InFocus · Begriff

Google Analytics

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: § 25 TDDDG, Art. 44 ff. DSGVO

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Google Analytics verarbeitet Besucherdaten und überträgt sie an Server in den USA. Ohne vorherige Einwilligung und ohne zusätzliche Schutzmaßnahmen ist der Einsatz datenschutzrechtlich riskant.

In Kürze Rechtsgrundlage: § 25 TDDDG, Art. 6 und Art. 44 ff. DSGVOEinwilligung vor dem Laden ist zwingend nötigSchrems II (2020) erschwerte die Datenübermittlung in die USAIP-Anonymisierung mindert, beseitigt aber nicht das GrundproblemDeutsche Aufsichtsbehörden äußerten wiederholt Bedenken

Was beim Einsatz von Google Analytics rechtlich zählt

Google Analytics ist ein weit verbreitetes Werkzeug zur Reichweiten- und Verhaltensmessung auf Websites. Es setzt Cookies, sammelt Daten über das Nutzerverhalten und überträgt diese Daten zur Auswertung an Google-Server, die auch in den USA liegen können. Beides, das Setzen der Cookies und die Datenübermittlung, wirft eigene rechtliche Fragen auf.

Für das Setzen nicht notwendiger Cookies verlangt § 25 TDDDG eine vorherige Einwilligung, wie bei jedem anderen Analyse- oder Tracking-Dienst auch. Zusätzlich verlangt die DSGVO für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU, ein sogenanntes Drittland, ein angemessenes Schutzniveau oder zusätzliche Garantien.

Beide Anforderungen gemeinsam machen Google Analytics zu einem Dienst, der besondere Sorgfalt verlangt: Es reicht nicht, nur die Einwilligung einzuholen, wenn die Datenübermittlung selbst rechtlich angreifbar bleibt.

Die Rechtsgrundlage: Schrems II und die Folgen

Der Europäische Gerichtshof erklärte 2020 im sogenannten Schrems-II-Urteil das damalige EU-US Privacy Shield für ungültig, weil es kein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellte, insbesondere wegen der Zugriffsmöglichkeiten US-amerikanischer Behörden. Seither braucht die Übermittlung personenbezogener Daten in die USA zusätzliche Garantien, etwa Standardvertragsklauseln kombiniert mit ergänzenden technischen und organisatorischen Maßnahmen.

Für Google Analytics bedeutet das: Der bloße Einsatz des Dienstes reicht nicht automatisch aus, um datenschutzkonform zu sein. Mehrere deutsche Datenschutz-Aufsichtsbehörden haben in der Vergangenheit Bedenken gegen den Einsatz von Google Analytics ohne zusätzliche Schutzmaßnahmen geäußert, teils mit konkreten Beanstandungen einzelner Websites.

IP-Anonymisierung und ihre Grenzen

Google bietet eine Funktion zur IP-Anonymisierung an, bei der die IP-Adresse vor der Speicherung gekürzt wird. Diese Funktion mindert das Risiko, weil sie die direkte Identifizierbarkeit einzelner Besucher erschwert, löst aber nicht das grundsätzliche Problem der Datenübermittlung in ein Drittland.

Anonymisierung ersetzt keine Einwilligung

Ein verbreitetes Missverständnis ist, IP-Anonymisierung mache die vorherige Einwilligungspflicht überflüssig. Das ist nicht der Fall: Auch mit anonymisierter IP-Adresse werden weiterhin Cookies gesetzt und Nutzungsdaten verarbeitet, wofür weiterhin die Einwilligungspflicht nach § 25 TDDDG gilt.

Wie hoch ist dein Risiko bei Google Analytics?

Schalte ein, was auf deinen Einsatz zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich ein datenschutzkonformer Analytics-Einsatz misst

Was § 25 TDDDG und die DSGVO-Regeln zum Drittlandtransfer verlangen, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Analytics lädt erst nach Zustimmung.

Wie jeder andere nicht notwendige Dienst darf auch Analytics erst nach erteilter Einwilligung Daten erheben, nicht vorher.

Hilft Skript startet erst nach Klick auf Zustimmen im Cookie-Banner.

Stolperfalle Analytics-Skript lädt schon beim Seitenaufruf.

Auftragsverarbeitungsvertrag vorhanden.

Auch für Analyse-Dienste gilt die Pflicht zum Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, unabhängig vom Sitz des Anbieters.

Hilft AVV mit dem Analytics-Anbieter geprüft und abgeschlossen.

Stolperfalle Dienst eingebunden, ohne je einen Vertrag zu prüfen.

Zusatzgarantien für die US-Übermittlung geklärt.

Seit Schrems II braucht die Übermittlung in die USA zusätzliche Garantien über die bloße Vertragsgrundlage hinaus. Diese Prüfung ersetzt keine Einwilligung, ergänzt sie aber.

Hilft Standardvertragsklauseln und ergänzende Maßnahmen dokumentiert.

Stolperfalle Nie geprüft, ob und wie Daten in die USA übermittelt werden.

Nur nötige Daten, kürzest mögliche Speicherdauer.

Datensparsamkeit senkt das Risiko, ersetzt aber nicht die Einwilligungspflicht oder die Prüfung der Datenübermittlung.

Hilft IP-Anonymisierung aktiviert, Speicherdauer eng begrenzt.

Stolperfalle Volle IP-Adressen und lange Aufbewahrungsfristen ohne erkennbaren Grund.

Der häufigste Irrtum: „Anonymisiert ist doch unproblematisch“

Ein verbreiteter Irrtum ist, eine aktivierte IP-Anonymisierung mache Google Analytics grundsätzlich unproblematisch. Tatsächlich bleiben zwei Fragen unabhängig davon bestehen: ob überhaupt eine vorherige Einwilligung eingeholt wurde, und ob die Datenübermittlung in die USA durch ausreichende Zusatzgarantien abgesichert ist. Anonymisierung allein beantwortet keine der beiden Fragen.

Ein zweiter Irrtum ist, sich allein auf die Standardeinstellungen des Analytics-Tools zu verlassen. Viele Einstellungen zur Datensparsamkeit sind nicht automatisch aktiv, sondern müssen bewusst konfiguriert werden, etwa die Kürzung der IP-Adresse oder eine verkürzte Speicherdauer.

Wie steht es um deinen Analytics-Einsatz?

Wähle die Situation, die deinem aktuellen Setup am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Vom Privacy Shield zur verschärften Transfer-Prüfung

Wie sich die rechtliche Bewertung von US-Analyse-Diensten in Europa verändert hat.

  1. 2016

    Das EU-US Privacy Shield entsteht

    Nach dem Ende des Safe-Harbor-Abkommens soll das Privacy Shield Datenübermittlungen in die USA absichern.

  2. 16.07.2020

    Schrems II erklärt das Privacy Shield für ungültig

    Der Europäische Gerichtshof kippt das Privacy Shield mangels angemessenem Schutzniveau und verschärft die Anforderungen an Drittlandtransfers.

  3. 2020er Jahre

    Aufsichtsbehörden äußern Bedenken

    Mehrere deutsche und europäische Datenschutzbehörden beanstanden den Einsatz von Google Analytics ohne ausreichende Zusatzgarantien.

  4. laufend

    Sorgfältige Prüfung bleibt Pflicht

    Websites mit US-Analyse-Diensten müssen Einwilligung und Transfer-Absicherung weiterhin sorgfältig einzeln prüfen.

Die Rechtslage: § 25 TDDDG und Art. 44 ff. DSGVO

Rechtlich verlangt § 25 TDDDG die vorherige Einwilligung für das Setzen nicht notwendiger Cookies, wie sie Google Analytics einsetzt. Zusätzlich verlangen Art. 44 und folgende der DSGVO für die Übermittlung personenbezogener Daten in ein Drittland wie die USA ein angemessenes Schutzniveau oder geeignete Garantien, deren Anforderungen sich seit dem Schrems-II-Urteil verschärft haben.

Für die Praxis kommt es auf beide Ebenen gemeinsam an: Die Einwilligung muss vorliegen, bevor der Dienst lädt, und die Datenübermittlung in die USA muss durch geeignete Zusatzmaßnahmen abgesichert sein. Fehlt eine der beiden Ebenen, bleibt der Einsatz angreifbar.

So prüft der AppCore Audit Analytics-Dienste

Der AppCore Audit prüft mit der Lösung PrivacyScanner, ob Analyse-Dienste wie Google Analytics erst nach der Einwilligung laden und ob typische Risikomuster wie ein vorzeitiges Laden auftreten. Ob die vertragliche Transfer-Absicherung im Einzelfall ausreicht, lässt sich nur mit den eigenen Vertragsunterlagen klären.

Bußgeld und behördliche Beanstandung: die Folgen

Ein datenschutzwidriger Einsatz von Google Analytics kann von der zuständigen Aufsichtsbehörde beanstandet und mit einem Bußgeld geahndet werden, sowohl wegen der fehlenden Einwilligung als auch wegen einer unzureichend abgesicherten Datenübermittlung. Beide Aspekte können unabhängig voneinander geprüft und beanstandet werden.

Zusätzlich zum behördlichen Risiko ist ein vorzeitig ladendes Tracking-Tool auch wettbewerbsrechtlich über § 3a UWG angreifbar, weil es gegen die Marktverhaltensregel des § 25 TDDDG verstößt. Beide Risiken zusammen machen eine sorgfältige Prüfung besonders lohnend.

Den eigenen Analytics-Einsatz absichern

Die meisten Probleme entstehen aus einer unvollständigen Prüfung, die nur die Einwilligung, aber nicht die Datenübermittlung betrachtet, oder umgekehrt. Drei Fragen helfen bei der Einordnung. Erstens: Lädt Analytics wirklich erst nach der Einwilligung, nicht schon beim Seitenaufruf? Zweitens: Liegt für den Anbieter ein aktueller Auftragsverarbeitungsvertrag mit geeigneten Zusatzgarantien für die US-Übermittlung vor? Drittens: Sind Datensparsamkeits-Einstellungen wie IP-Anonymisierung und eine begrenzte Speicherdauer aktiviert?

Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Vorzeitig ladende Analyse-Skripte, eine nie geprüfte Transfer-Absicherung und nicht aktivierte Datensparsamkeits-Einstellungen gehören zu den klassischen Fundstellen.

Für Seiten mit mehreren Analyse- und Marketing-Diensten wird der Überblick über Einwilligung und Datenübermittlung schnell komplex. Genau hier setzt der AppCore Audit an: Er prüft, welche Dienste vor und nach der Einwilligung laden, und macht sichtbar, wo eine genauere vertragliche Prüfung sinnvoll ist.

Ein sorgfältig abgesicherter Analytics-Einsatz ist kein Verzicht auf wertvolle Nutzungsdaten, sondern eine solide Grundlage dafür, sie auch dauerhaft nutzen zu können. Wer Einwilligung, Vertrag und Datensparsamkeit zusammen denkt, senkt sein Compliance-Risiko spürbar.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.