Google Analytics ist das weltweit meistgenutzte Webanalyse-Tool: Mehr als 28 Millionen Websites setzen es im Jahr 2026 ein. Dennoch steht seit der Entscheidung der französischen Datenschutzbehörde CNIL im Februar 2022, die Google Analytics als nicht DSGVO-konform eingestuft hat, die Rechtmäßigkeit dieses Tools im Mittelpunkt der Debatte. Auch deutsche Datenschutzbehörden — die Datenschutzkonferenz (DSK) und die Landesdatenschutzbehörden — haben klare Positionen bezogen. Die Einführung von Google Analytics 4 und die Verabschiedung des EU-US Data Privacy Framework im Juli 2023 haben die Lage verändert, doch die Risiken bestehen fort. Wer eine Website betreibt, die aus der EU erreichbar ist, muss diese Zusammenhänge verstehen, um Bußgelder von bis zu 20 Millionen Euro zu vermeiden.
Warum Google Analytics ein Problem mit der DSGVO hat
Der Konflikt zwischen Google Analytics und der DSGVO dreht sich um einen zentralen Punkt: die Übermittlung personenbezogener Daten in die Vereinigten Staaten. Wenn ein Nutzer eine Website besucht, die Google Analytics verwendet, werden Daten wie die IP-Adresse, die Cookie-Kennung, die Bildschirmauflösung und das Surfverhalten erfasst und an Google-Server in den USA übertragen.
Das Schrems-II-Urteil und seine Folgen
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Privacy Shield für ungültig — jenen Mechanismus, der Datenübermittlungen zwischen der EU und den USA erlaubt hatte. Dieses Urteil, bekannt als Schrems II, schuf eine rechtliche Lücke für alle US-amerikanischen Dienste, die Daten europäischer Bürger verarbeiten. Google Analytics, das systematisch Daten an US-Server überträgt, war unmittelbar betroffen.
Entscheidungen der europäischen Datenschutzbehörden 2022
Im Februar 2022 setzte die französische CNIL einen Website-Betreiber in Verzug, weil er Google Analytics in der Standardkonfiguration nutzte. Die Behörde kam zu dem Schluss, dass die Standardvertragsklauseln von Google keinen ausreichenden Schutz vor dem Zugriff durch US-Geheimdienste bieten. Ähnliche Entscheidungen folgten in Österreich, Italien und Dänemark. In Deutschland hat die DSK in ihrer Orientierungshilfe zu Drittlandtransfers betont, dass zusätzliche Schutzmaßnahmen nach Artikel 46 DSGVO erforderlich sind, und die Landesdatenschutzbehörden haben wiederholt auf die Problematik von Google Analytics hingewiesen.
Das doppelte Cookie-Problem
Neben der Datenübermittlung setzt Google Analytics Tracking-Cookies auf dem Gerät des Nutzers. Gemäß § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bedarf jede Speicherung nicht-essentieller Cookies auf dem Endgerät der vorherigen Einwilligung des Nutzers. Eine Website, die Google Analytics ohne Einwilligung lädt, begeht somit einen doppelten Verstoß: gegen die Cookie-Vorschriften des TTDSG und gegen die Vorschriften zur Drittlandübermittlung der DSGVO.
Das Data Privacy Framework: eine unsichere Verbesserung
Im Juli 2023 nahm die Europäische Kommission das EU-US Data Privacy Framework (DPF) an, einen neuen Rechtsrahmen zur Lösung des transatlantischen Datenübermittlungsproblems. Google wurde im Rahmen des DPF zertifiziert, was theoretisch die Datenübermittlung an seine US-Server wieder legalisiert. Allerdings beruht dieses Rahmenwerk auf Zusagen der US-Behörden, und Klagen sind bereits anhängig. Die Organisation noyb hat angekündigt, das DPF vor dem EuGH anzufechten, wie sie es bereits mit dem Privacy Shield getan hat. Ein mögliches „Schrems-III”-Urteil könnte diesen Rahmen ebenfalls kippen. Im Jahr 2026 besteht die Rechtsunsicherheit fort.
Google Analytics 4: Reicht das aus?
Seit Juli 2023 hat Google Universal Analytics eingestellt und durch Google Analytics 4 (GA4) ersetzt. Diese neue Version bringt wesentliche Verbesserungen beim Datenschutz.
Die Fortschritte von GA4
GA4 anonymisiert IP-Adressen standardmäßig, ohne zusätzliche Konfiguration. Die Aufbewahrungsfristen für Daten sind kürzer (2 oder 14 Monate statt der 26 Monate bei Universal Analytics). Das Datenmodell basiert auf Ereignissen statt auf Sitzungen, und GA4 bietet mehr Kontrolle über die erhobenen Daten.
Fortbestehende Einschränkungen
Trotz dieser Verbesserungen setzt GA4 weiterhin Cookies auf dem Gerät des Nutzers, was nach wie vor eine vorherige Einwilligung erfordert. Die Daten werden weiterhin von Google verarbeitet, einem Unternehmen, das dem US-Recht unterliegt (Cloud Act, FISA Section 702). Das DPF könnte für ungültig erklärt werden, was GA4 in die gleiche Lage wie seinen Vorgänger versetzen würde. Zudem fließen die an Google übermittelten Daten selbst bei Einwilligung in ein Werbeökosystem ein, das der Nutzer nicht kontrolliert.
Aktuelle Position der Behörden
Im Jahr 2026 gilt GA4 als nutzbar, sofern drei kumulative Anforderungen erfüllt werden: Einholung der vorherigen Einwilligung des Nutzers vor jeder Cookie-Speicherung, strenge Konfiguration von GA4 (Deaktivierung von Google Signals, Reduzierung der Aufbewahrung, Einschränkung der Datenfreigabe) und Nennung von GA4 in Ihrer Cookie-Richtlinie. Diese Duldung beruht jedoch auf der Gültigkeit des DPF, die rechtlich fragil bleibt.
DSGVO-konforme Alternativen
Angesichts der mit Google Analytics verbundenen Risiken ermöglichen mehrere Alternativen eine datenschutzkonforme Messung der Website-Nutzung.
Matomo (ehemals Piwik)
Matomo ist die führende Open-Source-Alternative zu Google Analytics. Es bietet einen vergleichbaren Funktionsumfang (Traffic-Berichte, Conversions, Heatmaps) bei voller Kontrolle über die Daten. In Europa gehostet (selbst gehostet oder über Matomo Cloud in Deutschland), entfällt das Problem der transatlantischen Datenübermittlung. Unter bestimmten Konfigurationsbedingungen (kein Datenabgleich, begrenzte Cookie-Lebensdauer, minimale Datenerhebung) kann Matomo unter der von der CNIL anerkannten Ausnahme ohne vorherige Einwilligung eingesetzt werden — ein Ansatz, der auch von deutschen Datenschutzbehörden als gangbar angesehen wird. Die selbst gehostete Version ist kostenlos; Matomo Cloud beginnt bei 19 Euro im Monat.
Plausible Analytics
Plausible ist ein leichtgewichtiges, auf Datenschutz ausgerichtetes Analysetool. Es setzt keine Cookies, erhebt keine personenbezogenen Daten und ist kleiner als 1 KB (gegenüber etwa 45 KB bei GA4). Da keine Cookies verwendet werden, ist kein Einwilligungsbanner für die Nutzungsmessung erforderlich. Die Daten werden in der Europäischen Union gehostet. Der Preis beginnt bei etwa 9 Euro im Monat. Die Oberfläche ist bewusst minimalistisch — ideal für kleine Unternehmen, die wesentliche Kennzahlen ohne Komplexität benötigen.
Fathom Analytics
Fathom verfolgt dieselbe Philosophie wie Plausible: keine Cookies, keine personenbezogenen Daten, DSGVO-Konformität von Grund auf. Das Tool bietet eine aufgeräumte Oberfläche, ein ultraleichtes Skript und konformes Hosting. Es zeichnet sich durch intelligente Bot-Traffic-Filterung und E-Mail-Berichte aus. Der Preis beginnt bei etwa 14 US-Dollar im Monat.
AT Internet (Piano Analytics)
AT Internet, jetzt Piano Analytics, ist eine französische Lösung zur Nutzungsmessung, die von zahlreichen Behörden und Großunternehmen eingesetzt wird. Die CNIL hat ihr in der Konfiguration zur Nutzungsmessung eine Ausnahme von der Einwilligungspflicht gewährt. Sie ist das Referenztool für Organisationen mit strengen Compliance-Anforderungen. Die Preise sind auf Anfrage erhältlich, in der Regel für Websites mit hohem Traffic-Aufkommen ausgelegt.
Hybridlösung: Das Beste aus beiden Welten
Im Jahr 2026 setzen viele Websites auf einen Hybridansatz: Ein cookiefreies Tool (Plausible oder Matomo mit Ausnahme) zur Erfassung der Basisdaten aller Besucher, ergänzt durch GA4, das nur nach Einwilligung für zustimmende Nutzer aktiviert wird. Diese Strategie liefert Basisdaten über 100 % des Traffics und bewahrt gleichzeitig die erweiterten Funktionen von GA4 für einwilligende Besucher.
GA4 datenschutzkonform konfigurieren
Wenn Sie Google Analytics 4 beibehalten möchten, ist eine strenge Konfiguration unerlässlich, um das rechtliche Risiko zu begrenzen.
Einwilligung vor jeder Cookie-Speicherung einholen. Das GA4-Skript darf erst nach ausdrücklicher Zustimmung über ein konformes Einwilligungsbanner geladen werden. Tools wie Usercentrics, Cookiebot oder Borlabs Cookie ermöglichen es, das Laden von Skripten an die Einwilligung zu knüpfen.
GA4 restriktiv konfigurieren. In der GA4-Verwaltungsoberfläche: Google Signals deaktivieren, die Aufbewahrungsdauer auf 2 Monate reduzieren, die Erhebung granularer Werbedaten deaktivieren und den erweiterten Einwilligungsmodus (Consent Mode v2) aktivieren.
Compliance dokumentieren. Google Analytics in Ihrer Cookie-Richtlinie erwähnen und dabei den Zweck (Nutzungsmessung), die Art der gesetzten Cookies, deren Lebensdauer und die Datenübermittlung in die USA im Rahmen des DPF angeben.
Die Auswirkungen auf Ihre Cookie-Richtlinie
Die Verwendung von Google Analytics oder einer Alternative hat direkte Auswirkungen auf Ihre Cookie-Richtlinie. Dieses Dokument muss jedes verwendete Analysetool genau auflisten, die gesetzten Cookies (oder deren Fehlen bei Plausible oder Fathom), die erhobenen Daten und deren Zweck, etwaige Übermittlungen außerhalb der Europäischen Union sowie die Rechtsgrundlage der Verarbeitung (Einwilligung oder Ausnahme).
Bei einem Hybridansatz müssen beide Tools getrennt dokumentiert werden. Für eine Anleitung zur Erstellung einer vollständigen und konformen Cookie-Richtlinie lesen Sie unseren Leitfaden zu Cookie-Regeln und Sanktionen. Denken Sie daran, dass eine Cookie-Richtlinie zu den 4 Pflichtdokumenten für jeden Online-Shop gehört. Verstöße können Ihre Website Bußgeldern von bis zu 300 000 Euro aussetzen, wie unsere Übersicht der höchsten DSGVO-Bußgelder zeigt.
Fazit: Welche Lösung sollten Sie 2026 wählen?
Die Wahl Ihres Analysetools hängt von Ihrem Profil und Ihren Anforderungen ab.
Kleines Unternehmen oder Startup mit begrenztem Budget: Plausible Analytics (ab 9 Euro/Monat) oder selbst gehostetes Matomo (kostenlos) bieten native DSGVO-Konformität ohne Einwilligungspflicht für die Nutzungsmessung. Diese Tools decken die wesentlichen Anforderungen an die Traffic-Überwachung ab.
Mittelständisches Unternehmen mit Marketing-Anforderungen: Matomo Cloud (ab 19 Euro/Monat) oder Plausible, ergänzt durch GA4 mit vorheriger Einwilligung. Der Hybridansatz bewahrt Googles erweiterte Funktionen und gewährleistet gleichzeitig Basisdaten über den gesamten Traffic.
Großunternehmen oder öffentliche Einrichtung: Piano Analytics (AT Internet) bietet eine von der CNIL ausgenommene französische Lösung mit einem Detaillierungs- und Anpassungsgrad, der für Websites mit hohem Traffic-Aufkommen und strengen Compliance-Anforderungen geeignet ist.
Unabhängig von Ihrer Wahl bleibt ein Punkt unverhandelbar: Ihre Cookie-Richtlinie muss aktuell sein und die verwendeten Tools korrekt wiedergeben. Analytik-Compliance ist untrennbar mit Dokumenten-Compliance verbunden. Lassen Sie nicht zu, dass ein Analysetool die DSGVO-Gesamtkonformität Ihrer Website gefährdet.