Ist Google Analytics in Deutschland erlaubt?

Google Analytics ist nicht generell verboten, aber ohne korrekte Konfiguration DSGVO-widrig. Sie brauchen einen Auftragsverarbeitungsvertrag mit Google, IP-Anonymisierung (bei GA4 Standard), eine Einwilligung via Cookie-Banner und einen Eintrag in der Datenschutzerklärung.

Ist Google Analytics 4 automatisch DSGVO-konform?

Nein. GA4 anonymisiert IP-Adressen standardmäßig und hat einige Datenschutz-Verbesserungen gegenüber Universal Analytics. Aber es ist immer noch ein Tracking-Tool, das Einwilligung erfordert, und die Daten gehen noch an Google-Server in den USA.

Was ist die beste datenschutzfreundliche Alternative zu Google Analytics?

Plausible Analytics und Matomo (selbst gehostet) sind die bekanntesten Alternativen. Plausible ist hosted, cookiefrei und benötigt keine Einwilligung. Matomo selbst gehostet ist cookiefrei konfigurierbar und gibt vollständige Datenkontrolle.

Was passiert, wenn ich Google Analytics ohne Einwilligung nutze?

Das ist ein Verstoß gegen § 25 TTDSG und Art. 6 DSGVO. Deutsche Behörden haben 2021-2022 mehrere Beschwerden über Analytics bearbeitet. Die DSB Österreich erklärte im Januar 2022 den Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen für rechtswidrig.

DSGVO & Datenschutz

Google Analytics und DSGVO: Wie Sie es rechtskonform nutzen

Steven | TrustYourWebsite · 3. Mai 2026

Google Analytics ist auf Millionen von Websites eingebunden. In Deutschland ist es legal — aber nur unter bestimmten Bedingungen, die viele Website-Betreiber nicht vollständig erfüllen.

Was Google Analytics macht und warum es die DSGVO berührt

Google Analytics verarbeitet zwei Arten von Daten:

Technische Identifikatoren: IP-Adresse (bis zur Anonymisierung), Browser-Fingerprint, Session-ID. Diese Daten gelten als personenbezogen nach Art. 4 Nr. 1 DSGVO.

Verhaltensdaten: Welche Seiten besucht wurden, wie lange, mit welchem Gerät, aus welcher Quelle. GA4 aggregiert stärker als sein Vorgänger, aber die individuelle Client-ID (_ga-Cookie) ermöglicht weiterhin ein längerfristiges Profil pro Gerät.

Weil IP-Adressen und Client-IDs personenbezogene Daten sind, ist der Einsatz von Google Analytics eine Datenverarbeitung nach DSGVO.

Die vier Pflichten bei Google Analytics

1. Auftragsverarbeitungsvertrag (AVV) abschließen

Google Analytics ist ein Dienst, bei dem Google Daten "im Auftrag" des Website-Betreibers verarbeitet — das Klassenbuch der DSGVO nennt das Auftragsverarbeitung nach Art. 28 DSGVO. Dafür brauchen Sie einen schriftlichen AVV mit Google.

Google stellt diesen Vertrag bereit, aber er muss aktiv angenommen werden.

Wie: In Google Analytics unter Verwaltung > Kontoeinstellungen > Datenverarbeitungsbedingungen. Diese Datenschutzbedingungen akzeptieren und bestätigen.

Wer keinen AVV hat, betreibt Google Analytics illegal — unabhängig von allen anderen Maßnahmen.

2. IP-Anonymisierung sicherstellen

GA4 (Google Analytics 4): IP-Anonymisierung ist standardmäßig aktiviert. Google gibt an, keine vollständigen IP-Adressen zu speichern.

Universal Analytics (eingestellt Juli 2023): Hier war anonymize_ip: true manuell zu konfigurieren. Wenn Sie noch Universal Analytics-Tags im Einsatz haben, sollten Sie ohnehin auf GA4 migrieren.

Die IP-Anonymisierung allein macht Analytics nicht einwilligungsfrei — die Client-ID und Verhaltensprofile bleiben Tracking-Daten.

Google Analytics darf erst laden, nachdem der Besucher aktiv zugestimmt hat. Das bedeutet:

Der Cookie-Banner muss vor dem Analytics-Skript-Load erscheinen
Der Besucher muss "Analytics" oder "Statistik" ausdrücklich aktivieren
Standard muss "deaktiviert" sein (Opt-in, nicht Opt-out)
Ablehnen muss genauso einfach sein wie Zustimmen

Technisch: Das Analytics-Skript und die gtag-Initialisierung dürfen nicht im <head> statisch eingebunden sein. Sie müssen konditional geladen werden — entweder per Consent-Management-Plattform oder per Tag Manager mit Consent Mode.

4. Datenschutzerklärung aktualisieren

Ihre Datenschutzerklärung muss Google Analytics erwähnen. Pflichtangaben:

Name des Dienstes (Google Analytics 4)
Anbieter (Google LLC, USA)
Verarbeitungszweck (Website-Analyse)
Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)
Drittlandtransfer: Datenübermittlung in die USA, Rechtsgrundlage EU-US Data Privacy Framework
Link zur Google-Datenschutzerklärung
Hinweis auf Widerrufsmöglichkeit

Google Analytics und der US-Transfer

Google Analytics überträgt Daten an Server von Google LLC in den USA. Seit Juli 2023 gibt es das EU-US Data Privacy Framework als Rechtsgrundlage für Transfers zu zertifizierten US-Unternehmen. Google ist unter dem DPF zertifiziert.

Das schließt die Pflicht, den Transfer in der Datenschutzerklärung zu erwähnen, nicht aus. Und das DPF steht — wie seine Vorgänger Safe Harbor und Privacy Shield — unter rechtlichem Druck. Wer langfristig auf der sicheren Seite sein will, sollte mindestens einen Plan B haben.

Seit März 2024 verlangt Google für bestimmte Werbefunktionen (Google Ads Conversion Tracking, Remarketing) die Implementierung des Google Consent Mode v2. Ohne Consent Mode v2 verlieren Sie Daten für Nutzer, die Analytics abgelehnt haben — Google kann keine Konversionen mehr zurückschließen.

Was Consent Mode v2 macht: Er sendet anonymisierte Signale an Google auch ohne vollständige Einwilligung, um statistische Modellierung zu ermöglichen. Ob das DSGVO-konform ist, wird in Fachkreisen diskutiert. Die deutschen Behörden haben sich dazu noch nicht abschließend geäußert.

Praktische Empfehlung: Wenn Sie Google Ads nutzen, setzen Sie Consent Mode v2 korrekt auf. Wenn Sie nur Analytics für eigene Auswertungen nutzen und keine Ads schalten, ist Consent Mode v2 für Analytics weniger relevant.

Datenschutzfreundliche Alternativen

Wenn Sie Google Analytics nur für grundlegende Reichweitenmessung nutzen, lohnt sich ein Blick auf Alternativen, die komplett ohne Einwilligung auskommen:

Plausible Analytics Gehosteter Dienst, kein Tracking, keine Cookies, keine persönlichen Daten. Dashboards zeigen Seitenaufrufe, Referrer, Gerätetypen und Länder — ausreichend für die meisten SME-Websites. Kosten ab 9 $/Monat.

Matomo (selbst gehostet) Open-Source-Analytics, auf Ihrem eigenen Server betrieben. Mit der "anonymize IP"-Einstellung und deaktivierten Cookies gilt Matomo nach der deutschen Datenschutzkonferenz-Orientierungshilfe als einwilligungsfrei. Keine monatlichen Kosten für die Software, aber Serverkosten und Wartung.

Fathom Analytics Ähnlich wie Plausible, GDPR-ready, kein Cookie-Banner erforderlich. Ab 14 $/Monat.

Prüfen Sie Ihre Website auf DSGVO-Compliance — kostenloser DSGVO-Scanner. Der Scanner prüft, ob Analytics hinter dem Cookie-Banner liegt und ob externe Tracking-Verbindungen vor der Einwilligung aktiviert werden.

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

Brauche ich einen Cookie-Banner? Die DSGVO-Pflicht für deutsche Websites

Nicht jede Website braucht einen Cookie-Banner. Diese Entscheidungshilfe zeigt, wann die DSGVO einen Banner vorschreibt und wann Sie ohne auskommen.

Cookie-Einwilligung in Österreich: § 165 TKG 2021 und die DSB-Cookie-Leitlinien

Österreichs Cookie-Recht steht im § 165 TKG 2021 — nicht im deutschen TTDSG. Was die DSB-Leitlinien fordern, welche Banner-Designs sicher sind und wo der häufigste Fehler liegt.

Datenschutzerklärung für Websites: Was Pflicht ist und was fehlt

Art. 13 DSGVO schreibt eine Datenschutzerklärung für jede Website vor. Was genau hinein muss, welche Angaben oft fehlen und was eine fehlende Erklärung kostet.