„Darf ich überhaupt noch Google Analytics nutzen – oder bekomme ich dafür Ärger?” Diese Frage höre ich von kleinen Unternehmen immer wieder, meist mit echter Verunsicherung dahinter. Die ehrliche Antwort ist differenzierter als die Schlagzeilen vermuten lassen: Es geht weniger um „erlaubt oder verboten” als um „mit oder ohne Einwilligung” – und genau daran entscheidet sich, ob Sie einen Cookie-Banner brauchen und wie viele Ihrer Besucher Sie überhaupt noch messen.
Kurz gesagt: DSGVO-Konformität bei der Webanalyse hängt nicht vom Tool-Namen ab, sondern von zwei getrennten Fragen. Erstens: Setzt das Tool Cookies oder liest es Informationen aus dem Endgerät? Dann ist nach § 25 TDDDG eine aktive Einwilligung nötig – also ein Cookie-Banner. Google Analytics 4 tut das und braucht deshalb einen Banner. Cookielose Tools wie Plausible oder ein entsprechend konfiguriertes, selbst gehostetes Matomo kommen in der Regel ohne aus. Zweitens: Wohin fließen die Daten? Bei Google in die USA – seit dem EU-US Data Privacy Framework (Juli 2023) wieder auf Angemessenheitsbasis, aber juristisch angreifbar. Bei EU-gehosteten Tools bleiben die Daten in Europa. Für die meisten kleinen Unternehmen ist eine datensparsame, EU-gehostete Lösung der pragmatischste Weg – kein Banner, weniger Datenverlust, Daten in der EU.
Auf einen Blick
- Zwei Fragen entscheiden, nicht eine: Cookie-Einwilligung (§ 25 TDDDG) und Datentransfer (DSGVO) sind getrennte Themen.
- Google Analytics 4 braucht einen Cookie-Banner – es ist nicht verboten, aber ohne Einwilligung nicht erlaubt.
- Cookielos = oft ohne Banner: Plausible und cookielos konfiguriertes Matomo speichern nichts auf dem Endgerät → keine Einwilligungspflicht nach § 25.
- Datenstandort zählt: EU-Hosting umgeht die ganze US-Transfer-Diskussion; das Data Privacy Framework kann wieder kippen.
- DSGVO-konform ist eine Frage der Konfiguration, nicht des Tool-Logos – die Verantwortung bleibt immer bei Ihnen.
Was „DSGVO-konforme Webanalyse” eigentlich bedeutet
Webanalyse ist die systematische Erfassung und Auswertung des Besucherverhaltens auf einer Website – etwa, wie viele Menschen kommen, über welche Quelle, welche Seiten sie ansehen und wo sie abspringen. Sie ist die Grundlage dafür, eine Website überhaupt verbessern zu können, statt im Blindflug zu optimieren.
Der Begriff „DSGVO-konform” wird dabei oft missverstanden. Er ist kein Siegel, das ein Tool von Haus aus trägt, sondern beschreibt, ob Ihr konkreter Einsatz zwei rechtliche Hürden nimmt:
- Die Cookie-Hürde (§ 25 TDDDG): Speichert oder liest das Tool Informationen auf dem Endgerät des Besuchers (Cookies, ähnliche Techniken)? Dann braucht es eine Einwilligung – egal, was gemessen wird.
- Die Datenschutz-Hürde (DSGVO): Werden personenbezogene Daten verarbeitet (eine IP-Adresse zählt dazu)? Dann braucht es eine Rechtsgrundlage nach Art. 6 DSGVO und – bei Transfer in Drittländer wie die USA – eine zulässige Übermittlungsgrundlage.
§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist die deutsche Vorschrift, die seit 2024 die frühere TTDSG-Regelung fortführt: Das Speichern oder Auslesen von Informationen auf dem Endgerät eines Nutzers ist nur mit dessen Einwilligung erlaubt – außer es ist für den Dienst unbedingt erforderlich. Analyse-Cookies sind nie „unbedingt erforderlich”, fallen also immer unter die Einwilligungspflicht.
Wann ein Cookie-Banner überhaupt Pflicht ist und wie er korrekt aussieht, habe ich ausführlich im Beitrag Cookie-Banner & DSGVO 2026 beschrieben – dieser Artikel hier setzt eine Ebene davor an: bei der Wahl des Tools, das den Banner nötig macht oder eben überflüssig.
Die drei Tools im Vergleich
Drei Werkzeuge decken den allergrößten Teil der Praxis ab: Google Analytics 4, Matomo und Plausible. Sie unterscheiden sich vor allem darin, wo die Daten liegen und ob sie Cookies setzen – und damit, ob Sie einen Banner brauchen.
| Tool | Hosting / Datenstandort | Cookies (Standard) | Einwilligung / Banner nötig? | Open Source | Kostenmodell |
|---|---|---|---|---|---|
| Google Analytics 4 (Google) | USA (EU-US Data Privacy Framework) | ja | ja – Cookie-Banner Pflicht | nein | kostenlos (Bezahlung = Daten) |
| Matomo (self-hosted) | eigener Server, frei wählbar (EU möglich) | optional, abschaltbar | nein, wenn cookielos + IP-anonymisiert; sonst ja | ja | Software kostenlos + eigenes Hosting |
| Matomo Cloud (InnoCraft) | EU-Rechenzentrum | optional, abschaltbar | wie self-hosted | ja | kostenpflichtig, nach Seitenaufrufen gestaffelt |
| Plausible | EU (Server in der EU) | nein (cookielos by design) | in der Regel nein | ja | gehostet kostenpflichtig / self-host kostenlos |
Google Analytics 4 ist die marktführende, kostenlose Webanalyse von Google, die Besucherverhalten ereignisbasiert erfasst und eng mit Google Ads und dem Google-Marketing-Ökosystem verzahnt ist. Es ist mächtig und kostenlos – „bezahlt” wird mit den Daten und mit der Einwilligungspflicht, die in der Praxis dazu führt, dass ein erheblicher Teil der Besucher den Banner ablehnt und gar nicht erst gemessen wird.
Matomo ist eine quelloffene Webanalyse-Plattform, die wahlweise auf dem eigenen Server (self-hosted) oder als EU-gehostete Cloud betrieben wird und sich so konfigurieren lässt, dass sie ohne Cookies und ohne personenbezogene Speicherung arbeitet. Der große Vorteil: Beim Self-Hosting verlassen die Daten Ihre eigene Infrastruktur nie – die Drittland-Frage stellt sich gar nicht.
Plausible ist eine quelloffene, bewusst datensparsame Webanalyse aus der EU, die vollständig ohne Cookies und ohne das Sammeln personenbezogener Daten arbeitet und nur aggregierte Kennzahlen liefert. Sie ist absichtlich schlank: ein übersichtliches Dashboard mit Besuchern, Seitenaufrufen, Quellen und Geräten – ohne den Funktionsumfang (und die Komplexität) von GA4.
Brauche ich jetzt einen Cookie-Banner – oder nicht?
Das ist die Frage, an der für die meisten kleinen Unternehmen die Entscheidung hängt, denn jeder Banner kostet Conversion und Messgenauigkeit. Die Logik ist einfacher, als sie klingt:
| Ihr Tool / Ihre Konfiguration | Cookie-Banner nötig? | Warum |
|---|---|---|
| Google Analytics 4 | Ja | setzt Cookies → § 25 TDDDG |
| Matomo mit Tracking-Cookies | Ja | setzt Cookies → § 25 TDDDG |
| Matomo cookielos + IP-anonymisiert | In der Regel nein | keine Speicherung auf dem Endgerät |
| Plausible | In der Regel nein | cookielos, keine personenbezogenen Daten |
Der entscheidende Hebel ist also nicht „Datenschutz ja/nein”, sondern ob das Tool Informationen auf dem Endgerät ablegt. Tut es das nicht, greift die Einwilligungspflicht aus § 25 TDDDG nicht – und der Banner entfällt. Das ist der eigentliche Grund, warum cookielose Tools für kleine Websites so attraktiv sind: Sie messen mehr, weil niemand erst „Ablehnen” klicken kann.
Ein wichtiger Zusatz: Auch ohne Cookie-Banner müssen Sie die Webanalyse in Ihrer Datenschutzerklärung transparent nennen – welches Tool, welche Daten, welcher Zweck. Was dort hineingehört, steht im Beitrag Datenschutzerklärung für die eigene Website.
Der US-Transfer und das Data Privacy Framework
Die zweite Hürde betrifft fast nur Google. Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, der den Datentransfer aus der EU an zertifizierte US-Unternehmen wieder auf eine rechtlich abgesicherte Grundlage stellt. Google LLC ist nach diesem Rahmen zertifiziert.
Das ist die Entwarnung, die viele Schlagzeilen von 2022 überholt hat: Damals hatten Aufsichtsbehörden in Österreich und Frankreich den Einsatz von (Universal) Google Analytics als rechtswidrig eingestuft, weil es nach dem „Schrems II”-Urteil keine gültige Transfergrundlage in die USA gab. Mit dem Data Privacy Framework existiert diese Grundlage seit Mitte 2023 wieder.
Die ehrliche Einschränkung dazu nenne ich gleich weiter unten – denn „wieder erlaubt” heißt nicht „dauerhaft sicher”.
First-Party: Warum diese Website ohne Banner auskommt
Aus meiner eigenen Praxis als First-Party-Beispiel: Diese Website (fabian-reiter.com) lädt keinen klassischen Analytics-Dienst und setzt keine nicht-essenziellen Cookies – deshalb sehen Sie hier auch keinen Cookie-Banner. Meine Statistiken beziehe ich aus der Google Search Console, die ohne Cookies auf meiner Seite auskommt; ergänzend prüfe ich von Hand den wachsenden AI-Traffic über ChatGPT & Perplexity. Das ist kein Zufall, sondern dieselbe Konsequenz, die ich kleinen Dienstleistern empfehle: Wer datensparsam misst, spart sich den Banner und den damit verbundenen Messverlust. Für die meisten kleinen Websites reicht das: Richtung erkennen statt jeden Klick zu vermessen. Eine schlanke, EU-gehostete und cookielose Webanalyse wie Plausible ist die logische Erweiterung dieses Ansatzes, sobald belastbarere On-Site-Zahlen gebraucht werden.
Welches Tool für wen?
- Plausible – wenn Sie eine kleine Dienstleister-Website ohne Cookie-Banner wollen, die wichtigsten Kennzahlen reichen und Einfachheit zählt. Der pragmatische Standard für die meisten KMU.
- Matomo (self-hosted) – wenn Sie maximale Datenhoheit wollen (Daten verlassen Ihren Server nie) und etwas mehr Funktionsumfang brauchen. Setzt voraus, dass jemand das Hosting betreut.
- Matomo Cloud – wie self-hosted, aber ohne eigenen Server-Aufwand; dafür laufend kostenpflichtig.
- Google Analytics 4 – wenn Sie tief im Google-Ads-Ökosystem stecken und die Verzahnung mit Kampagnen brauchen. Dann müssen Sie den Cookie-Banner und die abgelehnten Einwilligungen einkalkulieren.
Ehrliche Grenze: keine Rechtsberatung, und das Framework kann kippen
Dieser Beitrag ist eine technisch-organisatorische Einordnung, keine Rechtsberatung. Ob Ihr konkreter Einsatz im Detail zulässig ist, hängt von Ihrer Konfiguration, Ihren weiteren Diensten und der Bewertung Ihrer zuständigen Aufsichtsbehörde ab – im Zweifel lassen Sie das von einer Datenschutz-Fachperson prüfen.
Zwei Punkte zur Ehrlichkeit: Erstens ist die einwilligungsfreie Nutzung von Matomo an Bedingungen geknüpft (cookielos, IP-Anonymisierung) und wird von Aufsichtsbehörden nicht völlig einheitlich beurteilt – die genaue Konfiguration entscheidet. Zweitens steht das EU-US Data Privacy Framework juristisch unter Beschuss; seine beiden Vorgänger (Safe Harbor 2015, Privacy Shield 2020) wurden vom Europäischen Gerichtshof gekippt. Wer auf Google Analytics setzt, sollte einkalkulieren, dass sich die Transfer-Grundlage erneut ändern kann. Eine EU-gehostete, cookielose Lösung ist gegen genau dieses Risiko von vornherein immun.
Fazit
DSGVO-konforme Webanalyse ist keine Frage des Tool-Namens, sondern der Konfiguration. Zwei Hürden entscheiden: Cookies (dann Einwilligung nach § 25 TDDDG → Banner) und Datentransfer (bei Google in die USA, abgesichert durch das angreifbare Data Privacy Framework). Google Analytics 4 ist nicht verboten, braucht aber einen Cookie-Banner – und verliert dadurch einen Teil der Messung. Cookielose, EU-gehostete Tools wie Plausible oder ein entsprechend konfiguriertes, selbst gehostetes Matomo kommen meist ohne Banner aus, halten die Daten in Europa und sind für die meisten kleinen Unternehmen der einfachere, robustere Weg. Die wichtigste Erkenntnis: Datensparsamkeit ist hier kein Verzicht, sondern oft die genauere und rechtssicherere Messung.
Nächster Schritt: Sie wollen Ihre Website datensparsam aufsetzen – Webanalyse ohne überflüssigen Cookie-Banner, saubere Datenschutzerklärung, Daten in der EU? Bei einem Mini-Website-Refresh ab 490 € bringe ich genau diese Bausteine in Ordnung: das passende, DSGVO-freundliche Analyse-Setup, die rechtlichen Texte und einen klaren, schnellen Auftritt. Schreiben Sie mir kurz Ihre Domain – ich sage Ihnen, was bei Ihnen konkret zu tun ist.
Quellen
- § 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen (gesetze-im-internet.de) – Einwilligungspflicht für das Speichern/Auslesen von Informationen auf dem Endgerät
- Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung (EUR-Lex) – Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
- Durchführungsbeschluss zum EU-US Data Privacy Framework (10.07.2023) (Europäische Kommission) – Angemessenheitsbeschluss für Datentransfers in die USA
- Plausible Analytics – Data Policy / Cookieless & EU-hosted (Plausible) – cookielose, EU-gehostete Webanalyse ohne personenbezogene Daten
- Matomo – Consent & ohne Cookie-Banner messen (Matomo / InnoCraft) – Konfiguration für einwilligungsfreie Nutzung
- First-Party-Angabe: cookielose, bannerfreie Konfiguration von fabian-reiter.com (kein nicht-essenzielles Tracking), Stand Juni 2026