- Martina Rieschl
- aktualisiert April 2025
In den letzten Jahren gab es richtungsweisende Urteile innerhalb der EU, die feststellten, dass Google Analytics in bestimmten Fällen nicht DSGVO-konform eingesetzt wurde. Mittlerweile regelt ein neues Abkommen – das EU-US Data Privacy Framework – den Datentransfer in die USA.
Mit Google Analytics 4 (GA4) wurden zusätzliche Maßnahmen getroffen, um eine datenschutzkonforme Nutzung zu ermöglichen.
Entscheidend ist jedoch: Die richtige Konfiguration ist Pflicht.
Was hat die österreichische Datenschutzbehörde entschieden?
Die österreichische Datenschutzbehörde (DSB) hat Ende 2021 in einem Fall entschieden, dass der Einsatz von Google Analytics nicht dem europäischen Datenschutz entspricht und daher illegal ist. Vor allem die Übermittlung von personenbezogenen Daten in die USA wird als kritisch gesehen. Die USA gilt im Bezug auf den Datenschutz aus EU-Sicht als unsicheres Drittland. Die französische Datenschutzbehörde hat wenige Wochen nach der österreichischen DSB eine vergleichbare Entscheidung getroffen. Bei einer Website wurde der Einsatz von Google Analytics untersagt.
Update September 2023: Mit dem Data Privacy Framework ist ein Transfer von Daten zwischen EU-Staaten und den USA wieder zulässig. Das gilt jedoch nur für jene Unternehmen, die am Data Privacy Framework teilnehmen, dh sich zertifizieren lassen.
Was war im konkreten Fall das Problem?
Die Datenschutzbehörde hat den gesamten digitalen Fußabdruck als Personenbezug definiert. Diese personenbezogenen Daten umfassen unter anderem
- die IP-Adresse,
- gewisse Online-Identifier, die zur Browser- bzw. Geräteidentifikation benutzt werden,
- Informationen aus dem Browser und
- Informationen zum Betriebssystem.
Im konkreten Fall wurden keine ausreichenden Schutzmaßnahmen für den internationalen Datenverkehr und für die personenbezogenen Daten ergriffen.
Was ist weiterhin unklar?
Trotz des neuen EU-US Data Privacy Frameworks (seit Juli 2023) und der verbesserten Datenschutzfunktionen von Google Analytics 4 herrscht weiterhin rechtliche Unsicherheit.
Warum?
- Vorgänger des Data Privacy Framework wurde bereits in der Vergangenheit von europäischen Gerichten (z. B. beim Privacy Shield) gekippt. Kritiker erwarten, dass auch dieses Abkommen erneut vor dem EuGH landen könnte.
- Google Analytics 4 ist nicht automatisch DSGVO-konform. Es bietet mehr Kontrolle über Daten, erfordert aber eine sorgfältige Konfiguration – z. B.: Einschränkung der Datenaufbewahrung
- Zustimmung über ein Cookie-Banner vor Einbindung
- Einschränkung der Datenaufbewahrung
- Keine Nutzung sensibler Daten
Die österreichische Datenschutzbehörde (DSB) und andere Aufsichtsbehörden haben sich noch nicht abschließend zur Bewertung von GA4 unter dem DPF geäußert.
Kurz gesagt: Der Einsatz von Google Analytics bleibt ein Balanceakt zwischen Marketinginteresse und Datenschutzpflicht. Wer ganz auf Nummer sicher gehen möchte, sollte datenschutzfreundlichere Alternativen prüfen.
Die Frage bleibt: Ist Google Analytics DSGVO-konform?
Google Analytics ist das mit Sicherheit meist genutzte Webanalyse-Tool. Mit Google Analytics 4 (GA4) sind Funktionen hinzugekommen, die einen möglichst datenschutzkonformen Einsatz ermöglichen sollen. Die Umsetzung ist allerdings nicht ganz einfach.
Daher solltest du als erstes überlegen
- welche Daten du sammeln möchtest und
- wofür du diese Daten verwenden willst.
Verwendest du dein Webanalyse-Tool aktiv?
Eine Webanalyse ist sinnvoll und ein wichtiges Instrument im Online-Marketing, um die Performance deiner Website zu messen.
Meine Erfahrung nach haben jedoch nicht wenige Website-Betreiber*innen ein Analysetool wie Google Analytics eingebunden und verwenden die Daten aus diesem nicht. In diesen Fällen wären meine Empfehlung das Tool sofort zu entfernen oder sich rasch eine Strategie für die sinnvolle Verwendung der Daten zu überlegen.
Google Analytics möglichst datenschutzkonform einbinden
Es gibt Webagenturen, die eine korrekte Einbindung von Google Analytics versprechen. Bei diesen Agenturen erhältst du Unterstützung, falls du auf die Verwendung von Google Analytics nicht verzichten willst.
In jedem Fall rate ich dir, sieh dir Einstellungen genau an. Stell sicher dass Google Analytics korrekt auf deiner Website eingebunden ist. Einige wichtige Faktoren, die jedenfalls erfüllt werden müssen sind:
- Die aktuellste Version der Google-Standardvertragsklauseln akzeptieren.
- Website-Besucher*innen müssen dem Tracking zustimmen. Google Analytics darf erst aktiv werden, wenn du die Einwilligung deiner User hast. Dh du benötigst einen Consent-Banner.
- Die Datenschutzerklärung muss entsprechend angepasst sein.
- Google Analytics muss richtig konfiguriert sein (z.B. IP-Anonymisierung usw.)
- Serverseitiges Tracking gibt dir die Kontrolle über die Daten.
Alternativen zu Google Analytics
Google Analytics ist nicht das einzig verfügbare Webanalyse-Tool. Abhängig von der Zeit und den Ressourcen, die du invenstieren willst, kannst du aus einem ganze Pool an Analyse-Tools wählen.
Die wohl bekannteste Alternative zu Google Analytics ist Matomo (früher Piwik). Es gibt von Matomo verschiedene Versionen:
- Matomo kann am eigenen Server selbst gehostet und verwaltet werden.
- Es gibt ein WordPress-Plugin für Matomo.
- Matomo bietet eine Software as a Service Cloud-Lösung ab 19,- EUR monatlich.
Eine Übersicht weiterer Tools finden Sie hier: https://www.blogmojo.de/google-analytics-alternative/
Meine Webanalyse-Empfehlung
Verzichte nach Möglichkeit auf den Einsatz von Google Analytics.
Als Website-Betreiber*in ist Datenschutz deine Verantwortung.
HINWEIS:
Der technische Aspekt der Webanalyse ist mein Fokus. Ich bin keine Juristin und biete keine juristische Beratung an. Für rechtlich verbindliche Aussagen konsultiere bitte eine Person mit entsprechender Fachkenntnis.
Mein Webanalyse-Angebot
- Welche Daten aus der Webanalyse brauchst.
- Wofür du diese Daten verwenden möchtest.
- Wer mit diesen Daten arbeitet.
Anschließend wählen wir ein Webanalyse-Tool, welches deine Anforderungen erfüllt.
