Zum Inhalt springen
konfora
Tracker & Analyse

Google Analytics & DSGVO: Was der Einsatz für deine Website bedeutet

Google Analytics 4 (GA4) ist der meistgenutzte Web-Analyse-Dienst. Beim Seitenaufruf lädt ein Skript von Google, das Nutzungsereignisse erfasst und an Server von Google überträgt — je nach Konfiguration auch in die USA. Weil dabei in der Regel auf das Endgerät zugegriffen und personenbezogene Daten verarbeitet werden, ist GA4 datenschutzrechtlich heikel.

Kostenlos prüfenBeispiel-Report ansehen

Das Risiko

  • GA4 greift typischerweise per Cookie oder Web-Storage auf das Endgerät zu — das löst in der Regel die Einwilligungspflicht nach § 25 TDDDG aus.
  • Die Verarbeitung der erhobenen Daten braucht zusätzlich eine DSGVO-Rechtsgrundlage; bei nicht-essenziellem Tracking ist das meist die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
  • Als US-Dienst kann GA4 einen Drittlandtransfer auslösen, der einen tragfähigen Übermittlungsmechanismus (z. B. DPF oder SCCs) voraussetzt.
  • Lädt GA4 bereits vor einer Einwilligung, gilt das als einer der häufigsten Abmahn- und Beschwerdegründe.

Wie konfora das erkennt

konfora beobachtet beim Seitenaufruf die ausgehenden Netzwerk-Requests und gleicht sie mit bekannten GA4-Mustern ab. Die ältere Universal-Analytics-Variante (analytics.js) wird separat als eigener Befund „Google Analytics (UA)“ ausgewiesen. Für GA4 erkannt werden u. a. diese Hosts/Pfade:

  • googletagmanager.com/gtag/js
  • google-analytics.com/g/collect
  • analytics.google.com/g/collect

Was im Report steht

  • Ein Befund mit dem Titel „Google Analytics 4“ in der Kategorie Tracker & Analyse.
  • Die Severity-Einstufung (standardmäßig kritisch) — gefundene Consent-Mode-Signale (gcs-Parameter mit verweigertem analytics_storage) können sie auf Warnung absenken.
  • Belege: die kontaktierten Hosts, Beispiel-Request-URLs (sample_urls), die Anzahl passender Requests (request_count) und das Vendor-Land (US).
  • Im Soll-Ist-Abgleich: ein Hinweis, falls GA4 technisch geladen wird, in deiner Datenschutzerklärung aber nicht erkennbar genannt ist.

Typische Maßnahmen

  • Prüfe mit deiner Datenschutzbeauftragten oder einer Kanzlei, ob für GA4 eine Einwilligung vorliegen muss — und ob sie dokumentiert ist.
  • Lade GA4 erst nach aktiver Zustimmung (Consent-Gating) oder aktiviere Google Consent Mode mit analytics_storage=denied bis zur Einwilligung.
  • Schließe den Auftragsverarbeitungsvertrag mit Google ab und dokumentiere den Übermittlungsmechanismus für den US-Transfer.
  • Erwäge datensparsamere Alternativen wie self-hosted Matomo oder cookielose Tools, wenn dir der Aufwand zu hoch ist.

Grenzen der automatischen Prüfung

Der Check macht technische Hinweise sichtbar und hilft beim Priorisieren. Er ist kein Rechtsgutachten, keine Vollständigkeitsgarantie und ersetzt keine fachkundige Prüfung durch eine Datenschutzbeauftragte oder eine Kanzlei.

  • Serverseitiges Tracking (Server-Side GTM) ist clientseitig nur eingeschränkt sichtbar.
  • Ob im konkreten Fall eine Einwilligung entfällt, ist eine rechtliche Einzelfallfrage — der Befund ist ein technisches Indiz.
Prüfbereich · Tracker & Analyse

konfora prüft als einen von 16 Bereichen automatisiert, welche Dienste deine Seite lädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Den schnellen, kostenlosen ersten Eindruck bekommst du im Schnellcheck. Der Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo); den Zugang bekommst du per Magic-Link an deine E-Mail.

Kostenlos prüfenReport ansehen

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.