Mirage Analytics vs Google Analytics: DSGVO-Vergleich
Mirage Analytics vs Google Analytics: Welches Tool ist DSGVO-konform?
Wer nach einer Google Analytics Alternative DSGVO-konform sucht, stellt die richtige Frage. Denn die Nutzung von Google Analytics in Europa ist seit 2020 ein juristisches Minenfeld. Nicht weil Google schlechte Technik baut, sondern weil das Geschäftsmodell hinter Google Analytics fundamental mit den europäischen Datenschutzwerten kollidiert.
Dieser Artikel vergleicht Google Analytics (GA4) und Mirage Analytics entlang der Achse, die wirklich zählt: DSGVO-Konformität. Nicht als abstraktes Rechtskonzept, sondern als konkretes Risiko für Ihr Unternehmen.
Bei DPLIANCE sind wir überzeugt: Datenschutz ist ein Grundrecht, keine Checkbox.
Die rechtliche Chronologie: Von Schrems II bis heute
Juli 2020: Schrems II erschüttert die Grundlagen
Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) in der Rechtssache C-311/18 (Schrems II) das EU-US Privacy Shield für ungültig. Der Grund: Die US-amerikanischen Überwachungsgesetze, insbesondere FISA Section 702 und Executive Order 12333, gewährleisten kein Schutzniveau, das dem der DSGVO entspricht.
Die unmittelbare Folge: Jeder Transfer personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen ist illegal. Google Analytics überträgt systematisch Daten an Google-Server in den USA.
August 2020: noyb reicht 101 Beschwerden ein
Die Organisation noyb (None Of Your Business), gegründet von Max Schrems, reichte im Sommer 2020 insgesamt 101 Beschwerden bei europäischen Datenschutzbehörden ein. Die Beschwerden richteten sich gegen Websites in 30 EU- und EWR-Staaten, die Google Analytics und Facebook Connect nutzten. In Deutschland waren sieben Websites betroffen.
Das European Data Protection Board (EDPB) richtete im September 2020 eine Task Force ein, um die Antworten der nationalen Behörden zu koordinieren.
Januar 2022: Die österreichische DSB urteilt als Erste
Am 13. Januar 2022 entschied die österreichische Datenschutzbehörde (DSB) als erste europäische Behörde: Die Nutzung von Google Analytics verstößt gegen Art. 44 DSGVO. Die von Google ergriffenen Schutzmaßnahmen (Verschlüsselung, Standardvertragsklauseln) reichten nicht aus, um den Zugriff US-amerikanischer Geheimdienste auf personenbezogene Daten zu verhindern.
Der konkrete Fall betraf die Website netdoktor.at. Die DSB stellte fest, dass die Kombination übertragener Daten — insbesondere eindeutige Nutzer-IDs — eine Rückverfolgung auf einzelne natürliche Personen ermöglichte.
Februar 2022: Die CNIL bestätigt
Am 10. Februar 2022 erklärte die französische CNIL die Nutzung von Google Analytics unter den damaligen Bedingungen für nicht DSGVO-konform. Zwei weitere Abmahnungen folgten am 2. März 2022.
2022: Der italienische Garante zieht nach
Der Garante per la protezione dei dati personali bestätigte im Laufe des Jahres 2022: Google Analytics verstößt aus denselben Gründen gegen die DSGVO.
Drei der bedeutendsten europäischen Datenschutzbehörden (Österreich, Frankreich, Italien) waren nun auf einer Linie.
Die deutsche Position: DSK und BfDI
Die Datenschutzkonferenz (DSK) hatte bereits 2020 ihren Beschluss zum Einsatz von Google Analytics veröffentlicht. Die DSK-Orientierungshilfe für Telemedienanbieter (Version 1.1, Dezember 2021) stellt klar:
- Google Analytics darf nur mit ausdrücklicher, informierter Einwilligung eingesetzt werden
- Analytics-Cookies fallen nicht unter die Ausnahme des § 25 Abs. 2 TDDDG
- Die Einwilligung muss vor dem Setzen von Cookies eingeholt werden
- Ein einfacher Cookie-Banner reicht nicht, wenn er keine echte Wahlmöglichkeit bietet
Der BfDI, Prof. Ulrich Kelber, hatte bereits 2019 klargestellt: Personenbezogenes Webtracking ist nur mit ausdrücklicher Einwilligung zulässig.
Juli 2023: Das Data Privacy Framework
Am 10. Juli 2023 trat der Angemessenheitsbeschluss der EU-Kommission für das EU-US Data Privacy Framework (DPF) in Kraft. Google hat sich dem DPF angeschlossen.
Damit sind Datentransfers zu Google in den USA unter bestimmten Bedingungen wieder legal. Aber:
- Safe Harbor wurde 2015 für ungültig erklärt
- Privacy Shield wurde 2020 für ungültig erklärt
- Das DPF ist der dritte Versuch
Die Geschichte wiederholt sich. noyb beobachtet die Entwicklung des US-Rechts aufmerksam. Insbesondere die Frage, ob der FISA Section 702 in seiner aktuellen Form mit den Anforderungen des DPF vereinbar bleibt, ist nicht abschließend geklärt. Ein “Schrems III” ist ein realistisches Szenario.
Technischer Vergleich: GA4 vs. Mirage Analytics
| Kriterium | Google Analytics (GA4) | Mirage Analytics |
|---|---|---|
| Cookies | First-Party-Cookies + Consent Mode | Keine Cookies |
| Datentransfer in die USA | Ja (über DPF) | Nein (EU-Hosting) |
| Einwilligung erforderlich | Ja (§ 25 TDDDG) | Nein |
| Cookie-Banner nötig | Ja | Nein |
| Session Replay | Nein | Nativ integriert |
| Heatmaps | Nein | Inklusive |
| Error Monitoring | Nein | Inklusive |
| Consent Mode v2 | Erforderlich seit März 2024 | Nicht relevant |
| Skript-Gewicht | ~45 KB (komprimiert) | Leichtgewichtig |
| Geschäftsmodell | Werbefinanziert (Ihre Daten = Produkt) | SaaS (Sie zahlen, Sie kontrollieren) |
| Hosting | Google Cloud (USA + EU) | Scaleway (Europa) |
| Preis | Kostenlos (Standard) / ab 150.000 USD/Jahr (360) | Ab 19 EUR netto/Monat |
DSGVO-Risiken bei Google Analytics im Detail
Risiko 1: Ungültige oder fehlende Einwilligung
Google Analytics erfordert eine DSGVO-konforme Einwilligung nach § 25 TDDDG. In der Praxis scheitern viele Implementierungen an den Anforderungen:
- Pre-checked Checkboxes: Nicht erlaubt. Die Einwilligung muss aktiv erteilt werden.
- Cookie Walls: Rechtlich umstritten. Ein “Akzeptieren oder Verlassen”-Ansatz ist nach herrschender Meinung keine freiwillige Einwilligung.
- Dark Patterns: Manipulative Gestaltung des Cookie-Banners (große “Akzeptieren”-Buttons, versteckte “Ablehnen”-Optionen) gefährdet die Wirksamkeit der Einwilligung.
- Consent Mode v2: Google verlangt seit März 2024 die Implementierung des Consent Mode v2 für alle Websites mit EWR-Traffic. Auch im “Consent Mode” werden gewisse Daten an Google übertragen.
Risiko 2: Datentransfer in die USA
Trotz DPF bleibt ein Restrisiko. Das DPF kann jederzeit für ungültig erklärt werden. Unternehmen, die sich ausschließlich auf das DPF stützen, haben dann keine Rechtsgrundlage für den Datentransfer.
Mirage Analytics eliminiert dieses Risiko vollständig: Alle Daten bleiben auf Scaleway-Servern in Europa.
Risiko 3: Ihre Daten im Werbeökosystem
Google Analytics ist kostenlos, weil Google mit Ihren Daten Geld verdient. Die Nutzungsdaten fließen in Googles Werbeökosystem. Selbst mit GA4 und Consent Mode bleibt das Grundprinzip: Ihre Website-Besucher liefern Daten für Googles Werbegeschäft.
Mirage Analytics hat ein anderes Geschäftsmodell: Sie zahlen für den Dienst. Ihre Daten sind Ihre Daten. Keine Weitergabe, keine Werbenutzung, keine versteckten Geschäftsmodelle.
Risiko 4: Bußgelder und Reputationsschaden
Die europäischen Datenschutzbehörden haben gezeigt, dass sie bereit sind, Bußgelder zu verhängen. Die schwedische Aufsichtsbehörde IMY verhängte ein Bußgeld von 12 Millionen SEK (ca. 1 Million EUR) gegen den Telekommunikationsanbieter Tele2 wegen der Nutzung von Google Analytics.
Auch ohne Bußgeld kann ein Datenschutzvorfall den Ruf eines Unternehmens schädigen, insbesondere wenn personenbezogene Daten betroffen sind.
Migration von Google Analytics zu Mirage Analytics
Schritt 1: Mirage-Skript einbinden
Die Einrichtung von Mirage Analytics dauert wenige Minuten. Sie binden das Tracking-Skript in Ihre Website ein — fertig. Kein Cookie-Banner-Setup, kein Consent Mode, keine Konfiguration von Datenströmen.
Schritt 2: Google Analytics parallel laufen lassen (optional)
Wenn Sie den Wechsel sanft gestalten wollen, können Sie beide Tools für einen Übergangszeitraum parallel betreiben. So können Sie die Daten vergleichen und Vertrauen in Mirage aufbauen.
Schritt 3: Google Analytics entfernen
Entfernen Sie das GA4-Skript, den Google Tag Manager (falls genutzt) und den Consent Mode. Vereinfachen Sie Ihren Cookie-Banner — oder entfernen Sie ihn ganz, wenn Mirage Ihr einziges Analytics-Tool ist und Sie keine anderen Tracking-Dienste nutzen.
Was Sie nicht migrieren können
Historische Daten aus Google Analytics können nicht in Mirage importiert werden. Die Datenmodelle sind grundlegend verschieden. Sie starten mit einer frischen Datenbasis. Das klingt nach einem Verlust, ist in der Praxis aber selten ein Problem: Die meisten Unternehmen nutzen historische GA-Daten kaum für aktuelle Entscheidungen.
Häufig gestellte Fragen (FAQ)
Ist Google Analytics in Deutschland 2026 noch legal?
Technisch ja, dank des EU-US Data Privacy Framework (DPF). Aber: Sie brauchen eine gültige Einwilligung (§ 25 TDDDG), den Consent Mode v2, eine korrekte Datenschutzerklärung und die Hoffnung, dass das DPF nicht für ungültig erklärt wird. Die beiden Vorgängerrahmen Safe Harbor und Privacy Shield hielten jeweils nur wenige Jahre.
Brauche ich mit Google Analytics ein Cookie-Banner?
Ja, zwingend. Google Analytics setzt First-Party-Cookies und erfordert daher eine Einwilligung nach § 25 TDDDG. Ohne gültiges Cookie-Banner ist der Einsatz rechtswidrig.
Brauche ich mit Mirage Analytics ein Cookie-Banner?
Nein. Mirage Analytics setzt keine Cookies und speichert keine Informationen im Endgerät des Nutzers. Damit entfällt die Einwilligungspflicht nach § 25 TDDDG.
Was sagt die DSK-Orientierungshilfe zu Google Analytics?
Die DSK-Orientierungshilfe für Telemedienanbieter stellt klar: Analytics-Cookies sind nicht “unbedingt erforderlich” im Sinne des § 25 Abs. 2 TDDDG. Eine Einwilligung ist daher Pflicht. Die DSK hat 2020 einen eigenen Beschluss zum Einsatz von Google Analytics veröffentlicht, der diese Position bestätigt.
Wie schnell kann ich von GA4 zu Mirage wechseln?
Die technische Umstellung dauert wenige Minuten. Skript einbinden, fertig. Der organisatorische Aufwand hängt von Ihren internen Prozessen ab. Viele Unternehmen betreiben beide Tools für 2-4 Wochen parallel, bevor sie GA4 entfernen.
Fazit: Warum das Risiko eingehen?
Google Analytics ist das bekannteste Analytics-Tool der Welt. Aber Bekanntheit ist kein Garant für Konformität. Die rechtliche Grundlage in Europa war nie stabil, und die Geschichte zeigt, dass sie es auch künftig nicht sein wird.
Mirage Analytics eliminiert die juristischen Risiken, ohne auf Erkenntnisse zu verzichten. Keine Cookies, kein Datentransfer in die USA, kein Cookie-Banner, kein Consent Mode. Dafür Session Replay, Heatmaps und Error Monitoring, gehostet in Europa.
Die Frage ist nicht, ob eine Google Analytics Alternative sinnvoll ist. Die Frage ist, warum Sie noch warten.
Mirage Analytics entdecken — Ab 19 EUR netto/Monat. DSGVO-konform ohne Wenn und Aber.
Quellen: EuGH C-311/18 (Schrems II), noyb — Austrian DSB decision, BfDI — DSK-Beschluss Google Analytics, DSK — Orientierungshilfe Telemedien, EU-US Data Privacy Framework