MonsterInsights ist das meistgenutzte Google-Analytics-Plugin für WordPress – über drei Millionen Websites setzen es ein. Das Plugin verbindet dein WordPress mit Google Analytics 4 und zeigt dir die Auswertungen direkt im Dashboard.
Aus Datenschutzsicht bringt MonsterInsights jedoch einiges mit: Sobald das Plugin aktiv ist, lädt es beim Seitenaufruf das Google-Tracking-Skript und setzt Cookies auf dem Gerät deiner Besucher – ohne dass jemand auf deiner Website etwas anklicken muss. Das zieht Cookie-Banner-Pflicht, Datenschutzerklärung und einen Blick auf die USA-Datenübertragung nach sich.
Überblick
Was ist MonsterInsights?
MonsterInsights ist ein WordPress-Plugin der amerikanischen Firma MonsterInsights, LLC. Es verbindet dein WordPress mit deinem Google-Analytics-4-Konto und zeigt Besucherstatistiken, Seitenaufrufe, Herkunftsquellen und E-Commerce-Daten direkt im WordPress-Adminbereich an. Die Einrichtung läuft über eine geführte Verbindung per Google-Konto, ohne dass du Code anfassen musst.
MonsterInsights – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Setzt zustimmungspflichtige Google-Analytics-Cookies beim Seitenaufruf. |
| Externe Verbindungen | 🔴 | Lädt beim Seitenaufruf das Google-Tracking-Skript – Cookie-Banner muss blockieren. |
| Datenschutzerklärung | 🟢 | MonsterInsights selbst speichert keine Besucherdaten – Google Analytics braucht einen eigenen Eintrag. |
| Drittlandtransfer | 🔴 | Alle Tracking-Daten gehen an Google-Server in den USA. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag mit MonsterInsights nötig – der Vertrag läuft direkt mit Google. |
| Benutzereingaben | 🟢 | MonsterInsights stellt keine eigenen Eingabeformulare für Besucher bereit. |
Datenverarbeitung
Was passiert mit den Daten deiner Website-Besucher?
MonsterInsights selbst speichert keine Daten deiner Website-Besucher auf eigenen Servern. Das Plugin ist im Grunde eine Brücke: Es baut beim Laden jeder Seite eine Verbindung zu Google auf und schickt dabei Informationen über den Besuch direkt an Google Analytics – Browser-Typ, Herkunftsland, angeklickte Seiten, Sitzungsdauer und die IP-Adresse des Besuchers (sofern du keine IP-Anonymisierung aktiviert hast).
Google speichert diese Daten auf seinen Servern in den USA und stellt sie dir als Statistiken zur Verfügung. MonsterInsights zeigt dir diese Auswertungen dann bequem im WordPress-Dashboard an, ohne dass du die Google-Analytics-Website öffnen musst.
Cookies
Welche Cookies setzt MonsterInsights?
MonsterInsights setzt beim Seitenaufruf zwei Cookies von Google Analytics auf dem Gerät deiner Besucher:
_ga– speichert eine zufällig vergebene Nutzer-ID und unterscheidet damit einzelne Besucher über mehrere Sitzungen hinweg_ga_<deine-Container-ID>– speichert den Status der aktuellen Sitzung und ist an dein spezifisches Google-Analytics-Konto gebunden
Beide Cookies sind zustimmungspflichtig: Sie enthalten eine Nutzer-ID und ermöglichen die Wiedererkennung von Besuchern. Dein Cookie-Banner muss diese Cookies blockieren, bis der Besucher zustimmt.
Das geht allerdings nicht von allein – du brauchst dafür den kostenpflichtigen Pro-Plan von MonsterInsights mit dem EU-Compliance-Add-on, das die Verbindung zu deinem Cookie-Banner-Plugin herstellt. Ohne dieses Add-on werden die Google-Analytics-Cookies unabhängig von der Entscheidung deiner Besucher gesetzt.
Hintertür: Auch ohne Add-on können die meisten Cookie-Banner das Google-Analytics-Skript blockieren. Das funktioniert, wenn du in deinem Plugin (zum Beispiel Complianz oder CookieYes) Google Analytics als Dienst einträgst und auf Opt-in stellst. Das Plugin blockiert dann das Tracking-Skript automatisch, bevor eine Zustimmung vorliegt.
Externe Verbindungen
Baut MonsterInsights Verbindungen zu externen Servern auf?
MonsterInsights lädt beim Seitenaufruf automatisch ein Tracking-Skript von Google. Diese Verbindung zu www.google-analytics.com und www.googletagmanager.com entsteht für jeden Besucher sofort beim Öffnen der Seite, bevor er irgendwas anklickt oder einen Cookie-Banner bestätigt. Über diese Verbindung werden Besucherdaten direkt an Google übermittelt.
Das ist eine Verbindung, die dein Cookie-Banner blockieren muss, bis der Besucher zustimmt. Ohne Zustimmung darf das Skript nicht laden. Dafür muss dein Cookie-Banner so konfiguriert sein, dass er das Google-Analytics-Skript erkennt und zurückhält. Das funktioniert mit gängigen Cookie-Banner-Plugins wie Complianz, CookieYes oder Borlabs Cookie – aber du musst Google Analytics dort als Dienst eingetragen und auf „Opt-in“ gestellt haben.
MonsterInsights auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet MonsterInsights Eingaben von Website-Besuchern?
MonsterInsights stellt keine eigenen Formulare oder Eingabefelder für Besucher bereit. Das Plugin ist ausschließlich ein Analyse-Werkzeug für dich als Website-Betreiber – deine Besucher sehen und bedienen es nicht. Es gibt hier nichts zu konfigurieren und keinen Handlungsbedarf.
Drittlandtransfer
Werden Daten deiner Besucher in die USA übertragen?
MonsterInsights überträgt beim Tracking alle Besucherdaten an Google-Server in den USA. Google Analytics ist ein Dienst des amerikanischen Unternehmens Google LLC. Die Daten – darunter IP-Adressen, Seitenaufrufe und Geräteinformationen – landen auf US-amerikanischer Infrastruktur.
Europäische Datenschutzbehörden in Österreich, Frankreich, Italien und Dänemark haben festgestellt, dass Google Analytics ohne ausreichende Konfiguration gegen die DSGVO verstößt. Google hat mit der EU vereinbart, dass Datentransfers in die USA unter bestimmten Bedingungen erlaubt sind (EU-US Data Privacy Framework). Diese Vereinbarung gilt für die Datenübertragung zu Google Analytics, wenn du deinen Vertrag mit Google korrekt abgeschlossen hast.
Auftragsverarbeitung
Brauche ich einen Vertrag mit MonsterInsights?
MonsterInsights selbst speichert keine Besucherdaten und verarbeitet sie auch nicht auf eigenen Servern. Die Daten gehen direkt zu Google Analytics. Einen Vertrag zur Auftragsverarbeitung schließt du deshalb nicht mit MonsterInsights, LLC ab, sondern direkt mit Google – über die Einstellungen deines Google-Analytics-Kontos.
Dort findest du unter „Verwaltung“ und anschließend unter „Kontoeinstellungen“ den Bereich zur Datenverarbeitung, in dem du den Vertrag mit Google akzeptieren kannst.
Datenschutzerklärung
Muss MonsterInsights in die Datenschutzerklärung?
MonsterInsights selbst verarbeitet keine Besucherdaten und braucht keinen eigenen Eintrag in deiner Datenschutzerklärung. Das Plugin ist nur das Verbindungsstück zu Google Analytics. Google Analytics muss aber in die Datenschutzerklärung – als eigenständiger Eintrag, weil Google die Daten verarbeitet und speichert.
Für den Google-Analytics-Eintrag in deiner Datenschutzerklärung brauchst du folgende Angaben:
- Zweck: Statistik und Analyse der Website-Nutzung
- Rechtsgrundlage: Einwilligung (über Cookie-Banner)
- Empfänger: Google Ireland Limited bzw. Google LLC
- Drittlandtransfer: Übermittlung in die USA auf Basis des EU-US Data Privacy Framework
- Speicherdauer: Abhängig von den gewählten Einstellungen im Google-Analytics-Konto (Standard: 14 Monate)
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google Analytics – Website-Analyse
Diese Website nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics erfasst beim Aufruf unserer Seiten automatisch Informationen über das Nutzungsverhalten, darunter aufgerufene Seiten, Verweildauer, ungefähren Standort (auf Basis der IP-Adresse), Geräte- und Browser-Informationen sowie die Herkunft des Besuchs. Diese Daten werden auf Servern von Google in den USA gespeichert.
Google Analytics wird auf unserer Website nur dann aktiv, wenn du der Nutzung über unseren Cookie-Banner zugestimmt hast. Die Speicherdauer richtet sich nach den in unserem Google-Analytics-Konto gewählten Einstellungen. Wir haben mit Google einen Vertrag zur Datenverarbeitung abgeschlossen. Die Datenübertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework, dem Google beigetreten ist. Du kannst deine Einwilligung jederzeit über unseren Cookie-Banner widerrufen.
Drittanbieter
Mit welchen Diensten lässt sich MonsterInsights verbinden?
MonsterInsights kann über optionale Erweiterungen im kostenpflichtigen Pro-Plan mit weiteren Diensten verbunden werden. Im Bereich E-Commerce lässt sich das Plugin mit WooCommerce koppeln, um Bestellungen, Umsätze und Kaufverhalten direkt in Google Analytics zu tracken. Über ein eigenes Add-on kann außerdem der Facebook-Pixel (Meta-Pixel) eingebunden werden, der Besucherverhalten für Werbezwecke auf der Facebook-Plattform erfasst.
Ebenfalls als Erweiterung verfügbar ist OptinMonster, ein Werkzeug für Anmeldeformulare und Pop-ups, sowie die Verknüpfung mit der Google Search Console, die Suchdaten aus Google direkt im Dashboard anzeigt. Diese Verbindungen sind alle optional und werden erst nach Installation und Aktivierung des jeweiligen Add-ons aktiv. Jeder dieser zusätzlichen Dienste bringt eigene Datenschutzpflichten mit sich und braucht unter Umständen jeweils einen eigenen Eintrag in deiner Datenschutzerklärung.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu MonsterInsights?
Wenn dir Besucherstatistiken wichtig sind, du aber auf die Verbindung zu Google verzichten möchtest, ist Burst Statistics eine gute Alternative. Burst Statistics speichert alle Besucherdaten direkt in deinem WordPress – es verlässt keine Daten deine Website, es gehen keine Daten in die USA und es werden keine Cookies gesetzt, die eine Zustimmung im Cookie-Banner benötigen.
Das Plugin zeigt dir Seitenaufrufe, Besucherquellen und Seitenperformance direkt im WordPress-Dashboard. Den vollen Funktionsumfang von Google Analytics – insbesondere E-Commerce-Tracking, Konversionsziele und erweiterte Ereignisverfolgung – bietet Burst Statistics nicht (zumindest nicht kostenlos), für die meisten kleinen Websites reicht es aber aus.
Fehler
Typische Datenschutzfehler bei MonsterInsights
Der häufigste Fehler: MonsterInsights ist aktiv, aber der Cookie-Banner blockiert das Google-Tracking-Skript nicht. Das passiert, wenn Google Analytics im Cookie-Banner-Plugin nicht als Dienst eingetragen ist oder fälschlicherweise als „technisch notwendig“ eingestuft wurde. In diesem Fall läuft das Tracking, bevor Besucher zugestimmt haben – ein klarer Datenschutzverstoß.
Ein weiterer Fehler: Das EU-Compliance-Add-on fehlt oder ist nicht korrekt eingerichtet. Ohne dieses Add-on (Pro-Plan) gibt es keine automatische Verbindung zwischen MonsterInsights und deinem Cookie-Banner. Das Skript lädt dann unabhängig davon, ob jemand zugestimmt hat oder nicht.
Außerdem vergessen viele Website-Betreiber, dass Google Analytics neben dem Cookie-Banner auch einen eigenen Eintrag in der Datenschutzerklärung braucht. MonsterInsights selbst als Plugin gehört nicht in die Datenschutzerklärung – Google Analytics schon.
DSGVO-Check
So prüfst du, ob MonsterInsights auf deiner Website aktiv ist
Du kannst direkt im Browser nachsehen, ob das Google-Analytics-Tracking auf deiner Website läuft. Öffne dazu die Browser-Entwicklertools (in Chrome und Firefox mit der Taste F12), wechsle auf den Tab „Netzwerk“ und lade deine Website neu. Such dort nach Verbindungen zu google-analytics.com oder googletagmanager.com. Wenn diese Verbindungen auftauchen, bevor du im Cookie-Banner etwas bestätigt hast, läuft das Tracking ohne Zustimmung.
Im Cookie-Bereich deines Browsers kannst du außerdem gezielt nach den Cookies _ga und _ga_ suchen. Sind diese Cookies gesetzt, obwohl du noch keine Einwilligung gegeben hast, blockiert dein Cookie-Banner das Tracking nicht korrekt.
Noch einfacher geht die Prüfung mit einem automatischen Datenschutz-Scanner. Er prüft deine Website direkt und zeigt dir, ob MonsterInsights erkannt wird und ob das Tracking vor der Einwilligung startet.
Quellen und weiterführende Links
- WordPress.org Plugin-Seite – MonsterInsights
- MonsterInsights – offizielle Dokumentation
- MonsterInsights – Datenschutzerklärung
- MonsterInsights – EU-Compliance-Funktion
- MonsterInsights – Google Analytics DSGVO-Leitfaden
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.