Google Analytics DSGVO 2026: Ist GA4 in Deutschland erlaubt?

TL;DR: GA4 ist in Deutschland erlaubt — aber nicht ohne Konfigurationsaufwand. Die vier Pflichtmaßnahmen: DPA mit Google abschließen, Consent Mode v2 aktivieren, Google Signals deaktivieren, Datenschutzerklärung aktualisieren. Wer Consent-Pflicht umgehen oder US-Transfer komplett vermeiden will: Matomo.

Die wichtigste Frage zuerst: Ist GA4 in Deutschland erlaubt?

Die kurze Antwort: Ja — aber nur mit korrekter Konfiguration.

Die längere Antwort erklärt, warum es kein einfaches Ja gibt: GA4 überträgt Nutzerdaten (IP-Adressen, Besucher-IDs, Verhaltensdaten) an Google-Server, die primär in den USA stehen. Das ist aus DSGVO-Sicht relevant, weil die USA als Drittland gilt, das kein europäisches Datenschutzniveau garantiert.

Der Rechtsrahmen 2026:

• Schrems II (EuGH, 2020): Das EU-US Privacy Shield wurde für ungültig erklärt. US-Unternehmen galten danach als unsichere Datentransfer-Ziele.
• Data Privacy Framework (DPF, Juli 2023): Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für US-Unternehmen verabschiedet. Google ist DPF-zertifiziert. GA4-Datentransfers in die USA sind dadurch wieder rechtlich abgesichert.
• Risikofaktor: Das DPF kann erneut vor dem EuGH angefochten werden (Max Schrems hat das bereits angekündigt). Ein “Schrems III” würde GA4 wieder zum Problem machen. Für Shops mit hohem Datenschutz-Exposure (Gesundheit, B2B mit Unternehmenskunden) ist das ein relevantes Risiko.

Fazit-Box: Für die meisten deutschen Online-Shops ist GA4 mit Consent Mode v2 und DPA akzeptabel. Für öffentliche Stellen, Gesundheitsbetriebe oder Shops mit hohen Datenschutzanforderungen: Matomo.

Was sagen deutsche Datenschutzbehörden?

Die DSK (Datenschutzkonferenz) hatte GA4 2022 noch kritisch bewertet — vor allem wegen des fehlenden Angemessenheitsbeschlusses für den US-Transfer. Mit dem DPF 2023 hat sich die Rechtslage verändert.

Der Stand 2026: Die meisten deutschen Aufsichtsbehörden akzeptieren GA4 mit korrekter Konfiguration. Der LfDI Baden-Württemberg hat in seiner Stellungnahme zu GA4 betont, dass DPA + Consent-Banner die wesentlichen Voraussetzungen sind. Eine generelle Unzulässigkeit von GA4 wird von keiner aktuellen Behördenstellungnahme vertreten.

Praxiserfahrung: In mehreren Shop-Projekten haben wir durch korrekte Consent-Mode-v2-Implementierung und dokumentierten DPA die DSGVO-Compliance hergestellt. In keinem dieser Fälle gab es behördliche Rückfragen oder Abmahnungen. Allerdings: Das DPF ist politisch fragil. Wer kein Restrisiko will, wählt Matomo.

Die 4 Pflichtmaßnahmen für DSGVO-konformes GA4

Maßnahme 1: Datenverarbeitungsvertrag (DPA) mit Google abschließen

Der DPA ist die Grundvoraussetzung — ohne ihn ist GA4 unter der DSGVO nicht nutzbar.

Wo: Google Analytics → Admin → Datenverarbeitungsbedingungen (ganz unten im linken Menü)

Vorgehen:

1. Google Analytics Admin öffnen
2. Im linken Menü: “Admin” → “Datenverarbeitungsbedingungen”
3. Prüfen ob bereits akzeptiert — Google aktiviert das für neue Properties oft automatisch
4. Falls nicht: “Datenverarbeitungsbedingungen prüfen” → “Ich akzeptiere” → Speichern
5. Datum dokumentieren (für eventuelle Datenschutzprüfung)

Wichtig: Der DPA muss für jede GA4-Property abgeschlossen werden. Bei mehreren Properties jeden Schritt wiederholen.

Maßnahme 2: Consent Mode v2 implementieren

Consent Mode v2 ist seit März 2024 Pflicht für alle Google-Produkte (GA4, Google Ads, Google Tag Manager). Ohne Consent Mode v2 verlierst du Remarketing-Funktionen und einige Attribution-Features.

Was Consent Mode v2 macht: Wenn ein Nutzer keine Cookies akzeptiert, sendet GA4 keine echten Daten. Stattdessen modelliert Google das Verhalten aus Aggregatdaten. Das ermöglicht Traffic-Schätzungen auch für “Nein-Sager” — ohne personenbezogene Daten.

Die vier Signale die du setzen musst:

• analytics_storage — Tracking-Cookies erlaubt?
• ad_storage — Werbe-Cookies erlaubt?
• ad_user_data — Nutzerdaten für Anzeigen?
• ad_personalization — Personalisierte Anzeigen?

Implementierung in Shopify:

Option A (empfohlen): Google & YouTube App + Consent-Platform

1. Shopify Admin → Apps → “Google & YouTube” installieren
2. Consent-Banner-Plattform installieren (Cookiebot oder CookieYes — beide unterstützen Consent Mode v2 nativ)
3. Plattform mit GA4-Property verbinden — die Signale werden automatisch gesetzt

Option B: Google Tag Manager

1. GTM-Container in Shopify einbinden (theme.liquid)
2. Consent Mode v2 im GTM-Container konfigurieren
3. Consent-Platform via GTM-Integration anbinden

Maßnahme 3: IP-Anonymisierung und Google Signals

Gute Nachricht: In GA4 ist die IP-Anonymisierung standardmäßig aktiviert — anders als in Universal Analytics. Du musst nichts einstellen.

Google Signals deaktivieren: Google Signals verbindet GA4-Daten mit Google-Account-Daten für Cross-Device-Tracking und Remarketing. Das ist datenschutztechnisch problematisch und braucht explizite Einwilligung.

Vorgehen:

1. GA4 Admin → Datenerfassung
2. “Google Signals-Datenerfassung” → Deaktivieren
3. Alternativ: Nur für angemeldete Nutzer aktivieren wenn explizite Einwilligung vorhanden

Maßnahme 4: Datenschutzerklärung aktualisieren

Die Datenschutzerklärung muss Google Analytics explizit nennen:

• Was erhoben wird: IP-Adressen (anonymisiert), Nutzungsverhalten, gerätebezogene Daten
• Empfänger: Google LLC, USA, DPF-zertifiziert
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Consent-Banner)
• Opt-Out-Möglichkeit: Link zum Google Analytics Opt-Out Add-on oder Hinweis auf Consent-Banner

DSGVO-Checkliste GA4

☐ DPA mit Google abgeschlossen (Admin → Datenverarbeitungsbedingungen)
☐ Consent Mode v2 aktiviert (alle 4 Signale: analytics_storage, ad_storage, ad_user_data, ad_personalization)
☐ Cookie-Consent-Banner vorhanden mit GA4/Analytics-Kategorie
☐ Google Signals deaktiviert (kein Remarketing-Profiling ohne explizite Einwilligung)
☐ Datenschutzerklärung: Google Analytics erwähnt + Opt-Out-Link + DPF-Verweis
☐ DPA-Datum dokumentiert
☐ Implementierung getestet: GA4 feuert erst nach Cookie-Akzeptanz

Wann Matomo die bessere Wahl ist

Für bestimmte Shops ist Matomo nicht nur “sicherer” — es ist die einzig vernünftige Option:

Matomo ist klar besser wenn:

• Öffentliche Stellen — kein US-Transfer erlaubt, egal welcher Angemessenheitsbeschluss gilt
• Gesundheitsbranche — Patientendaten, sensible Gesundheitsprodukte; US-Transfer-Risiko nicht akzeptabel
• B2B-Shops mit Unternehmenskunden — Auftraggeber verlangen oft “no-US-cloud” in Verträgen
• Kein Consent-Banner gewünscht — Matomo Self-Hosted mit Cookie-freiem Tracking braucht keinen Banner (kein Personenbezug ohne Cookies)
• Kein DPF-Restrisiko — Wer den nächsten Schrems-Angriff auf das DPF nicht miterleben will

Matomo Cloud (ab €19/Monat): EU-Server in Deutschland, Managed Hosting, vollständiger GA4-Funktionsumfang. Einfachste Option für Shops ohne eigenen Server.

Matomo Self-Hosted (kostenlos): Server nötig (z.B. Hetzner VPS ab €5/Monat), ca. 2 Stunden Setup. Maximale Datenkontrolle, Daten verlassen den eigenen Server nicht.

→ Detaillierter Vergleich: Matomo vs. Google Analytics — der vollständige Test
→ GA4 technisch einrichten: GA4 in Shopify einrichten (Schritt-für-Schritt)
→ Alle Analytics-Tools im Überblick: Beste Analytics-Tools für Online-Shops
→ Shopify-eigene Analytics nutzen: Shopify Analytics verstehen

Quellen

• Google — Datenverarbeitungsbedingungen für GA4 (Stand: März 2026)
• Europäische Kommission — Data Privacy Framework (Stand: Juli 2023)
• LfDI Baden-Württemberg — Stellungnahme zu Google Analytics (Stand: 2022, vor DPF)
• Google — Consent Mode v2 Dokumentation (Stand: März 2024)

FAQ

Ist Google Analytics 4 DSGVO-konform?
Mit Consent Mode v2 und DPA für die meisten deutschen Shops akzeptabel. Vollständige DSGVO-Garantie ohne US-Datentransfer bietet nur EU-Analytics wie Matomo. Dieser Artikel ersetzt keine Rechtsberatung.

Darf ich Google Analytics ohne Consent-Banner nutzen?
Nein. Ohne Einwilligung dürfen keine personenbezogenen Daten an Google-Server in die USA übertragen werden.

Was ist Consent Mode v2?
Eine Google-API für eingeschränktes Tracking ohne vollständige Nutzereinwilligung — mit Verhaltensmodellierung statt echter Daten. Pflicht seit März 2024.

Kann ich wegen Google Analytics abgemahnt werden?
Ja — bei fehlendem Consent-Banner oder DPA. Mit korrekter Konfiguration ist das Risiko gering.

Was ist die beste DSGVO-sichere Alternative?
Matomo — EU-Server, Open Source, kein Consent-Banner nötig bei Self-Hosted-Installation mit Cookie-freiem Tracking.