Kontakt
Kontakt
Recht & Pflichten

Wie tracke ich DSGVO-konform ohne Google Analytics?

6 Min. Lesezeit | 31. Mai 2026

Für DSGVO-konformes Tracking gibt es zwei Wege: einen cookielosen, einwilligungsfreien Betrieb über cookielose Webanalyse-Tools oder eine selbst gehostete Analyse-Plattform mit IP-Anonymisierung – oder ein klassisches Consent-basiertes Setup mit Google Analytics 4 plus sauberem Cookie-Banner. Beide Wege sind möglich und haben jeweils eigene Vor- und Nachteile.

Dieser Beitrag gibt einen Überblick zum Stand Mai 2026 und ersetzt keine Rechtsberatung. Im Zweifel die/den Datenschutzbeauftragte(n) oder einen Fachanwalt hinzuziehen.

Web-Analyse ohne Abmahnrisiko

Google Analytics ist eines der meistgenutzten Analyse-Tools im Web – und zugleich eines der unter DSGVO-Gesichtspunkten am intensivsten geprüften. Google Analytics stand 2022 im Fokus mehrerer Aufsichtsbehörden — die österreichische Datenschutzbehörde (Bescheid vom 22.12.2021) und die französische CNIL (10.02.2022) bewerteten den Einsatz wegen der Datenübermittlung in die USA als nicht DSGVO-konform. Mit dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023, Art. 45 DSGVO) hat sich das entspannt: Übermittlungen an zertifizierte US-Anbieter — darunter Google — stehen seither wieder auf einer Rechtsgrundlage. Das Gericht der EU hat den Beschluss am 3. September 2025 bestätigt (T-553/23); eine Berufung beim EuGH läuft noch (C-703/25 P), sodass eine Restunsicherheit bleibt. Es existieren Alternativen, die Unternehmen die meisten oder alle relevanten Kennzahlen liefern – ohne Abmahnrisiko und oft auch ohne Cookie-Banner.

Warum Google Analytics rechtlich heikel ist

Die häufig diskutierten Kernpunkte zu Google Analytics in der Standardkonfiguration sind nicht fachlicher, sondern rechtlicher Natur:

  • Datenübertragung in die USA – personenbezogene Daten gehen an Google-Server in den USA — ein Drittland im Sinne von Art. 44 ff. DSGVO. Seit dem EU-US Data Privacy Framework (Art. 45 DSGVO) ist das für zertifizierte Anbieter abgedeckt; ohne gültige Zertifizierung sind weiterhin Standardvertragsklauseln und eine Transfer-Folgenabschätzung nötig.
  • Personalisierungs-Cookies – GA setzt Cookies, die Besucher identifizierbar machen; für den Zugriff auf das Endgerät ist eine Einwilligung nach § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO erforderlich.
  • Fehlende Kontrolle über Datenverwendung – was Google intern mit den Daten macht, kann der Website-Betreiber nicht steuern.

Die Kombination aus Cookie-Banner-Pflicht und typischem Nutzerverhalten führt dazu, dass bei Google Analytics in der Praxis ein erheblicher Anteil der Besucher gar nicht erfasst wird – entweder weil sie ablehnen oder weil Browser das Tracking blockieren. Das beeinflusst die Auswertungen.

Die zwei Wege zu datenschutzfreundlicher Analyse

Unternehmen, die aus GA aussteigen wollen, haben zwei Alternativen – mit unterschiedlichen Eigenschaften:

AnsatzEigenschaftenEinschränkungen
Cookielose Webanalyse-ToolsKein Cookie-Banner nötig, keine Drittland-Übertragung, geringer BetriebsaufwandWeniger Detailtiefe als GA, keine Cross-Session-Analyse
Selbst gehostete Analyse-Plattform mit IP-AnonymisierungVolle Kontrolle über die Daten, breiter Funktionsumfang, DSGVO-konform machbarHöherer Betriebsaufwand, Server-Ressourcen nötig

Option 1: Cookielose Webanalyse

Cookielose Webanalyse-Tools sind bewusst minimal gebaut. Sie setzen keine Cookies, speichern keine personenbezogenen Identifikatoren, geben alle Kennzahlen aggregiert aus. Die Folge: Für den Betrieb ist in der Regel keine Einwilligung der Besucher nötig, weil ohne Zugriff auf das Endgerät kein Einwilligungstatbestand nach § 25 Abs. 1 TDDDG vorliegt und bei aggregierter Auswertung kein Personenbezug (Art. 4 Nr. 1 DSGVO) entsteht. Das Tracking läuft für alle Besucher – was die Datengrundlage vollständiger macht.

Solche Tools zeigen die klassischen Kennzahlen: Seitenaufrufe, Herkunft des Traffics, verwendete Geräte, gefundene Conversion-Ziele. Was fehlt, sind tiefere Analysen wie individuelle Nutzerpfade über mehrere Sitzungen hinweg. Welche Kennzahlen wirklich aussagekräftig sind, hängt auch vom Conversion-Ziel der Website ab – siehe dazu unseren Beitrag zu typischen Conversion-Fehlern, die Anfragen kosten.

Option 2: Selbst gehostete Analyse-Plattform

Selbst hostbare Analyse-Plattformen bieten einen Funktionsumfang, der GA nahekommt – inklusive Heatmaps, Nutzerpfaden, Events und Conversion-Tracking. Der Unterschied: Die Daten bleiben auf Ihrem eigenen Server, werden nicht an Dritte übertragen. Mit IP-Anonymisierung und einer sauberen Konfiguration kann eine solche Plattform einwilligungsfrei betrieben werden: Greift die Analyse nicht auf Informationen im Endgerät zu (§ 25 Abs. 1 TDDDG) und entsteht durch Anonymisierung kein Personenbezug, entfällt die Einwilligungspflicht.

Die Entscheidung zwischen einem cookielosen Tool und einer selbst gehosteten Plattform ist eine Abwägungsfrage: Ein cookieloses Tool eignet sich, wenn wenig Detailtiefe nötig ist und der Betriebsaufwand niedrig bleiben soll; eine selbst gehostete Plattform passt, wenn tiefere Analyse und Flexibilität gefragt sind. Beide Wege sind DSGVO-konform machbar.

Wenn Sie bei Google Analytics bleiben wollen

Nicht jedes Unternehmen kann oder will aus GA aussteigen – etwa weil Marketing-Abteilungen oder Agenturen darauf aufgebaute Reports haben. In diesem Fall gibt es einen rechtskonformen Weg, aber er ist aufwendiger:

  1. Consent-Mode v2 korrekt implementieren – GA lädt erst nach aktiver Einwilligung.
  2. Cookie-Banner mit echter Auswahl – Ablehnen muss gleichwertig möglich sein (wirksame Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO sowie § 25 Abs. 1 TDDDG). Wie das rechtlich und technisch umgesetzt wird, haben wir im FAQ zur Cookie-Banner-Pflicht detailliert beschrieben.
  3. IP-Anonymisierung aktivieren – reduziert die Personenbeziehbarkeit.
  4. Auftragsverarbeitungsvertrag mit Google abschließen – Pflicht nach Art. 28 Abs. 3 DSGVO.
  5. Datenschutzerklärung ergänzen um die genaue Beschreibung der Datenverarbeitung.

Selbst mit all diesen Maßnahmen bleibt eine Restunsicherheit bei der Drittlands-Übertragung. Die rechtliche Lage bewegt sich weiter: Auf das Schrems-II-Urteil (EuGH, 16.07.2020, C-311/18) folgte 2023 das EU-US Data Privacy Framework, das der EuGH derzeit erneut prüft (C-703/25 P). Wer das Risiko minimieren will, fährt mit einer europäischen Alternative besser.

Kosten-Nutzen-Abwägung für KMU

Für kleinere und mittlere Unternehmen ist die Abwägung praxisnah: Cookielose Webanalyse läuft marktüblich überschaubar im monatlichen Tool-Budget, kommt ohne Banner aus und liefert die Kennzahlen, die im Tagesgeschäft gebraucht werden. Google Analytics ist nominal "kostenlos", bringt aber ein Bußgeldrisiko (Art. 83 DSGVO, § 28 TDDDG), die Banner-Pflicht nach § 25 TDDDG und durch Ablehnungen unvollständige Daten sowie mehr Konfigurationsaufwand mit sich. Welche Variante besser passt, hängt vom konkreten Bedarf ab.

Der Umstieg in der Praxis

Ein Wechsel von GA auf eine datenschutzfreundliche Alternative ist in wenigen Stunden erledigt: Tracking-Code austauschen, Ziele neu konfigurieren, alte Daten exportieren und archivieren, neue Dashboards einrichten. ProXWorks® übernimmt den kompletten Umstieg inklusive Datenmigration und Schulung auf das neue Tool – meistens in einem halben Tag. Die Altdaten gehen nicht verloren, sind aber unter der neuen Struktur schwer vergleichbar. Für viele KMU ist das ein akzeptabler Schnitt.