Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Ist Google Analytics 2026 noch DSGVO-konform nutzbar?

Ja, aber nur mit korrekter Konfiguration: Auftragsverarbeitungsvertrag, IP-Anonymisierung, Google Consent Mode v2, korrektes Cookie-Banner und angepasste Datenschutzerklärung. Server-Side Tagging wird empfohlen.

Was ist Google Consent Mode v2?

Google Consent Mode v2 ist eine Schnittstelle, die Google Analytics an den Einwilligungsstatus des Cookie-Banners koppelt. Ohne Einwilligung werden keine Tracking-Cookies gesetzt und nur anonymisierte Pings gesendet.

Was ist Server-Side Tagging bei Google Analytics?

Beim Server-Side Tagging werden die Analytics-Daten zuerst an Ihren eigenen Server (in der EU) gesendet und dort gefiltert, bevor sie an Google weitergeleitet werden. So haben Sie volle Kontrolle über die Daten.

Anleitung31. Januar 2026· 14 Min. Lesezeit

Google Analytics DSGVO konform einrichten 2026 — Die komplette Anleitung

Google Analytics 4 ist das meistgenutzte Analyse-Tool der Welt — und gleichzeitig eines der rechtlich heikelsten. Seit dem Schrems-II-Urteil 2020 und den Entscheidungen mehrerer europäischer Datenschutzbehörden herrscht massive Unsicherheit: Darf ich Google Analytics überhaupt noch nutzen? Und wenn ja, wie mache ich es DSGVO-konform?

Das Restrisiko bleibt

Mit allen Maßnahmen bleibt ein Restrisiko durch die Datenübermittlung in die USA. Datenschutzbehörden haben bisher keine pauschale Freigabe erteilt.

Die rechtliche Ausgangslage 2026

Die rechtliche Lage rund um Google Analytics hat sich in den letzten Jahren mehrfach geändert. Hier die wichtigsten Meilensteine:

• Schrems II (Juli 2020): Der EuGH kippte das Privacy Shield. Datenübermittlungen in die USA waren damit ohne zusätzliche Garantien rechtswidrig
• Behördenentscheidungen (2022): Die österreichische DSB, die französische CNIL und die italienische Garante erklärten Google Analytics auf Websites ohne zusätzliche Maßnahmen für rechtswidrig
• EU-US Data Privacy Framework (Juli 2023): Die EU-Kommission erkannte die USA erneut als sicheres Drittland an — allerdings nur für zertifizierte Unternehmen. Google LLC ist zertifiziert
• 2026 — aktueller Stand: Das Data Privacy Framework gilt, steht aber juristisch unter Beobachtung. Der Datenschutzaktivist Max Schrems hat bereits ein „Schrems III“-Verfahren angekündigt. Ein risikoloser Einsatz von Google Analytics ist daher nach wie vor nicht möglich

Fazit: Google Analytics ist 2026 mit den richtigen Maßnahmen nutzbar — aber ein Restrisiko bleibt. Wer auf Nummer sicher gehen will, sollte eine EU-basierte Alternative in Betracht ziehen.

Schritt 1: Auftragsverarbeitungsvertrag abschließen

Nach Art. 28 DSGVO ist ein AVV Pflicht. Melden Sie sich in Ihrem Google Analytics Konto ein → Verwaltung → Kontoeinstellungen → Datenverarbeitungsbedingungen aktivieren.

Schritt 2: IP-Anonymisierung und erweiterte Datenschutz-Einstellungen

IP-Anonymisierung ist in GA4 standardmäßig aktiviert — anders als in Universal Analytics müssen Sie nichts zusätzlich konfigurieren. Reduzieren Sie aber weitere Datenverarbeitungen:

• Datenaufbewahrung: Verwaltung → Property → Dateneinstellungen → Datenaufbewahrung → auf 2 Monate setzen (Minimum)
• Google-Signale deaktivieren: Verwaltung → Property → Dateneinstellungen → Datenerhebung → Google-Signale → Aus. Google-Signale verknüpfen Analytics-Daten mit Google-Konten der Nutzer — das ist datenschutzrechtlich hochproblematisch
• Erweiterte Messung minimieren: Verwaltung → Datenstreams → Erweiterte Messung → Deaktivieren Sie alles, was Sie nicht benötigen (z.B. Formularinteraktionen, Dateidownloads)
• Granularer Standort und Gerätedaten: Verwaltung → Dateneinstellungen → Deaktivieren Sie granulare Standort- und Gerätedaten, wenn nicht benötigt

Schritt 3: Google Consent Mode v2 implementieren

Vor allen Google-Scripts: analytics_storage: 'denied'. Nach Einwilligung: analytics_storage: 'granted'. Cookie-Banner muss Consent-Status aktualisieren.

Schritt 4: Server-Side Tagging (empfohlen)

Server-Side Tagging ist die wirksamste technische Maßnahme für den datenschutzkonformen Einsatz von Google Analytics. Der Datenfluss ändert sich grundlegend:

Ohne Server-Side Tagging: Browser → Google Analytics (USA) → IP-Adresse des Nutzers wird an Google übermittelt.

Mit Server-Side Tagging: Browser → Ihr Server (EU) → Google Analytics. Die IP-Adresse des Nutzers wird auf Ihrem Server verarbeitet und kann dort anonymisiert oder entfernt werden, bevor Daten an Google weitergeleitet werden.

Einrichtung: Sie benötigen einen Google Tag Manager Server-Container, gehostet auf einem EU-Server (z.B. bei Stape.io ab 20 €/Monat, oder selbst gehostet auf Google Cloud Run, AWS oder eigenem Server). Die Konfiguration erfordert technisches Know-how — für WordPress-Nutzer empfehlen wir unseren Webentwicklung-Service.

Schritt 5: Cookie-Banner korrekt einrichten

Echter Opt-in, keine vorausgewählten Häkchen, „Ablehnen“ genauso einfach wie „Akzeptieren“, keine Cookies vor Einwilligung.

Schritt 6: Datenschutzerklärung anpassen

Abschnitt „Webanalyse mit Google Analytics“: Zweck, Rechtsgrundlage (Einwilligung Art. 6 Abs. 1 lit. a), Empfänger (Google Ireland/LLC, USA), Speicherdauer (2 Monate), Drittlandtransfer (EU-US Data Privacy Framework), Widerrufsmöglichkeit.

Alternativen: EU-basierte Analytics-Tools

Matomo: Selbst gehostet, volle Kontrolle. Ab 19 €/Monat (Cloud).
Plausible: Cookiefree, EU-Server. Ab 9 €/Monat.
Fathom: Cookiefree, EU-Server. Ab 14 $/Monat.
Simple Analytics: Minimalistisch, transparent. Ab 9 €/Monat.

Fazit

Für kleine Websites ohne Google Ads: Steigen Sie auf EU-Alternativen um. Für E-Commerce und Performance-Marketing: Bleiben Sie bei GA4, implementieren aber alle Maßnahmen.

Häufig gestellte Fragen (FAQ)

Ist Google Analytics 2026 noch erlaubt?

Ja, aber nur mit den richtigen Maßnahmen: Einwilligung per Cookie-Banner, AVV mit Google, IP-Anonymisierung (in GA4 Standard), Google Consent Mode v2, und idealerweise Server-Side Tagging. Ohne diese Maßnahmen riskieren Sie Bußgelder und Abmahnungen. Eine pauschale behördliche Freigabe gibt es nicht.

Brauche ich ein Cookie-Banner nur für Google Analytics?

Ja. Google Analytics setzt Cookies und überträgt personenbezogene Daten — beides erfordert nach § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO eine aktive Einwilligung. Ohne Cookie-Banner mit echtem Opt-In dürfen Sie Google Analytics nicht einsetzen.

Welche Alternative zu Google Analytics ist am besten?

Für die meisten kleinen und mittleren Websites empfehlen wir Plausible oder Fathom: Beide arbeiten ohne Cookies, hosten Daten in der EU und benötigen kein Cookie-Banner. Für umfangreiche Analysen mit Segmentierung: Matomo (selbst gehostet = volle Kontrolle). Details in unserem Alternativen-Vergleich.

Was passiert, wenn das EU-US Data Privacy Framework gekippt wird?

Falls ein „Schrems III“-Urteil das Framework für ungültig erklärt, wäre die Nutzung von Google Analytics wieder hochproblematisch — ähnlich wie 2020–2023 nach Schrems II. Server-Side Tagging auf EU-Servern bietet dann den besten Schutz, da die Nutzer-IP Google nicht direkt erreicht. Alternativ: rechtzeitig auf EU-basierte Tools umsteigen.

Tracking auf Ihrer Website? Jetzt prüfen.

Unser Scanner erkennt Google Analytics, Pixel und mehr.

Jetzt Website prüfen