DSGVO-Konformität für Google Search Console, Analytics 4 und Tag Manager

SEO
Von

Da hier deutsches Recht gilt, kein Internet-Führerschein existiert, Dummheit nicht verboten ist und das "Gesetz zur Stärkung des fairen Wettbewerbs" aus dem Jahre 2020 die Situation zwar etwas entschärft hat, aber immer noch genug Spielraum für Idioten übrig bleibt: Das hier ist selbstverständlich keine Rechtsberatung!

Ich fasse hier kurz die wichtigsten Implikationen der Datenschutz-Grundverordnung (DSGVO) für die Google Search Console (GSC), Google Analytics 4 (GA4) und den Google Tag Manager (GTM) zusammen. So habt ihr erstmal eine schnelle Orientierung, die einzelnen Google Tools werden in den nachfolgenden Kapiteln ausführlicher behandelt. Zum Schluss gibt es eine Übersicht über GA4 Alternativen mit Fokus auf Sitz und Serverstandorte in der EU.

Zusammenfassung Google Search Console (GSC)

Hier geht man von einem geringen direkten DSGVO-Risiko für den Website-Betreiber aus.

  • Begründung: Die GSC verarbeitet aggregierte und anonymisierte Daten aus dem Google-Suchindex, nicht personenbezogene Daten, die von den Besuchern Ihrer Website erhoben werden. Für diesen Verarbeitungsprozess agiert Google als der datenschutzrechtlich Verantwortliche.
  • Erforderliche Maßnahmen: Für den Betrieb der GSC selbst ist kein Consent-Banner erforderlich. Eine spezifische Erwähnung in der Datenschutzerklärung ist nicht notwendig, da der Betreiber der Website nicht der Verantwortliche für diese Datenverarbeitung ist. Die primäre Verpflichtung des Betreibers liegt in der sicheren Verwaltung der Nutzerzugänge zum GSC-Konto selbst.

Zusammenfassung Google Analytics 4 (GA4)

Hier ist von einem hohen direkten Risiko und erheblichen Compliance-Verpflichtungen für die Website-Betreiber auszugehen.

  • Begründung: GA4 erhebt personenbezogene Daten (z. B. User-IDs, IP-Adressen, Geräteinformationen) direkt von den Website-Besuchern, was eine Verarbeitung im Sinne der DSGVO darstellt. Die Daten werden in die USA, ein rechtlich als Drittland eingestuftes Land, übermittelt, was einer ständigen rechtlichen Prüfung unterliegt.

  • Erforderliche Maßnahmen:
    - Einholung einer ausdrücklichen, granularen Nutzereinwilligung über ein konformes Cookie-Banner, bevor GA4-Tags ausgelöst werden.  
    - Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit Google.  
    - Implementierung technischer Schutzmaßnahmen: Minimierung der Datenspeicherdauer auf 2 Monate, Deaktivierung von Google Signals und Sicherstellung der IP-Anonymisierung.  
    - Aktualisierung der Datenschutzerklärung mit detaillierten Informationen über die Nutzung von GA4.

Zusammenfassung Google Tag Manager (GTM)

Gilt als ein neutrales Werkzeug, dessen Konformität vollständig von seiner Konfiguration abhängt. Er ist allerdings häufig die zentrale Instanz zur Durchsetzung der Einwilligung.

  • Begründung: Der GTM selbst verarbeitet keine Daten, sondern steuert die Tags (wie GA4), die dies tun. Eine Fehlkonfiguration kann zu schwerwiegenden DSGVO-Verstößen führen.

  • Erforderliche Maßnahmen:
    - Konfiguration des GTM, sodass Tracking-Tags (wie GA4) erst nach Erhalt einer ausdrücklichen Nutzereinwilligung ausgelöst werden.  
    - Implementierung des Google Consent Mode v2 (seit März 2024 verpflichtend), vorzugsweise im Basic Mode, um das Senden von Daten-Pings ohne Einwilligung an Google zu vermeiden.  
    - Strikte Verwaltung der Nutzerberechtigungen innerhalb des GTM, um die Bereitstellung nicht autorisierter oder nicht konformer Tags zu verhindern

Übersichtstabelle:

Werkzeug Nutzereinwilligung erforderlich? AVV erforderlich? US-Datentransfer-Risiko Erwähnung in Datenschutzerklärung erforderlich? Primäre DSGVO-Rolle des Betreibers
Google Search Console (GSC) Nein Nein Gering (Google ist Verantwortlicher) Nicht zwingend erforderlich Nutzer der Daten
Google Analytics 4 (GA4) Ja (ausdrücklich & vorab) Ja (zwingend) Hoch (DPF rechtlich instabil) Ja (detailliert) Verantwortlicher
Google Tag Manager (GTM) Konditional (zur Steuerung der Tags) Nein (GTM ist reines Werkzeug) Keines (GTM selbst transferiert keine Daten) Ja (im Kontext der Consent-Steuerung) Verantwortlicher (für die Konfiguration)

Im Detail: Die Google Search Console (GSC) und die DSGVO

Die Natur der GSC-Daten: Ein Blick "von außen nach innen"

Die Google Search Console stellt Website-Betreibern Daten über die Leistung ihrer Website in der Google-Suche zur Verfügung. Dies umfasst Metriken wie Impressionen, Klicks, die durchschnittliche Position und die Suchanfragen, die zu diesen Ergebnissen geführt haben.

Der entscheidende Punkt ist, dass diese Daten von Google aus dem eigenen Suchmaschinenbetrieb gesammelt und aggregiert werden.

Sie werden nicht durch das Platzieren eines Trackers auf der Website des Betreibers erhoben, um das Verhalten einzelner Besucher zu überwachen. Diese Außenperspektive ist der grundlegende Grund für den unterschiedlichen DSGVO-Status im Vergleich zu Google Analytics 4.

Die entscheidende rechtliche Frage: Wer ist der Datenverantwortliche?

Gemäß der DSGVO bestimmt der Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen. Bei den in der GSC dargestellten Daten ist Google der Verantwortliche. Google sammelt die Suchaktivitäten der Nutzer seiner Suchmaschine, um seinen Suchdienst bereitzustellen und zu verbessern. Der Website-Betreiber ist lediglich Empfänger einer aggregierten, anonymisierten Teilmenge dieser Daten.

Eine mögliche Verwirrung über den DSGVO-Status der GSC rührt von der falschen Zuordnung des Datenverantwortlichen her. Da der Website-Betreiber nicht der Verantwortliche für die Datenerhebung ist, die die GSC speist, treffen ihn die primären Pflichten eines Verantwortlichen – wie die Einholung der Einwilligung für die Erhebung oder die Bereitstellung einer detaillierten Datenschutzklausel für diese spezifische Verarbeitung – nicht.

Die Verpflichtungen der DSGVO richten sich in erster Linie an den Datenverantwortlichen. Da der Website-Betreiber die Erhebung der Suchprotokolldaten weder anweist noch deren Art und Weise definiert, liegt die Verantwortung bei Google. Dies entbindet den Betreiber von der Notwendigkeit, eine Einwilligung für die Erhebung von GSC-Daten einzuholen.

Praktische Implikationen: Was Ihr nicht tun müsst

Basierend auf der Unterscheidung zwischen Verantwortlichem und Empfänger müssen Betreiber Folgendes nicht tun:

  • Eine Nutzereinwilligung über ein Cookie-Banner für die Nutzung der GSC einholen.
  • Eine spezifische Klausel für die GSC in die Datenschutzerklärung ihrer Website aufnehmen, da sie keine Besucherdaten über die GSC verarbeiten

Die versteckte Verpflichtung: Zugriffsmanagement und das Prinzip der geringsten Rechte (PoLP)

Obwohl die Datenverarbeitung für den Betreiber ein geringes Risiko darstellt, enthält das GSC-Konto selbst unter Umständen sensible Geschäftsinformationen (Leistungsdaten, Einblicke in die Keyword-Strategie, Sicherheitsprobleme). Daher ist die Verwaltung der Zugriffe auf diese Daten eine kritische interne Maßnahme zur Datengovernance und Sicherheit.

Google stellt hierfür unterschiedliche Rollen zur Verfügung: Inhaber (Bestätigter und Delegierter), Vollständiger Nutzer und Eingeschränkter Nutzer.

  • Inhaber: Hat die volle Kontrolle, kann Nutzer hinzufügen/entfernen und Einstellungen ändern. Diese Rolle sollte streng auf wenige vertrauenswürdige Personen beschränkt sein (z. B. Geschäftsinhaber, IT-Leitung).
  • Vollständiger Nutzer: Kann alle Daten einsehen und einige Aktionen durchführen (z. B. Sitemaps einreichen, Disavow-Tool verwenden), aber keine Nutzer verwalten. Geeignet für SEO-Manager oder Agenturpartner.
  • Eingeschränkter Nutzer: Hat einfache Lese-Rechte und kann keine Aktionen durchführen. Ideal für Content-Autoren oder Junior-Marketer.

Die GSC-API ermöglicht den programmatischen Zugriff auf Daten, unterstützt jedoch explizit keine Nutzerverwaltung. Dies bedeutet, dass die Nutzerzugriffe manuell über die Benutzeroberfläche geprüft werden müssen.

Das primäre DSGVO-bezogene Risiko für einen Betreiber bei der Nutzung der GSC ist somit nicht extern (Bußgelder von Aufsichtsbehörden), sondern intern (Datenpannen oder Missbrauch durch mangelhafte Zugriffskontrollen). Die Vergabe übermäßiger Berechtigungen (z. B. Inhaber-Zugriff für alle) verstößt gegen das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) und erhöht das Risiko versehentlicher oder böswilliger Änderungen.

Da eine programmatische Überprüfung der Nutzer via API nicht möglich ist, ist die manuelle Überprüfung der Seite Nutzer und Berechtigungen die einzige Möglichkeit, die Einhaltung interner Sicherheitsrichtlinien und des Geistes der Sicherheitsanforderungen der DSGVO (Artikel 32) zu gewährleisten. Regelmäßige manuelle Audits sind daher eine notwendige Sicherheitsprozedur.

Im Detail: Google Analytics 4 (GA4) im DSGVO-Minenfeld

Der Grundpfeiler: Ausdrückliche und informierte Nutzereinwilligung

Im Gegensatz zur GSC platziert GA4 Tracker (Cookies, Skripte) auf dem Gerät des Nutzers und sammelt personenbezogene Daten, einschließlich Online-Kennungen, IP-Adressen (auch wenn nur vorübergehend) und Verhaltensdaten. Dies erfordert eine ausdrückliche, vorherige und informierte Einwilligung gemäß der ePrivacy-Richtlinie und der DSGVO. Ein einfacher "Diese Seite verwendet Cookies" - Banner ist unzureichend.

Ein konformer Einwilligungsmechanismus muss folgende Kriterien erfüllen:

  • Aktiv: Keine vorab angekreuzten Kästchen. Nutzer müssen aktiv zustimmen.
  • Granular: Nutzer müssen die Möglichkeit haben, für spezifische Zwecke (z. B. Analyse, Marketing) separat einzuwilligen.
  • Freiwillig: Der Zugang zur Website darf nicht von der Einwilligung in nicht essenzielles Tracking abhängig gemacht werden.
  • Leicht widerrufbar: Nutzer müssen ihre Präferenzen jederzeit einfach ändern können.

Vertragliche Absicherung: Der Auftragsverarbeitungsvertrag (AVV)

Bei der Nutzung von GA4 ist der Website-Betreiber der Datenverantwortliche und Google der Datenverarbeiter. Artikel 28 der DSGVO schreibt einen rechtlich bindenden Vertrag zwischen Verantwortlichem und Verarbeiter vor, bekannt als Auftragsverarbeitungsvertrag (AVV).

Der Auftragsverarbeitungsvertrag ist nicht optional; die Nutzung von GA4 ohne gültigen AVV stellt einen direkten Verstoß gegen die DSGVO dar.

Der AVV kann elektronisch in der GA4-Verwaltungsoberfläche akzeptiert werden. Navigieren Sie zu Verwaltung > Kontoeinstellungen . Unter "Zusatz zur Datenverarbeitung" kann der Vertrag eingesehen und akzeptiert werden. Dies erfordert Bearbeiter - oder Administrator - Berechtigungen.

Das transatlantische Datenrisiko: Das EU-US Data Privacy Framework (DPF)

GA4 verarbeitet Daten auf Servern in den USA. Die DSGVO beschränkt Datenübermittlungen in Drittländer, es sei denn, diese bieten ein angemessenes Datenschutzniveau. Die aktuelle Rechtsgrundlage für Übermittlungen an zertifizierte US-Unternehmen wie Google ist das EU-US Data Privacy Framework (DPF), ein Angemessenheitsbeschluss, der im Juli 2023 angenommen wurde.

Dieses Framework ist jedoch rechtlich fragil. Datenschutzorganisationen wie NOYB haben es bereits angefochten, da es im Wesentlichen eine Wiederholung seiner für ungültig erklärten Vorgänger (Safe Harbor, Privacy Shield) sei.

Die norwegische Datenschutzbehörde hat Anfang 2025 ebenfalls vor seiner potenziell kurzen Gültigkeit gewarnt. Die Kernproblematik des Zugriffs von US-Behörden auf Daten wurde nicht grundlegend gelöst, was bedeutet, dass das DPF mit hoher Wahrscheinlichkeit einer ähnlichen rechtlichen Anfechtung und potenziellen Ungültigkeitserklärung durch den Europäischen Gerichtshof (EuGH) gegenübersteht.

Dies schafft ein erhebliches, andauerndes Rechtsrisiko. Sollte das DPF für ungültig erklärt werden, könnten Datenübermittlungen über Nacht illegal werden, wie es bei Privacy Shield der Fall war. Die Nutzung von GA4 ist daher eine Hochrisikostrategie, die einen Notfallplan erfordert.

Technische Konfiguration für den Datenschutz: Eine obligatorische Checkliste

Eine Einwilligung und ein AVV allein reichen nicht aus. Ihr müsst GA4 so datenschutzfreundlich wie möglich konfigurieren.

  • IP-Anonymisierung: In GA4 ist die IP-Anonymisierung standardmäßig aktiviert. Google verwendet die volle IP-Adresse jedoch kurzzeitig zur Geolokalisierung des Nutzers, bevor sie verworfen wird. Obwohl dies eine Verbesserung gegenüber Universal Analytics darstellt, könnten einige Datenschutzbehörden diese initiale Verarbeitung weiterhin als problematisch ansehen.
  • Datenspeicherung: Setzt die Aufbewahrungsfrist für Daten auf Nutzerebene auf das Minimum von 2 Monaten. Eine längere Frist (bis zu 14 Monate sind möglich) erfordert eine stichhaltige rechtliche Begründung. Diese Einstellung findet Ihr unter Verwaltung > Dateneinstellungen > Datenaufbewahrung .

Deaktivierung von Google Signals und Datenfreigabe:

  • Google Signals: Diese Funktion sammelt geräteübergreifende Daten für Remarketing-Zwecke. Sie stellt eine erhebliche Ausweitung der Datenverarbeitung dar und sollte deaktiviert werden, es sei denn, es liegt eine klare Rechtsgrundlage und eine explizite Information der Nutzer vor. Ihr findet diese Option unter Verwaltung > Dateneinstellungen > Datenerhebung .
  • Datenfreigabeeinstellungen: Deaktiviert unter Verwaltung > Kontoeinstellungen alle optionalen Datenfreigaben mit anderen Google-Produkten, um die Verarbeitung auf das Notwendigste zu beschränken.

Fortgeschrittene Risikominderung: Serverseitiges Tracking:

Die Implementierung von GA4 über einen serverseitigen GTM-Container ermöglicht es dem Betreiber, einen Proxy zwischen dem Browser des Nutzers und den Google-Servern zu schalten. Dies bietet eine größere Kontrolle und erlaubt das Entfernen oder Hashen von personenbezogenen Daten (wie IP-Adressen) bevor sie an Google gesendet werden, was die Risiken des Datentransfers erheblich reduziert.

Erfüllung der Transparenzpflichten: Anpassung der Datenschutzerklärung

Eure Datenschutzerklärung muss evtl. aktualisiert werden, um detaillierte Informationen über die Nutzung von GA4 zu enthalten. Erforderliche Elemente sind:

  • Zweck der Verarbeitung (z. B. Website-Analyse).
  • Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO).
  • Datenempfänger (Google Ireland Ltd., mit anschließender Übermittlung an Google LLC, USA).
  • Information über den US-Datentransfer und die Berufung auf den DPF-Angemessenheitsbeschluss.
  • Dauer der Datenspeicherung (z. B. 2 Monate).
  • Eine klare Erklärung, wie Nutzer ihre Einwilligung widerrufen können.

Es gibt verschiedene Dienstleister, die ein rechtssicheres Impressum sowie eine auf die jeweilige Website angepasste Datenschutzerklärung erstellen und aktuell halten. Wir nutzen hier schon seit vielen Jahren die Schutzpakete der https://www.it-recht-kanzlei.de/ .

Im Detail: Google Tag Manager (GTM) als zentrale Compliance-Drehscheibe

Die Rolle des GTM: Ein Werkzeug, keine Lösung

Der GTM ist ein System zur Verwaltung von Tags; ein mächtiges Werkzeug zur Bereitstellung und Verwaltung von Tracking-Skripten, ohne den Quellcode der Website bearbeiten zu müssen.

Der GTM ist erstmal DSGVO-neutral. Sein Konformitätsstatus ergibt sich direkt aus seiner Konfiguration. Ein gut konfigurierter GTM ist für die DSGVO-Konformität unerlässlich; ein schlecht konfigurierter kann eine Quelle massiver Datenlecks und Verstöße sein.

Die Kernfunktion: Implementierung eines robusten Einwilligungsmanagements

Die primäre Rolle des GTM im DSGVO-Kontext besteht darin, als Torwächter für die Einwilligung zu fungieren. Er muss so konfiguriert werden, dass Tags, die personenbezogene Daten verarbeiten (wie GA4, Google Ads, Facebook Pixel), erst dann ausgelöst werden, wenn der Nutzer seine ausdrückliche Zustimmung erteilt hat. Dies wird durch Trigger erreicht, die den Einwilligungsstatus des Nutzers überprüfen, bevor ein Tag ausgeführt wird.

Seit März 2024 ist die Verwendung des Google Consent Mode v2 für Websites, die Google-Dienste nutzen und auf Nutzer im EWR abzielen, obligatorisch. Er führt zwei neue Parameter ein: ad_user_data und ad_personalization , zusätzlich zu den bestehenden analytics_storage und ad_storage.

Basic vs. Advanced Mode:

  • Basic Mode: Google-Tags werden vollständig blockiert, bis die Einwilligung erteilt wird. Ohne Einwilligung werden keine Daten an Google gesendet. Dies ist der unkomplizierteste und rechtlich sicherste Ansatz für die DSGVO-Konformität.

  • Advanced Mode: Google-Tags werden geladen, bevor der Nutzer seine Einwilligung gibt. Wird die Einwilligung verweigert, senden die Tags cookielose "Pings" an Google. Diese Pings enthalten Daten wie Zeitstempel, Referrer und Ad-Klick-Kennungen.

Der Advanced Mode ist aus DSGVO-Sicht rechtlich problematisch. Die cookielosen Pings übermitteln immer noch Informationen an Google, die (insbesondere in Kombination) als personenbezogene Daten angesehen werden können, ohne dass eine gültige Rechtsgrundlage (Einwilligung) vorliegt. Aus strenger datenschutzrechtlicher Sicht sollte daher nur die Implementierung im Basic Mode in Betracht gezogen werden. Die Verarbeitung von Datenpunkten wie IP-Adresse, User-Agent und Referrer, selbst wenn sie cookieless sind, kann potenziell zur Identifizierung einer Person führen und erfordert daher eine Rechtsgrundlage, die im Advanced Mode bei Ablehnung fehlt.

Verhinderung von Datenlecks und Sicherheitsmanagement

Untersuchungen haben gezeigt, dass selbst offiziell unterstützte GTM-Tags beliebige Drittanbieter-Skripte einschleusen können, wodurch das GTM-Berechtigungssystem umgangen und potenzielle Sicherheits- und Datenschutzlücken geschaffen werden.

Dies unterstreicht die Notwendigkeit einer kontrollierten GTM-Umgebung. Vermeidet das Hinzufügen von Tags aus nicht vertrauenswürdigen Quellen und überprüft regelmäßig das Verhalten aller bereitgestellten Tags.

Zugriffskontrolle im GTM: Anwendung von PoLP auf ein mächtiges Werkzeug

Der GTM-Zugriff wird auf Konto- und Container-Ebene gewährt. Die Vergabe von Berechtigungen auf Kontoebene gewährt einem Nutzer Zugriff auf alle Container innerhalb dieses Kontos. Container-spezifische Berechtigungen sind entscheidend für die Anwendung des Prinzips der geringsten Rechte (PoLP).

Tabelle: GTM-Nutzerrollen und empfohlene Anwendungsfälle

Berechtigungsstufe Hauptfähigkeiten Empfohlen für Hauptrisiken bei Missbrauch
Lesen Kann Tags, Trigger und Variablen einsehen. Kann keine Änderungen vornehmen. Stakeholder, Junior-Teammitglieder, die die Konfiguration einsehen müssen. Gering. Offenlegung von Tracking-Strategien.
Bearbeiten Kann Arbeitsbereiche erstellen und Tags/Trigger/Variablen ändern. Kann keine Versionen erstellen oder veröffentlichen. Agenturpartner, Entwickler, Marketing-Teammitglieder, die Änderungen zur Überprüfung vorbereiten. Fehlerhafte Tag-Konfigurationen, die vor der Veröffentlichung abgefangen werden müssen.
Genehmigen Kann Versionen erstellen und Änderungen genehmigen. Kann nicht veröffentlichen. Teamleiter, Senior-Marketer, die die Arbeit anderer vor der endgültigen Veröffentlichung überprüfen. Genehmigung fehlerhafter Konfigurationen, die zu Tracking-Fehlern führen könnten.
Veröffentlichen Volle Rechte. Kann Änderungen live auf der Website schalten. Nur 1-2 absolut vertrauenswürdige, technisch versierte Senior-Administratoren. Kann die Website durch fehlerhafte Skripte lahmlegen, schwerwiegende Datenschutzverletzungen verursachen.

Die GTM-API ermöglicht die programmatische Verwaltung von Konten, Containern und sogar Nutzerberechtigungen. Dies ist eine leistungsstarke Funktion für die Automatisierung, aber auch ein Sicherheitsrisiko.

API-Schlüssel und Service-Account-Anmeldeinformationen müssen mit der gleichen Sorgfalt geschützt werden wie Administrator-Passwörter.

Übergreifende Empfehlungen und strategischer Ausblick

Mehr als Checklisten: Etablierung eines Data-Governance-Frameworks

Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Anstatt auf rechtliche Änderungen zu reagieren, sollten Organisationen proaktiv ein Data-Governance-Framework etablieren. Ein Data-Governance-Reifegradmodell (z. B. von IBM, Gartner oder DAMA) kann helfen, den aktuellen Zustand zu bewerten und Verbesserungen zu planen.

Diese Modelle bieten einen strukturierten Weg von einem "reaktiven" oder "initialen" Zustand zu einem "gemanagten" und "optimierten" Zustand, in dem Data Governance in der Unternehmenskultur verankert ist, siehe nachfolgende Tabelle.

Stufe Beschreibung Beispielhafte Merkmale
1. Initial Ad-hoc, reaktiv, keine formalen Prozesse Datenmanagement erfolgt unkoordiniert, Verantwortlichkeiten unklar
2. Wiederholbar Erste Standards und Prozesse, aber noch inkonsistent umgesetzt Einzelne Teams etablieren eigene Regeln, wenig Abstimmung
3. Definiert Organisationweit definierte und dokumentierte Prozesse Klare Rollen, Richtlinien und Standards, erste Tools
4. Gemanagt Prozesse werden überwacht, gemessen und kontinuierlich verbessert KPIs, regelmäßige Audits, Data Stewardship etabliert
5. Optimiert Data Governance ist Teil der Unternehmenskultur, kontinuierliche Innovation und Optimierung Automatisierung, Data Governance als Wettbewerbsvorteil

Die Bedeutung regelmäßiger Audits

Plant regelmäßige (z. B. vierteljährliche oder halbjährliche) Audits Eures gesamten Analyse- und Tag-Management-Setups.

Audit-Checkliste:

  • Nutzerberechtigungen: Überprüft alle Nutzer und ihre Zugriffsebenen in GSC, GA4 und GTM. Entfernt Nutzer, die keinen Zugriff mehr benötigen, und stuft Berechtigungen für solche mit übermäßigen Rechten herab. Nutzt die Änderungshistorie in GA4 zur Überwachung der Nutzeraktivitäten.
  • Tool-Konfiguration: Überprüft die GA4-Datenaufbewahrung, den Status von Google Signals und andere Datenschutzeinstellungen.
  • Einwilligungsmechanismus: Testet das Consent-Banner und nutzt den Vorschaumodus des GTM, um sicherzustellen, dass die Tags korrekt auf Basis der Einwilligungsentscheidungen ausgelöst werden.
  • Datenschutzerklärung: Stellt sicher, dass die Erklärung alle aktuellen Datenverarbeitungsaktivitäten korrekt widerspiegelt.

Beobachtung der Rechtslage und Zukunftsplanung

Die derzeitige Stabilität, die das EU-US Data Privacy Framework bietet, ist wahrscheinlich nur vorübergehend. Unternehmen dürfen davon ausgehen, dass es innerhalb der nächsten 1-2 Jahre für ungültig erklärt werden könnte. Der grundlegende Konflikt zwischen den EU-Datenschutzrechten und den US-Überwachungsgesetzen bleibt ungelöst. Rechtliche Schritte gegen das DPF sind bereits im Gange oder in Vorbereitung, und Präzedenzfälle zeigen, dass der EuGH nicht zögern wird, unzureichende Abkommen zu kippen. Aufsichtsbehörden in den Mitgliedstaaten haben ihre Bereitschaft gezeigt, schnell gegen Unternehmen vorzugehen, sobald der rechtliche Schutzschild entfällt.

Strategische Maßnahmen:

  • Alternativen identifizieren: Recherchiert und bewertet proaktiv EU-gehostete Analysealternativen (z. B. Matomo, Piwik PRO, Plausible). Versteht deren Funktionen, Kosten und den Migrationsaufwand.
  • Budget für Veränderungen: Eine potenziell erzwungene Migration weg von Google Analytics wird Kosten verursachen. Dies sollte als Geschäftsrisiko betrachtet und entsprechend budgetiert werden.
  • Serverseitiges Tracking priorisieren: Die Investition in eine serverseitige Tagging-Infrastruktur ist eine wirksame Strategie zur Risikominderung. Sie bietet die nötige Kontrolle, um GA4 möglicherweise auch bei einer Ungültigkeitserklärung des DPF konformer nutzen zu können, indem sichergestellt wird, dass keine personenbezogenen Daten übertragen werden.

Mögliche Alternativen zu Google Analytics 4

Es hilft, wie immer im Leben, nur ausprobieren. Die Erfahrung zeigt, dass Google Analytics in den allermeisten Fällen, insbesondere, wenn kein Google Ads genutzt wird, völlig überdimensioniert ist und nur ein Bruchteil der vorhandenen Funktionen regelmäßig genutzt werden. Da kann man auch sehr gut mit einer schlanken, übersichtlichen und besser bedienbaren Lösung an den Start gehen.

Hier folgen einige Beispiele. Die Beschreibungen sind größtenteils von Gemini. Meine persönliche Empfehlung ist Pirsch.io

Pirsch

Screenshot Pirsch.io Website
Pirsch.io - Datenschutzfreundliche Web Analytics

Pirsch.io / Live-Demo ist eine datenschutzfreundliche, cookielose und quelloffene Webanalyse-Lösung, die in Deutschland entwickelt und gehostet wird. Sie bietet Echtzeit-Einblicke in den Website-Traffic und das Nutzerverhalten und stellt somit eine echte Alternative zu Google Analytics dar, die den Anforderungen der DSGVO, CCPA und PECR entspricht.

Ich setzte Pirsch schon seit langem auf eigenen Projekten ein. Das Tool ist eine absolute Empfehlung wert.

Die wichtigsten Merkmale sind:

  • Datenschutz im Vordergrund: Pirsch.io arbeitet ohne Cookies und speichert keine persönlichen Informationen. Stattdessen werden zur Besucheridentifikation gehashte Daten (IP-Adresse, User-Agent, Datum und ein Salt) verwendet.
  • Offener Quellcode (Open-Source): Der Kern von Pirsch ist quelloffen, was eine hohe Transparenz bei der Datenerfassung ermöglicht.
  • Einfache Integration: Die Integration in Websites oder Backends erfolgt über ein kleines JavaScript-Snippet oder Plugins. Eine leistungsstarke API steht für Automatisierungen zur Verfügung.
  • Umfassende Analysen: Es bietet Dashboards mit leistungsstarken Filtern, Sitzungsanalysen, Nachverfolgung von benutzerdefinierten Ereignissen (Custom Events), Conversion-Zielen und automatisierten E-Mail-Berichten.
  • Deutsches Hosting: Alle Daten werden auf sicheren Serverclustern in Deutschland gehostet.

Pirsch ist darauf ausgelegt, auch mit Ad-Blockern genaue Ergebnisse zu liefern, da es Besucher auch serverseitig verfolgen kann. Es ist eine ideale Lösung für alle, die Wert auf Datenhoheit und Datenschutz legen.

Plausible

Screenshot Plausible.io Website
Plausible.io - einfach zu nutzen und datenschutzfreundlich

Plausible Analytics / Live-Demo ist – ähnlich wie Pirsch.io – eine leichte und datenschutzfreundliche Webanalyse-Lösung, die eine einfache und übersichtliche Alternative zu komplexeren Tools wie Google Analytics bietet. Sie ist Open-Source und legt großen Wert auf Datenschutz.

Habe ich längere Zeit im Einsatz gehabt und kann auch nur positives berichten. Mir gefällt halt Pirsch besser, sonst würde ich vermutlich noch Plausible nutzen.

Die wichtigsten Punkte sind:

  • Fokus auf Datenschutz: Plausible ist standardmäßig DSGVO-konform und benötigt keine Cookie-Zustimmung. Es sammelt keine persönlichen Daten oder IP-Adressen und arbeitet komplett ohne Cookies, um Besucher zu identifizieren. Alle Daten werden anonymisiert verarbeitet. Die Server werden ausschließlich in der EU betreiben.
  • Einfachheit und Übersichtlichkeit: Das Dashboard ist minimalistisch gestaltet und liefert die wichtigsten Metriken auf einen Blick, ohne unnötigen Schnickschnack. Es ist ideal für alle, die schnell die Leistung ihrer Website verstehen möchten.
  • Leichtgewichtigkeit: Das Skript ist extrem klein (weniger als 1 KB) und hat so gut wie keinen Einfluss auf die Ladezeit Ihrer Website.
  • Open-Source: Der gesamte Code ist öffentlich zugänglich auf GitHub, was Transparenz und Vertrauen schafft. Man kann ihn selbst hosten oder den Managed Service nutzen.
  • Transparente Metriken: Plausible bietet Metriken wie Unique Visitors, Seitenaufrufe, Verweildauer, Absprungrate, Top-Referrer und Top-Seiten. Es lassen sich auch benutzerdefinierte Ereignisse und Ziele verfolgen.
  • Fokus auf das Wesentliche: Im Gegensatz zu Google Analytics, das oft mit zu vielen Daten überfordert, konzentriert sich Plausible auf die wirklich relevanten Zahlen, die zur Verbesserung Ihrer Website notwendig sind.

Plausible Analytics ist eine exzellente Wahl für Unternehmen, Blogger und Entwickler, die Wert auf einen einfachen, schnellen und datenschutzkonformen Einblick in ihre Website-Statistiken legen. Es ist eine klare Absage an Tracking-Monster und ein Schritt hin zu einer transparenteren und nutzerfreundlicheren Webanalyse.

Litlyx

Screenshot Litlyx Website
Litlyx - Neu am Markt, hat noch viel Luft nach oben, liefert aber schon solide Basis-KPIs.

Litlyx ist ein europäisches Webanalyse-Tool, das den Datenschutz an erste Stelle setzt und vollständig DSGVO-konform ist. Es zielt darauf ab, einfache Webanalysen ohne die Notwendigkeit von Cookie-Bannern zu ermöglichen, sodass Nutzer schnell mit der Verfolgung ihrer Websites und Ereignisse beginnen können.

Habe ich kurz getestet. Es war damals noch sehr rudimentär aufgestellt, für mich wichtige KPIs fehlten. Lies sich aber flüssig bedienen und war sehr übersichtlich.

Die wichtigsten Merkmale von Litlyx sind:

  • Datenschutz an erster Stelle: Litlyx ist von Grund auf datenschutzfreundlich konzipiert. Es verwendet keine Cookies und sammelt keine persönlichen Daten. Die Erfassung erfolgt vollständig anonym, wodurch keine Cookie-Banner erforderlich sind und eine nahtlose, datenschutzkonforme Analyseerfahrung geboten wird. Es ist 100 % EU-gehostet und vollständig DSGVO-konform.
  • Sofortige Einrichtung: Die Einrichtung ist extrem schnell (innerhalb von 30 Sekunden) und ermöglicht einen sofortigen Start der Datenverfolgung.
  • Benutzerfreundlichkeit: Die Daten sind leicht verständlich aufbereitet und das Tool ist einfach zu bedienen.
  • Umfassende Funktionen: Es bietet DSGVO-konforme Analysen, die Verfolgung von benutzerdefinierten Ereignissen (Custom Events), anpassbare Berichte und sogar einen KI-Datenassistenten, mit dem man seine Daten "befragen" kann.
  • Integrationen: Litlyx unterstützt Integrationen mit gängigen Tools wie Google Tag Manager, WordPress und Shopify.
  • Multi-Site-Management: Nutzer können mehrere Websites von einem einzigen Dashboard aus verwalten, Berichte teilen und den Mitgliederzugriff kontrollieren.

Litlyx ist somit eine ausgezeichnete Wahl für alle, die eine unkomplizierte, schnelle und vor allem datenschutzkonforme Webanalyse-Lösung suchen, die den europäischen Datenschutzstandards voll entspricht. Es ermöglicht Website-Betreibern, wichtige Einblicke in ihre Besucher zu gewinnen, ohne dabei die Privatsphäre zu gefährden oder lästige Cookie-Popups anzuzeigen.

Publytics

Screenshot Publytics Website
Publytics Web Analyse

Publytics ist eine datenschutzfreundliche Webanalyse-Lösung, die speziell als Alternative zu Google Analytics für Web-Publisher entwickelt wurde. Das Ziel ist es, präzise Analysen zu liefern, dabei zu helfen, das Publikum zu vergrößern und Einnahmen zu steigern.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Publytics sind:

  • Präziser Echtzeit- und historischer Traffic: Publytics bietet sowohl Echtzeit- als auch tägliche Berichte ohne Datenabtastung (Sampling), was eine vollständige Sichtbarkeit der Website-Performance gewährleistet. Es ermöglicht auch die Migration historischer Daten von GA4 und anderen Quellen.
  • Fertige Berichte und schnelles Dashboard: Die Plattform bietet eine gute Balance zwischen Einfachheit und Raffinesse, sodass Nutzer Standardberichte verwenden oder benutzerdefinierte Berichte für detaillierte Analysen erstellen können.
  • Multisite-Überwachung: Nutzer können Daten über mehrere Websites hinweg im "Netzwerkmodus" analysieren, um Erkenntnisse zu gewinnen, die bei der Analyse einer einzelnen Website nicht sichtbar wären.
  • Leichtgewichtiges Skript: Das Integrationsskript ist so konzipiert, dass es die Core Web Vitals nicht beeinträchtigt und keine Entwicklerkenntnisse für die Einrichtung erfordert.

Wo stehen die Server bei Publytics?

Publytics ist datenschutzfreundlich gestaltet. Es verwendet keine Cookies und ist konform mit den Vorschriften der DSGVO, CCPA und PECR. Die Infrastruktur wird in Europa gehostet. Darüber hinaus schließt Publytics als clientseitiges Analyse-Tool standardmäßig Bots, Crawler und andere bekannte nicht-menschliche Aktivitäten automatisch aus.

Nilly

Screenshot nilly.io Website
Nilly.io - Web Analytics aus der Schweiz

Nilly / Live-Demo ist ein Webanalyse-Dienst, der eine einfache, datenschutzfreundliche Alternative zu Google Analytics bietet und in der Schweiz entwickelt wurde. Er legt großen Wert auf den Schutz der Nutzerdaten.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Nilly.io sind:

  • Datenschutz zuerst: Nilly.io wurde mit einem starken Fokus auf Datenschutz entwickelt. Es vermeidet IP-Tracking, Fingerprinting, Cookies und die Sammlung jeglicher anderer persönlicher Daten. Es ist vollständig konform mit wichtigen Datenschutzbestimmungen wie DSGVO, CCPA, PECR, ePR und PIPL, was bedeutet, dass keine lästigen Cookie-Banner mehr nötig sind. Alle gesammelten Daten gehören dem Nutzer, mit vollständiger transparenter Kontrolle. Das Unternehmen erhebt eine Gebühr, da es keine Nutzerdaten monetarisiert.
  • Echtzeit-Analysen: Bietet detaillierte Echtzeit-Übersichten über wichtige Metriken Ihrer Website.
  • Verhaltens- und Akquisitionsanalyse: Hilft dabei, beliebte Seiten zu identifizieren und die Kanäle zu verstehen, über die Besucher auf Ihre Website gelangen.
  • Geografische und technologische Einblicke: Zeigt an, woher Ihre Besucher kommen und welche Geräte oder Software sie verwenden.
  • Benutzerdefinierte Ereignisse: Ermöglicht die Erstellung eigener Events zur Conversion-Verfolgung.
  • Datenexport: Alle Statistiken können im CSV-Format exportiert werden.
  • Einfache Integration: Der Dienst lässt sich leicht in verschiedene Plattformen integrieren.

Wo stehen die Server bei Nilly.io?

Die Server von Nilly.io befinden sich alle in der Schweiz und werden dort auch betrieben, verteilt auf mehrere Standorte. Dies unterstreicht den starken Fokus auf Datenschutz und die Einhaltung strenger Schweizer Datenschutzgesetze.

Friendly Analytics

Screenshot Website friendly.ch/de/analytics
Friendly Analytics aus der Schweiz

Friendly Analytics / Live-Demo ist eine Schweizer Software für Webanalyse, die eine leistungsstarke und gleichzeitig sehr datenschutzfreundliche Alternative zu Google Analytics darstellt. Sie ermöglicht Website-Betreibern und Agenturen, umfassende Einblicke in Nutzeraktivitäten zu erhalten, ohne dabei Kompromisse beim Datenschutz einzugehen. Friendly Analytics basiert auf dem Open-Source-Tool Matomo.

Habe ich selbst getestet, ist schon etwas länger her. Es waren, glaube ich jedenfalls, damals schon einige für Matomo Self Hosted kostenpflichtige Module integriert. Der Support war außerordentlich gut.

Die wichtigsten Merkmale von Friendly Analytics sind:

  • Starker Datenschutz: Friendly Analytics verwendet keine Cookies und speichert keine persönlichen Daten von Website-Besuchern. Stattdessen werden alle Daten anonymisiert. Dies bedeutet, dass keine IP-Adressen, Geräte-IDs oder andere zur Identifizierung von Nutzern verwendbare Informationen gespeichert werden. Dadurch ist kein Cookie-Banner oder eine Einwilligung (Consent) erforderlich, selbst für EU-Besucher, was eine Erfassung von 100 % der Besucher ermöglicht.
  • Rechtssicherheit: Es ist vollständig konform mit dem Schweizer Datenschutzgesetz (nDSG) und der EU-DSGVO.
  • Umfassende Analysen: Trotz des hohen Datenschutzes bietet es detaillierte Reports und Analysen, darunter Echtzeit-Tracking, Verhaltensanalyse, Content- und Kategorie-Analysen, sowie die Möglichkeit, URL-Parameter für Kampagnen zu verfolgen.
  • Server-Side Tracking: Die Nutzung von Server-Side Tracking entlastet den Browser des Nutzers und ermöglicht eine präzise Echtzeit-Datenverfolgung.
  • Benutzerfreundlichkeit: Es verfügt über eine intuitive Benutzeroberfläche, die das Einrichten benutzerdefinierter Metriken und das Verständnis der Daten erleichtert.
  • Bot-Filterung: Bekannte Bots und nicht-menschliche Aktivitäten werden automatisch ausgeschlossen, um präzisere Daten zu gewährleisten.

Wo stehen die Server bei Friendly Analytics?

Friendly Analytics legt großen Wert auf Datenhoheit und hostet alle Daten in der Schweiz bei lokalen Providern. Das Unternehmen hat seinen Hauptsitz ebenfalls in der Schweiz. Dies schützt die Daten der Kunden und stärkt das Vertrauen in das Unternehmen durch die Einhaltung der strengen Schweizer Datenschutzgesetze.

Fusedeck

Screenshot Fusedeck Website
Fusedeck Cookieless Analytics & Engagement Tracking

Fusedeck ist eine fortschrittliche cookielose Analyse- und Engagement-Plattform, die speziell für Web-Publisher entwickelt wurde. Sie bietet detaillierte Einblicke und Aktivierungstools, um Konversionen zu steigern, während gleichzeitig höchste Datenschutzstandards eingehalten werden. Fusedeck ist ein Produkt der Schweizer Firma Capture Media AG.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Fusedeck sind:

  • Datenschutzorientiert und Cookieless Tracking: Fusedeck bietet verschiedene Tracking-Optionen (vollständiges Cookie-Tracking, cookieloses Nutzer-Tracking, cookieloses Session-Tracking), die auf internationalen Datenschutzbestimmungen wie DSGVO, CCPA und der ePrivacy-Verordnung basieren. Für das cookielose Tracking werden keine Daten auf dem Gerät des Nutzers gespeichert; stattdessen wird eine berechnete, zuverlässige User-ID erstellt. Dies ermöglicht eine datenschutzkonforme Analyse ohne notwendige Cookie-Banner.
  • Präzise Echtzeit- und historische Daten: Die Plattform liefert genaue Echtzeit- und Tagesberichte ohne Datenabtastung (Sampling), um eine vollständige Sichtbarkeit der Website-Performance zu gewährleisten.
  • Umfassende Tracking-Möglichkeiten: Es erfasst detaillierte Interaktionsmessungen, kann zwischen aktiven, inaktiven und "idle" Verweildauern unterscheiden und bietet Event-Tracking sowie Nutzeridentitätsmanagement für granulare Datenerfassung.
  • Fertige und benutzerdefinierte Berichte: Nutzer können vordefinierte Berichte nutzen oder eigene, maßgeschneiderte Berichte erstellen und über ein interaktives Dashboard visualisieren.
  • Aktivierungs-Features: Fusedeck beinhaltet Tools wie A/B-Testing und dynamische Inhaltsanpassung zur Steigerung der Nutzerbindung und Konversionsraten.
  • Server-Side Tracking: Die Technologie basiert auf einer modernen IT-Infrastruktur und ermöglicht Tracking über eine verschlüsselte Socket-Verbindung, die ineffiziente Pixelanfragen überflüssig macht.

Wo stehen die Server bei Fusedeck?

Die Hauptspeicherorte der Daten von Fusedeck befinden sich innerhalb der Europäischen Union. Auf Anfrage sind auch andere Speicherorte wie die USA oder Asien möglich. Die Software selbst wird vollständig vom Entwicklungsteam in Zürich, Schweiz, entwickelt und kontrolliert. Das Unternehmen hat Büros in Zürich (Hauptsitz) und München, Deutschland.

Umami

Screenshot Umami Website
Umami - analytics platform

Umami / Live-Demo ist ein Open-Source, datenschutzorientiertes Webanalyse-Tool, das eine einfache und leistungsstarke Alternative zu Google Analytics darstellt. Es wurde entwickelt, um Website-Betreibern wesentliche Einblicke in den Website-Traffic, das Nutzerverhalten und die Performance zu ermöglichen, wobei der Datenschutz stets im Vordergrund steht.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Umami sind:

  • Starker Datenschutzfokus: Umami sammelt oder speichert keine persönlichen Daten von Nutzern und verwendet keine Cookies. Alle gesammelten Daten werden anonymisiert, wodurch Nutzer nicht identifizierbar sind und auch nicht websiteübergreifend verfolgt werden können. Es ist vollständig DSGVO- und PECR-konform, sodass kein Cookie-Hinweis oder eine Einwilligung erforderlich ist.
  • Open-Source und Kontrolle: Da Umami quelloffen ist, können Nutzer den Code prüfen, modifizieren und die Software selbst hosten, was ihnen die volle Kontrolle über ihre Daten gibt.
  • Leichtgewichtiges Tracking-Skript: Das Skript ist extrem klein (unter 2 KB) und hat nur minimale Auswirkungen auf die Ladezeiten der Website.
  • Echtzeit-Analysen: Bietet sofortige Einblicke in das aktuelle Besuchergeschehen und die Website-Performance.
  • Umfassende Metriken: Zeigt wichtige Kennzahlen wie Seitenaufrufe, eindeutige Besucher, Referrer, Bounce-Raten sowie detaillierte Informationen über Besucher (Standort, Gerät, Browser, Betriebssystem).
  • Benutzerdefinierte Ereignisse: Ermöglicht das Verfolgen spezifischer Aktionen (z.B. Button-Klicks, Formularübermittlungen, Anmeldungen) und die Messung der Effektivität von Marketingkampagnen durch UTM-Parameter.
  • Multi-Site-Management: Es können Analysen für mehrere Websites über eine einzige Umami-Instanz verwaltet werden.
  • Intuitives Dashboard: Eine übersichtliche und einfach zu navigierende Oberfläche vereinfacht die Datenanalyse.

Wo stehen die Server bei Umami?

Da Umami eine Open-Source-Lösung ist, hängt der Serverstandort stark davon ab, wie und wo Umami installiert wird:

  • Self-Hosted (selbst gehostet): Wenn Sie Umami auf Ihrem eigenen Server oder bei einem Hosting-Anbieter Ihrer Wahl installieren, bestimmen Sie den Serverstandort selbst. Dies kann überall auf der Welt sein, je nachdem, welchen Anbieter Sie wählen (z.B. in Deutschland, der Schweiz, den USA oder anderen Regionen).
  • Umami Cloud (Managed Service): Für die von Umami angebotene gehostete Version (Umami Cloud) befinden sich die Rechenzentren im Europäischen Wirtschaftsraum (EWR), was die Einhaltung europäischer Datenschutzbestimmungen gewährleistet.

Diese Flexibilität ermöglicht es Nutzern, einen Serverstandort zu wählen, der ihren Datenschutzanforderungen und geografischen Präferenzen am besten entspricht.

etracker

Screenshot etracker Website
etracker - Analytics ohne Datenverlust

etracker ist eine etablierte Webanalyse-Lösung "Made in Germany", die sich auf Datenschutzkonformität und die Bereitstellung umfassender Einblicke in das Nutzerverhalten konzentriert. etracker wurde im Jahr 2000 gegründet und gehört zu den Pionieren im Bereich Webanalyse.

Habe ich vor langer Zeit im Einsatz gehabt. Der Analyse Umfang war sehr groß. Der Support war gut. Mich stört bei etracker, und das ist jetzt immer noch so wie vor Jahren, die Oberfläche und die Bedienung des Dashboards. Ich finde es einfach nur völlig unintuitiv, unübersichtlich und extrem umständlich zu bedienen - für mich ein absolutes No-Go. 

Die wichtigsten Merkmale von etracker sind:

  • Datenschutzkonformität ohne Einwilligung (Opt-in): etracker arbeitet cookielos und ermöglicht die Erfassung nahezu aller Besuche und Conversions ohne die Notwendigkeit einer expliziten Einwilligung (Consent Banner). Dies ist durch die datenschutzfreundliche Verarbeitung gemäß DSGVO und TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) möglich. Es werden keine personenbezogenen Daten gespeichert oder übermittelt, die eine Identifizierung von Nutzern ermöglichen würden.
  • Hohe Datenqualität: etracker verspricht eine sehr hohe Datenqualität, da es auch dann trackt, wenn Ad-Blocker oder Browser-Schutzmaßnahmen aktiv sind. Verluste durch abgelehnte Einwilligungen werden vermieden.
  • Umfassende Analysefunktionen: Bietet detaillierte Berichte zu Website-Performance, Nutzerverhalten (Onsite-Analyse, Verweildauer, Klickpfade), E-Commerce-Analysen (Warenkorb, Bestellungen) und Marketing-Analysen (Kampagnen-Tracking, Attribution). Es können auch Rohdaten zur Weiterverarbeitung in Tools wie Looker Studio oder Power BI exportiert werden.
  • Echtzeit- und historische Daten: Sowohl Echtzeit-Analysen als auch historische Daten sind verfügbar.
  • Intuitive Bedienung: (Sagt jedenfalls die KI 🤔) Das Dashboard und die Berichte sind übersichtlich und benutzerfreundlich gestaltet. Allerdings nicht für mich, siehe oben.
  • Support & Schulungen: etracker bietet persönliche Ansprechpartner, Gruppenschulungen (etracker academy) und individuelle Unterstützung beim Onboarding.
  • App Analytics: Eine separate Lösung zur Analyse von mobilen Anwendungen für iOS und Android ist ebenfalls verfügbar.

Wo stehen die Server bei etracker?

etracker speichert und verarbeitet alle Daten ausschließlich auf eigenen Servern innerhalb der Europäischen Union.

Das Unternehmen betont explizit, dass keine Daten an Dritte weitergegeben oder zu eigenen Zwecken genutzt werden. Sämtliche Risiken im Zusammenhang mit Datentransfers in die USA oder dem Zugriff von US-Geheimdiensten auf Daten von US-Unternehmen sind ausgeschlossen. Dies unterstreicht den hohen Anspruch an den Datenschutz "Made in Germany".

Trackboxx

Screenshot Trackboxx Website
Trackboxx - DSGVO konforme Webanalyse

Trackboxx / Live-Demo ist eine DSGVO-konforme, cookielose Webanalyse-Lösung "Made in Germany", die als einfache und leistungsstarke Alternative zu Google Analytics dient. Sie ermöglicht Unternehmen, das Verhalten ihrer Webseitenbesucher zu erfassen und auszuwerten, ohne dabei die Privatsphäre zu gefährden oder lästige Cookie-Banner einzublenden.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Trackboxx sind:

  • 100% Cookieless und Datenschutz: Trackboxx verzichtet komplett auf Cookies und speichert keine personenbezogenen Daten. Stattdessen wird aus der IP-Adresse und weiteren nicht-personenbezogenen Parametern einmalig ein "Hash" generiert, um den Besucher während seines Aufenthalts auf der Website zu verfolgen. Dieser Hash wird maximal 24 Stunden gespeichert und dann automatisch gelöscht, wodurch eine spätere Wiedererkennung oder eine Ableitung der IP-Adresse unmöglich ist.
  • Kein Cookie-Banner notwendig: Aufgrund der strikten cookielosen Arbeitsweise und der Nicht-Speicherung personenbezogener Daten ist keine explizite Einwilligung (Opt-in) über ein Consent-Banner erforderlich, was die Nutzererfahrung verbessert und volle Datenabdeckung ermöglicht.
  • Hohe Datenqualität: Da keine Einwilligungen abgelehnt werden können und Trackboxx auch nicht von Ad-Blockern geblockt wird, liefert es umfassende und lückenlose Besucherstatistiken.
  • Wichtige Metriken auf einen Blick: Das übersichtliche Dashboard zeigt alle relevanten Kennzahlen wie Besucherzahlen, Seitenaufrufe, Verweildauer, Absprungrate, Live-Besucher, Herkunft, verwendete Endgeräte und Browser sowie UTM-Tracking und Conversion-Keywords.
  • Einfache Integration: Die Einbindung in die Website ist unkompliziert und es gibt spezielle Plugins, z.B. für WordPress.
  • Leistungsstark und leichtgewichtig: Das Tracking-Skript ist optimiert, um die Ladezeiten der Website nicht zu beeinträchtigen, und nutzt ein weltweites CDN für schnelle Auslieferung.

Wo stehen die Server bei Trackboxx?

Die Server von Trackboxx stehen ausschließlich in Deutschland. Trackboxx hat seinen Sitz in Deutschland und unterliegt damit vollständig den deutschen Datenschutzgesetzen und der europäischen DSGVO. Dies gewährleistet, dass keine Daten in datenschutzrechtlich unsichere Drittländer übermittelt werden.

Fathom

Screenshot Fathom Website
Fathom - Web Analytics

Fathom Analytics / Live-Demo ist ein datenschutzorientiertes Webanalyse-Tool, das eine einfache und leistungsstarke Alternative zu Google Analytics darstellt. Es wurde mit dem Ziel entwickelt, Website-Betreibern wesentliche Einblicke in den Website-Traffic und das Nutzerverhalten zu ermöglichen, während gleichzeitig die Privatsphäre der Besucher respektiert wird.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Fathom Analytics sind:

  • Strikter Datenschutzfokus: Fathom verzichtet komplett auf Cookies und speichert keine persönlichen oder identifizierbaren Daten von Nutzern. Dies bedeutet, dass keine IP-Adressen, Fingerprinting oder andere Methoden zur Wiedererkennung von Einzelpersonen verwendet werden. Dadurch ist kein Cookie-Banner oder eine explizite Einwilligung (Opt-in) der Nutzer erforderlich, was die Compliance mit DSGVO, CCPA, ePrivacy und anderen Datenschutzgesetzen vereinfacht.
  • Einfachheit und Übersichtlichkeit: Das Dashboard ist bewusst minimalistisch und auf das Wesentliche reduziert, um die wichtigsten Metriken auf einen Blick darzustellen. Dies erleichtert die schnelle Analyse ohne sich in komplexen Berichten zu verlieren.
  • Leichtgewichtiges Skript: Das Tracking-Skript ist extrem klein und hat nur minimale Auswirkungen auf die Ladezeit Ihrer Website, was sich positiv auf die SEO auswirken kann.
  • Wichtige Metriken und Funktionen: Es bietet grundlegende Analysen wie Seitenaufrufe, eindeutige Besucher, Referrer-Quellen, verwendete Geräte und Browser. Darüber hinaus unterstützt es benutzerdefinierte Ereignisse (Event-Tracking), UTM-Kampagnen-Verfolgung, Multi-Site-Management und die Möglichkeit, Berichte per E-Mail zu erhalten.
  • Keine Datenlöschung: Fathom speichert Ihre Daten dauerhaft, sodass Sie auch nach Jahren noch auf Ihre historischen Statistiken zugreifen können.
  • Bot-Filterung: Automatische Filterung von Bots, Crawlern und Spam sorgt für sauberere und genauere Daten.

Wo stehen die Server bei Fathom Analytics?

Fathom Analytics nutzt eine interessante Server-Architektur, um Datenschutz und Performance zu optimieren:

  • Der Hauptteil der Daten wird auf AWS Cloud-Rechenzentren in den Vereinigten Staaten und Kanada gespeichert.
  • Für Besucher aus der EU kommt eine spezielle "EU Isolation"-Technologie zum Einsatz: Der Traffic dieser Nutzer wird zunächst über Server in der EU (u.a. bei Hetzner in Deutschland, sowie in Helsinki und Nürnberg) geleitet. Dort wird die IP-Adresse sofort entfernt und anonymisiert, bevor die anonymisierten Daten dann an die Hauptserver in den USA übermittelt werden. Dies gewährleistet, dass persönliche Daten von EU-Bürgern die EU nicht verlassen.
  • Fathom Analytics ist ein kanadisches Unternehmen, und Kanada hat von der EU-Kommission einen Angemessenheitsbeschluss erhalten, was den Datenaustausch mit der EU erleichtert.

Diese hybride Serverstrategie ermöglicht es Fathom, eine globale Reichweite zu bieten und gleichzeitig die europäischen Datenschutzstandards zu erfüllen.

Matomo

Screenshot Matomo Website
Matomo - Web Analytics

Matomo (ehemals Piwik) ist eine leistungsstarke Open-Source-Webanalyse-Plattform, die eine umfassende Alternative zu Google Analytics darstellt. Es legt großen Wert auf Datenschutz und Datenhoheit, da Nutzer die volle Kontrolle über ihre gesammelten Daten behalten.

Setzte ich seit Jahren ein. Ist einfach nur gut!

Die wichtigsten Merkmale von Matomo sind:

  • Open-Source und volle Datenhoheit: Matomo ist eine quelloffene Software, die Sie entweder auf Ihren eigenen Servern hosten (Self-Hosted) oder als Cloud-Service direkt von Matomo nutzen können. Diese Flexibilität gibt Ihnen die vollständige Kontrolle und den Besitz Ihrer Daten.
  • Starker Datenschutzfokus: Matomo ist darauf ausgelegt, die Datenschutzbestimmungen wie DSGVO, CCPA und andere einzuhalten. Es bietet zahlreiche Funktionen zur Anonymisierung von Daten, wie z.B. die IP-Anonymisierung. Je nach Konfiguration (z.B. wenn keine Cookies verwendet werden und IP-Adressen stark anonymisiert sind) ist es möglich, Matomo ohne Cookie-Banner einzusetzen.
  • Umfassende Analysefunktionen: Matomo bietet eine sehr breite Palette an Analyse- und Reporting-Funktionen, darunter:
    - Echtzeit-Reports: Sofortige Einblicke in aktuelle Besucher und Aktionen.
    - Besucherprofile: Detaillierte Einblicke in einzelne Nutzerreisen (wenn ausreichend Daten gesammelt werden).
    - E-Commerce-Analysen: Verfolgung von Produkten, Bestellungen und Konversionen.
    - Formular- und Heatmap-Analysen: Für detaillierte Verhaltensanalysen auf Seiten (zusätzliche Plugins).
    - SEO-Keyword-Tracking: Einblicke in genutzte Suchbegriffe.
    - A/B-Testing & Personalisierung: Für die Optimierung der Website (als Premium-Feature).
    - Multi-Site-Management: Verwaltung mehrerer Websites in einer Matomo-Instanz.
    - APIs und Datenexport: Für die Integration in andere Systeme und den Export von Rohdaten.
  • Anpassbarkeit und Erweiterbarkeit: Durch seine Open-Source-Natur und eine breite Palette an Plugins (kostenlos und kostenpflichtig) ist Matomo extrem anpassbar und erweiterbar.
  • Keine Datenweitergabe an Dritte: Im Gegensatz zu vielen kostenlosen Analysetools werden Ihre Daten bei Matomo nicht an Dritte verkauft oder für Marketingzwecke genutzt.

Wo stehen die Server bei Matomo?

Der Serverstandort bei Matomo hängt maßgeblich von der gewählten Installationsart ab:

  • Self-Hosted (selbst gehostet): Wenn Sie Matomo auf Ihrem eigenen Webserver installieren, bestimmen Sie den Serverstandort selbst. Dies kann in Deutschland, der Schweiz, der EU oder jedem anderen Land weltweit sein, je nachdem, wo Ihr Hoster oder Ihre eigene Infrastruktur lokalisiert ist. Dies ist die beliebteste Option für volle Datenhoheit.
  • Matomo Cloud (Managed Service): Für die von Matomo angebotene Cloud-Lösung werden die Daten standardmäßig in Rechenzentren in der Europäischen Union (Deutschland) gehostet. Dies gewährleistet die Einhaltung der DSGVO und bietet Kunden in Europa eine datenschutzkonforme Lösung, ohne sich um die Serverwartung kümmern zu müssen.

Matomo bietet somit maximale Flexibilität, um den Datenschutz- und Serverstandortanforderungen jedes Nutzers gerecht zu werden.

Piwik Pro

Screenshot Piwik Pro Website
Piwik Pro - Web Analyse

Piwik PRO ist eine umfassende, kommerzielle Webanalyse-Suite, die sich auf Datenschutzkonformität und die Bereitstellung detaillierter Einblicke für Unternehmen, insbesondere in regulierten Branchen, spezialisiert hat. Es ist eine eigenständige Entwicklung, die sich vom Open-Source-Projekt Matomo abgespalten hat.

Habe ich nicht selbst getestet.

Die wichtigsten Merkmale von Piwik PRO sind:

  • Höchste Datenschutzstandards: Piwik PRO ist vollständig DSGVO-, CCPA-, HIPAA- und TDDDG-konform. Es bietet flexible Optionen für das Tracking, darunter auch cookieloses Tracking und die Möglichkeit, IP-Adressen vollständig oder teilweise zu anonymisieren. Ein integrierter Consent Manager ermöglicht die feingranulare Steuerung der Datenerfassung basierend auf der Nutzereinwilligung, wobei auch anonymes Tracking ohne Einwilligung möglich ist.
  • Volle Datenkontrolle und -residenz: Unternehmen behalten die 100%ige Kontrolle über ihre Daten. Piwik PRO verkauft oder teilt keine Kundendaten mit Dritten.
  • Umfassende Suite: Piwik PRO ist mehr als nur Webanalyse. Es bietet eine integrierte Suite, die Folgendes umfasst:
    - Analytics: Detaillierte Web- und App-Analysen, Echtzeit-Berichte, Funnel-Analysen, Benutzerpfade und umfassende E-Commerce-Berichte.
    - Tag Manager: Zum einfachen Verwalten und Bereitstellen von Tracking-Tags.
    - Customer Data Platform (CDP): Zur Konsolidierung und Aktivierung von Kundendaten für personalisierte Marketingkampagnen.
    - Consent Manager: Für die einfache Einholung und Verwaltung von Nutzereinwilligungen.
  • Präzise und ungesampelte Daten: Piwik PRO liefert 100% echte Daten, ohne Sampling, was eine höhere Genauigkeit für wichtige Geschäftsentscheidungen gewährleistet.
  • Enterprise-Fähigkeiten: Die Lösung ist auf die Anforderungen großer Unternehmen zugeschnitten und bietet Funktionen wie detaillierte Benutzerberechtigungen, Audit-Protokolle, API-Zugriff und dedizierten Support.

Wo stehen die Server bei Piwik PRO?

Piwik PRO bietet verschiedene flexible Hosting-Optionen, um den unterschiedlichen Anforderungen an Datenschutz und Compliance gerecht zu werden:

  • Private Cloud: Unternehmen können Piwik PRO in einer dedizierten Cloud-Umgebung hosten, die exklusiven Zugriff auf Cloud-Ressourcen bietet.
  • Public Cloud: Piwik PRO ist auch auf sicheren Public-Cloud-Servern verfügbar, die über zahlreiche Microsoft Azure-Regionen weltweit verteilt sind.
  • EU-Basierte Rechenzentren: Für Unternehmen, die aus regulatorischen Gründen (z.B. DSGVO) oder internen Richtlinien alle Daten innerhalb der Europäischen Union speichern müssen, bietet Piwik PRO exklusive EU-Hosting-Optionen. Konkret werden Daten für den "Core"-Plan oft in Deutschland (Azure West Central) gehostet, aber auch andere EU-Standorte wie Frankreich (Orange Flexible Engine) oder Schweden (ElastX) sind verfügbar.

Piwik PRO ist eine robuste Lösung für Organisationen, die sowohl leistungsstarke Analysefunktionen als auch höchste Standards im Datenschutz und bei der Datenkontrolle benötigen.

Simple Analytics

Screenshot Simple Analytics Website
Simple Analytics - Die privacy-first Alternative

Simple Analytics / Live-Demo ist ein datenschutzfreundliches, cookieloses und einfaches Webanalyse-Tool aus den Niederlanden. Es wurde als schlanke und unkomplizierte Alternative zu Google Analytics entwickelt, die sich auf das Wesentliche konzentriert und dabei höchste Standards im Datenschutz einhält.

Habe ich mal kurz angetestet. War ok, fällt meiner Meinung nach aber gegenüber Plausible und Pirsch vom Funktionsumfang deutlich ab.

Die wichtigsten Merkmale von Simple Analytics sind:

  • Extremer Datenschutzfokus: Simple Analytics speichert keine persönlichen Daten, verwendet keine Cookies und erfasst keine IP-Adressen. Dadurch ist es standardmäßig DSGVO-, CCPA- und ePrivacy-konform, was bedeutet, dass kein Cookie-Banner oder eine Einwilligung der Nutzer erforderlich ist. Die Privatsphäre der Besucher wird vollständig respektiert.
  • Einfachheit und Übersichtlichkeit: Das Dashboard ist minimalistisch und intuitiv gestaltet. Es zeigt Ihnen schnell die wichtigsten Metriken wie Seitenaufrufe, eindeutige Besucher, Referrer-Quellen und Top-Seiten, ohne Sie mit unnötigen Daten zu überfordern.
  • Leichtgewichtiges Skript: Das Tracking-Skript ist winzig (unter 3 KB) und hat so gut wie keinen Einfluss auf die Ladezeit Ihrer Website, was sich positiv auf die Benutzererfahrung und das SEO auswirkt.
  • Wichtige Analysedaten: Trotz seiner Einfachheit bietet es nützliche Einblicke in Live-Besucher, Bildschirmgrößen, Browser, Länder und kann auch benutzerdefinierte Ereignisse (Events) verfolgen.
  • E-Mail-Reports: Sie können sich regelmäßige E-Mail-Berichte zusenden lassen, um über die Performance Ihrer Website auf dem Laufenden zu bleiben.
  • Bot-Filterung: Automatisches Herausfiltern von Bots und Spam sorgt für genauere Statistiken.

Wo stehen die Server bei Simple Analytics?

Simple Analytics hostet seine Server ausschließlich innerhalb der Europäischen Union.

Das Unternehmen legt großen Wert darauf, dass alle Daten auf EU-Servern verarbeitet und gespeichert werden. Dies gewährleistet die volle Einhaltung der DSGVO und bietet Nutzern die Sicherheit, dass ihre Daten nicht in Länder außerhalb der EU übermittelt werden.

Und jetzt zieht los und ersetzt euer Google Analytics durch eine alternative Lösung, die datenschutztechnisch unbedenklich ist und sich im Arbeitsalltag so gut in eure Workflows integrieren lässt, dass sie auch tatsächlich genutzt wird.

Featured Stories

  1. Gibt es eine absichtliche Benachteiligung von VPN-Nutzern durch SaaS-Anbieter?

  2. Kann Blockchain Technologie zur Verschleierung von PBNs genutzt werden?

  3. Die Zukunft von WordPress: Machtkampf, Abhängigkeiten und die Frage nach einem Fork

Categories

Authors

You should also read:

Google I/O 2025: Die fehlende Brücke zwischen KI-Innovation und Webseiten-Betreibern

Von