datascale
DE EN
Kontakt
DSGVO

Firebase Analytics und DSGVO 2026: Was für App-Daten gilt

Firebase Analytics 2026: IP-Anonymisierung ist Default, die echte Pflicht-Liste sind EU Data Routing, Consent Mode v2 (DMA-erzwungen) und der Doppel-Consent ATT + GDPR. Plus Sonderfall Art. 9 für Health-Apps.

Juri Saloid Von Juri Saloid Aktualisiert 12. Mai 2026 8 min Lesezeit

Was Firebase im Hintergrund eigentlich macht

Eine neue App ist geplant, das Dev-Team sagt „Firebase nehmen wir, ist Standard", und drei Monate später steht die App im Store. Tracking läuft, Conversions sind sichtbar, alle sind zufrieden. Bis jemand fragt: „Sind wir damit eigentlich DSGVO-konform?"

An dieser Stelle wird es interessant. Denn die ehrliche Antwort lautet: aus den Standardeinstellungen heraus eher nicht. Aus den richtigen Einstellungen heraus, ja. Und der Unterschied zwischen „eher nicht" und „ja" sind ungefähr fünf Schalter, ein Vertrag und eine Consent-Logik.

Firebase lässt sich gut mit einem Auto vergleichen, das man beim Händler abholt. Es hat alles eingebaut. Klimaanlage, Airbags, Bordcomputer. Beim Verlassen des Hofs sind viele Komfort-Features aber auf „voll an" voreingestellt. Auch solche, die auf europäischen Straßen rechtlich nicht so gebraucht werden. Wer die Voreinstellungen nicht kennt, fährt mit unnötig vielen aktivierten Funktionen los.

Bei einer MedTech-App, die wir vor zwei Jahren übernommen haben, war Firebase mit Standardeinstellungen aktiviert: IP-Logging an, Werbe-Identifier wurden vor Consent gesendet, automatische Datenspeicherung auf 14 Monate. Die App lief seit Launch, niemand hatte die Defaults angerührt.

Hier sind die fünf Dinge, die anzupassen sind.

1. Google DPA abschließen, bevor irgendwas live geht

Ohne abgeschlossenes Data Processing Agreement (Auftragsverarbeitungsvertrag) zwischen dem nutzenden Unternehmen und Google ist die Verarbeitung personenbezogener Daten durch Firebase rechtlich nicht abgedeckt. Punkt.

Das DPA ist im Google Cloud Console verfügbar und kostet nichts. Es muss aber aktiv akzeptiert werden, nicht „ist schon da, weil wir Google nutzen". Wer das DPA nicht in den Unterlagen liegen hat, hat es nicht.

Wo der Fehler typisch entsteht: Das Dev-Team setzt Firebase auf, lädt die App in den Store, alles läuft. Niemand klickt durch die Cloud-Console-Admin-Section. Sechs Monate später kommt eine Datenschutz-Anfrage. Das DPA muss nachträglich besorgt werden, peinlich aber lösbar, und schwieriger wird es bei Apps mit Gesundheitsdaten, wo die Aufsicht das früher fragt.

2. EU Data Routing & automatische IP-Anonymisierung

Die 2022er-Empfehlung „IP-Anonymisierung aktivieren" ist 2026 obsolet. Firebase Analytics droppt das letzte Oktett der IP-Adresse automatisch, bevor irgendwas geloggt wird. Der Schalter, den ältere Anleitungen empfehlen, existiert in der UI nicht mehr; es gibt nichts mehr zu aktivieren.

Echte Hausaufgabe 2026: EU Data Routing prüfen. Das ist die Region, in der Firebase die Analytics-Daten verarbeitet, und sie ist nicht automatisch EU. Bei vor 2023 angelegten Projekten ist die Default-Region oft us-central1 oder nam5. App-Daten fließen dann durch US-Infrastruktur. Mit allen Folgefragen aus Schrems II.

So wird das geprüft und (wenn nötig) korrigiert:

  1. Firebase Console → Project Settings → General. Unter „Default GCP resource location" steht die Region. Sollte auf einer EU-Region stehen, europe-west1 (Belgien), europe-west3 (Frankfurt) oder eu-multi-region.
  2. Google Analytics 4 → Admin → Property Settings → Data Settings → Data Collection. Sicherstellen, dass „Google Signals" für EU-Nutzer entweder deaktiviert ist oder klar einwilligungspflichtig im Consent-Layer abgedeckt wird.
  3. Wichtig: die Default-Region in Firebase lässt sich nicht nachträglich ändern, wer in einer falschen Region ist, muss neu anlegen + Daten migrieren. Vor Launch festzurren, nicht nachträglich versuchen.

Hintergrund: IP-Anonymisierung allein reicht 2026 nicht mehr als Nachweis. Aufsichtsbehörden fragen direkt nach der Verarbeitungs-Region und nach den Transfer-Tools (Standardvertragsklauseln, EU-US-Data-Privacy-Framework-Status). Die Region steht damit am Anfang der Compliance-Kette.

Auf iOS heißt der Werbe-Identifier IDFA, auf Android AAID. Beide sind eindeutige Geräte-IDs, mit denen Werbeplattformen Nutzer plattformübergreifend wiedererkennen.

Apple zwingt seit iOS 14.5 zum App Tracking Transparency-Dialog vor jeder IDFA-Nutzung. Android hat seit 13 ähnliche Restriktionen. Aber: Firebase versucht standardmäßig, diese Identifier zu lesen, sobald die App startet, auch bevor der Nutzer eingewilligt hat.

Notwendig: ein Consent-Layer in der App, der erst nach expliziter Einwilligung das „Werbe-ID-Tracking aktiviert"-Signal an Firebase gibt. In iOS via Firebase.app().setAutomaticScreenReportingEnabled(false) plus IDFA-Request nach AppTrackingTransparency-Antwort. In Android entsprechend über die Firebase Analytics Consent Mode Integration.

Bei einer Retail-App, die wir mit OneTrust integriert hatten, fanden wir nach dem Audit, dass Firebase 4 Sekunden vor dem Consent-Dialog bereits die IDFA gelesen hatte. Vier Sekunden klingen wenig, sind aber eine klare Compliance-Lücke, die jeder Datenschutz-Test sofort findet.

Der iOS-Doppel-Consent ist 2026 der Klassiker. In Europa verlangt das GDPR ein Cookie-/Tracking-Banner, das vor dem Datentransfer abgefragt wird. Apple verlangt separat den ATT-Prompt vor der IDFA-Nutzung. Keiner der beiden ersetzt den anderen, beide müssen sauber implementiert sein, und der ATT-Prompt darf erst gefeuert werden, nachdem der User im GDPR-Banner Werbe-Consent erteilt hat. Sonst greift die ATT-Antwort ins Leere.

GDPR-Banner + Apple ATT, kombinierter Consent-Fluss

Doppel-Consent in iOS-Apps: erst GDPR-Banner (rechtlich Pflicht), dann Apples ATT-Prompt (technisch nötig für IDFA). Welche Felder Firebase Analytics empfängt, hängt von beiden Antworten ab, keine Antwort sticht die andere.

09:41●●● ▽ 87%

Schritt 1 · GDPR-Banner

Wir nutzen Analytics + Werbe-Tracking zur App-Verbesserung. Deine Wahl bleibt jederzeit änderbar.

Payload an Firebase

Wähle GDPR + ATT für den Live-Payload.
Firebase Analytics

4. Datenspeicherung auf das Minimum reduzieren

Firebase speichert standardmäßig Event-Daten 14 Monate lang. Für die meisten Apps ist das deutlich länger als rechtlich nötig oder geschäftlich sinnvoll.

DSGVO-konform: 2 Monate für die meisten Use-Cases (Conversion-Tracking, Funnel-Analyse). Bei Apps mit längeren Customer-Lifecycle-Anforderungen (z. B. SaaS mit jährlicher Abrechnung) bis zu 14 Monate vertretbar, aber begründet, nicht aus Trägheit.

Einstellbar im Google Analytics Property unter Admin → Data Settings → Data Retention. Auf den niedrigsten Wert stellen, der für die internen Auswertungen ausreicht.

Nebeneffekt: weniger gespeicherte Daten = weniger Risiko bei Datenschutz-Anfragen, weniger Compliance-Aufwand bei Audits.

Das ist der schwierigste der fünf Punkte. Und 2026 der mit dem höchsten Strafrisiko. Seit der vollen DMA-Durchsetzung erzwingt Google den Consent-Mode-v2-Status für alle EU-Nutzer, konkret: ad_user_data und ad_personalization müssen explizit gesetzt sein, sonst werden Google-Ads-Audiences in der EU schlicht nicht mehr befüllt. Aus Marketing-Sicht heißt das: ohne korrekten Consent Mode v2 verliert das Performance-Marketing einen zweistelligen Prozentsatz an aktiver Audience-Größe.

In der Web-Welt geht das über GTM. In der App-Welt direkt über das Firebase SDK. Konzept: an Firebase wird vor dem ersten Event-Call eine Information gesendet, welche Consent-Kategorien gerade aktiv sind (analytics_storage, ad_storage, ad_user_data, ad_personalization). Firebase modelliert dann auf Basis dieser Signale.

Die exakte Syntax pro Plattform, iOS, Android, Flutter, sieht ähnlich aus, aber unterscheidet sich. Das interaktive Beispiel unten zeigt alle drei nebeneinander:

Firebase Consent Mode v2. Code-Snippets pro Plattform

Identische Logik, drei Syntaxe. Toggle bestimmt, ob Werbe-Consent erteilt wurde, die `granted`/`denied`-Werte im Code passen sich live an.

Werbe-Consent:
// iOS. Firebase Consent Mode v2 (Swift)
import FirebaseAnalytics

// Default-State VOR dem ersten Event setzen:
Analytics.setConsent([
  .analyticsStorage: .denied,
  .adStorage: .denied,
  .adUserData: .denied,
  .adPersonalization: .denied
])

// Nach CMP-Antwort:
Analytics.setConsent([
  .analyticsStorage: .granted,
  .adStorage: .granted,
  .adUserData: .granted,
  .adPersonalization: .granted
])

Pflicht-Schritt 2026: `ad_user_data` und `ad_personalization` werden seit DMA-Inkrafttreten erzwungen. Ohne korrekt gesetzten Consent-State werden Google-Ads-Audiences nicht befüllt.

Was schiefgeht, wenn dieser Layer fehlt: Firebase loggt Events ungefiltert, das CMP-System der App zeigt korrekt „User hat abgelehnt", aber Daten wurden trotzdem gesendet. Aus DSGVO-Sicht ein Bruch zwischen UI-Zusage und technischer Realität. Aus DMA-Sicht ein direkter Verstoß gegen Googles eigene Plattformanforderungen, und damit das Risiko, dass Google-Ads-Audiences plattformseitig ausgeknipst werden.

Sonderfall: Health-Apps unter Art. 9 DSGVO

Wenn eine App Gesundheitsdaten verarbeitet, auch indirekte wie Schlaf-Phasen, Fitness-Werte, Medikations-Erinnerungen, gilt Artikel 9 DSGVO. Das ist eine eigene Kategorie. Standard-Anonymisierung reicht nicht, Standard-Consent reicht nicht.

Welche Datentypen wo kippen, das Risiko-Radar unten zeigt es interaktiv:

Health-App Risiko-Radar. Art. 9 DSGVO

Welche App-Daten kippen in Art. 9?

Hover oder Tab durch die Datentypen, der Zeiger bewegt sich auf die jeweilige Risiko-Zone. Alles im roten Bereich erfordert explizite Einwilligung nach Art. 9 DSGVO, nicht den Standard-Consent.

Risk speedometer

Grüne Zone. Standard-Consent reicht

Datentyp auswählen:

Was zusätzlich nötig wird:

  • Explizite Einwilligung, nicht „Ja, ich akzeptiere die AGB", sondern eine separate, klar formulierte Zustimmung speziell zur Verarbeitung von Gesundheitsdaten.
  • Pseudonymisierung statt nur Anonymisierung. Daten werden nicht nur „anonym" gespeichert, sondern aktiv mit einem Pseudonym verknüpft, das im Bedarfsfall auch zur Löschung benutzt werden kann.
  • Datenflusskontrolle, wo geht die Information hin? Bleibt sie in der EU? Wird sie an Drittparteien übermittelt? Bei Gesundheitsdaten muss das in der Datenschutz-Folgeabschätzung detailliert dokumentiert sein.

Bei einer MedTech-App, die wir betreuen, läuft Firebase mit minimalem Event-Set, vollständigem Consent-Mode-Setup und expliziter Pseudonymisierung. Die App ist im Apple Health-Ökosystem aktiv und musste bei der Markteinführung in zwei EU-Ländern eine Datenschutz-Folgeabschätzung vorlegen, ohne das Setup oben wäre das nicht durchgegangen.

Konkrete Schritte

Wer gerade eine App plant oder eine bestehende mit Firebase betreut, drei Schritte, die vor dem nächsten Sprint anstehen:

  • DPA + EU-Region prüfen. In der Google Cloud Console nachsehen, ob das DPA akzeptiert ist und das Firebase-Projekt in einer EU-Region läuft. Wenn nicht in EU-Region: Migration planen, geht nicht inplace.
  • Defaults prüfen. Datenspeicherung sinnvoll konfiguriert (≤ 2 Monate für die meisten Apps), Werbe-ID-Verhalten dokumentiert, Consent-Mode-v2-Defaults gesetzt.
  • Consent-Layer testen. Bevor der erste Event ans Backend geht, passt die Consent-Information dazu? Im QA-Test einen „Ablehnen"-Klick durchspielen und prüfen, ob trotzdem Events gefeuert werden. Bei iOS zusätzlich den ATT-Doppel-Consent durchspielen.

Wenn ein Setup an einer dieser Stellen wackelt, ist ein externer Audit der schnellste Weg zur Klarheit. Wir machen das regelmäßig für App-Anbieter, speziell bei Gesundheits- oder Finanz-Apps, wo Art. 9 DSGVO greift. Mehr zur Methodik gibt es auf der Measurement & Privacy Engineering Service-Seite.

Außenperspektive auf das Firebase-Setup gefragt? Audit Sprint anfragen →, ab 1.500 € · 2 Wochen Turnaround.

Unterstützung beim Setup gefragt?

Audit Sprint in zwei Wochen, priorisierter Report, konkrete Handlungsempfehlungen.

Audit Sprint anfragen →
  • Q01
    Ist Firebase Analytics ohne Consent erlaubt?

    Strikt nein für Werbe-/IDFA-Tracking. Bedingt ja für reine App-Telemetrie via Consent Mode cookieless pings, aber nur mit dokumentierter Interessensabwägung nach Art. 6(1)(f) DSGVO und Hinweis im Privacy-Layer. Sobald die App Art.-9-Daten verarbeitet (Health, Biometrie), reicht keine Interessensabwägung mehr, dann ist explizite Einwilligung Pflicht, auch für Telemetrie.

  • Q02
    Muss IP-Anonymisierung 2026 noch manuell aktiviert werden?

    Nein. Firebase Analytics droppt das letzte IP-Oktett automatisch, der Schalter aus älteren Anleitungen existiert nicht mehr. Die 2026-Hausaufgabe ist die _Region_. EU Data Routing in den Firebase-Project-Settings prüfen, nicht die IP-Einstellung.

  • Q03
    Was passiert ohne Consent Mode v2 in der App?

    Seit DMA-Inkrafttreten 2026: Google-Ads-Audiences füllen sich in der EU nicht mehr, weil Google die fehlenden `ad_user_data`/`ad_personalization`-Signale als Default-Denied wertet. Performance-Kampagnen verlieren typischerweise zweistellige Prozent ihrer aktiven Audience. Im schlimmsten Fall werden Audiences komplett geblockt.

  • Q04
    Ist Firebase Analytics in der EU überhaupt erlaubt?

    Ja, mit den richtigen Einstellungen. Es ist kein „verboten oder erlaubt"-Thema, sondern ein „wie konfiguriert"-Thema. Mit DPA, EU-Region, korrektem Consent Mode v2 und vernünftiger Speicherdauer gibt es keinen DSGVO-Konflikt. Ohne diese Schritte schon.

  • Q05
    Braucht es trotz Firebase noch ein eigenes CMP?

    Ja. Firebase liefert die technische Schnittstelle für Consent-Signale, aber nicht das User-Interface. Das Cookie-Banner / der Consent-Dialog in der App ist ein eigenes System (OneTrust, Cookiebot, Usercentrics, eigenbau). Firebase reagiert auf die Signale, die dieses System sendet.

  • Q06
    Wie verhält sich ATT zum GDPR-Banner?

    Beides parallel, keiner ersetzt den anderen. Das GDPR-Banner kommt zuerst (Rechtsgrundlage). Wenn dort Werbe-Consent erteilt wurde, wird der ATT-Prompt gefeuert (technische Voraussetzung für IDFA). Wenn ATT abgelehnt wird, bleibt der GDPR-Consent gültig, aber Firebase erhält keine IDFA, sondern nur die analytics-bezogenen Signale.

  • Q07
    Was passiert, wenn der Nutzer im App-Consent-Dialog ablehnt?

    Mit korrektem Consent-Mode-Setup: Firebase speichert keine Werbe-ID, kein User-Identifier, keine Custom-Parameter. Sendet aber anonymisierte Pings für Conversion-Modellierung weiter, sofern `analytics_storage = denied` und `ad_storage = denied` korrekt gesetzt sind. Ohne Setup: Firebase loggt vermutlich trotzdem.

  • Q08
    Brauchen Health-Apps eine Datenschutz-Folgeabschätzung?

    In den meisten Fällen ja. Art. 35 DSGVO verlangt eine DSFA bei „voraussichtlich hohem Risiko", was bei der Verarbeitung von Gesundheitsdaten via App regelmäßig der Fall ist. Die DSFA dokumentiert Datenflüsse, Risiken, Schutzmaßnahmen. Wir empfehlen, sie früh im Projekt zu schreiben, nicht erst am Tag vor dem Launch.

  • Q09
    Hilft Firebase bei einem Datenschutz-Auskunftsersuchen?

    Teilweise. Firebase exportiert User-Daten via BigQuery-Integration, mit der sich DSGVO-Auskunfts- und Löschanfragen technisch beantworten lassen. Aber: ohne Pseudonymisierung sind die Daten je nach Setup nicht eindeutig einem Nutzer zuordenbar, was die Auskunft verkompliziert. Wer Auskunftsersuchen ernst nimmt, plant das Pseudonymisierungs-Schema von Anfang an mit ein. > _Hinweis: Dieser Artikel ist kein Rechtsrat. Für eine rechtliche Bewertung eines konkreten Setups bitte einen auf IT-Recht spezialisierten Anwalt oder Datenschutzbeauftragten konsultieren._

Über den Autor

Juri Saloid

Juri Saloid

Founder & Lead Analytics Engineer

Juri gründet Datascale One GmbH nach 10+ Jahren in Analytics- und Measurement-Engineering. Spezialist für GA4, Server-Side Tracking und DSGVO-konforme App-Analytics. Davor: Senior-Rollen bei MedTech- und Retail-Clients mit komplexen Consent-Anforderungen.

Profil ansehen → LinkedIn ↗

Weiterlesen