Google Analytics und DSGVO: Pflichten für deutsche Websites

Google Analytics ist auf Millionen von Websites eingebunden. In Deutschland ist es legal, aber nur unter Bedingungen, die viele Website-Betreiber nicht vollständig erfüllen. Die wichtigste davon ist eine wirksame Einwilligung nach § 25 TDDDG, bevor das erste Analytics-Skript lädt und das _ga-Cookie gesetzt wird.

Bevor Sie weiterlesen: Unser kostenloser DSGVO-Scanner prüft automatisch, ob Analytics auf Ihrer Website hinter dem Cookie-Banner liegt und ob externe Tracking-Verbindungen bereits vor der Einwilligung aktiv werden.

Was Google Analytics macht und warum es die DSGVO berührt

Google Analytics verarbeitet zwei Arten von Daten:

Technische Identifikatoren: IP-Adresse (bis zur Anonymisierung), Browser-Fingerprint, Session-ID. Diese Daten gelten als personenbezogen nach Art. 4 Nr. 1 DSGVO.

Verhaltensdaten: Welche Seiten besucht wurden, wie lange, mit welchem Gerät, aus welcher Quelle. GA4 aggregiert stärker als sein Vorgänger, aber die individuelle Client-ID im _ga-Cookie ermöglicht weiterhin ein längerfristiges Profil pro Gerät.

Weil IP-Adressen und Client-IDs personenbezogene Daten sind, ist der Einsatz von Google Analytics eine Datenverarbeitung nach DSGVO. Hinzu kommt der vorgelagerte Zugriff auf das Endgerät der Besucher (das Setzen des _ga-Cookies), der unabhängig von der DSGVO über § 25 TDDDG eine Einwilligung verlangt.

GA4 gegenüber Universal Analytics: Was hat sich geändert?

Universal Analytics wurde im Juli 2023 von Google abgeschaltet. Wer noch alte UA-Tags im Code hat, sollte diese umgehend entfernen. GA4 ist der aktuelle Nachfolger, und er unterscheidet sich in mehreren Punkten, die für die DSGVO relevant sind.

IP-Anonymisierung: Bei Universal Analytics musste man anonymize_ip: true manuell setzen. Bei GA4 anonymisiert Google IP-Adressen standardmäßig, bevor sie gespeichert werden. Das ist ein echter Fortschritt. Was IP-Anonymisierung aber nicht leistet: Sie macht GA4 nicht einwilligungsfrei. Die Client-ID im _ga-Cookie und die daraus entstehenden Verhaltensprofile sind weiterhin personenbezogene Daten.

Datenspeicherung: GA4 erlaubt kürzere Aufbewahrungsfristen (mindestens 2 Monate, Standard 14 Monate). Wer datenschutzfreundlicher vorgehen will, stellt die Aufbewahrung in den GA4-Einstellungen auf 2 Monate.

Sitzungsmodell: GA4 arbeitet stärker ereignisbasiert statt sitzungsbasiert. Das ändert nichts an der Einwilligungspflicht, bedeutet aber, dass die Datenstruktur anders ist als bei UA.

Die Datenschutzkonferenz (DSK) hat in ihren Beschlüssen und in der Orientierungshilfe Telemedien Fassung 1.2 vom 20. November 2024 klargestellt: Weder IP-Anonymisierung noch Auftragsverarbeitungsvertrag allein legitimieren den Einsatz von Analytics ohne Einwilligung.

Die vier Pflichten bei Google Analytics

1. Wirksame Einwilligung nach § 25 TDDDG vor dem ersten Skript-Load

Das Setzen des _ga-Cookies ist ein Zugriff auf Endgeräte-Informationen im Sinne von § 25 Abs. 1 TDDDG. Die Norm verlangt eine vorherige Einwilligung, die nach Art. 4 Nr. 11 DSGVO freiwillig, spezifisch, informiert und unmissverständlich sein muss. Praktisch heißt das:

• Der Cookie-Banner muss vor dem Analytics-Skript-Load erscheinen
• Der Besucher muss „Analytics" oder „Statistik" ausdrücklich aktivieren
• Standard ist „deaktiviert" (Opt-in, nicht Opt-out)
• Ablehnen muss genauso einfach sein wie Zustimmen, also gleichwertig auf der ersten Banner-Ebene

Technisch dürfen das Analytics-Skript und die gtag-Initialisierung nicht statisch im <head> eingebunden sein. Sie müssen konditional geladen werden, entweder per Consent-Management-Plattform oder per Tag Manager mit Consent Mode. Die DSK-Orientierungshilfe Fassung 1.2 vom 20. November 2024 fasst diese Anforderungen für Telemedien zusammen.

2. Auftragsverarbeitungsvertrag mit Google Ireland Ltd. abschließen

Google Analytics ist ein Dienst, bei dem Google Daten „im Auftrag" des Website-Betreibers verarbeitet. Das nennt die DSGVO Auftragsverarbeitung nach Art. 28 DSGVO. Dafür brauchen Sie einen schriftlichen AVV mit der für den EWR zuständigen Google Ireland Ltd. (Dublin), nicht mit Google LLC. Google stellt diesen Vertrag bereit, aber er muss aktiv angenommen werden.

Wie: In Google Analytics unter Verwaltung > Kontoeinstellungen > Datenverarbeitungsbedingungen. Diese Datenschutzbedingungen akzeptieren und bestätigen. Wer keinen AVV hat, betreibt Google Analytics rechtswidrig. Das gilt unabhängig von allen anderen Maßnahmen.

3. Transparente Information in der Datenschutzerklärung (Art. 13 DSGVO)

Die Datenschutzerklärung muss nach Art. 13 DSGVO Google Analytics konkret nennen. Pflichtangaben:

• Name des Dienstes (Google Analytics 4)
• Anbieter und EWR-Vertretung (Google Ireland Ltd. in Dublin, Mutterkonzern Google LLC, USA)
• Verarbeitungszweck (Website-Analyse)
• Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG)
• Drittlandtransfer: Datenübermittlung in die USA, Übermittlungsgrundlage EU-US Data Privacy Framework
• Link zur Google-Datenschutzerklärung
• Hinweis auf Widerrufsmöglichkeit

Welche Pflichtangaben sonst in jede deutsche Datenschutzerklärung gehören, fasst der Leitfaden zur Datenschutzerklärung zusammen.

4. Drittland-Hinweis: Transfer in die USA über das EU-US Data Privacy Framework

Google Analytics überträgt Daten an Server von Google LLC in den USA. Seit dem Angemessenheitsbeschluss vom 10. Juli 2023 regelt das EU-US Data Privacy Framework Transfers in die USA. Google ist in der DPF-Liste zertifizierter Anbieter geführt. Das schließt die Pflicht, den Transfer in der Datenschutzerklärung zu erwähnen, nicht aus. Das DPF steht, wie seine Vorgänger Safe Harbor und Privacy Shield, unter anhaltendem rechtlichen Druck. Wer langfristig auf der sicheren Seite sein will, sollte einen Plan B haben.

Der Google Consent Mode v2 und seine Grenzen

Seit März 2024 verlangt Google für bestimmte Werbefunktionen (Google Ads Conversion Tracking, Remarketing) die Implementierung des Google Consent Mode v2. Ohne ihn verlieren Sie Messdaten für Nutzer, die Analytics abgelehnt haben.

Consent Mode v2 gibt es in zwei Varianten:

Basic Mode: Ohne Einwilligung werden keine Daten an Google gesendet. Das ist die datenschutzfreundlichere Variante und aus DSGVO-Sicht weniger problematisch.

Advanced Mode: Hier sendet Google auch ohne vollständige Einwilligung sogenannte cookielose Pings, also anonymisierte Signale mit Seitenaufruf- und Conversion-Informationen. Google nutzt diese Pings zusammen mit Machine Learning, um das Verhalten ablehnender Nutzer auf Basis zustimmender Nutzer hochzurechnen. Die IP-Adresse wird dabei übertragen.

Wichtig: Consent Mode v2 löst die Einwilligungspflicht aus § 25 Abs. 1 TDDDG nicht auf. Er regelt nur das Verhalten nach der Einwilligungs- oder Ablehnungsentscheidung. Pre-Consent-Pings sind auch im Advanced Mode unzulässig, weil sie das Endgerät vor der Einwilligung ansprechen. Die datenschutzrechtliche Bewertung des Advanced Mode ist in Deutschland nicht abgeschlossen. Deutsche Datenschutzrechtler stufen ihn überwiegend als problematisch ein. Die deutschen Aufsichtsbehörden haben sich noch nicht abschließend geäußert.

Praktische Empfehlung: Wenn Sie Google Ads nutzen, setzen Sie Consent Mode v2 auf und wählen Sie den Basic Mode, wenn Sie auf der sicheren Seite bleiben wollen. Wenn Sie nur Analytics für eigene Auswertungen nutzen und keine Ads schalten, ist Consent Mode v2 für Analytics weniger relevant.

Was passiert, wenn Sie Google Analytics ohne Einwilligung betreiben?

Verstoß gegen § 25 TDDDG und Art. 6 DSGVO. In Deutschland kann die Sanktionierung über zwei Kanäle parallel laufen.

Behördlich durch die zuständige Landesdatenschutzbehörde

Welche Aufsichtsbehörde zuständig ist, richtet sich nach dem Sitz des Verantwortlichen. Beispiele: BayLDA für Bayern, LfDI BW für Baden-Württemberg, BlnBDI für Berlin, LDI NRW für Nordrhein-Westfalen. Die vollständige Liste der 16 Behörden findet sich auf datenschutzkonferenz-online.de. Die Tätigkeitsberichte der Landesbehörden dokumentieren seit 2022 mehrere Verfahren wegen Google Analytics ohne wirksame Einwilligung. Das BayLDA hat in seiner Cookie-Prüfung Februar 2024 mehr als 350 bayerische Websites stichprobenartig untersucht und Pre-Consent-Loading von Tracking-Skripten in den meisten Fällen beanstandet. Tracking-Skripte, darunter gtag.js, wurden regelmäßig bereits vor der Einwilligung geladen. Das ist auch im Consent Mode v2 ein eigenständiger Verstoß. Der LfDI Bremen Tätigkeitsbericht 2023 dokumentiert mehrere Bußgeldverfahren in diesem Zusammenhang.

Wettbewerbsrechtlich durch Mitbewerber-Abmahnungen nach § 3a UWG

Anders als in vielen Nachbarländern lassen sich DSGVO-Verstöße in Deutschland auch wettbewerbsrechtlich verfolgen. § 3a UWG (Rechtsbruch) erlaubt Mitbewerbern und qualifizierten Wirtschaftsverbänden (etwa der Wettbewerbszentrale), den Verstoß gegen § 25 TDDDG als Wettbewerbsverstoß abzumahnen. Typische Streitwerte vor Landgerichten liegen zwischen 5.000 und 15.000 €, daraus resultierende Anwaltsgebühren zwischen 600 und 2.500 €. Eine Erstabmahnung gegen ein Unternehmen mit weniger als 100 Beschäftigten darf nach § 13a UWG bei Bagatellverstößen keine Vertragsstrafe verlangen. Der Unterlassungsanspruch und die Anwaltsgebühren bleiben aber bestehen.

Datenschutzfreundliche Alternativen

Wenn Sie Google Analytics nur für grundlegende Reichweitenmessung verwenden, lohnt ein Blick auf Alternativen, die ohne Einwilligung auskommen:

Plausible Analytics Gehosteter Dienst, kein Tracking, keine Cookies, keine persönlichen Daten. Dashboards zeigen Seitenaufrufe, Referrer, Gerätetypen und Länder. Das reicht für die meisten kleineren Websites. Kosten ab 9 $/Monat.

Matomo (selbst gehostet) Open-Source-Analytics, auf Ihrem eigenen Server betrieben. Mit aktivierter IP-Anonymisierung und deaktivierten Cookies gilt Matomo nach der Orientierungshilfe der Datenschutzkonferenz als einwilligungsfrei nutzbar. Keine monatlichen Softwarekosten, aber Serverkosten und Wartung fallen an.

Fathom Analytics Ähnlich wie Plausible, DSGVO-ready, kein Cookie-Banner erforderlich. Ab 14 $/Monat.

Keines dieser Tools ersetzt Google Analytics vollständig, wenn Sie auf Remarketing oder detaillierte Conversion-Attribution angewiesen sind. Für Informationsseiten, Blogs und viele Unternehmenswebsites sind sie aber vollwertige Optionen.

Checkliste: Google Analytics rechtssicher betreiben

Gehen Sie diese Punkte durch, bevor Sie sagen, dass Analytics auf Ihrer Website DSGVO-konform läuft:

• AVV mit Google Ireland Ltd. in den Kontoeinstellungen akzeptiert
• GA4 im Einsatz (kein Universal Analytics mehr)
• Cookie-Banner blockiert das Analytics-Skript bis zur Einwilligung (§ 25 TDDDG)
• Ablehnen-Button gleichwertig auf der ersten Banner-Ebene (siehe Cookie-Banner-Leitfaden)
• Opt-in-Standard: Analytics ist standardmäßig deaktiviert
• Datenschutzerklärung nennt GA4, Google Ireland Ltd., Zweck, Rechtsgrundlage und DPF-gestützten US-Transfer
• Aufbewahrungsfrist in GA4 auf 14 Monate oder kürzer gesetzt
• Consent Mode v2 konfiguriert, falls Sie Google Ads schalten

Möchten Sie wissen, ob Ihre Website diese Punkte erfüllt? Der DSGVO-Scanner von TrustYourWebsite prüft das automatisch und zeigt, welche Tracker vor der Einwilligung laden. Eine breitere Sicht auf die 10 Compliance-Schritte einer deutschen Website bietet die DSGVO-Checkliste 2026.

Quellen

• Verordnung (EU) 2016/679 (DSGVO) (EUR-Lex)
• § 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen (gesetze-im-internet.de)
• § 3a UWG – Rechtsbruch (gesetze-im-internet.de)
• § 13a UWG – Vertragsstrafe bei Erstabmahnung (gesetze-im-internet.de)
• Durchführungsbeschluss (EU) 2023/1795 zum EU-US Data Privacy Framework (EUR-Lex)
• DSK – Orientierungshilfe Telemedien Fassung 1.2 (datenschutzkonferenz-online.de)
• DSK – Beschlüsse (datenschutzkonferenz-online.de)
• BayLDA – Cookie-Prüfung Februar 2024 (lda.bayern.de)
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (bfdi.bund.de)