Google Analytics und DSGVO: Ist GA ohne Einwilligung erlaubt?

Google Analytics zählt zu den meistgenutzten Tracking-Tools überhaupt — und zu den datenschutzrechtlich heikelsten, wenn es falsch eingebunden ist. Lädt GA beim Seitenaufruf, ohne dass der Besucher zugestimmt hat, werden Nutzungsdaten erhoben und an Google übertragen, bevor irgendeine Einwilligung vorliegt. Der feste rechtliche Punkt dabei ist nicht der US-Transfer, sondern die Einwilligungspflicht nach § 25 TDDDG: Google Analytics ohne funktionierendes Consent-Management gilt als klares Problem und kann abmahnfähig sein.

  • Erkennt Google Analytics automatisch
  • Prüft auf vorhandenes Consent-Management
  • Sofort-Report
  • Server in Deutschland 🇩🇪

Lädt deine Seite Google Analytics ohne Einwilligung? Jetzt prüfen

URL eingeben — in unter 60 Sekunden siehst du, ob deine Website Google Analytics lädt und ob ein Consent-Management-Tool erkannt wird. Kostenlos und ohne Registrierung.

Warum Google Analytics ohne Einwilligung ein Problem ist

Google Analytics — in der aktuellen Version GA4 — misst, wie Besucher eine Website nutzen: welche Seiten sie aufrufen, wie lange sie bleiben, woher sie kommen, welches Gerät sie verwenden. Eingebunden wird es meist über das Skript gtag.js oder über den Google Tag Manager. In beiden Fällen baut der Browser eine Verbindung zu Google auf, sobald GA lädt, und überträgt dabei IP-Adresse, Nutzungsverhalten und Gerätedaten.

Der entscheidende und rechtlich unstrittige Punkt liegt nicht im Ausland, sondern im Endgerät des Besuchers. § 25 TDDDG (das frühere TTDSG, 2024 umbenannt) verlangt für das Speichern von Informationen im Endgerät und den Zugriff darauf die vorherige Einwilligung des Nutzers — es sei denn, dies ist technisch unbedingt erforderlich. Reichweitenmessung und Analyse sind nach allgemeiner Auffassung nicht unbedingt erforderlich. Daraus folgt klar: Google Analytics braucht eine Einwilligung, bevor es lädt.

Genau hier setzt das Problem an. Wird GA bereits beim Seitenaufruf geladen — ohne Cookie-Einwilligungslösung oder mit einem Banner, der nur informiert, aber nichts zurückhält — werden Daten ohne Rechtsgrundlage erhoben. Das gilt als klares Problem und kann eine Abmahnung oder eine Beanstandung durch die Datenschutzbehörde nach sich ziehen. Anders als beim US-Transfer (siehe unten) ist diese Einwilligungspflicht nicht von politischen Abkommen abhängig — sie ist der feste Anker, an dem du dich orientieren solltest.

Der US-Transfer: nuancierter als der 2022er-Stand

Rund um Google Analytics kursiert noch viel aus dem Jahr 2022 — als die Lage tatsächlich anders war. Damals stuften mehrere Datenschutzbehörden, darunter die österreichische DSB und die französische CNIL, die seinerzeitige GA-Nutzung wegen der Datenübermittlung in die USA als unzulässig ein. Dieser Stand wird oft bis heute zitiert, ist aber historischer Kontext, nicht der aktuelle Status.

Denn im Juli 2023 trat das EU-US Data Privacy Framework (DPF) in Kraft. Google LLC ist darunter zertifiziert, wodurch die Übermittlung personenbezogener Daten in die USA wieder eine Rechtsgrundlage hat. Das Gericht der Europäischen Union (General Court) bestätigte das Framework im September 2025. Der direkte US-Transfer über Google Analytics ist damit nicht mehr per se unzulässig — die pauschale Aussage „GA ist DSGVO-widrig" trifft den heutigen Stand nicht mehr.

Rechtlich endgültig gesichert ist das DPF allerdings nicht. Datenschutzorganisationen wie NOYB führen Verfahren dagegen, eine erneute Überprüfung durch den EuGH gilt als wahrscheinlich, und der Europäische Datenschutzausschuss (EDPB) beobachtet das Framework. Vorsichtige Stimmen — darunter Max Schrems — empfehlen daher eine „Host in Europe"-Strategie als Absicherung, falls sich die Rechtslage erneut ändert. Kurz: Der US-Transfer ist derzeit zulässig, aber als beobachtungsbedürftig einzustufen. Wer auf Nummer sicher gehen will, behandelt ihn als kalkulierbares Restrisiko und prüft Alternativen.

Lädt deine Seite GA — mit oder ohne Consent? So prüfst du es

Bevor du etwas änderst, solltest du wissen, wie GA auf deiner Seite eingebunden ist. Zwei einfache Wege, das selbst zu prüfen:

1. Quelltext durchsuchen

Öffne deine Seite und schau dir den Quelltext an (Rechtsklick → „Seitenquelltext anzeigen" oder Strg+U). Suche mit Strg+F nach gtag, nach einer Mess-ID im Format G-XXXXXXXX oder nach google-analytics.com. Findest du das, lädt deine Seite Google Analytics.

2. Netzwerk-Analyse in den Entwicklertools

Drücke F12, wechsle auf den Reiter Netzwerk (Network), lade die Seite neu und filtere nach google-analytics oder collect. Jede Anfrage, die hier bereits beim Laden der Seite — vor jeder Zustimmung — erscheint, ist ein Hinweis darauf, dass GA vor der Einwilligung feuert (Pre-Loading).

Wer es nicht manuell machen will: Der DSGVO Risk Checker übernimmt beide Prüfungen automatisch. Ehrlich zum Umfang — er zeigt, ob GA lädt und ob ein Consent-Management-Tool erkannt wird. Findet er GA ohne Cookie-Einwilligungslösung, markiert er den Punkt als Verstoß; findet er GA mit Banner, weist er dich darauf hin, das Pre-Loading zu prüfen. Einen vollständigen Audit jedes Datenflusses leistet der Checker nicht — er ist der schnelle Einstieg, nicht das juristische Schlusswort.

Sicher gehen statt raten

Gib deine URL ein — der Checker durchsucht Quelltext und Netzwerk-Anfragen nach Google Analytics und gleicht das mit dem Vorhandensein eines Consent-Tools ab.

Die Lösung: Consent Mode v2, CMP und Alternativen

Google Analytics lässt sich datenschutzkonform betreiben — der Schlüssel ist, dass GA erst nach der Einwilligung lädt. Dafür gibt es zwei Wege: GA richtig absichern oder auf eine datenschutzfreundlichere Alternative wechseln.

1. CMP mit Consent Mode v2

Eine Consent-Management-Platform (etwa Cookiebot, Usercentrics oder Borlabs Cookie) holt die Einwilligung ein und gibt den Status über Google Consent Mode v2 an die Google-Tags weiter. Consent Mode v2 ist seit März 2024 für Traffic aus dem EWR ohnehin Voraussetzung, damit Ads- und Personalisierungsfunktionen nutzbar bleiben. Wichtig: Consent Mode v2 ist kein Ersatz für die CMP, sondern ihr Gegenstück — die CMP holt die Einwilligung ein, Consent Mode v2 sorgt dafür, dass GA den Status respektiert und erst nach der Zustimmung vollständig lädt.

2. Wechsel zu einer datenschutzfreundlichen Alternative

Wer den US-Transfer und einen Teil der Consent-Komplexität von vornherein vermeiden möchte, steigt auf eine datensparsame Webanalyse um. Gängige neutrale Optionen sind Matomo (lässt sich selbst auf einem eigenen Server in der EU hosten, sodass keine Daten an Dritte gehen), Plausible und Fathom (beide leichtgewichtig, auf Datensparsamkeit ausgelegt und oft ganz ohne Cookies). Je nach Konfiguration lassen sich diese Tools cookielos und ohne US-Transfer betreiben — was die rechtliche Einordnung erheblich vereinfacht. Der DSGVO Risk Checker nennt Matomo bereits als eine solche Alternative.

Ein Hinweis zur Klarstellung im Sinne der Ehrlichkeit: Der DSGVO Risk Checker findet, ob GA ohne Consent-Management lädt, und ordnet das ein — er konfiguriert weder eine CMP noch richtet er Consent Mode v2 ein oder migriert dich zu Matomo. Die Umstellung nimmst du oder dein Webentwickler vor. Genau dafür ist der Befund da: damit du weißt, wo du ansetzen musst. Den Gesamtüberblick liefert der vollständige DSGVO Check.

Google Analytics vs. Google Tag Manager

GA und der Google Tag Manager werden oft in einem Atemzug genannt, sind aber zwei verschiedene Dinge. Google Analytics ist das Mess-Tool, das Daten erhebt. Der Tag Manager ist ein Container, der Tags lädt — und Google Analytics ist häufig genau einer dieser Tags. GA kann also direkt über gtag.js eingebunden sein oder über GTM ausgespielt werden.

Für die DSGVO ändert das am Kern nichts: In beiden Fällen braucht GA vor dem Laden eine Einwilligung. Wird GA über den Tag Manager geladen, muss der Consent-Trigger im Container sitzen; wird es direkt eingebunden, muss die CMP das Skript zurückhalten. Der DSGVO Risk Checker behandelt beide als getrennte Prüfpunkte — einen für Google Analytics, einen für den Google Tag Manager. Findet er beides, solltest du sicherstellen, dass die Einwilligung an der richtigen Stelle greift und GA nicht über einen falsch konfigurierten Container doch vorzeitig feuert.

Was der DSGVO Risk Checker bei GA prüft

Damit du weißt, was du bekommst — ohne Übertreibung: Der Checker durchsucht den HTML-Quelltext und die tatsächlichen Netzwerk-Anfragen deiner Seite nach Google Analytics (etwa gtag.js, die Mess-ID oder Aufrufe an google-analytics.com). Das Ergebnis gleicht er mit dem Vorhandensein eines Consent-Tools ab. Wird GA ohne Cookie-Einwilligungslösung gefunden, markiert er den Punkt als Verstoß und ordnet ihn rechtlich ein. Wird GA mit Banner gefunden, gibt er den Hinweis aus, das Pre-Loading zu prüfen — also nachzusehen, ob GA wirklich erst nach der Einwilligung lädt. Findet er kein GA, gilt dieser Prüfpunkt als bestanden.

Was der Checker bewusst nicht behauptet: Er entscheidet nicht, ob deine GA-Einbindung „rechtswidrig" ist, und er führt keinen vollständigen Audit jedes Datenflusses durch. Er zeigt die Fakten — GA lädt ja/nein, Consent-Management ja/nein — und überlässt die rechtliche Bewertung dir und gegebenenfalls deinem Anwalt. Google Analytics ist dabei nur einer von über 60 technischen Prüfpunkten. Du bekommst einen priorisierten Überblick, was auf deiner Seite Aufmerksamkeit verdient und in welcher Reihenfolge.

Prüfe kostenlos, ob GA ohne Consent-Management lädt

Kostenloser Scan, kein Konto nötig, sofortiges Ergebnis.

  • Erkennt Google Analytics (gtag, Mess-ID, Netzwerk-Aufrufe) automatisch
  • Gleicht GA mit vorhandenem Consent-Management ab
  • Rechtliche Einordnung statt nur „Fehler gefunden"
  • Konkrete Lösungswege: Consent Mode v2 + CMP oder Alternative
  • 60+ weitere DSGVO-Prüfpunkte inklusive
  • Server in Deutschland — keine Speicherung deiner Inhalte

Häufige Fragen

Ist Google Analytics ohne Einwilligung erlaubt?

Nein. Google Analytics greift auf Informationen im Endgerät des Besuchers zu und überträgt Nutzungsdaten. Nach § 25 TDDDG ist das nur mit vorheriger Einwilligung zulässig, sofern es nicht technisch unbedingt erforderlich ist — und Reichweitenmessung ist nicht unbedingt erforderlich. Wird GA also ohne ein funktionierendes Consent-Management geladen, gilt das als klares Problem und kann abmahnfähig sein. Dieser Punkt ist von der Frage des US-Datentransfers unabhängig und gilt unverändert.

Ist Google Analytics in der EU verboten oder DSGVO-widrig?

Das lässt sich nicht pauschal sagen, und der Stand hat sich seit 2022 verändert. 2022 stuften mehrere Datenschutzbehörden — etwa die österreichische DSB und die französische CNIL — die damalige Google-Analytics-Nutzung wegen des US-Transfers als unzulässig ein; das ist historischer Kontext. Seit dem EU-US Data Privacy Framework (Juli 2023), unter dem Google LLC zertifiziert ist, hat der Transfer in die USA wieder eine Rechtsgrundlage; das Gericht der EU bestätigte das Framework im September 2025. Der direkte US-Transfer ist damit nicht mehr per se unzulässig. Rechtlich endgültig gesichert ist das aber nicht: Es laufen Klagen (NOYB), eine erneute Prüfung durch den EuGH gilt als wahrscheinlich, und der EDPB beobachtet das Framework. Unabhängig davon bleibt die Einwilligungspflicht nach § 25 TDDDG der feste Punkt.

Was ist Consent Mode v2 und ist er Pflicht?

Consent Mode v2 ist ein Google-Framework, das den Einwilligungsstatus des Besuchers an Google-Tags signalisiert (etwa analytics_storage und ad_storage). Seit März 2024 setzt Google ihn für Traffic aus dem EWR voraus, damit Funktionen für Ads und Personalisierung weiter nutzbar sind. Consent Mode v2 allein genügt aber meist nicht: Er entfaltet seinen Nutzen erst zusammen mit einer Consent-Management-Platform, die die Einwilligung tatsächlich einholt und den Status liefert. Erst dann wird Google Analytics nachweislich erst nach der Zustimmung geladen.

Welche DSGVO-freundliche Alternative gibt es zu Google Analytics?

Wer den US-Transfer und einen Teil der Consent-Komplexität vermeiden will, kann auf datenschutzfreundlichere Webanalyse umsteigen. Verbreitet sind Matomo (lässt sich selbst auf einem eigenen Server in der EU hosten), Plausible und Fathom (beide leichtgewichtig und auf Datensparsamkeit ausgelegt, oft ohne Cookies). Je nach Konfiguration lassen sich solche Tools cookielos und ohne Datenübermittlung in die USA betreiben — was die rechtliche Einordnung deutlich vereinfacht.

Reicht ein Cookie-Banner aus, damit Google Analytics konform ist?

Ein Banner allein genügt nicht automatisch. Entscheidend ist, dass Google Analytics tatsächlich erst nach der Einwilligung geladen wird. Lädt GA bereits beim Seitenaufruf, während der Banner nur darüber informiert (sogenanntes Pre-Loading), werden Daten schon vor der Zustimmung übertragen — der Banner ändert daran nichts. Der Banner beziehungsweise die CMP muss GA bis zur aktiven Einwilligung zurückhalten.

Was prüft der DSGVO Risk Checker bei Google Analytics genau?

Der Checker durchsucht Quelltext und Netzwerk-Anfragen deiner Seite nach Google Analytics (etwa gtag.js, das Measurement-Skript oder Aufrufe an google-analytics.com) und gleicht das mit dem Vorhandensein eines Consent-Tools ab. Wird GA ohne Cookie-Einwilligungslösung gefunden, markiert er den Punkt als Verstoß; wird GA mit Banner gefunden, weist er darauf hin, zu prüfen, ob GA erst nach der Einwilligung lädt (kein Pre-Loading). Einen vollständigen Audit jedes Datenflusses führt der Checker nicht durch — er zeigt, ob GA lädt und ob ein Consent-Management vorhanden ist.

Verwandte Themen

Pillar: vollständiger DSGVO Check → Verwandt: Google Tag Manager und DSGVO → Verwandt: Google Maps und DSGVO → Verwandt: YouTube einbetten und DSGVO → Verwandt: Google Fonts und DSGVO →