einen eigenen Server weitergeleitet. Das reduziert die direkte Verbindung zwischen Besucher und Google-Servern.

Dies ist eine technisch aufwendigere Lösung, die jedoch aus Datenschutzperspektive vorteilhaft sein kann.

Datenschutzfreundliche Alternativen zu Google Analytics

Wer den datenschutzrechtlichen Aufwand rund um GA4 vermeiden möchte, hat gute Alternativen:

Plausible Analytics

Plausible ist ein europäisches Webanalyse-Tool (Estland), das ohne Cookies auskommt und keine personenbezogenen Daten im Sinne der DSGVO erhebt. Es bietet die wichtigsten Metriken — Seitenaufrufe, Traffic-Quellen, Klicks — ohne komplexe Consent-Anforderungen. Für die meisten kleinen und mittleren Websites eine unkomplizierte Lösung. Plausible ist kostenpflichtig (ab ca. €9/Monat), aber auch als Open-Source selbst-hostbar.

Matomo (ehemals Piwik)

Matomo kann auf dem eigenen Server gehostet werden. Bei vollständigem Self-Hosting verbleiben alle Daten auf Ihrer eigenen Infrastruktur — kein Datentransfer an Dritte. Matomo bietet ebenfalls einen Cookieless-Modus. Es ist kostenlos in der Self-Hosting-Version, erfordert aber technisches Setup.

Fathom Analytics

Ähnlich wie Plausible: Cookie-frei, DSGVO-konform, europäische Server-Option. Kostenpflichtig.

Vergleich: Google Analytics vs. Alternativen

*Ohne Cookie-Einsatz und ohne personenbezogene Verarbeitung. Rechtsberatung im Einzelfall empfohlen.

Fazit

Google Analytics 4 lässt sich DSGVO-konform einsetzen — erfordert aber mehrere Schritte: AVV mit Google, rechtskonforme Cookie-Einwilligung, Consent Mode v2, aktualisierte Datenschutzerklärung. Der Aufwand ist überschaubar, sollte aber nicht auf die lange Bank geschoben werden.

Wer lieber auf Nummer sicher geht oder weniger technischen Aufwand bevorzugt, ist mit datenschutzfreundlichen Alternativen wie Plausible oder Matomo (self-hosted) gut bedient — ohne Einwilligungspflicht, ohne US-Transfer-Risiko.

Prüfen Sie zunächst, ob Ihr Cookie-Banner und Ihre Datenschutzerklärung den aktuellen Anforderungen entsprechen. Unser DSGVO-Ratgeber gibt einen Überblick über alle relevanten Punkte.

Jetzt Website-Check starten

Häufige Fragen

Ist Google Analytics 4 automatisch DSGVO-konform?

Nein. GA4 ist nicht automatisch DSGVO-konform. Um es rechtskonform einzusetzen, sind mehrere Maßnahmen erforderlich: ein Auftragsverarbeitungsvertrag mit Google, eine rechtskonforme Cookie-Einwilligung über einen ordnungsgemäßen Cookie-Banner, die Implementierung von Consent Mode v2 und eine aktualisierte Datenschutzerklärung.

Brauche ich für GA4 einen Cookie-Banner?

In der Regel ja. GA4 setzt standardmäßig Cookies (insbesondere _ga), für die nach § 25 TDDDG eine vorherige Einwilligung des Besuchers erforderlich ist. Ohne Cookie-Banner und ohne Einwilligung des Besuchers ist der Einsatz von GA4 mit Cookies möglicherweise nicht zulässig.

Was ist der Unterschied zwischen GA4 und Universal Analytics in Bezug auf DSGVO?

GA4 wurde von Google mit Blick auf geänderte Datenschutzanforderungen entwickelt: weniger IP-Datenspeicherung, erweitertes Consent Mode, cookieless Tracking als Option. Dennoch bleiben die grundsätzlichen datenschutzrechtlichen Anforderungen identisch: Einwilligung, AVV, Datenschutzerklärung, Drittlandtransfer-Dokumentation.

Kann ich Google Analytics ohne Cookie-Banner nutzen?

Ja, aber mit Einschränkungen. GA4 bietet einen Cookieless-Modus, bei dem keine Cookies gesetzt werden. In diesem Fall kann der Cookie-Banner entfallen. Allerdings sind die Messdaten in diesem Modus weniger präzise, da Google aus anonymisierten Signalen modelliert. Für viele kleine Websites kann dieser Kompromiss akzeptabel sein.

Welche Alternativen zu Google Analytics sind DSGVO-freundlicher?

Die bekanntesten DSGVO-freundlichen Alternativen sind Plausible Analytics (europäisches Unternehmen, cookie-frei) und Matomo in der Self-Hosted-Version (alle Daten auf eigenem Server). Beide erfordern in der Regel keine Cookie-Einwilligung, wenn sie ohne personenbezogene Verarbeitung betrieben werden.