Datenschutz

Google Analytics Datenschutz — DSGVO-Anforderungen und technische Umsetzung

Google Analytics ist auf Millionen Websites eingebunden — und auf den meisten davon datenschutzrechtlich nicht korrekt implementiert. Nicht weil die Regeln unbekannt sind, sondern weil die technische Umsetzung mehrere unabhängige Anforderungen gleichzeitig erfüllen muss, die in der Praxis selten alle korrekt konfiguriert sind.

Warum Google Analytics besondere datenschutzrechtliche Anforderungen stellt

Google Analytics 4 (GA4) überträgt bei jedem Seitenaufruf Nutzerdaten an Google-Server — darunter IP-Adresse, Geräteinformationen, Seitenaufrufe, Verweildauer und Interaktionen. Google-Server befinden sich unter anderem in den USA. Das begründet eine Drittlandübertragung im Sinne der DSGVO, die eine gesonderte Rechtsgrundlage erfordert.

Mehrere europäische Datenschutzbehörden — darunter die österreichische DSB und die französische CNIL — haben in Entscheidungen aus 2022 und 2023 bestimmte Google-Analytics-Implementierungen als nicht DSGVO-konform eingestuft. Die rechtliche Entwicklung ist noch nicht abgeschlossen.

In der Praxis ist GA4 auf den meisten Websites nicht korrekt eingebunden — obwohl die grundlegenden Anforderungen bekannt sind. Die korrekte Implementierung erfordert das Zusammenspiel von mindestens drei unabhängigen Systemkomponenten: dem Consent-Tool, dem Google Tag Manager und der GA4-Konfiguration selbst. Eine Fehlkonfiguration in einer dieser Komponenten führt dazu, dass GA4 vor der Einwilligungsentscheidung feuert — auch wenn alle drei Komponenten vorhanden sind.

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Diese Abweichung entsteht strukturell — nicht als Ausnahme, sondern als typischer Zustand.

Google Analytics eingebunden ≠ Tracking erst nach Einwilligung aktiv

Cookie-Banner vorhanden ≠ GA4-Skript wartet auf Consent-Entscheidung

In Datenschutzerklärung erwähnt ≠ Drittlandübertragung korrekt beschrieben

Die Datenschutzerklärung beschreibt einen dokumentierten Zustand — nicht zwingend den tatsächlichen technischen Zustand. In vielen Fällen stimmen beide nicht überein.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Warum GA4 in der Praxis in vielen Fällen nicht korrekt konfiguriert ist

GA4 wird typischerweise vom Marketing-Team angefordert, vom Webentwickler eingebunden und vom Tag Manager konfiguriert — drei Beteiligte mit unterschiedlichem Wissen und unterschiedlichen Zugriffsebenen. Das Consent-Tool, das den Ladzeitpunkt steuern soll, stammt aus einer vierten Quelle. Diese vier Systemkomponenten werden selten von einer Person gemeinsam konfiguriert und getestet.

Das Ergebnis: GA4 erscheint korrekt eingebunden. Der Cookie-Banner ist sichtbar. Aber die technische Verbindung — dass GA4 tatsächlich auf das Consent-Signal wartet — ist nicht hergestellt. Dieser Zustand entsteht regelmäßig nicht durch eine bewusste Fehlentscheidung, sondern durch das Auseinanderfallen von Zuständigkeiten und fehlende gemeinsame Konfigurationstests.

Warum sich GA4-Fehler von außen erkennen lassen

Ob GA4 beim initialen Seitenaufruf — vor jeder Nutzerinteraktion mit dem Cookie-Banner — einen Request an analytics.google.com oder google-analytics.com sendet, ist im Netzwerk-Traffic öffentlich nachvollziehbar. Automatisierte Prüfsysteme führen genau diese Analyse systematisch durch: Seitenaufruf ohne Interaktion, Protokollierung aller ausgehenden HTTP-Requests, Abgleich mit bekannten Tracking-Domains.

Dieser Prüfablauf ist reproduzierbar und dokumentierbar — von Datenschutzbehörden und Abmahnkanzleien gleichermaßen. Der Betreiber weiß in der Regel nichts davon, bevor die Prüfung abgeschlossen ist.

Die technischen Anforderungen im Einzelnen

Einwilligung vor dem Laden

GA4 darf erst geladen werden, nachdem der Nutzer aktiv eingewilligt hat. Das bedeutet: Das <script>-Tag für GA4 oder der Google Tag Manager-Trigger darf nicht beim initialen Seitenaufruf feuern. Er muss auf das Consent-Signal des Cookie-Banners warten. In der Praxis ist es in vielen Fällen umgekehrt: Der Banner erscheint nach einem kurzen Delay, das GA4-Skript läuft aber bereits beim ersten HTTP-Request.

Consent Mode korrekt konfiguriert

Google Tag Manager bietet einen „Consent Mode", der GA4-Trigger an den Consent-Status binden soll. Dieser Mode muss explizit konfiguriert werden — er ist nicht standardmäßig aktiv. Ohne korrekte Consent-Mode-Konfiguration lädt GA4 auch dann, wenn der Nutzer abgelehnt hat.

Datenschutzerklärung vollständig

Die Datenschutzerklärung muss für GA4 benennen: Anbieter (Google LLC), Zweck (Analyse des Nutzerverhaltens), Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO), Empfänger (Google), Drittlandübertragung in die USA mit Verweis auf die verwendete Grundlage (Standard Contractual Clauses), Speicherdauer. Fehlt auch nur einer dieser Punkte, ist die Datenschutzerklärung für diesen Dienst unvollständig.

Auftragsverarbeitungsvertrag mit Google

Der Einsatz von GA4 erfordert den Abschluss eines Auftragsverarbeitungsvertrags mit Google — in den Google-Kontoeinstellungen als „Datenverarbeitungsbedingungen" aktivierbar. Ob dieser Vertrag geschlossen wurde, ist ohne Prüfung der Google-Kontokonfiguration nicht feststellbar.

Typische Fehlannahme

Annahme: „Ich habe Google Analytics in meiner Datenschutzerklärung erwähnt und einen Cookie-Banner eingebunden — damit sollte es korrekt sein."

Tatsächlich: Erwähnung in der Datenschutzerklärung und Vorhandensein eines Cookie-Banners sind zwei notwendige, aber nicht hinreichende Bedingungen. Entscheidend ist, ob das GA4-Skript technisch an den Consent-Status gebunden ist — also erst nach aktiver Einwilligung lädt. Das ist eine Frage der technischen Konfiguration von Google Tag Manager und Consent Mode, nicht der Dokumentation. Viele Websites haben beides — und trotzdem feuert GA4 vor jeder Einwilligungsentscheidung. Dieses Muster ist bei GA4-Implementierungen die Regel, nicht die Ausnahme — und ist von außen durch Netzwerkanalyse nachweisbar, ohne Zugang zur internen Konfiguration.

Warum sich korrekte Implementierung nicht selbst prüfen lässt

Ob GA4 vor oder nach der Einwilligungsentscheidung lädt, ist nur durch Netzwerkanalyse beim Seitenaufruf erkennbar — mit Browser-Entwicklerwerkzeugen oder automatisierten Testtools. Ob der Consent Mode korrekt konfiguriert ist, zeigt sich erst bei Test mit expliziter Ablehnung im Cookie-Banner und anschließender Netzwerkbeobachtung. Ob die Datenschutzerklärung alle erforderlichen GA4-Punkte enthält, erfordert einen Abgleich mit den aktuellen DSGVO-Anforderungen an Drittlandübertragungen.

Wer diese Prüfungen nicht explizit vorgenommen hat, kann die Frage „Ist GA4 korrekt eingebunden?" nicht verlässlich beantworten — auch nicht die Person, die die Implementierung durchgeführt hat, wenn kein Netzwerktest durchgeführt wurde.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob Google Analytics auf Ihrer Website korrekt eingebunden ist, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen