Der Beitrag ordnet einen älteren, aber weiterhin wichtigen Referenzpunkt des Datenschutzrechts für Unternehmen ein: die 2020 veröffentlichte Position der Datenschutzkonferenz zum Einsatz von Google Analytics. Für Websitebetreiber ist heute zusätzlich relevant, dass sich seitdem sowohl die Produktlage bei Google Analytics als auch die Rechtslage zu Drittlandtransfers deutlich verändert haben.
Im Mittelpunkt steht die Frage, unter welchen datenschutzrechtlichen Mindestanforderungen Google Analytics auf Websites eingesetzt werden kann.
Relevant ist der Beitrag für Unternehmen, Agenturen, Marketingverantwortliche und Websitebetreiber, die Tracking, Consent und Datenschutzhinweise sauber aufeinander abstimmen müssen.
Sie sehen, was der Altbeitrag weiterhin trägt, welche Punkte heute neu zu bewerten sind und welche praktischen Prüfsteine für bestehende Set-ups im Vordergrund stehen.
Das Wichtigste in Kürze
- Der Kern des Altbeitrags bleibt tragfähig: Bei typischen Website-Tracking-Set-ups stehen Einwilligung, Transparenz und eine saubere technische Einbindung weiterhin im Zentrum.
- Der Beitrag bezieht sich auf die DSK-Hinweise vom 12.05.2020 und die damaligen Standardkonfigurationen von Google Analytics; diese historische Ausgangslage ist von der heutigen Produkt- und Transferlage zu trennen.
- Seit dem 01.07.2023 verarbeitet Universal Analytics in Standard-Properties keine neuen Daten mehr; die praktische Prüfung betrifft heute regelmäßig Google Analytics 4.
- Seit dem 10.07.2023 besteht mit dem EU-U.S. Data Privacy Framework eine neue Transferlage; das ersetzt aber weder die Einwilligungsprüfung noch die Pflicht zu klaren Datenschutzhinweisen und belastbarer Konfiguration.
Aktuelle Einordnung
Stand April 2026
Der ursprüngliche Beitrag knüpft an die DSK-Hinweise vom 12.05.2020 und an die damaligen Standardeinstellungen von Google Analytics an. Diese Einordnung bleibt für Fragen der Einwilligung, Transparenz und datensparsamen Konfiguration ein wichtiger Ausgangspunkt.
Seit Veröffentlichung haben sich zwei Punkte wesentlich verändert: Erstens hat Google Analytics 4 Universal Analytics abgelöst; Standard-Universal-Analytics-Properties verarbeiten seit dem 01.07.2023 keine neuen Daten mehr. Zweitens gilt seit dem 10.07.2023 der EU-U.S. Data Privacy Framework; Google LLC ist dort als aktiver Teilnehmer gelistet.
Damit ist die heutige Prüfung nicht mehr identisch mit der Lage aus 2020 oder mit der unmittelbaren Zeit nach Schrems II. Für Websitebetreiber bleibt die datenschutzrechtliche Kernfrage aber bestehen: Consent, technische Ausspielung, Transparenz, Rollenverteilung, Retention, Drittlandbezug und tatsächliche Konfiguration müssen in der konkreten Website-Implementierung zusammenpassen.
Was davon heute fortgilt
| Prüfebene | Einordnung heute |
|---|---|
| Einwilligung und Endgerätzugriff | Bei typischen Tracking- und Analysewerkzeugen ist die Prüfung nicht auf die DSGVO beschränkt. Für Website-Set-ups ist regelmäßig auch § 25 TDDDG mitzudenken, also die Frage des Zugriffs auf Informationen in Endgeräten oder der Speicherung dort. |
| Drittlandtransfers | Die Transferlage ist seit dem EU-U.S. Data Privacy Framework vom 10.07.2023 anders zu bewerten als unmittelbar nach Schrems II. Die konkrete Website-Einbindung, die offengelegte Datenkette und die gewählten Google-Einstellungen müssen dennoch weiterhin sauber geprüft werden. |
| Produktstand | Der Altbeitrag spricht die damaligen Standardsettings an. In der Praxis betrifft die aktuelle Prüfung meist GA4 mit den heutigen Privacy- und Regionalkontrollen und nicht mehr Universal Analytics. |
| Behörden- und Rechtsprechungslinie | Die strenge Linie europäischer Aufsichtsbehörden zum Einsatz von Google Analytics und US-Transfers wurde durch die koordinierte Aufarbeitung der 101 Beschwerden zusätzlich geschärft; der EDPB-Bericht vom 28.03.2023 zeigt, warum ältere Beiträge heute vor allem sauber eingeordnet und nicht unverändert fortgeschrieben werden sollten. |
Google Analytics und die Auffassungen der Datenschutzaufsichtsbehörden
Datenschutzrecht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erteilte mittels Beschlusses vom 12.05.2020 neue Hinweise zum Einsatz von Google Analytics auf Websites und beschreibt datenschutzrechtliche Mindestanforderungen, die nach ihrer Auffassung zwingend einzuhalten seien. Dies dürfte jeden Einsatz von Google Analytics betreffen, wenn die derzeitigen Standardeinstellungen (Stand: 11.03.2020) unverändert blieben.
Zusammenfassend äußert die DSK die nachfolgenden Rechtsauffassungen:
- Datenverarbeitung über Google Analytics erfolgt nicht im Rahmen einer Auftragsverarbeitung im Sinne von Artikel 28 Datenschutz-Grundverordnung (DSGVO).
- Google und der Google-.Analytics-Nutzer seien vielmehr gemeinsam Verantwortliche im Sinne von Artikel 26 DSGVO, so dass die Anforderungen des Artikels 26 DSGVO zu erfüllen seien.
- Google Analytics könne in der Regel nicht auf den Rechtsgrund der Vertragserfüllung gestützt werden, vgl. Artikel 6 Absatz 1 Satz 1 b) DSGVO.
- In der Regel könne Google Analytics auch nicht aufgrund berechtigter Interessen eingesetzt werden, vgl. Artikel 6 Absatz 1 Satz 1 f) DSGVO.
- In der Regel könne Google Analytics nur aufgrund einer wirksamen Einwilligung des Websitebesuchers verwendet werden, vgl. Artikel 6 Absatz 1 Satz 1 f), Artikel 7 DSGVO.
Wir berichteten über die jüngere Rechtsprechung des EUGH (auch dort) und BGH, welche die Auffassungen der DSK stützen dürfte.
Hierauf basierend fordert die DSK bei dem Einsatz von Google Analytics konkrete Maßnahmen:
- Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer
- Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
- Transparenz
- Kürzung der IP-Adresse
Zu den vorbenannten Punkten enthält der Beschluss des DSK weitere Erläuterungen.
Bereits die Anforderungen aus Artikel 28 DSGVO an eine gemeinsame Verantwortlichkeit und spätestens die Anforderungen an eine wirksame Einwilligung werden Websitebetreiber bei Verwendung von Google Analytics in den Standardeinstellung zur aktiven Suche nach Lösungen zwingen.
Selbstverständlich erklärt aber auch die DSK vorweg, dass ihre Auffassungen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EUGH stehen. Es ist davon auszugehen, dass entsprechend Verfahren in Zukunft auf einzelne Websitebetreiber zukommen werden, die nicht die benannten Maßnahmen ergreifen.
Worauf es bei bestehenden Website-Set-ups praktisch ankommt
Praktische Prüfpunkte
- Die Einwilligungslogik muss technisch tragen. Analysecode darf nicht unkontrolliert vor Consent laden, und der Widerruf muss praktisch ebenso wirksam umsetzbar sein wie die Einwilligung selbst.
- Die Datenschutzhinweise müssen zur tatsächlichen Website-Realität passen. Aussagen zu Tool-Einsatz, Retention, Drittlandbezug und Empfängern dürfen nicht nur formal vorhanden sein, sondern müssen die konkrete Konfiguration abbilden.
- Bei GA4 sind die aktuellen Google-Einstellungen mitzudenken, etwa EU-focused data and privacy, Privacy controls und Data-Retention-Einstellungen.
- Wenn Tracking-Setup, Consent-Management, Dienstleisterkette und technische Implementierung gemeinsam bewertet werden müssen, berührt das häufig auch angrenzende Fragen des IT-Rechts.
Ruhige Folgerung
Der Altbeitrag ist kein überholter Randbefund. Er ist heute vor allem ein Ausgangspunkt für die Prüfung, ob Consent, Transparenz, technische Einbindung und Transferlogik bei einer konkreten Website noch stimmig sind.
Wenn Banner, Datenschutzerklärung und Tracking-Set-up als Ganzes geprüft werden sollen, kann eine gezielte DSGVO-Website-Prüfung sinnvoll sein.
FAQ
Braucht Google Analytics heute noch eine Einwilligung?
Für typische Website-Tracking-Set-ups bleibt die Einwilligung regelmäßig der sichere Ausgangspunkt. Das folgt nicht nur aus der älteren DSK-Linie, sondern auch daraus, dass bei Website-Tracking regelmäßig § 25 TDDDG mitzudenken ist.
Hat das EU-U.S. Data Privacy Framework alle Transferfragen erledigt?
Nein. Seit dem 10.07.2023 besteht zwar eine neue Transferlage, und Google LLC ist als aktiver Teilnehmer gelistet. Das ersetzt aber nicht die Prüfung der konkreten Datenkette, der Transparenz, der Rollenverteilung und der tatsächlich gewählten Produkt- und Kontoeinstellungen.
Macht GA4 den 2020er Beitrag gegenstandslos?
Nein. Universal Analytics ist seit dem 01.07.2023 im Standardbetrieb beendet, und die praktische Prüfung betrifft heute meist GA4. Die Grundfragen des Beitrags – Einwilligung, Transparenz, datensparsame Konfiguration und belastbare Dokumentation – bleiben jedoch aktuell.
Offizielle Quellen und weiterführende Hinweise
- Datenschutzkonferenz: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich vom 12.05.2020
- EDPB: Report of the work undertaken by the supervisory authorities in the 101 complaints task force vom 28.03.2023
- Europäische Kommission: Angemessenheitsentscheidung zum EU-U.S. Data Privacy Framework vom 10.07.2023
- Data Privacy Framework: Teilnehmerprofil von Google LLC
- § 25 TDDDG: Schutz der Privatsphäre bei Endeinrichtungen
Zuständige Rechtsanwälte bei ITMR
Für Fragen zu Website-Tracking, Consent, Drittlandtransfers und behördlicher Einordnung ist bei ITMR insbesondere Jean Paul Bohne tätig. Das Profil weist ihn unter anderem als Fachanwalt für IT-Recht sowie als zertifizierten Datenschutzbeauftragten und Datenschutzauditor aus.
Für die vertiefte Einordnung von Rechtsgrundlagen, Transparenzpflichten, Aufsichtsfragen und internationalen Datenübermittlungen führt die fachliche Vertiefung in das Datenschutzrecht für Unternehmen.
Google Analytics: Datenschutz Aufsichtsbehörden fordern Maßnahmen der Websitebetreiber