Google Analytics ist das meistgenutzte Web-Analyse-Tool weltweit – und eines der datenschutzrechtlich anspruchsvollsten, die du auf einer WordPress-Website einbinden kannst. Es setzt Tracking-Cookies beim ersten Seitenaufruf, überträgt Daten an Google und letztlich in die USA. Das bedeutet: Cookie-Banner, Vertrag mit Google und Datenschutzerklärung sind keine optionalen Extras, sondern Pflicht.
Überblick
Was ist Google Analytics?
Google Analytics (aktuell in der Version GA4) ist ein Analyse-Dienst von Google Ireland Limited, mit dem du nachverfolgen kannst, wie viele Besucher deine Website hat, welche Seiten sie aufrufen und woher sie kommen. Das Tool lädt beim Seitenaufruf ein Skript von Google und setzt mehrere Cookies im Browser der Besucher, um sie über mehrere Besuche hinweg zu erkennen.
Google Analytics – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Setzt mehrere Tracking-Cookies zur Nutzeridentifikation – Zustimmung im Cookie-Banner erforderlich. |
| Externe Verbindungen | 🔴 | Baut beim Seitenaufruf Verbindungen zu Google-Servern auf – Cookie-Banner muss blockieren. |
| Datenschutzerklärung | 🔴 | Eintrag in der Datenschutzerklärung erforderlich – mit Zweck, Rechtsgrundlage, Empfänger und Hinweis auf USA-Übertragung. |
| Drittlandtransfer | 🔴 | Daten werden über Google Ireland an Google LLC in den USA weitergeleitet. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Google muss im Google Analytics-Konto bestätigt werden. |
| Benutzereingaben | 🟢 | Google Analytics nimmt keine Nutzereingaben entgegen |
Datenverarbeitung
Was macht Google Analytics mit den Daten deiner Website-Besucher?
Sobald jemand deine Website aufruft und Google Analytics aktiv ist, lädt der Browser deines Besuchers automatisch ein Skript von Google. Dieses Skript setzt Cookies und schickt Daten an Google – zum Beispiel, welche Seite aufgerufen wurde, wie lange der Besuch dauerte, aus welchem Land der Besucher kommt und welches Gerät er nutzt. Google speichert diese Daten auf seinen Servern, zunächst in Irland, und verarbeitet sie dann auch in den USA.
Das Besondere an Google Analytics: Die Cookies unterscheiden Besucher voneinander und erkennen dieselbe Person bei einem zweiten Besuch wieder – auch Wochen später. Das ist der Kern des Trackings und der Grund, warum Einwilligung nötig ist. Ohne Zustimmung darf das Skript nicht laden.
Google nutzt die Daten auch für eigene Zwecke. Du gibst mit dem Einsatz von Google Analytics also nicht nur Statistikdaten an Google weiter, sondern ermöglichst Google auch, die Daten deiner Besucher in sein eigenes Werbenetzwerk einzuspeisen – das ist ein wesentlicher Unterschied zu selbst gehosteten Analyse-Tools.
Cookies
Welche Cookies setzt Google Analytics – und sind sie zustimmungspflichtig?
Google Analytics setzt beim Seitenaufruf folgende Cookies:
_ga– Speichert eine eindeutige Kennung, um denselben Besucher bei künftigen Besuchen wiederzuerkennen. Läuft nach etwa 13 Monaten ab._ga_<container-id>– Speichert den Status der aktuellen Sitzung und ist ebenfalls auf etwa 13 Monate ausgelegt._gid– Unterscheidet Besucher innerhalb eines Tages. Läuft nach 24 Stunden ab._gat– Begrenzt die Anzahl der Anfragen an Google pro Minute. Läuft nach 1 Minute ab.
Die Cookies _ga, _ga_<container-id> und _gid sind Tracking-Cookies. Sie dienen der Nutzeridentifikation über mehrere Sitzungen hinweg und gehören zur Kategorie „zustimmungspflichtig“. Dein Cookie-Banner muss diese Cookies blockieren, bis der Besucher zustimmt. Das bedeutet konkret: Google Analytics darf erst nach aktiver Zustimmung laden – nicht vorher.
Externe Verbindungen
Welche externen Verbindungen baut Google Analytics auf?
Google Analytics baut beim Seitenaufruf zwei externe Verbindungen auf: Das Tracking-Skript wird von www.googletagmanager.com geladen, die eigentlichen Besucherdaten werden anschließend an www.google-analytics.com bzw. region1.google-analytics.com gesendet. Beide Verbindungen entstehen automatisch beim Laden der Seite – nicht erst nach einer Aktion des Besuchers.
Beide Verbindungen entstehen beim Seitenaufruf und sind nicht für den technischen Betrieb deiner Website notwendig. Dein Cookie-Banner muss diese Verbindungen blockieren, bis der Besucher zustimmt. Ohne diese Blockierung werden Daten an Google übertragen, bevor eine Einwilligung vorliegt – das ist ein Datenschutzverstoß.
Google Analytics auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet Google Analytics Eingaben von Website-Besuchern?
Google Analytics verarbeitet keine Benutzereingaben. Das Tool stellt keine Formulare bereit und nimmt keine Daten aus Eingabefeldern entgegen. Es beobachtet ausschließlich das Navigationsverhalten der Besucher – welche Seiten aufgerufen werden, woher der Besucher kommt und wie lange er bleibt.
Wichtig für die Praxis: Wenn du in Google Analytics eigene Ereignisse einrichtest und dabei versehentlich persönliche Daten wie E-Mail-Adressen oder Telefonnummern mitschickst, verstößt du damit gegen Googles eigene Nutzungsbedingungen – und gegen die DSGVO. Google warnt ausdrücklich davor.
Drittlandtransfer
Werden Daten durch Google Analytics in die USA übertragen?
Google Analytics überträgt Besucherdaten in die USA. Die Daten gehen zunächst an Google Ireland Limited in Irland, von dort werden sie an Google LLC in den USA weitergeleitet.
Google hat mit der EU eine Vereinbarung getroffen, die solche Übertragungen unter bestimmten Bedingungen erlaubt – Google ist dafür beim zuständigen US-Ministerium registriert. Diese Vereinbarung gilt aktuell als gültige Grundlage für den Transfer, wird aber von Datenschutzorganisationen vor Gericht angefochten. Die Rechtslage ist stabil, aber nicht endgültig abgeschlossen.
Für dich als Website-Betreiber bedeutet das: Der USA-Transfer muss in deiner Datenschutzerklärung erwähnt werden.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Google, wenn ich Google Analytics nutze?
Google Analytics verarbeitet Daten deiner Website-Besucher im Auftrag. Das bedeutet: Du bist als Website-Betreiber verantwortlich, Google erledigt die technische Verarbeitung für dich. Für diese Konstellation schreibt die DSGVO einen schriftlichen Vertrag vor. Vertragspartner ist Google Ireland Limited.
Den Vertrag schließt du direkt in deinem Google Analytics-Konto ab: Melde dich unter analytics.google.com an, klicke unten links auf „Verwaltung“, dann auf „Kontoeinstellungen“ und scrolle bis zum Abschnitt „Datenverarbeitungsbedingungen“. Dort kannst du die Bedingungen lesen und bestätigen. Das war es – der Vertrag ist damit aktiv.
Datenschutzerklärung
Was muss wegen Google Analytics in die Datenschutzerklärung?
Google Analytics muss in der Datenschutzerklärung deiner Website erwähnt werden. Das Tool setzt Tracking-Cookies, überträgt Daten an Google und leitet sie in die USA weiter – all das sind Verarbeitungen, über die du deine Besucher informieren musst.
Folgende Angaben gehören in den Datenschutzerklärungsabschnitt zu Google Analytics:
- Zweck: Statistik und Analyse der Website-Nutzung
- Rechtsgrundlage: Einwilligung
- Empfänger: Google Ireland Limited
- Drittlandtransfer: Weitergabe an Google LLC in den USA möglich
- Speicherdauer: Abhängig von den gewählten Einstellungen im Google-Analytics-Konto und den verwendeten Cookies (bis zu 13 Monate)
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google Analytics – Web-Analyse
Diese Website nutzt Google Analytics, einen Web-Analyse-Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics setzt Cookies im Browser der Website-Besucher, um Seitenaufrufe, Herkunft und Verhalten der Besucher auszuwerten. Die dabei erhobenen Daten werden an Server von Google Ireland Limited übermittelt und können von dort an Google LLC in den USA weitergeleitet werden.
Google Analytics wird nur nach ausdrücklicher Einwilligung aktiviert. Rechtsgrundlage für die Verarbeitung ist die Einwilligung. Die Daten werden abhängig von den gewählten Einstellungen und den gesetzten Cookies für bis zu 13 Monate gespeichert. Du kannst deine Einwilligung jederzeit über den Cookie-Banner widerrufen.
Drittanbieter
Mit welchen Diensten lässt sich Google Analytics verbinden?
Google Analytics bietet optionale Verknüpfungen mit anderen Google-Diensten an. In den Kontoeinstellungen lässt sich eine Verbindung zu Google Ads aktivieren, um Werbekampagnen direkt mit den Analysedaten zusammenzuführen. Auch eine Verknüpfung mit der Google Search Console ist möglich, um Suchdaten und Website-Daten gemeinsam auszuwerten. Diese Verbindungen sind standardmäßig nicht aktiv und werden nur dann hergestellt, wenn du sie im Konto ausdrücklich einschaltest.
Wenn du die Verbindung zu Google Ads aktivierst, erweitert sich die Datenverarbeitung entsprechend – Google Ads benötigt dann einen eigenen Eintrag in deiner Datenschutzerklärung.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Google Analytics?
Es gibt einige Alternativen.
Matomo Analytics (selbst gehostet) über das offizielle WordPress-Plugin ist eine vollwertige Alternative. Matomo bietet dieselben Kernfunktionen wie Google Analytics – Besucherzahlen, Seitenaufrufe, Herkunft, Verweildauer – aber ohne Tracking-Cookies, ohne externe Verbindungen und ohne Datenübertragung in die USA. Alle Daten bleiben auf deinem eigenen Server.
Fehler
Die häufigsten Fehler mit Google Analytics auf WordPress-Websites
Der verbreitetste Fehler: Google Analytics lädt, bevor ein Besucher dem Cookie-Banner zugestimmt hat. Das passiert, wenn das Tracking-Skript direkt im WordPress-Theme oder per Plugin eingebunden ist, aber nicht mit dem Cookie-Banner verknüpft wurde. Jeder Seitenaufruf ohne Zustimmung ist dann ein Datenschutzverstoß. Der Cookie-Banner muss Google Analytics aktiv blockieren – nicht nur anzeigen.
Ein weiterer häufiger Fehler: Der Vertrag mit Google wurde nie im Analytics-Konto bestätigt. Viele Website-Betreiber aktivieren das Tracking über ein Plugin, vergessen aber den Schritt in den Kontoeinstellungen. Ohne bestätigten Vertrag fehlt die rechtliche Grundlage für die Auftragsverarbeitung.
Ebenfalls oft vergessen: Der Google-Analytics-Eintrag in der Datenschutzerklärung fehlt komplett oder nennt nicht die Google Ireland Limited als Empfänger und erwähnt keinen Hinweis auf die USA-Übertragung. Beides ist Pflicht.
Schließlich ein technisches Risiko für fortgeschrittene Nutzer: Wer eigene Ereignisse in Google Analytics einrichtet und dabei echte E-Mail-Adressen, Namen oder andere persönliche Daten als Parameter mitschickt, verstößt damit gegen Googles Nutzungsbedingungen und gegen die DSGVO. Solche Daten dürfen nicht an Google übermittelt werden.
DSGVO-Check
Ist Google Analytics auf deiner Website aktiv?
Google Analytics verrät sich durch konkrete Cookie-Namen und durch Verbindungen zu bekannten Domains. Du kannst direkt im Browser prüfen, ob das Tracking aktiv ist.
Suche in den Cookies deiner Website nach diesen Namen: _ga, _gid, _gat sowie nach Cookies, deren Name mit _ga_ beginnt (also z. B. _ga_ABC123XYZ). Wenn du diese Cookies findest, ist Google Analytics aktiv. Du kannst dafür in deinem Browser die Entwicklertools öffnen (Taste F12 → Reiter „Anwendung“ oder „Application“ → „Cookies“) oder einen Cookie-Banner-Test nutzen.
Prüfe außerdem, ob deine Website Verbindungen zu diesen Domains aufbaut: www.google-analytics.com, region1.google-analytics.com und www.googletagmanager.com. Wenn solche Verbindungen beim Seitenaufruf entstehen – noch bevor du dem Cookie-Banner zugestimmt hast –, lädt Google Analytics ohne Einwilligung.
Ein automatischer Datenschutz-Scan, der deine Website direkt prüft, deckt beides zuverlässig auf – Cookies und externe Verbindungen.
Quellen und weiterführende Links
- Google Analytics – offizielle Website
- Google Analytics – Hilfe und Dokumentation
- Google Analytics – Cookie-Übersicht (GA4)
- Google Analytics – Datenverarbeitungsbedingungen (AVV)
- Matomo Analytics – WordPress-Plugin auf wordpress.org
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.