Google Analytics ist kein kleines Statistik-Extra, das einfach nebenbei mitläuft. Der Dienst misst Besucher und Sitzungen, setzt in der normalen GA4-Web-Einbindung Analytics-Cookies und verarbeitet Nutzungsdaten bei Google. Für deine Website heißt das: Du brauchst eine saubere Einbindung über das Cookie-Banner, eine klare Datenschutzerklärung und einen Auftragsverarbeitungsvertrag mit Google.
Überblick
Was ist Google Analytics?
Google Analytics ist ein Analyse- und Statistikdienst von Google. Website-Betreiber nutzen ihn, um zu sehen, wie Besucher auf die Website kommen, welche Seiten sie ansehen und wie sie sich auf der Website bewegen. In der aktuellen Version Google Analytics 4 (GA4) kann der Dienst Websites und Apps auswerten.
Google Analytics und Datenschutz im Überblick
| Cookie-Banner | Google Analytics gehört in den Cookie-Banner, weil die normale GA4-Web-Einbindung Cookies zur Nutzer- und Sitzungsunterscheidung setzt. |
| Datenverarbeitung | Google Analytics verarbeitet personenbezogene oder anonyme Besucherdaten wie Online-Identifier, Browser- und Gerätedaten sowie Nutzungsaktivitäten. |
| Datenschutzerklärung | Google Analytics muss namentlich in der Datenschutzerklärung stehen, weil der Dienst Daten von Website-Besuchern verarbeitet. |
| Drittlandtransfer | Bei Google Analytics musst du mit internationaler Verarbeitung durch Google und Unterauftragnehmer rechnen. |
| Auftragsverarbeitung | Für Google Analytics brauchst du die Datenverarbeitungsbedingungen von Google als Auftragsverarbeitungsvertrag. |
Datenverarbeitung
Welche Daten verarbeitet Google Analytics?
Google Analytics verarbeitet Daten von Website- und App-Besuchern, damit du Nutzung und Reichweite auswerten kannst. Dazu gehören Nutzungsdaten wie Seitenaufrufe, Ereignisse und Sitzungen, Browser- und Gerätedaten sowie Online-Identifier. Google nennt außerdem Cookie-Kennungen, IP-Adressen bei der Erhebung, Gerätekennungen und Client-Kennungen als relevante Datenarten.
Für Website-Betreiber ist wichtig: Auch wenn Google Analytics viele Daten nicht mit Klarnamen speichert, bleiben diese Informationen datenschutzrelevant. Die Daten beziehen sich auf echte Besucher und können über Kennungen, Geräteinformationen oder Sitzungen wiedererkannt werden. Deshalb reicht es nicht, Google Analytics als rein technische Statistik zu behandeln.
Drittlandtransfer
Überträgt Google Analytics Daten in Drittländer?
Google Analytics kann Daten international verarbeiten. Ein Drittland ist ein Land außerhalb der Europäischen Union. Google beschreibt für Analytics internationale Datenübermittlungen und erlaubt in den Datenverarbeitungsbedingungen eine Verarbeitung in Ländern, in denen Google oder Unterauftragnehmer Einrichtungen betreiben.
Für Nutzer in der Europäischen Union beschreibt Google eine besondere Erhebung über EU-Domains und EU-Server. Einzelne IP-Adressen werden laut Google vor der Protokollierung gelöscht und nicht gespeichert. Trotzdem bleibt Google Analytics beim Drittlandtransfer relevant, weil die weitere Verarbeitung über Analytics-Server und die internationale Google-Infrastruktur laufen kann.
Cookie-Banner
Braucht Google Analytics eine Einwilligung im Cookie-Banner?
Google Analytics gehört in den Cookie-Banner, bevor der Dienst auf deiner Website aktiv wird. Die normale GA4-Web-Einbindung nutzt First-Party-Cookies, also Cookies deiner eigenen Website, um einzelne Nutzer und Sitzungen zu unterscheiden. Dazu gehören _ga und _ga_<container-id>; Google nennt dafür eine Standardlaufzeit von zwei Jahren.
Das Cookie-Banner muss Google Analytics so blockieren, dass keine Analytics-Cookies gesetzt und keine Analytics-Daten an Google übertragen werden, bevor der Besucher zugestimmt hat. Wenn du Google Analytics mit Google Ads oder weiteren Google-Produkten verknüpfst, können zusätzliche Cookies und weitere Datenflüsse dazukommen.
Datenschutzerklärung
Muss Google Analytics in die Datenschutzerklärung?
Google Analytics muss in die Datenschutzerklärung deiner Website. Der Dienst verarbeitet Besucherdaten für Analysezwecke und Google ist dabei als Anbieter direkt beteiligt. Deine Datenschutzerklärung sollte nicht nur allgemein von „Statistik“ sprechen, sondern Google Analytics namentlich nennen.
In die Datenschutzerklärung gehören diese Punkte:
- Name des Dienstes: Google Analytics beziehungsweise Google Analytics 4
- Anbieter: Google
- Zweck: Analyse der Website- oder App-Nutzung
- Datenarten: Nutzungsdaten, Browser- und Gerätedaten, Online-Identifier und Cookie-Kennungen
- Hinweis auf Cookies wie
_gaund_ga_<container-id> - Hinweis auf internationale Verarbeitung durch Google
- Hinweis auf den Auftragsverarbeitungsvertrag mit Google
Wenn du Zusatzfunktionen wie Google-Signale, Werbefunktionen, Google-Ads-Verknüpfungen, User-ID, Datenimport oder das Measurement Protocol nutzt, muss deine Datenschutzerklärung diese Nutzung ebenfalls abbilden. Diese Funktionen können die Zwecke, Datenarten oder Empfänger erweitern.
Auftragsverarbeitung
Brauchst du für Google Analytics einen Auftragsverarbeitungsvertrag?
Für Google Analytics brauchst du einen Auftragsverarbeitungsvertrag mit Google. Google führt Google Analytics als Processor Service in den Google Ads Data Processing Terms und beschreibt Analytics als Dienst, bei dem Google Daten im Auftrag der Kunden verarbeitet.
Praktisch läuft das über die Datenverarbeitungsbedingungen von Google. Du akzeptierst sie im Google-Analytics-Konto. Dieser Schritt ist wichtig, weil Google Analytics nicht nur lokal auf deiner Website arbeitet, sondern Besucherdaten an Google übermittelt und dort für deine Auswertungen verarbeitet.
Stolperfallen
Typische Fehler bei Google Analytics
Bei Google Analytics entstehen viele Datenschutzprobleme durch die Art der Einbindung. Ein häufiger Fehler ist ein Cookie-Banner, das Google Analytics zwar erwähnt, den Dienst aber technisch nicht blockiert. Dann werden Cookies und Messdaten schon übertragen, bevor der Besucher zugestimmt hat.
Eine zweite Stolperfalle sind Zusatzfunktionen. Google-Signale, detaillierte Standort- und Gerätedaten, Werbefunktionen, Google-Ads-Verknüpfungen, Datenfreigaben, User-ID, Datenimport und Measurement Protocol können die Datenverarbeitung deutlich erweitern. Wenn du solche Funktionen nutzt, musst du Cookie-Banner, Datenschutzerklärung und interne Dokumentation passend aktualisieren.
Auch Produktverknüpfungen sind relevant. Wenn du Google Analytics mit Google Ads, Search Ads 360, Display & Video 360 oder anderen Google-Produkten verbindest, können exportierte Daten den Bedingungen des jeweils verknüpften Produkts unterliegen. Diese Dienste müssen einzeln betrachtet werden.
Checkliste
Google Analytics datenschutzkonform einsetzen – das musst du tun
Diese Punkte decken die wichtigsten Pflichten ab, wenn du Google Analytics auf deiner WordPress-Website betreibst.
- Überlege, ob du Google Analytics durch das Plugin Burst Statistics ersetzen kannst.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
