Web-Analyse & Tracking: Was die DSGVO verlangt

Web-Analyse beantwortet eine berechtigte Frage: Welche Seiten werden besucht, woher kommen die Besucher, wo brechen sie ab? Doch sobald ein Analyse-Dienst Daten über das Verhalten einzelner Personen sammelt, berührt das den Datenschutz. Entscheidend ist weniger, dass du misst, sondern womit und auf welcher Grundlage. Dieser Beitrag erklärt, wie gängige Dienste technisch arbeiten, welche Rechtsgrundlage in der Regel nötig ist und welche datensparsamen Alternativen es gibt.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was Web-Analyse- und Tracking-Dienste tun

Analyse-Dienste wie Google Analytics (heute in der Variante GA4), Matomo, etracker oder Plausible funktionieren technisch nach einem ähnlichen Muster: Du bindest ein kleines JavaScript-Snippet in deine Seiten ein. Beim Aufruf lädt der Browser deiner Besucher dieses Skript, das anschließend Ereignisse erfasst — etwa Seitenaufrufe, Klicks oder die Verweildauer — und sie an den Server des Anbieters überträgt.

Um Besucher über mehrere Seitenaufrufe hinweg wiederzuerkennen, nutzen viele dieser Werkzeuge Cookies oder legen Werte im localStorage des Browsers ab. Übertragen werden häufig auch technische Angaben wie die IP-Adresse, Browser- und Geräteinformationen sowie die besuchte URL. Wohin diese Daten fließen, hängt vom Dienst ab: Bei US-Anbietern wie Google laufen sie — je nach Konfiguration — auch über Server in den USA. Bei europäisch betriebenen oder selbst gehosteten Werkzeugen bleiben sie eher in deiner eigenen Infrastruktur.

Welche Rechtsgrundlage Tracking braucht

Für jede Verarbeitung personenbezogener Daten verlangt die DSGVO eine Rechtsgrundlage. Bei Web-Analyse kommen praktisch zwei Ebenen zusammen, die du getrennt betrachten solltest.

Zugriff auf das Endgerät: § 25 TDDDG

Setzt ein Dienst Cookies oder greift er sonst auf Informationen im Endgerät deiner Besucher zu (etwa über localStorage), greift § 25 TDDDG. Danach ist ein solcher Zugriff in der Regel nur mit Einwilligung zulässig — es sei denn, er ist technisch zwingend erforderlich, damit ein vom Nutzer ausdrücklich gewünschter Dienst überhaupt funktioniert. Reine Reichweiten- und Komfort-Analyse fällt nach überwiegender Auffassung nicht unter diese Ausnahme.

Verarbeitung der Daten: Art. 6 DSGVO

Für die anschließende Verarbeitung der erhobenen Daten brauchst du zusätzlich eine DSGVO-Rechtsgrundlage. Bei nicht-essenziellem Tracking ist das in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) trägt umfangreiche Analyse mit Wiedererkennung über Cookies nach überwiegender Auffassung meist nicht — vor allem dann nicht, wenn ohnehin schon § 25 TDDDG eine Einwilligung verlangt. Praktisch heißt das: Solche Dienste sollten erst starten, nachdem die betroffene Person aktiv zugestimmt hat.

Wenn ein externer Anbieter die Daten in deinem Auftrag verarbeitet, brauchst du außerdem einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die meisten Analyse-Anbieter stellen dafür ein Standarddokument bereit, das du abschließen und dokumentieren solltest.

Dieser Artikel behandelt vor allem die Auswahl der Dienste und ihre Rechtsgrundlagen. Wann genau ein Tracker feuern darf — also das Timing rund um den Consent-Banner — ist ein Thema für sich; dazu liest du im Beitrag „Feuern Tracker vor der Einwilligung?“ weiter.

Drittlandtransfer: der Sonderfall US-Anbieter

Bei Diensten von US-Anbietern können Daten in die USA übertragen werden — ein Drittlandtransfer im Sinne der DSGVO. Dafür braucht es einen tragfähigen Übermittlungsmechanismus. In Betracht kommen vor allem das EU-US Data Privacy Framework (DPF), sofern der Anbieter dort zertifiziert ist, sowie Standardvertragsklauseln (SCCs), in der Regel ergänzt um eine Risikoabschätzung und zusätzliche Maßnahmen.

Unabhängig vom Mechanismus gilt der Grundsatz der Datenminimierung: Je weniger und je weniger identifizierende Daten übertragen werden, desto geringer das Risiko. Übliche Stellschrauben sind die Kürzung der IP-Adresse, das Deaktivieren der Datenweitergabe für Werbezwecke und eine kurze Aufbewahrungsdauer. Welche dieser Optionen ein Dienst bietet und wie sie zu setzen sind, unterscheidet sich von Anbieter zu Anbieter — ein Blick in dessen Datenschutz-Einstellungen lohnt sich.

Datensparsame Alternativen

Nicht jede Analyse braucht denselben Funktionsumfang. Wer Drittlandfragen und aufwendige Consent-Logik reduzieren möchte, findet datensparsamere Werkzeuge:

• Matomo (self-hosted): Du betreibst die Analyse auf deiner eigenen Infrastruktur. Die Daten verlassen deine Umgebung nicht zwangsläufig, und du behältst die Kontrolle über Speicherort und Aufbewahrung. Ob auch hier eine Einwilligung nötig ist, hängt von der konkreten Konfiguration ab — etwa davon, ob Cookies gesetzt werden.
• Cookielose Tools wie Plausible: Solche Werkzeuge verzichten nach eigenen Angaben auf Cookies und auf die dauerhafte Wiedererkennung einzelner Personen und sammeln nur aggregierte Kennzahlen. Das kann den rechtlichen Aufwand verringern; ob im konkreten Fall eine Einwilligung entfällt, ist trotzdem eine Einzelfallfrage.

Welches Werkzeug das richtige ist, hängt von deinen Zielen ab — eine pauschale Empfehlung gibt es nicht. Wichtig ist, dass die eingesetzte Lösung und deine Datenschutzerklärung zusammenpassen.

Wie prüfst du deine eigene Seite?

Einen ersten Eindruck, welche Analyse-Dienste deine Seite lädt, bekommst du ohne Spezialwissen:

• Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk“ und lade neu. Suche nach Analyse-Domains wie google-analytics.com, analytics.google.com oder matomo. Tauchen sie auf, lädt deine Seite den jeweiligen Dienst.
• Vor und nach dem Consent vergleichen: Sieh nach, ob solche Requests bereits vor einer Zustimmung erscheinen — das deutet darauf hin, dass ein Dienst zu früh startet.
• Mehrere Seitentypen prüfen: Tracker sind oft nur auf bestimmten Templates eingebunden (Startseite, Blog, Shop, Checkout). Prüfe daher verschiedene Seitentypen, nicht nur die Startseite.

Einen schnellen, kostenlosen ersten Eindruck bekommst du in rund einer Minute mit dem Schnellcheck. Speziell auf Google Analytics zugeschnitten ist der Google-Analytics-DSGVO-Check. Beide ersetzen keine fachkundige Prüfung, zeigen dir aber, ob an dieser Stelle Handlungsbedarf besteht.

Kurz zusammengefasst

• Analyse-Dienste (GA4, Matomo, etracker, Plausible) binden ein JS-Snippet ein, erfassen Nutzungsdaten und übertragen sie an den Anbieter-Server — bei US-Anbietern teils in die USA.
• Nicht-essenzielles Tracking braucht in der Regel eine Einwilligung: § 25 TDDDG für den Zugriff aufs Endgerät und Art. 6 Abs. 1 lit. a DSGVO für die Verarbeitung. Ein berechtigtes Interesse trägt das meist nicht; ein AVV ist nötig.
• Beim Transfer in die USA brauchst du einen tragfähigen Mechanismus (DPF oder SCCs) plus Datenminimierung — IP-Kürzung, kurze Aufbewahrung, keine Werbe-Weitergabe.
• Datensparsame Alternativen wie self-hosted Matomo oder cookielose Tools können den Aufwand verringern; die Eignung bleibt eine Einzelfallfrage.
• Prüfen kannst du das im Netzwerk-Tab — Requests an Analyse-Domains deuten darauf hin, dass ein Dienst geladen wird.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.