Aktualisiert: März 2026 · Lesezeit: 14 Min.
Ja, Google Analytics lässt sich 2026 DSGVO-konform einsetzen. Aber — und das ist ein großes Aber — es erfordert deutlich mehr Aufwand als die meisten denken. „GA4-Property erstellen, Tracking-Code einbauen, fertig" war vielleicht 2018 noch so. Heute ist das ein sicherer Weg zum Bußgeldbescheid.
Ich sage das als jemand, der GA4 auf dutzenden Kundenwebsites betreut: Es ist machbar, aber die Konfiguration muss stimmen. Und ehrlich — für manche Websites ist eine Alternative wie Matomo der stressfreiere Weg.
Drei Kernprobleme machen GA4 aus DSGVO-Sicht problematisch:
| Anforderung | Was genau | Status prüfen |
|---|---|---|
| Einwilligung (TTDSG) | CMP mit korrektem Cookie-Blocking vor Consent | Cookie-Scan durchführen |
| Consent Mode v2 | GTM-Integration mit denied/granted Signalen | GTM Preview-Modus |
| Datenverarbeitungsvertrag | Google Ads Data Processing Terms akzeptiert | GA4 Admin → Kontodaten |
| Datenschutzerklärung | GA4 mit Zweck, Rechtsgrundlage, Speicherdauer beschrieben | DSE prüfen |
| IP-Anonymisierung | In GA4 standardmäßig aktiv (anders als bei UA) | Automatisch |
| Datenaufbewahrung | Auf 2 Monate reduzieren (statt 14 Monate) | GA4 → Verwaltung → Dateneinstellungen |
| Google-Signals | Deaktivieren, wenn nicht zwingend nötig | GA4 → Datenerhebung |
| Granulare Standortdaten | Deaktivieren | GA4 → Datenerhebung |
Seit März 2024 verlangt Google den Consent Mode v2 für alle EU-Werbetreibenden. Ohne ihn: keine Remarketing-Audiences, keine Conversion-Daten, eingeschränkte Berichterstattung.
Der Consent Mode arbeitet in zwei Modi:
Kein Google-Tag feuert, solange kein Consent vorliegt. Null Daten. Erst nach „Akzeptieren" startet das Tracking. Einfach, sicher, aber Sie verlieren alle Daten von Nutzern, die ablehnen.
Google sendet sogenannte „Pings" — cookielose, anonymisierte Signale — auch ohne Consent. Damit modelliert Google Conversions und schätzt Daten hoch. Sie bekommen also auch von Ablehner-Traffic ungefähre Daten.
Der Advanced Mode ist datenschutzrechtlich umstritten. Die Datenschutzkonferenz hat sich nicht eindeutig positioniert. Manche Juristen argumentieren, dass auch diese Pings unter TTDSG § 25 fallen (weil Informationen vom Endgerät gelesen werden). Mein pragmatischer Ansatz: Advanced Mode nutzen, aber in der Datenschutzerklärung transparent beschreiben.
Wer maximale Kontrolle will, setzt auf Server-Side GTM. Statt dass der Browser des Nutzers direkt mit Google kommuniziert, läuft alles über Ihren eigenen Server.
Vorteile:
Nachteile:
Für Shops mit sechsstelligen Umsätzen lohnt sich das fast immer. Für einen Blog mit 5.000 Besuchern im Monat eher nicht.
Matomo (Open Source, selbst gehostet) ist die beliebteste GA-Alternative im DSGVO-Kontext. Und es gibt gute Gründe dafür:
| Kriterium | Google Analytics 4 | Matomo (Self-Hosted) |
|---|---|---|
| Datenstandort | Google-Server (USA/EU) | Ihr eigener Server |
| Cookie-Consent nötig? | Ja (immer) | Möglicherweise nicht (CNIL) |
| Datenweitergabe an Dritte | Ja (Google) | Nein |
| Kosten | Kostenlos (bis Limit) | Kostenlos + Hosting (~5 €/Monat) |
| Funktionsumfang | Sehr umfangreich | Grundfunktionen gut, Spezielles limitiert |
| Google Ads Integration | Nativ | Nicht vorhanden |
| Lernkurve | Steil (GA4 ist komplex) | Moderat |
Mein Rat: Wenn Sie Google Ads schalten, kommen Sie um GA4 kaum herum — die Integration ist zu wertvoll. Wenn Sie „nur" Website-Statistiken brauchen, ist Matomo die datenschutzfreundlichere Wahl.
Für Websites, die einfach nur wissen wollen, wie viele Besucher kommen und woher — gibt es minimalistische Tools, die von vornherein ohne Cookies arbeiten:
Alle drei haben eines gemeinsam: kein Consent-Banner nötig (da keine Cookies und kein Fingerprinting). Dafür bekommen Sie deutlich weniger Daten als mit GA4. Keine User-Flows, kein E-Commerce-Tracking, kein Remarketing. Für viele Websites reicht das trotzdem völlig aus.
Nach Jahren des Herumprobierens habe ich mich auf dieses Setup eingependelt:
So haben Sie immer Basis-Daten (über Plausible) und detaillierte Daten für die Nutzer, die consent geben (über GA4).