datascale

DSGVO-konforme Analytics: Tools, Alternativen, Rechtsgrundlagen

DSGVO-konforme Analytics bedeutet, dass personenbezogene Daten nur auf einer gültigen Rechtsgrundlage erfasst werden und die technische Umsetzung (Cookies, IP-Speicherung, Drittländer-Transfer) dokumentiert und geprüft ist. Diese Seite zeigt, welche Tools 2026 sinnvoll funktionieren, welche Google-Analytics-Alternative zu welchem Setup passt und wie ein korrektes Setup aufgebaut wird.

Was DSGVO-konform wirklich heißt

Die DSGVO verlangt nicht „kein Tracking". Sie verlangt: eine nachvollziehbare Rechtsgrundlage, transparente Information der Nutzer, Umsetzung der Betroffenenrechte und technische Maßnahmen zum Schutz der Daten. Für Web-Analytics bedeutet das in der Praxis zwei Wege. Entweder eine valide Einwilligung einholen und messbar akzeptieren, dass ein Teil der Nutzer ablehnt. Oder auf Technologien setzen, die gar keine personenbezogenen Daten verarbeiten und damit ohne Banner auskommen.

Der zweite Weg ist 2026 der ruhigere. Cookielose, EU-gehostete Analytics erfasst aggregierte Reichweiten-Daten ohne Cookie, ohne IP-Speicherung, ohne Drittländer-Transfer. Kein Banner, kein Consent-Verlust, volle Abdeckung. Der Preis dafür ist weniger Granularität bei Attribution und Retargeting. Wer Google Ads mit Smart Bidding fährt, kommt um GA4 und ein sauberes Consent-Setup nicht herum.

Die besten DSGVO-konformen Google-Analytics-Alternativen

Es gibt keine einzelne beste Alternative, sondern eine je nach Setup. Vier Tools decken die meisten Fälle im DACH-Markt ab. Die Entscheidung fällt entlang von drei Fragen: Wie viel Attribution-Tiefe brauchen Sie, wie viel Self-Hosting-Aufwand ist vertretbar, und wie streng ist die EU-Cloud-Vorgabe im Haus.

Plausible Community Edition ist der Default für Content-Sites, Agenturen und Lead-Gen ohne tiefes Attribution-Modell. Cookiefrei, kein Banner, DSGVO-unkritisch, selbst gehostet in der EU. Der Funktionsumfang ist bewusst schmal: Reichweite, Quellen, Ziele. Details zur Einordnung stehen auf derPlausible-CE-Seite im Integrations-Katalog.

Matomo ist die mächtigere Open-Source-Option mit voller Datenhoheit. Es kann Cookies setzen und Heatmaps, Session-Recordings oder A/B-Tests abbilden. Je nach Konfiguration wird dann wieder ein Consent-Banner nötig. Sinnvoll für flexible Setups, die mehr als reine Reichweite brauchen und den Betrieb selbst stemmen.

Piwik PRO ist die Enterprise-Wahl aus Polen, mit EU-Servern und integriertem CMP. Technisch nah an GA4, rechtlich deutlich unkritischer. Die richtige Antwort für regulierte Branchen wie Banking oder Healthcare und für Konzerne mit expliziter EU-Cloud-Vorgabe. Mehr dazu auf derPiwik-PRO-Seite.

etracker ist die deutsche Antwort für KMU, die eine gehostete Lösung ohne Self-Hosting wollen. Server in Hamburg, cookieloser Betrieb möglich, Freigabe ohne Banner im datenschutzorientierten Modus. Der Funktionsumfang liegt zwischen Plausible und Matomo, der Preis im Mittelfeld.

Die fünf gängigen Tools im Vergleich

Analytics-Tools im Vergleich, Stand Juli 2026
KriteriumGA4Plausible CEPiwik PROMatomoetracker
CookiesJa (auch First-Party)NeinOptionalOptionalOptional
Consent-Banner nötigJaNeinJe nach KonfigurationJe nach KonfigurationNein im Signalize-Modus
HostingUS (Google)Self-hosted EUEU (Polen)Self-hosted / EU-CloudDE (Hamburg)
IP-AnonymisierungStandardKeine IP-SpeicherungKonfigurierbarKonfigurierbarStandard
Marketing-IntegrationenStark (Ads, Search Ads)MinimalSolideSolideMittel
Lizenzkosten0 €0 € (self-host)Ab 270 €/mo0 € / ab 19 €/mo CloudAb 19 €/mo
Empfohlen fürMarketing mit Ads-FokusContent-Sites, AgenturenEnterprise, regulierte BranchenFlexible SetupsDeutsche KMU

GA4 DSGVO-konform machen: die Checkliste

GA4 bleibt Pflicht, wenn Google Ads mit Smart Bidding, Enhanced Conversions oder Audiences ausgespielt werden. Rechtlich sauber wird der Betrieb erst mit dieser Konfiguration, die Standard-Einstellungen reichen nicht.

  • DPA mit Google Ireland abschließen, nicht mit Google LLC.
  • IP-Anonymisierung aktiviert, bevor Daten an Google gehen.
  • Consent Mode V2 korrekt verdrahtet, mit einer CMP dahinter, nicht als Ersatz für sie.
  • CMP-Integration mit Pre-Consent-Scan und sauberer Kategorisierung der Tags.
  • Datenspeicherung auf 14 Monate begrenzt statt der voreingestellten Maximaldauer.
  • US-Transfer bewusst entschieden und dokumentiert, siehe der nächste Abschnitt.

Server-Side GTM setzt oben drauf: Es filtert PII, bevor sie Google erreicht, und macht den Consent-State serverseitig überprüfbar. Wie das im Detail aussieht, steht imMeasurement & Privacy Engineering.

Schrems II und der US-Datentransfer

Der wunde Punkt jedes US-Tools ist der Datentransfer in die USA. Nach dem Schrems-II-Urteil (2020) fiel der Privacy Shield, Standard Contractual Clauses allein reichten seither nicht. Seit 2023 gibt es mit dem EU-US Data Privacy Framework wieder eine Angemessenheits-Grundlage für zertifizierte US-Anbieter, Google ist zertifiziert. Damit ist GA4 auf einer belastbareren Basis als noch 2022.

Belastbar heißt nicht endgültig. Das Framework steht politisch unter Beobachtung und kann wie seine beiden Vorgänger vor dem EuGH scheitern. Wer dieses Risiko nicht tragen will, hat zwei saubere Auswege: EU-Hosting (Piwik PRO, Matomo, etracker, Plausible CE) oder cookieloses Messen ohne personenbezogene Daten. In beiden Fällen entfällt die Transfer-Frage, weil kein personenbezogener Transfer stattfindet.

Brauche ich ein Cookie-Banner?

Die Banner-Frage entscheidet sich nicht am Tool-Namen, sondern an einer einzigen technischen Tatsache: Werden Cookies gesetzt oder personenbezogene Daten verarbeitet, die nicht technisch notwendig sind?

  • Cookielos und ohne PII (Plausible CE, etracker Signalize): kein Banner nötig, keine Einwilligung erforderlich.
  • Cookies oder personenbezogene Verarbeitung (GA4, Matomo mit Cookies, Ads-Pixel): Einwilligung vor dem ersten Tag, umgesetzt über eine CMP plus Consent Mode V2.

Ein falsch konfiguriertes Banner ist teurer als gar keins: Es vernichtet Daten durch unnötige Opt-outs und schützt trotzdem nicht, wenn Tags vor der Einwilligung feuern. Der Pre-Consent-Scan ist deshalb der erste Prüfpunkt in jedem Consent-Audit.

Server-Side Tracking als Daten-Booster

Unabhängig vom Tool: Server-Side GTM (etwa via stape.io) verbessert die Datenqualität deutlich, weil Tags im Server-Kontext ausgeführt werden statt im Browser. Ad-Blocker greifen nicht, First-Party-Cookies bleiben länger gültig, und Weiterleitungen an Drittanbieter lassen sich kontrollieren. PII wird gefiltert, bevor sie an Google geht, der Consent-State läuft serverseitig davor. Das ist keine Trickserei, sondern eine architekturale Verschiebung, die Messung und Datenschutz gleichzeitig verbessert.

Wann lohnt welches Tool

Plausible CE ist der Default, wenn kein tiefes Attribution-Modell nötig ist und die Seite primär Content, Leads oder Brand Awareness bedient. GA4 bleibt Pflicht, sobald Google Ads mit Smart Bidding, Enhanced Conversions oder Audiences läuft. Piwik PRO ist die Wahl für Enterprise-Kunden mit EU-Cloud-Vorgabe. Matomo passt, wenn Sie volle Datenhoheit und mehr als Reichweite brauchen. etracker ist der pragmatische Mittelweg für deutsche KMU ohne Self-Hosting-Kapazität. In vielen Setups ist die richtige Antwort eine Kombination: cookielos für die Reichweite, GA4 mit Consent für die Ads-Steuerung.

Nächster Schritt: den Stack festlegen

Analytics ist ein Baustein von vieren. Den kompletten Werkzeugkasten, CMPs, Server-Side Tagging, Warehouse und Hosting mit DSGVO-Status je Tool, zeigt die Übersicht DSGVO-Tools für den Marketing-Stack.

Unsicher, welche Kombination zum Setup passt? DerDSGVO-Stack-Calculator zeigt in zwei Minuten die sinnvollste Kombination aus Analytics-Tool, Consent-Layer und Hosting, basierend auf Traffic-Profil, Marketing-Kanälen und Branche. Wer das bestehende Setup lieber prüfen lassen will, startet mit einem Audit Sprint: priorisierter Report, konkrete Handlungsliste, 90-Minuten-Walkthrough.

  • Q01
    Was heißt „DSGVO-konforme Analytics"?

    Drei Bedingungen müssen erfüllt sein: eine gültige Rechtsgrundlage (meist Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO), abgesicherte Datenübermittlung in Drittländer (SCCs plus DPA, oder gar kein Transfer), und technisch wie organisatorisch umgesetzte Betroffenenrechte. Wer cookielos und EU-gehostet misst, erfüllt die ersten beiden Punkte ohne Banner.

  • Q02
    Ist Google Analytics 4 DSGVO-konform einsetzbar?

    Mit Auflagen ja, aber nicht mit Standard-Einstellungen. Notwendig sind: DPA mit Google Ireland, IP-Anonymisierung, Consent Mode V2, saubere CMP-Integration, eingeschränkte Datenspeicherung (14 Monate) und eine bewusste Entscheidung zum US-Datentransfer. Einfacher ist eine cookielose Alternative wie Plausible CE.

  • Q03
    Was ist die beste DSGVO-konforme Alternative zu Google Analytics?

    Es gibt keine einzelne beste, sondern eine je Use-Case. Plausible Community Edition für Content- und Lead-Sites ohne tiefes Attribution-Modell, Piwik PRO für regulierte Branchen mit EU-Cloud-Vorgabe, Matomo für flexible Setups mit eigener Hoheit, etracker für deutsche KMU, die eine gehostete Lösung ohne Self-Hosting wollen.

  • Q04
    Brauche ich bei Plausible Community Edition ein Cookie-Banner?

    Nein. Plausible CE setzt keine Cookies, speichert keine IP-Adressen und verarbeitet keine personenbezogenen Daten im Sinne der DSGVO. Daher ist keine Einwilligung erforderlich. Das gilt insbesondere für die selbst-gehostete Community Edition, bei der alle Daten unter Ihrer Hoheit bleiben.

  • Q05
    Was ist der Unterschied zwischen Plausible und Matomo?

    Beide sind datenschutzfreundliche Alternativen zu GA4. Plausible ist einfacher, cookiefrei per Default und auf das Wesentliche reduziert. Matomo ist mächtiger, kann aber Cookies setzen. Je nach Konfiguration ist dort ein Consent-Banner wieder nötig. Für Marketing-Sites ohne tiefes Attribution-Modell ist Plausible meist die bessere Wahl.

  • Q06
    Ist etracker eine gute DSGVO-Alternative?

    Für deutsche KMU oft ja. etracker ist in Hamburg gehostet, kann cookielos betrieben werden und wirbt mit einer Freigabe ohne Consent-Banner im Signalize-Modus. Der Funktionsumfang liegt zwischen Plausible und Matomo. Wer eine gehostete deutsche Lösung ohne Self-Hosting-Aufwand sucht, findet hier einen soliden Kompromiss.

  • Q07
    Was ist Piwik PRO und wann lohnt es sich?

    Die Enterprise-Variante aus Polen, mit EU-Servern und integriertem CMP. Technisch vergleichbar mit GA4, rechtlich deutlich unkritischer. Lohnt sich für regulierte Branchen (Banking, Healthcare) oder Konzerne mit expliziter EU-Cloud-Vorgabe.

  • Q08
    Ist der US-Datentransfer mit GA4 2026 noch ein Problem?

    Entschärft, nicht erledigt. Seit dem EU-US Data Privacy Framework (2023) gibt es wieder eine Angemessenheits-Grundlage für zertifizierte US-Anbieter, Google gehört dazu. Das Framework steht politisch aber unter Beobachtung und kann wie sein Vorgänger fallen. Wer das Risiko ausschließen will, hostet in der EU oder misst cookielos, dann ist der Transfer kein Thema.

  • Q11
    Wie migriere ich von GA4 auf eine datenschutzfreundliche Alternative?

    Parallel-Betrieb statt Hard-Cut. Das neue Tool läuft einige Wochen neben GA4, damit die Baseline vergleichbar wird. Historische GA4-Daten lassen sich über den BigQuery-Export sichern. Danach werden Events und Ziele im neuen Tool nachgebaut, das Banner angepasst oder entfernt und GA4 abgeschaltet. Ein Measurement Blueprint hält das Event-Schema über beide Tools konsistent.

  • Q12
    Was kostet ein Consent- und Analytics-Audit?

    Audit Sprint: 2.400 € netto Festpreis (Starter, klar begrenzter Scope) oder 3.900 € netto (Plus, für E-Commerce, mehrere Domains oder App plus Web). Alle Preise zzgl. gesetzlicher MwSt. Enthalten: priorisierter Audit-Report, konkrete Handlungsempfehlungen, 90-Minuten-Walkthrough-Call. Kein Strategiepapier, sondern eine Liste, die das Dev-Team direkt umsetzen kann.