Zurück zu den Artikeln
Analytics
Analytics DSGVO Google Analytics Datenschutz Recht

Google Analytics und DSGVO: Legal in 2026?

25. März 2026 8 Min. Lesezeit DPLIANCE

Die Frage, ob Google Analytics DSGVO-konform ist, beschäftigt deutsche Unternehmen seit sechs Jahren. Und sechs Jahre später ist die Antwort immer noch nicht einfach. Genau das sollte Sie beunruhigen.

Google Analytics ist mit rund 55 % Marktanteil das weltweit meistgenutzte Web-Analyse-Tool. In Deutschland setzen Hunderttausende Websites auf GA4. Aber Verbreitung war nie ein Garant für Rechtskonformität.

Bei DPLIANCE sind wir überzeugt: Ein Unternehmen sollte nicht mit juristischen Unsicherheiten jonglieren müssen, um seine Zielgruppe zu verstehen. Datenschutz ist kein Kompromiss, sondern eine Gestaltungsaufgabe.

Hier ist der vollständige, sachliche Überblick. Ohne Beschönigung.

Chronologie: Von Schrems II bis zum Data Privacy Framework

Juli 2020: Das Schrems-II-Urteil des EuGH

Am 16. Juli 2020 erklärte der Europäische Gerichtshof in der Rechtssache C-311/18 (Data Protection Commissioner v. Facebook Ireland und Maximillian Schrems) das EU-US Privacy Shield für ungültig. Das Urteil gilt als eines der folgenreichsten im europäischen Datenschutzrecht.

Die Kernaussage: Die US-amerikanischen Überwachungsgesetze — insbesondere FISA Section 702 und Executive Order 12333 — gewährleisten kein Schutzniveau, das dem der DSGVO entspricht. Standardvertragsklauseln (SCCs), die Google als Sicherheitsmechanismus nutzte, reichen allein nicht aus, wenn das Recht des Empfängerlandes den Schutz untergräbt.

Unmittelbare Folge: Jeder Transfer personenbezogener Daten in die USA ohne zusätzliche wirksame Schutzmaßnahmen ist rechtswidrig. Google Analytics überträgt systematisch Daten in die USA — einschließlich IP-Adressen, Browser-Informationen und eindeutiger Nutzer-IDs.

August 2020: noyb startet die 101-Beschwerden-Offensive

Im Sommer 2020 reichte noyb (None Of Your Business), die Organisation von Max Schrems, 101 Beschwerden bei Datenschutzbehörden in 30 EU- und EWR-Staaten ein. Die Beschwerden richteten sich gegen Websites, die Google Analytics und Facebook Connect nutzten.

In Deutschland waren sieben Websites betroffen: netzwelt.de, sky.de, tvspielfilm.de, express.de, derwesten.de, wiwo.de und chefkoch.de.

Das EDPB (European Data Protection Board) richtete eine Task Force ein, um die Antworten der nationalen Behörden zu koordinieren.

Januar 2022: Die österreichische DSB als Wegbereiter

Am 13. Januar 2022 entschied die österreichische Datenschutzbehörde (DSB) in einem Teilbescheid über eine der noyb-Beschwerden: Die Nutzung von Google Analytics auf der Website netdoktor.at verstößt gegen Art. 44 DSGVO.

Die DSB stellte fest:

  • Personenbezogene Daten (insbesondere eindeutige Nutzer-IDs) werden an Google in den USA übertragen
  • Die Kombination der übertragenen Daten ermöglicht die Rückverfolgung auf einzelne natürliche Personen
  • Die von Google implementierten Schutzmaßnahmen (SCCs, Verschlüsselung) reichen nicht aus, um den Zugriff US-amerikanischer Geheimdienste zu verhindern

Dieser Bescheid war die erste behördliche Entscheidung zu den 101 noyb-Beschwerden und setzte den Ton für ganz Europa.

Februar 2022: Die CNIL verschärft den Druck

Am 10. Februar 2022 stellte die französische CNIL fest: Die Nutzung von Google Analytics unter den damaligen Bedingungen ist nicht DSGVO-konform. Die CNIL mahnte einen französischen Website-Betreiber ab und ordnete an, die Nutzung von Google Analytics innerhalb eines Monats einzustellen oder DSGVO-konform zu gestalten. Am 2. März 2022 folgten zwei weitere Abmahnungen.

Die CNIL schlug als mögliche Lösung einen korrekt konfigurierten Proxy-Server vor, der die Daten vor dem Transfer anonymisiert. Sie räumte aber ein, dass diese Umsetzung “kostspielig und komplex” sei.

2022: Der italienische Garante bestätigt

Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) kam im Laufe des Jahres 2022 zum gleichen Ergebnis: Google Analytics verstößt gegen die DSGVO.

2022: Die schwedische IMY verhängt Bußgelder

Die schwedische Datenschutzbehörde IMY ging einen Schritt weiter: Sie verhängte ein Bußgeld von 12 Millionen SEK (ca. 1 Million EUR) gegen den Telekommunikationsanbieter Tele2 und 300.000 SEK gegen den Online-Händler CDON wegen der Nutzung von Google Analytics. Das erste Bußgeld in Millionenhöhe ausschließlich wegen Google Analytics.

Die deutsche Position: DSK und BfDI

In Deutschland haben die Datenschutzbehörden bisher kein direktes Bußgeld wegen Google Analytics verhängt. Die Position ist aber klar:

DSK-Beschluss (2020): Die Datenschutzkonferenz veröffentlichte einen Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich. Kernaussage: Google Analytics darf nur mit informierter, freiwilliger Einwilligung eingesetzt werden.

DSK-Orientierungshilfe Telemedien (Version 1.1, Dezember 2021): Verschärfte Anforderungen an die Einwilligung. Analytics-Cookies sind nicht “unbedingt erforderlich” im Sinne des § 25 Abs. 2 TDDDG.

BfDI-Stellungnahme (2019): Prof. Ulrich Kelber stellte klar: Personenbezogenes Webtracking ist nur mit ausdrücklicher Einwilligung zulässig. Cookie-Banner mit vorausgewählten Checkboxen reichen nicht.

Dass in Deutschland bisher kein Bußgeld verhängt wurde, bedeutet nicht, dass der Einsatz rechtskonform ist. Es bedeutet, dass die deutschen Behörden bisher auf Aufklärung statt auf Sanktionen gesetzt haben. Das kann sich jederzeit ändern.

Juli 2023: Das Data Privacy Framework ändert (vorübergehend?) die Lage

Am 10. Juli 2023 verabschiedete die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF). Google hat sich dem DPF-Programm angeschlossen. Damit sind Datentransfers zu Google in den USA unter bestimmten Bedingungen wieder legal.

Aber: Die Geschichte der EU-US-Datentransferabkommen mahnt zur Vorsicht:

  • Safe Harbor (2000-2015): 15 Jahre gültig, dann vom EuGH für ungültig erklärt
  • Privacy Shield (2016-2020): 4 Jahre gültig, dann vom EuGH für ungültig erklärt (Schrems II)
  • Data Privacy Framework (seit 2023): Dritter Versuch. Hält er?

noyb hat das DPF von Anfang an kritisiert und beobachtet die Entwicklungen im US-Recht aufmerksam. Insbesondere die Frage, ob die Reformen unter Executive Order 14086 (Oktober 2022) ausreichen, um die Schrems-II-Anforderungen zu erfüllen, ist umstritten.

Was Sie 2026 tun müssen, wenn Sie Google Analytics nutzen

Wenn Sie trotz aller Risiken an Google Analytics festhalten, müssen Sie mindestens Folgendes sicherstellen:

1. Gültige Einwilligung einholen

  • Cookie-Banner mit echtem Opt-in (kein Pre-Checking)
  • Gleichwertige “Akzeptieren”- und “Ablehnen”-Buttons (keine Dark Patterns)
  • Einwilligung vor dem Setzen von Cookies einholen
  • Einwilligung dokumentieren und nachweisbar speichern
  • Widerrufsmöglichkeit einfach zugänglich machen

Google verlangt seit März 2024 die Implementierung des Consent Mode v2 für alle Websites mit EWR-Traffic. Der Consent Mode signalisiert Google, ob der Nutzer eingewilligt hat. Im “Denied”-Modus werden gewisse Daten als “Pings” ohne Cookies übertragen. Ob diese Pings DSGVO-konform sind, ist umstritten.

3. Datenschutzerklärung aktualisieren

Nennen Sie Google Analytics als Datenverarbeitungsdienst, beschreiben Sie den Zweck der Verarbeitung, die Rechtsgrundlage (Einwilligung), die Empfänger (Google LLC, USA), den Datentransfer (DPF) und die Betroffenenrechte.

4. Auftragsverarbeitungsvertrag abschließen

Sie benötigen einen Auftragsverarbeitungsvertrag (AVV) mit Google gemäß Art. 28 DSGVO. Google bietet einen Standard-AVV an. Prüfen Sie, ob dieser Ihren Anforderungen genügt.

5. Verzeichnis der Verarbeitungstätigkeiten pflegen

Google Analytics gehört in Ihr Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.

Die Risiken zusammengefasst

RisikoBeschreibungEintrittswahrscheinlichkeit
DPF-UngültigkeitEuGH erklärt DPF für ungültig (“Schrems III”)Mittel (basierend auf Vorgeschichte)
Ungültige EinwilligungCookie-Banner genügt nicht den DSGVO-AnforderungenHoch (häufigster Verstoß)
BußgeldDeutsche Aufsichtsbehörde verhängt BußgeldNiedrig-Mittel (steigend)
AbmahnungWettbewerber oder Verbraucherschutzverband mahnt abMittel
Datenverlust30-60 % des Traffics nicht erfasst (Cookie-Ablehnung)Sicher

Die Alternative: Raus aus dem juristischen Minenfeld

Statt sich mit Einwilligungen, Consent Modes und DPF-Unsicherheiten herumzuschlagen, gibt es einen einfacheren Weg: Ein Analytics-Tool, das von Anfang an DSGVO-konform ist.

Mirage Analytics von DPLIANCE:

  • Keine Cookies: Kein Cookie-Banner, keine Einwilligung nach § 25 TDDDG
  • Kein Datentransfer in die USA: Hosting auf Scaleway in Europa
  • Kein Werbegeschäftsmodell: Sie zahlen für den Dienst, Ihre Daten bleiben Ihre Daten
  • Session Replay, Heatmaps, Error Monitoring: Tiefere Einblicke als GA4
  • 100 % Traffic-Erfassung: Kein Datenverlust durch Cookie-Ablehnung
  • Ab 19 EUR netto/Monat: Transparentes Preismodell

Häufig gestellte Fragen (FAQ)

Ist Google Analytics 4 DSGVO-konform?

GA4 kann unter bestimmten Bedingungen DSGVO-konform eingesetzt werden: gültige Einwilligung, Consent Mode v2, korrekte Datenschutzerklärung, AVV mit Google. Aber die Konformität hängt von der korrekten Implementierung ab — und von der Fortgeltung des Data Privacy Framework.

Was passiert, wenn das DPF für ungültig erklärt wird?

Dann fehlt die Rechtsgrundlage für den Datentransfer in die USA. Unternehmen müssten den Einsatz von Google Analytics sofort einstellen oder alternative Sicherheitsmechanismen implementieren — die beim Privacy Shield bereits als unzureichend bewertet wurden.

Hat die DSK Google Analytics in Deutschland verboten?

Nein, die DSK hat Google Analytics nicht verboten. Sie hat aber klargestellt, dass der Einsatz nur mit einer gültigen, informierten Einwilligung der Nutzer zulässig ist und dass die Anforderungen an diese Einwilligung streng sind.

Kann ich Google Analytics über einen Proxy DSGVO-konform machen?

Theoretisch ja. Die CNIL hat diese Möglichkeit erwähnt: Ein Proxy-Server anonymisiert die Daten vor dem Transfer an Google. In der Praxis ist die Umsetzung komplex, teuer und nicht vollständig, da Google dennoch gewisse Daten erhalten muss, um die Analyse zu ermöglichen.

Welche Bußgelder drohen bei DSGVO-Verstößen?

Nach Art. 83 DSGVO können Bußgelder bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes betragen. Die schwedische IMY hat bereits ein Bußgeld von ca. 1 Million EUR ausschließlich wegen der Nutzung von Google Analytics verhängt.

Fazit: Lohnt sich das Risiko?

Google Analytics in Deutschland zu nutzen bedeutet: Sie brauchen ein korrektes Cookie-Banner, den Consent Mode v2, eine vollständige Datenschutzerklärung, einen AVV mit Google, einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten und die Hoffnung, dass das DPF hält. Und trotzdem erfassen Sie nur 40-70 % Ihres Traffics.

Oder Sie wechseln zu einem Tool, das all das nicht braucht und Ihnen trotzdem tiefere Einblicke liefert.

Mirage Analytics entdecken — DSGVO-konform ohne Wenn und Aber. Ab 19 EUR netto/Monat.

Quellen: EuGH C-311/18 (Schrems II), noyb — Austrian DSB decision, noyb — 1 Million EUR fine, BfDI — DSK-Beschluss Google Analytics, EU-US Data Privacy Framework, DSK — Orientierungshilfe Telemedien

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns