Google Analytics DSGVO: Ist GA4 datenschutzkonform?
Kurze Antwort: Nein. Sechs EU-Datenschutzbehörden haben Google Analytics seit 2022 für DSGVO-widrig erklärt. Wir erklären den technischen Grund, zeigen was GA4 daran geändert hat — und welche cookiefreien EU-Alternativen ohne Consent-Banner funktionieren.
Das Wichtigste auf einen Blick
- ⚠6 EU-Datenschutzbehörden haben Google Analytics für DSGVO-widrig erklärt (2022–2023)
- ⚠Google Analytics überträgt IP-Adressen und Client-IDs auf US-Server — Drittlandsübermittlung nach Art. 44 DSGVO
- ⚠GA4-IP-Anonymisierung greift erst auf Googles Servern — zu spät für DSGVO-Konformität
- ⚠Ohne Cookie-Einwilligung ist der GA-Einsatz in der EU eine Ordnungswidrigkeit (§ 25 TDDDG)
- ⚠Google Analytics-Daten fließen in Googles Werbe-Targeting-Infrastruktur ein
- ⚠Cookiefreie EU-Alternativen (Plausible, Pirsch) benötigen keinen Consent-Banner
Die EU-Behörden-Entscheidungen im Überblick
Seit 2022 haben Datenschutzbehörden in sechs EU-Ländern unabhängig voneinander festgestellt, dass Google Analytics die DSGVO verletzt. Alle Entscheidungen kommen zum selben Ergebnis: Die Übertragung von IP-Adressen und Browser-Fingerprints an Google-Server in den USA ist ohne ausreichende Rechtsgrundlage — und SCCs allein reichen nicht aus.
Diese Entscheidungen basieren auf Beschwerden, die von der österreichischen Datenschutzorganisation NOYB koordiniert wurden. Sie sind nicht aneinander gebunden, zeigen aber eine eindeutige europäische Rechtslage: Google Analytics schafft strukturell eine rechtswidrige Drittlandsübermittlung.
Warum ist Google Analytics DSGVO-widrig? Das technische Problem
IP-Adressübertragung in die USA
Google Analytics erfasst die vollständige IP-Adresse des Website-Besuchers und überträgt diese an Google-Server in den USA. Nach ständiger EuGH-Rechtsprechung ist die IP-Adresse ein personenbezogenes Datum. Der CLOUD Act (2018) erlaubt US-Behörden, Google zur Herausgabe dieser Daten zu zwingen — ohne EU-Nutzer oder Aufsichtsbehörden zu informieren.
GA4-IP-Anonymisierung greift zu spät
Google hat mit GA4 die IP-Anonymisierung als Standard eingeführt — ein Fortschritt, aber kein DSGVO-Fix. Die Anonymisierung erfolgt auf Googles eigenen Servern in den USA, nicht vor der Übertragung aus der EU. Das bedeutet: vollständige IP-Adressen verlassen die EU, werden anonymisiert, und die anonymisierte Version wird gespeichert. Europäische Behörden haben konsistent festgestellt, dass dies das Grundproblem nicht löst.
Client-IDs, Fingerprinting und Werbe-Infrastruktur
Google Analytics vergiebt jedem Besucher eine persistente Client-ID (gespeichert in einem Cookie oder localStorage), die Browser-Sitzungen verknüpft. Diese ID fließt in Googles geräteübergreifendes Tracking und Werbe-Targeting-System ein. Die Daten aus Google Analytics werden mit Google-Ads- und Doubleclick-Daten verknüpft — das ist der eigentliche Geschäftszweck des kostenlosen Tools.
EU-US Data Privacy Framework — kein sicherer Hafen
Der EU-US Data Privacy Framework (DPF), verabschiedet im Juli 2023, stellt vorübergehend eine formelle Rechtsgrundlage für den Datentransfer zu US-Unternehmen wie Google wieder her. Das DPF wird jedoch bereits von NOYB und anderen Datenschutzorganisationen vor dem EuGH angefochten. Privacy Shield (der Vorläufer) wurde 2020 für ungültig erklärt. Wer auf GA setzt, akzeptiert dieses Rechtsrisiko.
Cookie-Einwilligung bei Google Analytics: Was gilt seit TDDDG (2023)?
Seit dem 1. Dezember 2021 (TTDSG, nun TDDDG) ist für alle Cookies und vergleichbaren Tracking-Technologien eine aktive, vorherige Einwilligung erforderlich. Google Analytics setzt Cookies (_ga, _ga_XXXXXXXX) und darf erst nach Klick auf “Akzeptieren” geladen werden.
Wer GA ohne Consent-Banner betreibt, verstößt gleichzeitig gegen § 25 TDDDG (keine Einwilligung) und gegen Art. 6 DSGVO (keine Rechtsgrundlage für den US-Transfer). Cookiefreie EU-Alternativen wie Plausible oder Pirsch benötigen keinen Consent-Banner — ein erheblicher UX-Vorteil.
Google Analytics vs. DSGVO-konforme EU-Alternativen
Alle EU-Alternativen: cookiefrei, kein US-Transfer, kein Consent-Banner erforderlich.
| Tool | DSGVO ✓ | Cookiefrei | EU-Server | Open Source | Consent nötig | Preis |
|---|---|---|---|---|---|---|
| Google Analytics 4 🇺🇸 USA | ✗ | ✗ | ✗ | ✗ | ✓ | Kostenlos |
| Plausible 🇪🇪 Estland | ✓ | ✓ | ✓ | ✓ | Nein | Ab €9/Mo |
| Matomo 🇳🇿 / EU-Server | ✓ | ✓ | ✓ | ✓ | Nein | Kostenlos (self) |
| Simple Analytics 🇳🇱 Niederlande | ✓ | ✓ | ✓ | ✗ | Nein | Ab €9/Mo |
| Pirsch 🇩🇪 Deutschland | ✓ | ✓ | ✓ | ✓ | Nein | Ab €4/Mo |
✓ = gegeben · ✗ = nicht gegeben · “Consent nötig” gilt für den Grundbetrieb (Pageviews/Besucher-Zählung).
Häufige Fragen zu Google Analytics und der DSGVO
Ist Google Analytics DSGVO-konform?
Nein. Sechs EU-Datenschutzbehörden (AT, FR, IT, DK, FI, NL) haben seit 2022 festgestellt, dass Google Analytics die DSGVO verletzt. Der Grund: IP-Adressen und Client-IDs werden auf US-Server übertragen, ohne dass eine ausreichende Rechtsgrundlage nach Art. 44 ff. DSGVO besteht.
Ist Google Analytics 4 (GA4) DSGVO-konform?
Nein — nicht ohne erhebliche Zusatzmaßnahmen. GA4 anonymisiert IP-Adressen erst auf Googles Servern, nicht vor der Übertragung. Damit verlassen personenbezogene Daten die EU. EU-Behörden haben diese Konstruktion wiederholt als unzureichend bewertet.
Ist Google Analytics in Deutschland legal?
Die DSK hat Orientierungshilfen herausgegeben, nach denen Google Analytics ohne Zusatzmaßnahmen DSGVO-widrig ist. Mehrere Webseiten erhielten formelle Beanstandungen. Ohne Cookie-Einwilligung ist der GA-Einsatz in Deutschland eine Ordnungswidrigkeit.
Welche DSGVO-konforme Alternative gibt es zu Google Analytics?
Plausible (EE), Simple Analytics (NL) und Pirsch (DE) sind cookiefrei — kein Consent-Banner nötig. Matomo ist self-hostbar mit vollständiger Datenkontrolle. Alle speichern Daten auf EU-Servern und erheben keine personenbezogenen Daten.
Brauche ich für Google Analytics einen Cookie-Banner?
Ja, immer. Google Analytics setzt Cookies und erhebt IP-Adressen. § 25 TDDDG verlangt vorherige aktive Einwilligung. Cookiefreie EU-Tools (Plausible, Pirsch, Simple Analytics) benötigen keinen Consent-Banner.
Was passiert wenn ich Google Analytics ohne Einwilligung nutze?
Bußgelder bis 20 Mio. Euro oder 4 % des Jahresumsatzes. NOYB und andere Datenschutzorganisationen reichen systematisch Beschwerden ein. Abmahnungen durch Mitbewerber sind möglich. Mehrere Unternehmen haben bereits Bußgeldbescheide erhalten.
Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung wenden Sie sich an einen Datenschutzbeauftragten oder Rechtsanwalt für IT-Recht.
Bereit für rechtssichere Webanalyse?
Plausible, Matomo und Pirsch liefern alle wichtigen Metriken — cookiefrei, auf EU-Servern, ohne Consent-Banner und ohne Daten an Google weiterzugeben.