Google Analytics
AppCore InFocus
Art. 44 DSGVO
Drittlandtransfer
Verschärft seit — Tagen
Google Analytics verarbeitet Besucherdaten und überträgt sie an Server in den USA. Ohne vorherige Einwilligung und ohne zusätzliche Schutzmaßnahmen ist der Einsatz datenschutzrechtlich riskant.
Was beim Einsatz von Google Analytics rechtlich zählt
Google Analytics ist ein weit verbreitetes Werkzeug zur Reichweiten- und Verhaltensmessung auf Websites. Es setzt Cookies, sammelt Daten über das Nutzerverhalten und überträgt diese Daten zur Auswertung an Google-Server, die auch in den USA liegen können. Beides, das Setzen der Cookies und die Datenübermittlung, wirft eigene rechtliche Fragen auf.
Für das Setzen nicht notwendiger Cookies verlangt § 25 TDDDG eine vorherige Einwilligung, wie bei jedem anderen Analyse- oder Tracking-Dienst auch. Zusätzlich verlangt die DSGVO für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU, ein sogenanntes Drittland, ein angemessenes Schutzniveau oder zusätzliche Garantien.
Beide Anforderungen gemeinsam machen Google Analytics zu einem Dienst, der besondere Sorgfalt verlangt: Es reicht nicht, nur die Einwilligung einzuholen, wenn die Datenübermittlung selbst rechtlich angreifbar bleibt.
Die Rechtsgrundlage: Schrems II und die Folgen
Der Europäische Gerichtshof erklärte 2020 im sogenannten Schrems-II-Urteil das damalige EU-US Privacy Shield für ungültig, weil es kein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellte, insbesondere wegen der Zugriffsmöglichkeiten US-amerikanischer Behörden. Seither braucht die Übermittlung personenbezogener Daten in die USA zusätzliche Garantien, etwa Standardvertragsklauseln kombiniert mit ergänzenden technischen und organisatorischen Maßnahmen.
Für Google Analytics bedeutet das: Der bloße Einsatz des Dienstes reicht nicht automatisch aus, um datenschutzkonform zu sein. Mehrere deutsche Datenschutz-Aufsichtsbehörden haben in der Vergangenheit Bedenken gegen den Einsatz von Google Analytics ohne zusätzliche Schutzmaßnahmen geäußert, teils mit konkreten Beanstandungen einzelner Websites.
IP-Anonymisierung und ihre Grenzen
Google bietet eine Funktion zur IP-Anonymisierung an, bei der die IP-Adresse vor der Speicherung gekürzt wird. Diese Funktion mindert das Risiko, weil sie die direkte Identifizierbarkeit einzelner Besucher erschwert, löst aber nicht das grundsätzliche Problem der Datenübermittlung in ein Drittland.
Anonymisierung ersetzt keine Einwilligung
Ein verbreitetes Missverständnis ist, IP-Anonymisierung mache die vorherige Einwilligungspflicht überflüssig. Das ist nicht der Fall: Auch mit anonymisierter IP-Adresse werden weiterhin Cookies gesetzt und Nutzungsdaten verarbeitet, wofür weiterhin die Einwilligungspflicht nach § 25 TDDDG gilt.
Wie hoch ist dein Risiko bei Google Analytics?
Schalte ein, was auf deinen Einsatz zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich ein datenschutzkonformer Analytics-Einsatz misst
Was § 25 TDDDG und die DSGVO-Regeln zum Drittlandtransfer verlangen, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Analytics lädt erst nach Zustimmung.
Wie jeder andere nicht notwendige Dienst darf auch Analytics erst nach erteilter Einwilligung Daten erheben, nicht vorher.
Hilft Skript startet erst nach Klick auf Zustimmen im Cookie-Banner.
Stolperfalle Analytics-Skript lädt schon beim Seitenaufruf.
Auftragsverarbeitungsvertrag vorhanden.
Auch für Analyse-Dienste gilt die Pflicht zum Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, unabhängig vom Sitz des Anbieters.
Hilft AVV mit dem Analytics-Anbieter geprüft und abgeschlossen.
Stolperfalle Dienst eingebunden, ohne je einen Vertrag zu prüfen.
Zusatzgarantien für die US-Übermittlung geklärt.
Seit Schrems II braucht die Übermittlung in die USA zusätzliche Garantien über die bloße Vertragsgrundlage hinaus. Diese Prüfung ersetzt keine Einwilligung, ergänzt sie aber.
Hilft Standardvertragsklauseln und ergänzende Maßnahmen dokumentiert.
Stolperfalle Nie geprüft, ob und wie Daten in die USA übermittelt werden.
Nur nötige Daten, kürzest mögliche Speicherdauer.
Datensparsamkeit senkt das Risiko, ersetzt aber nicht die Einwilligungspflicht oder die Prüfung der Datenübermittlung.
Hilft IP-Anonymisierung aktiviert, Speicherdauer eng begrenzt.
Stolperfalle Volle IP-Adressen und lange Aufbewahrungsfristen ohne erkennbaren Grund.
Der häufigste Irrtum: „Anonymisiert ist doch unproblematisch“
Ein verbreiteter Irrtum ist, eine aktivierte IP-Anonymisierung mache Google Analytics grundsätzlich unproblematisch. Tatsächlich bleiben zwei Fragen unabhängig davon bestehen: ob überhaupt eine vorherige Einwilligung eingeholt wurde, und ob die Datenübermittlung in die USA durch ausreichende Zusatzgarantien abgesichert ist. Anonymisierung allein beantwortet keine der beiden Fragen.
Ein zweiter Irrtum ist, sich allein auf die Standardeinstellungen des Analytics-Tools zu verlassen. Viele Einstellungen zur Datensparsamkeit sind nicht automatisch aktiv, sondern müssen bewusst konfiguriert werden, etwa die Kürzung der IP-Adresse oder eine verkürzte Speicherdauer.
Wie steht es um deinen Analytics-Einsatz?
Wähle die Situation, die deinem aktuellen Setup am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Vom Privacy Shield zur verschärften Transfer-Prüfung
Wie sich die rechtliche Bewertung von US-Analyse-Diensten in Europa verändert hat.
- 2016
Das EU-US Privacy Shield entsteht
Nach dem Ende des Safe-Harbor-Abkommens soll das Privacy Shield Datenübermittlungen in die USA absichern.
- 16.07.2020
Schrems II erklärt das Privacy Shield für ungültig
Der Europäische Gerichtshof kippt das Privacy Shield mangels angemessenem Schutzniveau und verschärft die Anforderungen an Drittlandtransfers.
- 2020er Jahre
Aufsichtsbehörden äußern Bedenken
Mehrere deutsche und europäische Datenschutzbehörden beanstanden den Einsatz von Google Analytics ohne ausreichende Zusatzgarantien.
- laufend
Sorgfältige Prüfung bleibt Pflicht
Websites mit US-Analyse-Diensten müssen Einwilligung und Transfer-Absicherung weiterhin sorgfältig einzeln prüfen.
Die Rechtslage: § 25 TDDDG und Art. 44 ff. DSGVO
Rechtlich verlangt § 25 TDDDG die vorherige Einwilligung für das Setzen nicht notwendiger Cookies, wie sie Google Analytics einsetzt. Zusätzlich verlangen Art. 44 und folgende der DSGVO für die Übermittlung personenbezogener Daten in ein Drittland wie die USA ein angemessenes Schutzniveau oder geeignete Garantien, deren Anforderungen sich seit dem Schrems-II-Urteil verschärft haben.
Für die Praxis kommt es auf beide Ebenen gemeinsam an: Die Einwilligung muss vorliegen, bevor der Dienst lädt, und die Datenübermittlung in die USA muss durch geeignete Zusatzmaßnahmen abgesichert sein. Fehlt eine der beiden Ebenen, bleibt der Einsatz angreifbar.
So prüft der AppCore Audit Analytics-Dienste
Der AppCore Audit prüft mit der Lösung PrivacyScanner, ob Analyse-Dienste wie Google Analytics erst nach der Einwilligung laden und ob typische Risikomuster wie ein vorzeitiges Laden auftreten. Ob die vertragliche Transfer-Absicherung im Einzelfall ausreicht, lässt sich nur mit den eigenen Vertragsunterlagen klären.
Bußgeld und behördliche Beanstandung: die Folgen
Ein datenschutzwidriger Einsatz von Google Analytics kann von der zuständigen Aufsichtsbehörde beanstandet und mit einem Bußgeld geahndet werden, sowohl wegen der fehlenden Einwilligung als auch wegen einer unzureichend abgesicherten Datenübermittlung. Beide Aspekte können unabhängig voneinander geprüft und beanstandet werden.
Zusätzlich zum behördlichen Risiko ist ein vorzeitig ladendes Tracking-Tool auch wettbewerbsrechtlich über § 3a UWG angreifbar, weil es gegen die Marktverhaltensregel des § 25 TDDDG verstößt. Beide Risiken zusammen machen eine sorgfältige Prüfung besonders lohnend.
Den eigenen Analytics-Einsatz absichern
Die meisten Probleme entstehen aus einer unvollständigen Prüfung, die nur die Einwilligung, aber nicht die Datenübermittlung betrachtet, oder umgekehrt. Drei Fragen helfen bei der Einordnung. Erstens: Lädt Analytics wirklich erst nach der Einwilligung, nicht schon beim Seitenaufruf? Zweitens: Liegt für den Anbieter ein aktueller Auftragsverarbeitungsvertrag mit geeigneten Zusatzgarantien für die US-Übermittlung vor? Drittens: Sind Datensparsamkeits-Einstellungen wie IP-Anonymisierung und eine begrenzte Speicherdauer aktiviert?
Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Vorzeitig ladende Analyse-Skripte, eine nie geprüfte Transfer-Absicherung und nicht aktivierte Datensparsamkeits-Einstellungen gehören zu den klassischen Fundstellen.
Für Seiten mit mehreren Analyse- und Marketing-Diensten wird der Überblick über Einwilligung und Datenübermittlung schnell komplex. Genau hier setzt der AppCore Audit an: Er prüft, welche Dienste vor und nach der Einwilligung laden, und macht sichtbar, wo eine genauere vertragliche Prüfung sinnvoll ist.
Ein sorgfältig abgesicherter Analytics-Einsatz ist kein Verzicht auf wertvolle Nutzungsdaten, sondern eine solide Grundlage dafür, sie auch dauerhaft nutzen zu können. Wer Einwilligung, Vertrag und Datensparsamkeit zusammen denkt, senkt sein Compliance-Risiko spürbar.
Wo stehst du gerade?
Prüfe zuerst, ob du die Daten wirklich brauchst und ob eine datensparsame Alternative reicht. Wenn nicht: Analytics darf erst nach der Einwilligung laden, ohne Ausnahme.
Anonymisierung ersetzt die Einwilligung nicht. Der AppCore Audit prüft, ob dein Analytics-Skript vor oder nach der Einwilligung lädt.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.