Webanalyse ohne Datenschutz-Ärger: datensparsam messen

Marketingleiterin analysiert ein datenschutzkonformes Web-Analyse-Dashboard ohne personenbezogene Daten im Büro.

Von Manuel Hack, ihp media · Aktualisiert am 19. Juni 2026

Das Wichtigste in 30 Sekunden

  • Google Analytics 4 setzt in der Standardkonfiguration Cookies und überträgt personenbezogene Daten in die USA. Das macht eine Einwilligung per Cookie-Banner fast immer zur Pflicht nach § 25 TTDSG/TDDDG.
  • Das EU-US Data Privacy Framework (Juli 2023) hat den Transfer zu zertifizierten US-Anbietern erleichtert, hebt die Einwilligungspflicht für Analytics-Cookies aber nicht auf.
  • Cookielose EU-Alternativen wie Matomo (selbst gehostet), Plausible oder etracker können in der richtig konfigurierten Variante ohne Einwilligung betrieben werden, weil kein Zugriff auf das Endgerät stattfindet.
  • Wer auf den Cookie-Banner verzichten will, muss sicherstellen, dass tatsächlich keine Cookies gesetzt, IP-Adressen anonymisiert und keine personenbezogenen Daten an Dritte übermittelt werden. Im Zweifel klärt das eine Datenschutzberatung.

Wer wissen will, wie viele Menschen seine Website besuchen, woher sie kommen und welche Seiten gut funktionieren, steht vor einer Frage, die auf den ersten Blick technisch klingt, in Wirklichkeit aber rechtlich ist: Darf ich das überhaupt messen, und wenn ja, wie?

Dieser Ratgeber erklärt, warum Webanalyse in Deutschland kein rechtsfreier Raum ist, was die Einwilligungspflicht konkret bedeutet, warum Google Analytics für viele Unternehmen problematisch bleibt und welche Alternativen den Datenschutz ernst nehmen, ohne auf brauchbare Kennzahlen zu verzichten. Hinweis vorab: Dieser Artikel ist eine fachliche Einordnung, keine Rechtsberatung im Einzelfall.

Warum Webanalyse rechtlich heikel ist

Kurz gesagt: Sobald ein Analyse-Werkzeug auf das Endgerät des Besuchers zugreift oder Informationen dort speichert, greift die Einwilligungspflicht nach § 25 TTDSG/TDDDG, unabhängig davon, ob die erhobenen Daten im technischen Sinne als personenbezogen gelten.

Das Kernproblem liegt in einer Unterscheidung, die viele Websitebetreiber nicht kennen. In Deutschland gilt für das Setzen von Cookies und ähnliche Technologien nicht nur die DSGVO, sondern zusätzlich das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das im Mai 2024 durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) abgelöst wurde. Beide tragen in ihrem zentralen Paragraf 25 dieselbe Kernaussage: Der Zugriff auf Informationen im Endgerät des Nutzers ist nur mit dessen Einwilligung erlaubt, es sei denn, dieser Zugriff ist für einen vom Nutzer ausdrücklich gewünschten Dienst technisch unbedingt notwendig.

Das bedeutet: Ein Analytics-Cookie, das Besucherverhalten aufzeichnet, ist kein technisch notwendiger Dienst. Der Nutzer hat die Website nicht besucht, um gemessen zu werden. Er wollte Inhalte lesen oder Produkte kaufen. Für Analyse-Zwecke muss er deshalb aktiv einwilligen, bevor der erste Cookie gesetzt wird.

Neu an der Regelung ist die Technologieneutralität: Es spielt keine Rolle, ob ein klassischer Cookie oder eine andere Methode wie Fingerprinting eingesetzt wird. Entscheidend ist der Zugriff auf das Endgerät selbst. Das TDDDG stellt klar: Auch das bloße Lesen von Informationen, die bereits im Gerät gespeichert sind, fällt unter die Einwilligungspflicht.

Google Analytics 4: zwei Baustellen gleichzeitig

Kurz gesagt: GA4 hat in Deutschland zwei separate Probleme: erstens die Einwilligungspflicht nach §25 TDDDG wegen der Cookie-Nutzung, zweitens den Transfer personenbezogener Daten in die USA nach Art. 44 ff. DSGVO. Beide Fragen müssen getrennt beantwortet werden.

Google Analytics 4 ist das meistgenutzte Analyse-Werkzeug der Welt. Für deutsche Websitebetreiber hat es in der Standardkonfiguration aber zwei Probleme, die unabhängig voneinander bestehen.

Problem 1: Cookie-Einwilligung. GA4 setzt standardmäßig First-Party-Cookies (etwa _ga und _ga_<ID>) mit einer Laufzeit von bis zu zwei Jahren. Das sind keine technisch notwendigen Cookies, die den Betrieb der Website ermöglichen. Sie dienen der Analyse. Nach § 25 TDDDG ist deshalb vor dem Setzen eine informierte, freiwillige und aktive Einwilligung nötig. Ein vorausgewähltes Häkchen reicht nicht, ein Banner mit der einzigen Option „Akzeptieren“ ebenfalls nicht.

Problem 2: Drittlandtransfer in die USA. Google verarbeitet die über GA4 gesammelten Daten auf US-amerikanischen Servern. Dazu gehören auch Informationen wie IP-Adressen, Browser-Kennungen und Gerätedaten. Nach Art. 44 ff. DSGVO dürfen personenbezogene Daten nur dann in ein Drittland wie die USA übermittelt werden, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist.

Die österreichische Datenschutzbehörde (DSB) hat im Januar 2022 als erste europäische Behörde in einem konkreten Verfahren festgestellt, dass der Einsatz von Google Analytics im damaligen Fall gegen die DSGVO verstieß, weil personenbezogene Daten ohne ausreichenden Schutz in die USA übertragen wurden. Die Entscheidung folgte einer Musterbeschwerde der Datenschutzorganisation NOYB um Max Schrems. Kurz darauf kamen ähnliche Entscheidungen der französischen CNIL sowie weiterer europäischer Behörden.

Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Datenschutzbehörden, hat den Einsatz von Google Analytics ebenfalls mehrfach thematisiert und darauf hingewiesen, dass ohne ausreichende technische und organisatorische Maßnahmen ein Rechtskonformitätsproblem besteht.

EU-US Data Privacy Framework 2023: was sich geändert hat

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) verabschiedet. Google LLC ist in der DPF-Liste zertifiziert. Das bedeutet: Die Rechtsgrundlage für den Transfer personenbezogener Daten von der EU an zertifizierte US-Unternehmen wie Google besteht seitdem wieder.

Was das DPF nicht ändert: die Einwilligungspflicht nach §25 TDDDG. Auch nach dem DPF setzt GA4 Cookies. Auch nach dem DPF braucht es für diese Cookies eine wirksame Einwilligung des Nutzers. Der Cookie-Banner ist also nicht durch das DPF weggefallen.

Kritisch zu sehen ist außerdem: Das DPF steht seit seiner Verabschiedung unter intensiver juristischer Beobachtung. Max Schrems hat bereits angekündigt, es vor dem Europäischen Gerichtshof anfechten zu wollen, ähnlich wie er mit „Privacy Shield 1.0“ (2016) und „Safe Harbor“ (2015) erfolgreich war. Ob das DPF Bestand hat, ist rechtlich nicht endgültig geklärt. Wer auf GA4 mit DPF-Grundlage setzt, geht ein Restrisiko ein.

Fazit zum DPF: Es beseitigt die Drittland-Problematik für zertifizierte US-Anbieter zunächst. Es beseitigt nicht die Einwilligungspflicht nach §25 TDDDG und nicht die Unsicherheit über seine langfristige Bestandskraft.

Wann ist eine Einwilligung gesetzlich Pflicht?

Kurz gesagt: Immer dann, wenn auf das Endgerät des Besuchers zugegriffen wird oder dort Informationen gespeichert werden, die nicht für den technischen Betrieb des Dienstes unbedingt erforderlich sind. Bei Standard-Analytics-Cookies ist das fast immer der Fall.

Die Einwilligungspflicht nach § 25 TDDDG hängt an einem technischen Kriterium: Greift das Werkzeug auf das Endgerät des Nutzers zu oder speichert es dort Informationen? Wenn ja, ist eine Einwilligung nötig, es sei denn, der Zugriff ist für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich.

Für die Webanalyse gilt: Ein Analyse-Cookie oder ein Analyse-Skript, das Informationen aus dem Browser ausliest, um Besucherverhalten zu messen, fällt unter §25 TDDDG. Der Nutzer hat die Website nicht besucht, um getrackt zu werden. Damit fehlt die Ausnahmevoraussetzung. Eine Einwilligung ist Pflicht.

Ausnahmen gibt es für Werkzeuge, die ihren Analysejob erledigen, ohne auf das Endgerät zuzugreifen. Das sind Ansätze, bei denen Daten ausschließlich server- oder netzwerkseitig verarbeitet werden, wie etwa die Auswertung von Server-Logs oder bestimmte cookielose Tracking-Implementierungen, bei denen keine JavaScript-Signale vom Gerät ausgelesen werden. Hier entfällt die §25-TDDDG-Einwilligungspflicht, es bleibt aber die DSGVO-Frage: Verarbeite ich personenbezogene Daten, und wenn ja, auf welcher Rechtsgrundlage nach Art. 6 DSGVO?

Einen detaillierten Blick auf Cookie-Banner und die technischen Anforderungen an eine wirksame Einwilligung bietet der Artikel Cookie-Banner richtig gemacht. Die übergeordneten DSGVO-Pflichten für Websites erklärt DSGVO-konforme Website.

Cookielose EU-Alternativen: der Ausweg aus dem Banner-Dilemma

Der praktische Vorteil cookieloser EU-Werkzeuge liegt auf der Hand: Kein Zugriff auf das Endgerät bedeutet keine Einwilligungspflicht nach §25 TDDDG. Kein Cookie-Banner, der Besucher irritiert oder vertreibt. Und weil die Server in der EU stehen, entfällt das Drittland-Transfer-Problem nach Art. 44 ff. DSGVO von vornherein.

Wichtig: „Cookielos“ ist kein Freifahrtschein. Die DSGVO gilt weiterhin. Verarbeite ich auch anonymisiert aggregierte Daten, brauche ich eine Rechtsgrundlage nach Art. 6 DSGVO, üblicherweise das berechtigte Interesse (Art. 6 Abs. 1 lit. f). Das setzt voraus, dass die Daten tatsächlich nicht mehr einer einzelnen Person zugeordnet werden können und dass ich das in der Datenschutzerklärung transparent beschreibe.

Matomo selbst gehostet: volle Kontrolle, etwas mehr Aufwand

Kurz gesagt: Wer Matomo auf dem eigenen Server betreibt, die IP-Anonymisierung aktiviert und auf Cookies verzichtet, hält alle Daten im eigenen Haus. Kein Drittland-Transfer, keine Einwilligungspflicht für das Tracking selbst.

Matomo ist eine Open-Source-Analyseplattform, die ursprünglich unter dem Namen Piwik entwickelt wurde. Der entscheidende Unterschied zu cloudbasierten Diensten: Wer Matomo auf dem eigenen Webserver installiert, schickt keine Daten an Dritte. Die gesammelten Statistiken bleiben ausschließlich auf dem eigenen Hosting.

Für eine datenschutzkonforme Konfiguration ohne Einwilligungspflicht sind folgende Einstellungen notwendig:

  • Cookies deaktivieren (Tracking ohne Cookies, Session-basiert)
  • IP-Anonymisierung aktivieren (mindestens die letzten zwei Bytes der IP kürzen, empfohlen sind drei)
  • Nutzer-ID-Tracking deaktivieren, wenn keine Einwilligung vorliegt
  • Keine Weitergabe an Dritte konfigurieren
  • In der Datenschutzerklärung beschreiben, dass Matomo auf eigenem Server betrieben wird, keine personenbezogenen Daten erhoben werden und kein Widerspruchs-Link mehr nötig ist, wenn keine Cookies gesetzt werden

Was Matomo kann, was die schlankeren Alternativen nicht bieten: E-Commerce-Tracking mit Conversion-Funnels, Heatmaps (kostenpflichtig als Matomo Cloud-Feature), A/B-Tests, Ziele und Events, Kampagnen-Tracking und detaillierte Suchmaschinen-Berichte. Für Shops und komplexere Websites ist das oft relevant. Der administrative Aufwand ist entsprechend höher: Matomo braucht regelmäßige Updates, eine eigene MySQL-Datenbank und bei größerem Traffic gelegentlich Performance-Optimierung.

Plausible: schlank, transparent, EU-gehostet

Kurz gesagt: Plausible ist ein cloudbasierter Dienst mit Servern ausschließlich in der EU (primär auf Hetzner-Infrastruktur in Deutschland), der keinerlei Cookies setzt und keine personenbezogenen Daten speichert.

Plausible Analytics ist ein europäischer Dienst, der von Anfang an als datenschutzfreundliche Alternative zu Google Analytics konzipiert wurde. Das Unternehmen sitzt in der EU, die Infrastruktur läuft auf deutschen Servern. Das Tracking-Skript setzt keine Cookies und speichert keine permanenten Kennungen. Jede Seite wird als isolierter Aufruf behandelt, eine sitzungsübergreifende Wiedererkennung einzelner Besucher findet nicht statt.

Was das Dashboard zeigt: Seitenaufrufe, einmalige Besucher (aggregiert, nicht individuell verfolgt), Absprungrate, Verweildauer, Referrer und Einstiegsseiten, Geräteklassen, Länder und Browser sowie benutzerdefinierte Ereignisse wie Button-Klicks oder Formulareinsendungen. Für die meisten kleinen und mittleren Websites reicht das vollständig aus.

Der Einstiegspreis liegt aktuell bei rund 9 US-Dollar pro Monat für bis zu 10.000 Seitenaufrufe, mit einer offenen Selbst-Hosting-Option für technisch versiertere Nutzer. Wer keinen eigenen Server betreuen will, zahlt für den verwalteten Dienst. Der Aufbau ist schlank: ein einziges JavaScript-Schnipsel im HTML, keine weiteren Einstellungen. Einwilligung und Cookie-Banner entfallen bei korrekter Einbindung.

etracker: aus Hamburg, geprüft, ohne Banner

Kurz gesagt: etracker ist ein Hamburger Anbieter, dessen cookieloser Standard-Modus in einem unabhängigen Audit von ePrivacy GmbH als einwilligungsfrei und DSGVO-konform bestätigt wurde. Die Datenverarbeitung findet ausschließlich auf deutschen Servern statt.

etracker ist seit über 20 Jahren auf dem Markt und richtet sich an Unternehmen, die einen deutschen Anbieter mit nachweisbarer Datenschutz-Zertifizierung bevorzugen. Das Unternehmen betreibt ausschließlich eigene Server in Deutschland, betreibt seine Server in einem ISO/IEC 27001-zertifizierten Rechenzentrum (IPHH Internet Port Hamburg GmbH) und hat das ePrivacyseal-Datenschutzgütesiegel.

Im Standard-Modus arbeitet etracker cookielos und ohne Einwilligungspflicht. Ein unabhängiges Audit der ePrivacy GmbH hat bestätigt, dass der Einsatz im cookielosen Standardmodus sowohl DSGVO- als auch TDDDG-konform ist und keine Einwilligung erfordert. Das ist für Unternehmen mit höheren Compliance-Anforderungen ein wichtiges Argument, weil nicht nur der Anbieter selbst die Rechtskonformität behauptet, sondern ein unabhängiges Gutachten vorliegt.

Der Funktionsumfang ist breiter als bei Plausible: Conversion-Tracking, A/B-Tests, E-Commerce-Reports, Heatmaps und Session-Replays sind verfügbar. Der Preis richtet sich nach dem monatlichen Hit-Volumen; aktuelle Staffeln stehen unter etracker.com/preise.

Server-Logs als stille Alternative

Eine Methode, die kaum noch diskutiert wird, aber rechtlich sauber ist: die Auswertung von Server-Logs. Jeder Webserver schreibt automatisch mit, welche Dateien wann angefragt wurden, von welcher IP und mit welchem Betriebssystem und Browser. Diese Logs existieren, ohne dass ein Tracking-Skript geladen oder ein Cookie gesetzt wird.

Der Vorteil: Kein Zugriff auf das Endgerät, keine Einwilligungspflicht nach §25 TDDDG. Die IP-Adresse ist in diesen Logs ein datenschutzrelevantes Datum, das verkürzt oder nach kurzer Zeit gelöscht werden muss. Werkzeuge wie GoAccess (Open Source) oder AWStats verarbeiten diese Logs lokal und erzeugen übersichtliche Berichte.

Der Nachteil: Server-Logs messen auf HTTP-Anfragen-Ebene, nicht auf Nutzerverhalten. Jede eingebundene Ressource (Bild, CSS, Schrift) erzeugt einen eigenen Eintrag. Bots und Crawler machen oft 30 bis 50 Prozent der Einträge aus. Ohne Nachbearbeitung und Filterung sind diese Logs kaum interpretierbar. Für einfache Fragen wie „Welche Seiten werden am häufigsten abgerufen?“ taugen sie nach entsprechender Bereinigung gut. Für Funnels, Conversion-Tracking oder Herkunftsquellen-Analysen sind sie ungeeignet.

IP-Anonymisierung: was sie leistet und was sie nicht leistet

IP-Anonymisierung ist keine Allzwecklösung, schafft aber Klarheit in einem spezifischen Punkt. Eine vollständige IPv4-Adresse besteht aus vier Zahlenblöcken (etwa 203.0.113.45). Kürzt man den letzten Block (203.0.113.0) oder die letzten zwei Blöcke (203.0.0.0), lässt sich die Adresse keinem einzelnen Anschluss mehr eindeutig zuordnen.

Das löst das Problem der Identifizierbarkeit über die IP teilweise: Rückschlüsse auf eine konkrete Person oder einen Haushalt sind bei ausreichender Kürzung nicht mehr möglich. Deutsche Datenschutzbehörden haben die Kürzung der letzten zwei Bytes (bei IPv4) als Mindestmaßnahme für eine datenschutzkonforme IP-Behandlung in Analyse-Werkzeugen beschrieben.

Was IP-Anonymisierung nicht leistet:

  • Sie hebt die Einwilligungspflicht nach §25 TDDDG nicht auf. Ein Analytics-Cookie bleibt ein Analytics-Cookie, unabhängig davon, ob die IP gekürzt wird. Die Pflicht hängt am Zugriff auf das Endgerät, nicht an der IP.
  • Sie anonymisiert keine anderen übertragenen Daten wie Gerätekennungen, Browser-Fingerprints oder Google-eigene Nutzer-IDs (_gid).
  • Sie ändert nichts am Drittland-Transfer-Problem: Daten fließen trotzdem zu Google, auch wenn die IP dort in verkürzter Form ankommt.

IP-Anonymisierung ist also eine sinnvolle Ergänzung, kein Ersatz für eine durchdachte Analytics-Strategie. Wer bei der Datenschutzerklärung für DSGVO-konforme Backups und Datenverarbeitung genau wissen will, wie IP-Daten in technischen Systemen korrekt behandelt werden, findet dazu mehr im Artikel DSGVO-konforme Backups.

Werkzeuge im Überblick

Werkzeug Einwilligung nötig? Datenstandort Cookies Hosting
Google Analytics 4 (Standard) Ja, §25 TDDDG + Cookie-Banner Pflicht USA (Google LLC, DPF-zertifiziert) Ja (_ga, _ga_ID, bis 2 Jahre) Google Cloud
Matomo (selbst gehostet, cookielos) Nein, wenn korrekt konfiguriert Eigener Server (DE/EU) Nein (cookielos möglich) Self-Hosting
Plausible (Cloud) Nein, kein Endgerätezugriff EU (Hetzner Deutschland) Nein Managed (EU)
etracker (cookielos Standard) Nein, Audit-bestätigt Deutschland (eigene Server) Nein Managed (DE)
Server-Log-Analyse (GoAccess) Nein, kein Endgerätezugriff Eigener Server Nein Self-Hosting

Alle Angaben basieren auf dem Stand der öffentlich dokumentierten Konfigurationen (Juni 2026). Ob eine konkrete Installation die Voraussetzungen für den einwilligungsfreien Betrieb wirklich erfüllt, hängt von der tatsächlichen Einrichtung ab, nicht nur vom Werkzeug-Typ. Eine Datenschutzberatung kann das für den Einzelfall bestätigen.

Praxisbeispiel: Wechsel von GA4 zu Matomo

In einem Projekt für einen Kunden aus dem Dienstleistungsbereich hatten wir die Situation, dass Google Analytics 4 mit einem Cookie-Banner lief, der von etwa 55 Prozent der Besucher abgelehnt wurde. Das bedeutete: Für mehr als die Hälfte des Traffics fehlten Daten vollständig, und die verbleibenden 45 Prozent spiegelten ein verzerrtes Bild wider, weil tendenziell technikaffinere und jüngere Besucher eher ablehnen.

Wir haben Matomo in der cookielosen Variante auf dem bestehenden All-Inkl-Hosting eingerichtet, die IP-Anonymisierung auf drei Bytes gesetzt und das Nutzer-ID-Tracking deaktiviert. Der Einrichtungsaufwand lag bei rund drei Stunden, darin eingeschlossen die Anpassung der Datenschutzerklärung und ein abschließender Prüfdurchgang mit den Browser-Entwicklerwerkzeugen, der bestätigt hat, dass keine Cookies gesetzt und keine Verbindungen zu Drittservern aufgebaut werden.

Das Ergebnis: Das Dashboard zeigt seitdem 100 Prozent des Traffics. Die Zahlen sind nicht mit GA4 direkt vergleichbar, weil Matomo anders misst, aber sie sind konsistent und vollständig. Der Cookie-Banner für Analytics wurde entfernt. Wenn Sie wissen möchten, ob Ihre bestehende Analyse-Lösung wirklich datenschutzkonform eingerichtet ist, schauen wir uns das im Rahmen unserer Betreuung und Wartung gerne gemeinsam an.

Sofort-Checkliste: Webanalyse datenschutzkonform einrichten

  • Welches Analyse-Werkzeug ist aktiv? (GA4, Matomo, Plausible, etracker, eigenes?)
  • Setzt das Werkzeug Cookies oder liest es Informationen aus dem Endgerät aus?
  • Wenn ja: Gibt es einen funktionierenden Cookie-Banner mit echter Ablehnungsoption?
  • Werden Daten an Server außerhalb der EU übertragen? Wenn ja: Welche Rechtsgrundlage (DPF, SCC)?
  • Ist die IP-Anonymisierung aktiviert (bei IP-verarbeitenden Werkzeugen)?
  • Werden keine Cookies gesetzt und keine Daten an Dritte übermittelt? Dann: Ist das in der Datenschutzerklärung so beschrieben?
  • Beschreibt die Datenschutzerklärung das eingesetzte Werkzeug, den Zweck und die Rechtsgrundlage korrekt?
  • Haben Sie die tatsächliche Konfiguration mit den Browser-Entwicklerwerkzeugen geprüft (keine unerwarteten Cookies, keine Verbindungen zu Drittservern)?
  • Ist sichergestellt, dass kein anderes Plugin oder Skript unbemerkt Tracking-Daten sendet?
  • Ist ein Review-Termin in sechs Monaten geplant, um Änderungen an Werkzeug-Versionen oder Rechtslage zu prüfen?

Das Wichtigste zum Mitnehmen

Das Wichtigste zum Mitnehmen

  • Analytics-Cookies sind keine technisch notwendigen Cookies. §25 TDDDG macht eine Einwilligung des Nutzers zur Pflicht, bevor der erste Cookie gesetzt wird.
  • GA4 hat in Deutschland zwei separate Probleme: die Einwilligungspflicht und den US-Datentransfer. Das EU-US DPF 2023 löst den Transfer vorerst, die Einwilligungspflicht bleibt davon unberührt.
  • Cookielose EU-Werkzeuge wie Matomo (selbst gehostet), Plausible oder etracker ermöglichen vollständige Besucher-Statistiken ohne Cookie-Banner, weil kein Endgerätezugriff stattfindet und die Daten in der EU bleiben.
  • IP-Anonymisierung ist sinnvoll, aber kein Ersatz für eine durchdachte Werkzeugwahl: Sie hebt die Einwilligungspflicht nach §25 TDDDG nicht auf.

Häufige Fragen

Ist Google Analytics 4 in Deutschland verboten?

Nein, ein generelles Verbot gibt es nicht. GA4 ist in Deutschland jedoch an strenge Voraussetzungen geknüpft: Eine wirksame Einwilligung per Cookie-Banner ist Pflicht. Dazu müssen Datenschutzerklärung, technische Konfiguration und Consent-Management zusammenpassen. Die österreichische Datenschutzbehörde hat in einem konkreten Verfahren (Januar 2022) den GA-Einsatz ohne ausreichende Schutzmaßnahmen für unzulässig erklärt. Seit dem EU-US DPF (Juli 2023) ist die Transfer-Rechtsgrundlage für zertifizierte US-Anbieter wie Google wieder vorhanden, die Einwilligungspflicht besteht davon unabhängig fort.

Was ist der Unterschied zwischen DSGVO und §25 TDDDG bei der Webanalyse?

Die DSGVO regelt, ob und auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden dürfen. §25 TDDDG regelt vorgelagert, ob überhaupt auf das Endgerät des Nutzers zugegriffen werden darf. Für Analytics-Cookies greift §25 TDDDG zuerst: Ohne Einwilligung kein Zugriff auf das Gerät, ohne Zugriff auf das Gerät kein Cookie. Erst wenn das Endgerät-Zugriffs-Problem gelöst ist, stellt sich die DSGVO-Frage nach der Rechtsgrundlage für die Datenverarbeitung selbst.

Kann ich Matomo ohne Cookie-Banner betreiben?

Ja, unter bestimmten Bedingungen: Cookies müssen deaktiviert sein, IP-Adressen müssen anonymisiert werden, und es dürfen keine personenbezogenen Daten an Dritte übermittelt werden. Der Betrieb muss auf einem eigenen Server in der EU oder einem deutschen Hosting-Anbieter stattfinden. Diese Konfiguration ist technisch möglich und von mehreren Datenschutzrechtlern als §25-TDDDG-konform eingestuft worden. Ein abschließendes Behördenurteil für jeden Einzelfall gibt es nicht, im Zweifel klärt eine Datenschutzberatung den konkreten Fall.

Was muss in die Datenschutzerklärung, wenn ich cookielos messe?

Auch bei cookieloser Messung muss die Datenschutzerklärung das eingesetzte Werkzeug, den Verarbeitungszweck, die Rechtsgrundlage nach Art. 6 DSGVO (üblicherweise berechtigtes Interesse, Art. 6 Abs. 1 lit. f) und, wenn aggregierte Daten weiterverarbeitet werden, die Speicherdauer beschreiben. Was wegfällt: der Abschnitt über Cookie-Einwilligung für das Analyse-Werkzeug und der Hinweis auf Widerspruchsmöglichkeit (wenn tatsächlich keine personenbezogenen Daten erhoben werden, gibt es auch kein Widerspruchsrecht für diesen Verarbeitungsvorgang).

Ändert sich durch das EU-US Data Privacy Framework etwas an der Einwilligungspflicht für Google Analytics?

Nein. Das DPF schafft eine Rechtsgrundlage für den Transfer personenbezogener Daten von der EU in die USA zu zertifizierten Unternehmen. Es ändert nichts an §25 TDDDG. Der Cookie von GA4 wird im Endgerät des Nutzers gesetzt, und dafür braucht es eine Einwilligung unabhängig davon, wohin die Daten danach übermittelt werden.

Was ist mit Fingerprinting statt Cookies?

Fingerprinting (das Auslesen von Browser-Eigenschaften, Bildschirmauflösung, installierten Schriften usw. zur Wiedererkennung) ist kein Ausweg aus der Einwilligungspflicht. §25 TDDDG ist technologieneutral formuliert: Jeder Zugriff auf das Endgerät oder das Auslesen dort gespeicherter Informationen fällt unter die Regelung. Die Datenschutzkonferenz (DSK) hat explizit darauf hingewiesen, dass die Einwilligungspflicht nicht durch den Verzicht auf klassische Cookies umgangen werden kann.