DSGVO-Ausnahme für Analytics: Bedingungen 2026
DSGVO-Ausnahme für Analytics: Unter welchen Bedingungen geht es ohne Einwilligung?
Die DSGVO-Ausnahme für Analytics ist vermutlich das am häufigsten missverstandene Thema im deutschen Datenschutzrecht. Viele Website-Betreiber glauben, es genüge, ein “datenschutzfreundliches” Tool einzusetzen, um auf ein Cookie-Banner verzichten zu können. Das ist falsch. Die Ausnahme existiert, aber sie ist an strikte Bedingungen geknüpft, die die Mehrheit der Implementierungen nicht erfüllt.
Bei DPLIANCE sind wir überzeugt: Konformität sollte kein Rätsel sein. Aber sie sollte auch keine Illusion sein. Hier ist alles, was Sie über die Ausnahme von der Einwilligungspflicht für Analytics-Tools wissen müssen.
Der rechtliche Rahmen in Deutschland
§ 25 TDDDG: Die Grundregel
In Deutschland regelt § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG, ehemals TTDSG) den Zugriff auf Informationen im Endgerät des Nutzers. Die Grundregel in Absatz 1 ist klar:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer […] eingewilligt hat.
Das betrifft Cookies, localStorage, Fingerprinting und jede andere Technologie, die Informationen auf dem Gerät des Nutzers speichert oder ausliest.
§ 25 Abs. 2 TDDDG: Die Ausnahme
Absatz 2 definiert zwei Ausnahmen, bei denen keine Einwilligung erforderlich ist:
Nr. 1: Die Speicherung oder der Zugriff dient dem alleinigen Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
Nr. 2: Die Speicherung oder der Zugriff ist unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst erbringen kann.
Die entscheidende Frage: Fällt Web-Analyse unter die Ausnahme des § 25 Abs. 2 Nr. 2?
Die Antwort: Grundsätzlich nein
Die DSK (Datenschutzkonferenz), der BfDI und die deutschen Landesbeauftragten für Datenschutz sind sich einig: Analytics-Cookies sind nicht “unbedingt erforderlich” im Sinne des § 25 Abs. 2 Nr. 2 TDDDG.
Die Begründung: Ein Nutzer, der eine Website besucht, wünscht sich den Seiteninhalt, nicht die Analyse seines Verhaltens. Die Web-Analyse dient den Interessen des Website-Betreibers, nicht den des Nutzers. Daher ist sie nicht “unbedingt erforderlich” für den vom Nutzer gewünschten Dienst.
Der Niedersächsische Landesbeauftragte für Datenschutz hat dies in seinen FAQ zum TDDDG ausdrücklich bestätigt. Es wird grundsätzlich eine enge Auslegung angenommen, sodass nur wenige Cookies und Dienste auf der Website ohne Einwilligung genutzt werden können.
Der Ausweg: Gar keine Cookies setzen
Die Ausnahme nach § 25 Abs. 2 TDDDG ist für Analytics-Cookies versperrt. Aber es gibt einen anderen Weg: Wenn ein Analytics-Tool gar keine Informationen im Endgerät speichert oder ausliest, greift § 25 TDDDG überhaupt nicht.
Das ist der entscheidende Punkt: § 25 TDDDG regelt den Zugriff auf das Endgerät. Wenn kein Zugriff stattfindet — kein Cookie, kein localStorage, kein Fingerprinting — dann ist die Einwilligungspflicht des § 25 TDDDG nicht einschlägig.
Was die DSK dazu sagt
Die DSK-Orientierungshilfe für Telemedienanbieter (Version 1.1, Dezember 2021) bestätigt diesen Ansatz. Analytics-Tools, die:
- keine Cookies setzen
- keinen localStorage nutzen
- kein Fingerprinting betreiben
- keine Informationen im Endgerät des Nutzers speichern oder auslesen
fallen nicht unter § 25 TDDDG und benötigen daher keine Einwilligung nach diesem Gesetz.
Aber die DSGVO gilt trotzdem
Wichtig: Die Befreiung von § 25 TDDDG bedeutet nicht, dass die DSGVO nicht gilt. Wenn das Analytics-Tool personenbezogene Daten verarbeitet (z. B. ungekürzte IP-Adressen), brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO.
Die gute Nachricht: Wenn das Tool auch keine personenbezogenen Daten verarbeitet — keine IP-Adressen, keine eindeutigen Nutzer-IDs, keine rückverfolgbaren Daten — dann greift die DSGVO nicht oder kann über Art. 6 Abs. 1 lit. f (berechtigtes Interesse) abgebildet werden.
Die Bedingungen für einwilligungsfreie Analytics im Detail
Basierend auf den Positionen der DSK, des BfDI und der europäischen Orientierung müssen folgende Bedingungen kumulativ erfüllt sein:
Bedingung 1: Kein Zugriff auf das Endgerät
Keine Cookies, kein localStorage, kein sessionStorage, kein IndexedDB, kein Fingerprinting, kein WebGL-Rendering, kein Canvas-Fingerprinting, kein Font-Fingerprinting. Jeder Zugriff auf Informationen im Endgerät löst die Einwilligungspflicht nach § 25 TDDDG aus.
Bedingung 2: Keine personenbezogenen Daten oder ausreichende Anonymisierung
Wenn IP-Adressen verarbeitet werden, müssen sie vor der Speicherung vollständig anonymisiert werden. Das bedeutet nicht nur Kürzung um das letzte Oktett — nach herrschender Meinung müssen mindestens zwei Oktette entfernt werden, um den Personenbezug zu beseitigen.
Keine eindeutigen Nutzer-IDs, keine Cross-Site-Identifikatoren, keine Daten, die in Kombination eine natürliche Person identifizieren könnten.
Bedingung 3: Ausschließlich Reichweitenmessung
Die Daten dürfen nur für die Reichweitenmessung und Website-Optimierung verwendet werden. Konkret umfasst das:
- Messung der Performance des Dienstes
- Erkennung von Navigationsproblemen
- Optimierung der technischen Leistung oder Ergonomie
- Abschätzung der erforderlichen Serverkapazität
- Analyse der aufgerufenen Inhalte
Jede andere Nutzung — Marketing, Werbung, Profiling, Personalisierung, Weitergabe an Dritte — macht die Ausnahme zunichte.
Bedingung 4: Keine Datenweitergabe an Dritte
Die Analytics-Daten dürfen nicht an Dritte weitergegeben werden. Sie dürfen nicht mit Daten aus anderen Quellen zusammengeführt werden. Der Analytics-Anbieter darf die Daten nicht für eigene Zwecke nutzen.
Dies ist einer der Hauptgründe, warum Google Analytics nicht ohne Einwilligung nutzbar ist: Google verwendet die gesammelten Daten für sein Werbeökosystem.
Bedingung 5: Nutzer informieren und Widerspruchsmöglichkeit bieten
Auch ohne Einwilligungspflicht müssen Sie die Nutzer in Ihrer Datenschutzerklärung über den Einsatz des Analytics-Tools informieren. Und Sie müssen eine Widerspruchsmöglichkeit (Opt-out) anbieten.
Bedingung 6: Kein Cross-Site-Tracking
Die Analyse darf sich nur auf den einzelnen Dienst (die einzelne Website) beziehen. Kein Tracking über mehrere Websites oder Apps hinweg.
Bedingung 7: Begrenzte Aufbewahrungsfrist
Die Daten sollten nicht länger als notwendig aufbewahrt werden. Die DSK empfiehlt, die Aufbewahrung auf das für die Reichweitenmessung erforderliche Minimum zu beschränken.
Welche Tools erfüllen die Bedingungen?
Tools, die ohne Einwilligung nutzbar sind
| Tool | Keine Cookies | Keine personenbez. Daten | EU-Hosting | Einwilligungsfrei |
|---|---|---|---|---|
| Mirage Analytics | Ja | Ja | Ja (Scaleway) | Ja |
| Plausible | Ja | Ja | Ja (Hetzner) | Ja |
| Fathom | Ja | Ja | Ja (Frankfurt) | Ja |
| Simple Analytics | Ja | Ja | Ja (NL) | Ja |
| eTracker (cookieless) | Ja | Ja | Ja (DE) | Ja |
Tools, die Konfiguration erfordern
| Tool | Standardmäßig einwilligungsfrei | Einwilligungsfrei nach Konfiguration |
|---|---|---|
| Matomo | Nein (First-Party-Cookies) | Ja (bei korrekter Konfiguration) |
Tools, die immer Einwilligung erfordern
| Tool | Grund |
|---|---|
| Google Analytics | Cookies + Datentransfer USA + Werbenutzung der Daten |
| Adobe Analytics | Cookies + Datentransfer USA |
| Hotjar | Cookies + Datentransfer USA |
Häufige Fehler bei der Umsetzung
Fehler 1: “Wir nutzen Matomo, also brauchen wir kein Cookie-Banner”
Falsch. Matomo setzt in der Standardkonfiguration First-Party-Cookies. Ohne eine korrekte Umkonfiguration (Cookies deaktiviert, IP-Anonymisierung, etc.) ist ein Cookie-Banner Pflicht. Die Konfiguration umfasst mehrere Schritte, von denen jeder einzelne korrekt umgesetzt werden muss.
Fehler 2: “Cookieless bedeutet automatisch einwilligungsfrei”
Nicht zwangsläufig. Wenn das Tool trotz Verzicht auf Cookies andere Methoden nutzt, um auf das Endgerät zuzugreifen (z. B. localStorage, Fingerprinting), greift § 25 TDDDG. Und wenn personenbezogene Daten verarbeitet werden, brauchen Sie eine DSGVO-Rechtsgrundlage.
Fehler 3: “Die Analytics-Ausnahme gilt für alle Zwecke”
Nein. Die Ausnahme gilt nur für die reine Reichweitenmessung. Wenn Sie die Daten für Remarketing, A/B-Tests mit personenbezogenen Profilen, Personalisierung oder Cross-Site-Tracking nutzen, entfällt die Ausnahme.
Fehler 4: “Wir kürzen die IP-Adresse, also ist alles anonym”
Nicht unbedingt. Eine Kürzung um das letzte Oktett (z. B. 192.168.1.0) reicht nach herrschender Meinung nicht aus, um den Personenbezug zu beseitigen. Mindestens zwei Oktette sollten entfernt werden. Noch besser: Die IP-Adresse gar nicht speichern.
Fehler 5: “Unser Analytics-Anbieter ist in der EU, also ist alles konform”
EU-Hosting ist notwendig, aber nicht ausreichend. Die Bedingungen für einwilligungsfreie Analytics umfassen weit mehr als den Hosting-Standort.
Mirage Analytics: Einwilligungsfrei by Design
Mirage Analytics wurde von Grund auf so konzipiert, dass es ohne Einwilligung eingesetzt werden kann:
- Keine Cookies, kein localStorage, kein Fingerprinting: § 25 TDDDG ist nicht einschlägig
- Keine personenbezogenen Daten: IP-Adressen werden nicht gespeichert
- Reine Reichweitenmessung + UX-Analyse: Session Replay und Heatmaps ohne individuelles Tracking
- Keine Datenweitergabe an Dritte: Ihre Daten bleiben Ihre Daten
- EU-Hosting auf Scaleway: Kein Datentransfer in Drittländer
Das bedeutet: Kein Cookie-Banner für Analytics. Keine komplexe Konfiguration. Keine Angst vor dem nächsten Audit.
Und trotzdem: Session Replay, Heatmaps und Error Monitoring. Drei Werkzeuge, die bei der Konkurrenz oft fehlen oder als kostenpflichtige Add-ons verkauft werden.
Preis: Ab 19 EUR netto/Monat.
Der europäische Kontext: ePrivacy-Verordnung
Die ePrivacy-Richtlinie (2002/58/EG), die § 25 TDDDG zugrunde liegt, sollte eigentlich durch eine ePrivacy-Verordnung ersetzt werden. Der Entwurf liegt seit Jahren auf dem Tisch, die Verhandlungen ziehen sich.
Der aktuelle Entwurf der ePrivacy-Verordnung sieht eine ähnliche Struktur vor: Einwilligung als Grundregel, Ausnahme für “unbedingt erforderliche” Zugriffe. Für die Reichweitenmessung wird eine explizite Ausnahme diskutiert, die aber an strenge Bedingungen geknüpft wäre.
Bis die ePrivacy-Verordnung in Kraft tritt, gilt in Deutschland § 25 TDDDG. Die Bedingungen für einwilligungsfreie Analytics bleiben wie oben beschrieben.
Checkliste: Einwilligungsfreie Analytics in Deutschland
Prüfen Sie für Ihr Analytics-Tool:
- Keine Cookies, kein localStorage, kein Fingerprinting
- IP-Adressen werden nicht gespeichert oder vollständig anonymisiert
- Keine eindeutigen Nutzer-IDs über Sessions hinweg
- Daten ausschließlich für Reichweitenmessung und Website-Optimierung
- Keine Datenweitergabe an Dritte
- Analytics-Anbieter nutzt Daten nicht für eigene Zwecke
- Kein Cross-Site-Tracking
- Nutzer in Datenschutzerklärung informiert
- Widerspruchsmöglichkeit (Opt-out) angeboten
- Aufbewahrungsfrist auf das Minimum beschränkt
- Hosting in der EU
Wenn alle Punkte erfüllt sind, können Sie Ihr Analytics-Tool in Deutschland ohne Einwilligung einsetzen.
Häufig gestellte Fragen (FAQ)
Gibt es eine offizielle “DSGVO-Ausnahme” für Analytics?
Nicht im engeren Sinne. Es gibt keine spezifische Vorschrift in der DSGVO, die Analytics ausdrücklich von der Einwilligung befreit. Die Ausnahme ergibt sich aus der Logik des § 25 TDDDG: Wenn kein Zugriff auf das Endgerät stattfindet, ist keine Einwilligung nach diesem Gesetz nötig. Und aus der DSGVO: Wenn keine personenbezogenen Daten verarbeitet werden oder das berechtigte Interesse greift.
Gibt es eine Liste “zugelassener” Analytics-Tools?
In Deutschland nicht. Die CNIL in Frankreich hat ein Programm zur Bewertung von Reichweitenmessungstools durchgeführt, aber die deutschen Behörden bieten keine vergleichbare Liste. Sie definieren Bedingungen, die Tools erfüllen müssen.
Wie unterscheidet sich die deutsche Regelung von der französischen?
In Frankreich hat die CNIL eine eigene Interpretation der ePrivacy-Ausnahme entwickelt und Tools geprüft. In Deutschland folgt die DSK der allgemeinen Auslegung des § 25 TDDDG. Das Ergebnis ist ähnlich: Cookielose Analytics-Tools können ohne Einwilligung eingesetzt werden, wenn bestimmte Bedingungen erfüllt sind.
Kann ich Session Replay ohne Einwilligung nutzen?
Ja, wenn das Session Replay keine Cookies setzt, keine personenbezogenen Daten verarbeitet und keine Informationen im Endgerät speichert. Mirage Analytics erfüllt diese Bedingungen: Das Session Replay basiert auf DOM-Mutation-Recording, nicht auf Bildschirmaufnahmen, und erfordert keine personenbezogene Identifikation.
Brauche ich trotzdem eine Datenschutzerklärung?
Ja, immer. Auch wenn keine Einwilligung erforderlich ist, müssen Sie Ihre Nutzer über die Datenverarbeitung informieren (Art. 13/14 DSGVO). Beschreiben Sie in Ihrer Datenschutzerklärung das eingesetzte Tool, den Zweck, die Rechtsgrundlage und die Betroffenenrechte.
Fazit
Die Ausnahme von der Einwilligungspflicht für Analytics in Deutschland ist keine Grauzone. Die Bedingungen sind klar, die Behörden haben sie definiert. Der einfachste Weg, diese Bedingungen zu erfüllen: Ein Tool wählen, das von Anfang an so gebaut ist. Ohne Cookies, ohne personenbezogene Daten, ohne Datenweitergabe.
Mirage Analytics erfüllt alle Bedingungen. Kein Cookie-Banner nötig. Session Replay, Heatmaps, Error Monitoring inklusive. Gehostet in Europa.
Mirage Analytics entdecken — Einwilligungsfreie Analytics. Ab 19 EUR netto/Monat.
Quellen: § 25 TDDDG, LfD Niedersachsen — FAQ TDDDG, DSK — Orientierungshilfe Telemedien, BfDI — Datenschutz, Datenschutzkanzlei — § 25 TDDDG