Google Analytics DSGVO-konform nutzen – das musst du beachten

1. Wie definiert sich eine DSGVO-konforme Nutzung von Google Analytics – und warum ist sie für dein Unternehmen wichtig?
2. Welche datenschutzrechtlichen Aspekte gilt es bei der Integration von Google Analytics zu beachten?
3. Das kritisieren Datenschützer*innen – und das gilt aktuell rechtlich 
4. Welche Maßnahmen sollten Unternehmen umsetzen, um Google Analytics DSGVO-konform einzusetzen?
5. Welche Tools helfen bei der DSGVO-konformen Nutzung von Google Analytics?
6. Fazit

Ein*e Nutzer*in öffnet die App eines Fitness-Start-ups, tippt sich kurz durch das Menü, schaut sich zwei Trainingsprogramme an – und schließt die App nach wenigen Sekunden wieder. Im Analytics-Dashboard erscheint nur eine weitere Session ohne Interaktion. Für Marketing- und Produktteams stellt sich sofort die Frage: Warum steigt sie hier aus?

Genau an diesem Punkt setzt Google Analytics 4 (GA4) an: Ob Website oder App – GA4 hilft zu verstehen, wie sich Nutzer*innen verhalten, welche Funktionen sie nutzen und wo sie abspringen. Damit diese Daten aber nicht nur wertvoll, sondern auch rechtlich sauber erhoben werden, müssen Unternehmen GA4 korrekt konfigurieren, datensparsam einsetzen und alle Datenschutzvorgaben beachten.

Wie definiert sich eine DSGVO-konforme Nutzung von Google Analytics – und warum ist sie für dein Unternehmen wichtig?

Wie verhalten sich Besucher*innen auf einer Markenwebsite oder in einem Onlineshop? Von wo kommen sie, wie lange bleiben sie oder warum springen sie kurz vor Kauf wieder ab?

Antworten auf all diese Fragen – und auf viele weitere – kann Google Analytics liefern. Das Tool ist für Digitalagenturen und Marketingteams unverzichtbar, um die Customer Experience Journey besser zu verstehen und datenbasiert zu optimieren.

Mit Google Analytics lassen sich insbesondere folgende Kennzahlen auswerten:

• Traffic-Daten zeigen, woher wie viele Nutzer*innen kommen. Beispielsweise von Traffic Quellen wie der organischen Suche (Organic Search), Verweisquellen (Referral Traffic), Direktzugriffen (Direct Traffic) oder bezahlte Kampagnen (Paid Campaigns). 
• Engagement-Daten: Mit einer Analyse der Engagement-Daten lässt sich nachvollziehen, wie Nutzer*innen mit der Website oder App interagieren – über Sitzungsdauer (Session Duration), Seitenaufrufe (Page Views), Sitzungen (Sessions) oder definierte Schlüsselereignisse (Key Events) wie Käufe, Newsletter-Anmeldungen oder andere Conversions. Diese Werte können verraten, welche Inhalte und Seiten gut performen, wo sich die Haupteinstiegsseiten befinden und in welcher Phase der Customer Journey sich die Nutzer*innen typischerweise befinden.
• User-Daten verdeutlichen, wer die Anwender*innen sind: aus welchen Ländern, Regionen oder Städten (Location Data) sie kommen, welche Geräte (Device Category, Device Model) sie verwenden oder welchen Browser (Browser Type) sie nutzen. So lassen sich Zielgruppen präziser abbilden oder technische Barrieren schneller erkennen. 

Und was hat das ganze nun mit der DSGVO zu tun? So wertvoll diese Daten auch sind – sie beruhen auf Informationen, die User*innen eindeutig identifizierbar machen können. Google Analytics verarbeitet personenbezogene Daten wie IP-Adressen, Gerätekennungen (Device IDs) oder Standortdaten (Location Data).

Damit diese Datenerhebung rechtlich zulässig bleibt, müssen Unternehmen und Digitalagenturen sicherstellen, dass der Einsatz von Google Analytics im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgt. Sie regelt europaweit, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Damit bildet sie den rechtlichen Rahmen für jede Form von Website-Tracking und Analyse. 

Im nächsten Schritt geht es also darum, welche datenschutzrechtlichen Anforderungen mit Google Analytics für Agenturen und Unternehmen einhergehen, beziehungsweise für dich zu beachten sind, und wie du sie in der Praxis umsetzt.

Welche datenschutzrechtlichen Aspekte gilt es bei der Integration von Google Analytics zu beachten?

Die DSGVO stellt klare Anforderungen an Webanalyse-Tools wie Google Analytics. Diese betreffen vor allem den Umgang mit personenbezogenen Daten und müssen erfüllt sein, um eine rechtssichere Verwendung zu gewährleisten. 

Standard-Datentransfer in Drittstaaten (USA): Google wird öfters vorgeworfen, die über Google Analytics erhobenen Daten auf US-Servern zu speichern. Laut Google gilt allerdings: "Für Datenverkehr aus der EU werden IP-Adressen ausschließlich zur Bestimmung des geografischen Standorts genutzt und anschließend sofort gelöscht. Sie werden weder gespeichert noch für andere Zwecke verwendet." Zudem heißt es: "Google Analytics 4 sammelt alle Daten von Geräten mit Standort in der EU über Domains und Server innerhalb der EU, bevor der Datenverkehr zu Analytics Servern weitergeleitet und dort verarbeitet wird."

Es gilt also zu prüfen und zu dokumentieren, wo und wie Daten verarbeitet werden, und die Implementierung so einzurichten, dass du folgende Aussagen abbilden kannst:

Erhebung personenbezogener Daten nur mit Einwilligung

Im Standardzustand setzt Google Analytics Cookies und verarbeitet IP-Adressen, Geräteinformationen und weitere Online-Identifikatoren, sobald das GA-Skript geladen wird – also oft noch bevor eine ausdrückliche Zustimmung der Nutzer*innen vorliegt. Da diese Einwilligung jedoch zwingend erforderlich ist, dürfen weder Cookies gesetzt noch personenbezogene Daten erhoben werden, bevor ein Opt-in erfolgt. Deshalb müssen GA-Skripte vollständig blockiert werden, bis die Zustimmung gegeben ist. Hol daher vor jeglichem Tracking ein Opt-in ein und blockiere Google Analytics Skripte, bis die Zustimmung erfolgt ist.

Auftragsverarbeitungsvertrag mit Google

Zwischen Websitebetreiber*in und Google muss ein Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO abgeschlossen werden. Dieser regelt, dass Google nur im Auftrag und nach Weisung des Websitebetreibers Daten verarbeitet.

Datensicherheit und Datenminimierung ist gewährleistet

User*innen-Daten gilt es zu schützen. Erhobene Daten dürfen daher nur für den mit der/dem Nutzer*in vereinbarten Zweck verwendet werden. Personenbezogene Informationen wie Online-Kennungen müssen so datensparsam wie möglich verarbeitet werden. Eine manuelle IP-Anonymisierung ist in GA4 nicht mehr erforderlich, da Google die IP-Adresse laut eigener Dokumentation ausschließlich zur Standortbestimmung nutzt und anschließend verwirft.

Die Datenschutzerklärung informiert transparent

Die Datenschutzerklärung der Website oder App muss transparent und verständlich erläutern, welche Daten erhoben werden und wie deren Verarbeitung erfolgt, damit Nutzer*innen nachvollziehen können, worin sie im Cookie-Banner einwilligen. Daher sollte die Datenschutzerklärung um einen spezifischen Abschnitt zu GA4 ergänzt werden – inklusive Informationen zu Rechtsgrundlage, Zweck, gespeicherten Daten, Speicherfristen sowie Hinweisen zu Opt-out- und Widerrufsmöglichkeiten.

All diese Anforderungen zeigen, dass der Einsatz von Google Analytics datenschutzrechtlich komplex bleibt – selbst dann, wenn die technischen Einstellungen korrekt umgesetzt sind.

Das kritisieren Datenschützer*innen – und das gilt aktuell rechtlich 

Trotz der Anpassungen von Google und neuer rechtlicher Rahmenbedingungen, sehen Datenschützer*innen weiterhin offene Fragen und Risiken.

Erstens bleibt die Übertragung bestimmter Nutzerdaten in die USA ein Kritikpunkt. Zwar schafft das EU-U.S. Data Privacy Framework seit Juli 2023 wieder eine rechtliche Grundlage für den Einsatz von GA4. Die USA gelten damit nicht mehr als unsicheres Drittland, vorausgesetzt, das jeweilige Unternehmen ist nach dem Framework zertifiziert. Dennoch gilt: GA4 ist nur dann DSGVO-konform, wenn zusätzlich alle grundlegenden Pflichten eingehalten werden – also Einwilligungen korrekt eingeholt, datensparsame Einstellungen gewählt und ein AV-Vertrag abgeschlossen wurde.

Zweitens bemängeln Datenschutzorganisationen, dass bestimmte Schutzmechanismen erst greifen, nachdem Daten technisch an Google übermittelt wurden. Das führt weiterhin zu Bedenken hinsichtlich möglicher Zugriffe durch US-Behörden.

Drittens bestehen Zweifel an der Wirksamkeit vieler Cookie-Banner. Häufig sind sie kompliziert aufgebaut, enthalten voreingestellte Zustimmungen oder bieten keine echte Wahl – und erfüllen damit nicht die Anforderungen der DSGVO.

Auch wenn die rechtliche Lage durch das EU-U.S. Data Privacy Framework etwas klarer geworden ist, bleibt die praktische Umsetzung entscheidend. Nur wer Google Analytics technisch korrekt einbindet, die richtigen Einstellungen vornimmt und alle Datenschutzpflichten dokumentiert, kann das Tool tatsächlich DSGVO-konform, bestenfalls mithilfe einer Schritt-für-Schritt-Anleitung zur Google Analytics-Einrichtung implementieren. 

Welche Maßnahmen sollten Unternehmen umsetzen, um Google Analytics DSGVO-konform einzusetzen?

Damit Google Analytics rechtssicher integriert werden kann, müssen aus meiner Sicht zwei zentrale Bereiche beachtet werden: erstens die richtigen Einstellungen im Google Analytics Account. Und zweitens ergänzende organisatorische Maßnahmen wie Verträge, Consent-Tools und Datenschutztexte.

1. Einstellungen in Google Analytics:

Ziel ist es, Google Analytics so zu konfigurieren, dass nur notwendige Daten erfasst und Nutzer*inneneinwilligungen respektiert werden. Das gelingt folgendermaßen:

Data Streams korrekt einbinden

Beim Einrichten der Data Streams in GA4 sollten nur die Daten erfasst werden, die wirklich notwendig sind. Die Funktion "Enhanced Measurement" kann zwar aktiviert bleiben, sofern das Consent Management Tool alle Tracking-Funktionen bis zum Opt-in zuverlässig blockiert, erfordert jedoch – wie alle Analysefunktionen – das vorherige Opt-in der Anwender*innen. Um zu verhindern, dass sensible Informationen in GA4 gespeichert werden, empfiehlt sich außerdem die Nutzung von Redact Data. Diese Einstellung erkennt automatisch personenbezogene Standard-Parameter, die durch weitere ergänzt werden können, in URLs und schließt sie von der Übermittlung aus. Sollten in deiner Implementierung personenbezogene Informationen über URL-Parameter weitergegeben werden, müssen diese hier gezielt angegeben werden, um ihre Speicherung zu verhindern. Eine Maskierung von IP-Adressen ist in GA4 nicht mehr erforderlich, da diese laut Google weder protokolliert noch gespeichert werden.

Data Collection: auf Datensparsamkeit optimieren

Im Adminbereich "Data Collection" von GA4 sollten zum DSGVO-konformen Betrieb nur diejenigen Funktionen aktiv bleiben, für die eine ausdrückliche Zustimmung der Nutzer*innen vorliegt. Alle anderen Optionen sollten aus Gründen der Datensparsamkeit deaktiviert werden. Dazu zählen insbesondere:

• Google Signals: Erfasst geräteübergreifende Daten und unterstützt personalisierte Werbung. Diese sollte nur aktiviert werden, wenn eine explizite Einwilligung der Anwender*innen für personalisierte Werbung und geräteübergreifendes Tracking vorliegt. 
• User-Provided Data Collection: Verarbeitet zusätzliche, vom User selbst bereitgestellte Informationen. 
• Granular Location and Device Data Collection: Sammelt detaillierte Standort- und Geräteinformationen, die über den normalen Standard hinaus gehen.
• Advanced Settings to Allow for Ads Personalization: Ermöglicht personalisierte Werbung auf Basis individueller Nutzungsdaten, sofern sie vorliegen.

Ich kann es nicht oft genug wiederholen: Bei allen vier Punkten gilt – besser deaktivieren, solange keine ausdrückliche Einwilligung der User*innen vorliegt oder kein zwingender betrieblicher Grund besteht, diese Daten zu verarbeiten.

Data Retention festlegen

In GA4 lässt sich bei der Data Retention einstellen, wie lange Nutzer*innen- und Ereignisdaten gespeichert werden dürfen. Zur Auswahl stehen dir zwischen zwei und 14 Monaten. Standardmäßig empfiehlt sich die kürzeste Dauer von zwei Monaten, um dem Prinzip der Datenminimierung zu entsprechen.

Wenn interne Analysezwecke längere Zeiträume erfordern, kann die Speicherdauer auf 14 Monate erhöht werden – vorausgesetzt, dies entspricht der Einwilligung im Consent Banner und wird in der Datenschutzerklärung transparent gemacht.

Es empfiehlt sich außerdem, den Haken bei "Reset on new user activity" zu deaktivieren, damit sich die Aufbewahrungsfrist nicht bei jedem neuen Besuch automatisch verlängert.

Consent Settings einrichten

Consent Settings in Google Analytics 4 sind für eine DSGVO-konforme Nutzung zwingend erforderlich, weil sie sicherstellen, dass die Datenerhebung und das Tracking von Website-Besucher*innen erst nach deren ausdrücklichem Opt-in erfolgt. Mit Consent Settings und Consent Mode in GA4 wird das Tracking erst aktiviert, nachdem die/der Nutzer*in im Consent Banner zugestimmt hat. Wird keine Zustimmung erteilt, werden keine personenbezogenen Daten erhoben.

2. Organisatorische Maßnahmen: 

Auftragsverarbeitungsvertrag (AVV) mit Google

Wie bereits in einem der vorherigen Abschnitte angerissen, schreibt Artikel 28 DSGVO vor, dass jede Verarbeitung personenbezogener Daten durch eine/einen Dienstleister*in nur auf Grundlage eines schriftlichen Vertrags erfolgen darf.

Ein Auftragsverarbeitungsvertrag (AVV) mit Google ist daher zwingend erforderlich, da Google als Anbieter*in von Google Analytics personenbezogene Daten im Auftrag der Websitebetreiber*innen verarbeitet.

Ohne einen solchen Vertrag riskieren Websitebetreiber*innen Bußgelder und Haftungsansprüche, falls Behörden Verstöße feststellen oder Datenlecks auftreten. Der AVV kann direkt im Adminbereich des GA4-Accounts abgeschlossen werden. 

Consent Management und Datenschutzerklärung

Ebenfalls Teil dieser organisatorischen Maßnahmen sind ein Consent Management Tool und eine aktuelle Datenschutzerklärung. 

Im nächsten Schritt benenne ich nun praktische Tools, mit denen sich diese beiden Anforderungen technisch und effizient umsetzen lassen – von Consent Plattformen bis hin zu Generatoren für Datenschutzerklärungen.

Welche Tools helfen bei der DSGVO-konformen Nutzung von Google Analytics?

Cookie-Consent-Tools für Cookie Management und Einwilligungen

Ein Cookie-Consent-Tool ist für eine DSGVO-konforme Nutzung einer Website oder App unverzichtbar. Denn nach europäischem Datenschutzrecht – insbesondere der DSGVO und dem TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) – muss für jede Speicherung oder Auswertung nicht essenzieller Cookies und Tracking-Technologien wie Google Analytics, dem Facebook Pixel oder vergleichbaren Marketingdiensten eine aktive und informierte Einwilligung (Opt-in) eingeholt werden.

Aus meiner Erfahrung sollte ein gutes Consent-Tool vor allem fünf Anforderungen erfüllen:

1. Es muss alle verwendeten Cookies transparent und verständlich darstellen, damit Nutzer*innen klar erkennen, welche Daten zu welchem Zweck verarbeitet werden.
2. Es dürfen keine voreingestellten oder erzwungenen Zustimmungen enthalten sein – die Einwilligung muss immer aktiv erfolgen. 
3. Jede Zustimmung sollte in einem Consent-Log protokolliert werden, damit Unternehmen sie im Zweifel nachweisen können. 
4. Nutzer*innen müssen ihre Entscheidung jederzeit widerrufen und über eine Funktion wie "Cookies verwalten" anpassen können. 
5. Das Tool muss technisch sicherstellen, dass keine nicht notwendigen Cookies oder Skripte geladen werden, bevor eine Zustimmung erfolgt – also keine stillen Datenübertragungen im Hintergrund.

Für die praktische Umsetzung gibt es inzwischen zahlreiche Anbieter*innen, die sich in unterschiedlichste Systeme integrieren lassen. Aus meiner Sicht eignen sich insbesondere folgende Lösungen:

• Borlabs Cookie ist ein Consent Plugin für WordPress, welches Cookie-Hinweise und Einwilligungen einfach verwaltet. Es ermöglicht differenzierte Zustimmungsoptionen für verschiedene Cookie-Kategorien.
• Usercentrics ist eine Consent-Management-Platform für rechtlich konformes Marketing. Sie integriert Privacy Banner, verwaltet Nutzer*innen-Einwilligungen und minimiert Werbeverluste. Für Marken oder Webseiten mit eigenen Anforderungen an Design, Branding und Tracking eignet sich Usercentrics besser als Barlabs.
• Cookiebot by Usercentrics gewährleistet durch Cookie-Zustimmung, -Überwachung und -Kontrolle die Einhaltung der DSGVO und ePrivacy. Besucher*innen erhalten volle Transparenz und Kontrolle.
• Osano bietet Datenschutzmanagement, unterstützt beim Einhalten von Datenschutzgesetzen, blockiert ungenehmigte Cookies und bietet durchsuchbaren Datenschutznachweis.
• OneTrust ermöglicht transparente Nutzer*innenerfahrungen und erfüllt Datenschutzbestimmungen. Für Unternehmen mit vielen Datenflüssen, internationalen Standorten und komplexen Compliance-Anforderungen, käme OneTrust aus meiner Sicht im Vergleich zu Cookiebot eher in Frage.
• CCM19 ermöglicht Website-Besucher*innen die Kontrolle über das Speichern von Cookies gemäß DSGVO und TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Kostenlos bis 5.000 Impressions, danach Tarife ab 5,90 €.
• Real Cookie Banner ist ein DSGVO-konformes Consent-Management-Plugin für WordPress, mit dem sich Einwilligungen zum Laden von Diensten und Setzen von Cookies einholen und dokumentieren lassen.
• WebCare ist eine Plattform für Consent Management, die Cookie-Listen und Datenschutzerklärungen automatisch aktuell hält und Designoptionen für individuelle Banner bietet.

Tools zur Erstellung einer rechtssicheren Datenschutzerklärung

Nach Art. 13 DSGVO sind Websitebetreiber*innen verpflichtet, Besucher*innen transparent darüber zu informieren, welche personenbezogenen Daten erhoben werden, zu welchen Zwecken sie verarbeitet werden, wie lange sie gespeichert bleiben und an wen sie weitergegeben werden. Eine Datenschutzerklärung ist daher zwingend erforderlich, sobald Google Analytics genutzt wird.

Wichtig ist, dass die Datenschutzerklärung klar verständlich, vollständig und stets aktuell ist. Wer keine eigene Datenschutzabteilung hat, kann hierfür auf spezialisierte Generatoren zurückgreifen, die rechtssichere Texte erstellen und automatisch an neue gesetzliche Vorgaben anpassen:

• Metasoul ist speziell für Start-ups und KMUs geeignet und bietet hochautomatisiertes Datenschutzmanagement und einen Datenschutzgenerator in einem – klar, verständlich, zeitsparend und für jedes Budget geeignet. Ohne Vorkenntnisse erstellst du Datenschutzhinweise und Auftragsverarbeitungsvereinbarungen (AVV), relevante Inhalte wie das Verzeichnis der Verarbeitungstätigkeiten (VVT), Löschkonzept, TOMs & mehr. Sicher, professionell und unkompliziert zur DSGVO-Konformität!
• iubenda bietet eine All-in-One-GDPR-Compliance-Lösung an. Es erstellt mehrsprachige Rechtstexte, hält sie automatisch aktuell und bietet Integrationen für Websites, Apps und Tracking Tools.
• Datenschutz-Generator.de ist ein kostenloses deutsches Tool von Rechtsanwalt Dr. Thomas Schwenke. Erstellt schnell DSGVO-konforme Datenschutzerklärungen für Websites mit Google Analytics und anderen Tracking-Diensten.

Fazit

Google Analytics ist das bekannteste und am weitesten verbreitete Tool zur Website-Analyse. Meiner Meinung nach ist der DSGVO konforme Einsatz möglich, er erfordert jedoch eine sorgfältige, penible und technisch saubere Umsetzung.

Trotz der datenschutzrechtlichen Herausforderungen bietet Google Analytics viele Vorteile: Es ist kostenlos, leistungsstark und lässt sich nahtlos mit anderen Google-Diensten wie Google Ads, der Search Console oder Looker Studio verknüpfen. GA4 liefert detaillierte Echtzeitdaten, erlaubt individuelle Conversion Events und bietet mit der ereignisbasierten Datenstruktur eine deutlich flexiblere Analyse als frühere Versionen. Auch die optionale Integration mit BigQuery kann tiefergehende Auswertungsmöglichkeiten für datengetriebene Teams eröffnen.

Gleichzeitig gibt es inzwischen ernstzunehmende Alternativen, die stärker auf Privacy setzen, etwa etracker Analytics oder Plausible Analytics. Wer Google Analytics für zu riskant hält oder Datentransfers in die USA grundsätzlich vermeiden möchte, findet mit diesen Tools Lösungen, bei denen Daten in der EU bleiben oder sogar vollständig auf dem eigenen Server verarbeitet werden. Das bekannteste Beispiel dafür ist Matomo (zuvor Piwik).