Google Analytics (GA4) und Datenschutz – Was in die Datenschutzerklärung gehört

Google Analytics GA4 ist ein weit verbreitetes Analyse-Tool, mit dem Webseitenbetreiber Besucherdaten erfassen, um ihre Webseite zu optimieren und Nutzungsverhalten auszuwerten. Für die rechtskonform Nutzung von Google Analytics muss die Datenschutzerklärung jedoch zahlreiche Angaben zur Datenverarbeitung enthalten – Zweck, Rechtsgrundlage, Empfänger, Drittlandtransfer und Speicherdauer. Dieser Artikel stellt dar, welche Informationen Webseitenbetreiber zu Google Analytics GA4 in ihrer Datenschutzerklärung dokumentieren sollten und wie das Unternehmen Google as Auftragsverarbeiter einzuordnen ist.

A. Zweck und Funktionsweise

Google Analytics ist ein Analyse-Tool von Google, mit dem Betreiber von Webseiten detaillierte Statistiken über den Datenverkehr ihrer Website sammeln. Das Tool misst, wie Besucher mit einer Webseite interagieren – welche Seiten sie besuchen, wie lange sie dort verbleiben, welche Links sie anklicken und welche Conversions (Registrierungen, Käufe, Downloads) stattfinden.

GA4 (die aktuelle Generation von Google Analytics, eingeführt 2020 als Nachfolger von Universal Analytics) wird auf einer Webseite durch ein JavaScript-Snippet integriert. Dieses Snippet, bekannt als gtag.js, wird direkt im Quellcode der Webseite eingebunden – typischerweise im <head>-Bereich der HTML-Seite. Das Snippet lädt beim Besuch der Webseite automatisch und sendet Ereignisdaten (Events) an Googles Server.

Der Anbieter gibt an, dass gtag.js folgende Aufgaben erfüllt:

• Automatische Erfassung von Standard-Events (Seitenladezeiten, Scrollverhalten, Klicks auf Links, Video-Wiedergabedaten)
• Möglichkeit zur Definition eigener Events (z. B. Formular-Submits, Warenkorb-Additions)
• Speicherung einer eindeutigen Client-ID im Browser-Cookie (_ga), um Nutzer sitzungsübergreifend zu verfolgen
• Übermittlung dieser Daten an Google-Server in den USA (Drittlandtransfer)

Die Integration von GA4 ist somit deutlich unterschiedlich vom reinen Server-Logging: Der Code lädt im Browser des Besuchers und erstellt aktiv eine Verbindung zu Googles Infrastruktur.

B. Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt, dass Webseitenbetreiber Besucher in ihrer Datenschutzerklärung umfassend über die Datenverarbeitung informieren. Gemäß Artikel 13 Abs. 1 DSGVO sind mindestens folgende Angaben erforderlich:

1. Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c) – Wofür werden die Daten genutzt?
2. Rechtsgrundlage (Art. 13 Abs. 1 lit. c) – Welche Grundlage erlaubt die Verarbeitung?
3. Berechtigte Interessen (Art. 13 Abs. 1 lit. d) – Falls Rechtsgrundlage Artikel 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) ist, welche konkrete Interesse werden verfolgt?
4. Empfänger der Daten (Art. 13 Abs. 1 lit. e) – An wen werden die Daten weitergegeben?
5. Drittlandtransfer (Art. 13 Abs. 1 lit. f) – Falls Daten außerhalb der EU/des EWR übermittelt werden: an welches Land und welche Garantien gibt es?
6. Speicherdauer (Art. 13 Abs. 2 lit. a) – Wie lange werden Daten gespeichert?
7. Betroffenenrechte (Art. 13 Abs. 2 lit. b–h) – Informationen zu Auskunfts-, Lösch-, Widerspruchsrecht, etc.

Diese Angaben müssen nicht für jedes einzelne Tool in Form eines separaten Textbausteins aufgeführt werden – eine häufig anzutreffende Praxis. Ein Tool-pro-Textbaustein-Ansatz führt zu extrem langen, schlecht lesbaren Datenschutzerklärungen und widerspricht damit dem Transparenz- und Verständlichkeitsgebot des Artikels 12 Abs. 1 DSGVO („leicht zugänglich ... in einer klaren und verständlichen Form").

Besser: themenorientierter Ansatz. Statt „GA4-Textbaustein", „Facebook Pixel-Textbaustein", „Hotjar-Textbaustein" etc. sollten Webseitenbetreiber ihre Datenschutzerklärung nach Verarbeitungskategorien (z. B. „Webanalyse und Reichweitemessung", „Remarketing und Werbung", „Kontaktformulare") strukturieren und dann eine übersichtliche Empfängerliste mit allen Tools, ihren Adressen und Rollen im Anhang anfügen. Diese Struktur ist für Besucher verständlicher und für Datenschutzbeauftragte und Aufsichtsbehörden leichter zu prüfen.

Der matterius-Datenschutzgenerator folgt dieser methodisch bewährten, themenorientierten Struktur.

C. Anbieter

Google Analytics wird von Google Ireland Limited betrieben, einem Google-Unternehmen mit Sitz in der Europäischen Union. Die vollständige Adresse lautet:

Google Ireland Limited Gordon House, Barrow Street Dublin 4, D04 E5W5 Irland

Google Ireland Limited fungiert als Auftragsverarbeiter (Processor) im Sinne von Artikel 28 DSGVO. Die tatsächliche Datenverarbeitung erfolgt jedoch durch die Muttergesellschaft Google LLC, ein Unternehmen der USA mit Sitz in den Vereinigten Staaten. Google LLC ist daher Empfänger der Nutzungsdaten im Sinne des Artikels 13 Abs. 1 lit. e DSGVO (Drittlandempfänger).

Datenschutz-Rahmenbedingungen (DPF): Der Anbieter gibt an, dass Google LLC unter dem Data Privacy Framework (DPF) zertifiziert ist – ein zwischenstaatliches Abkommen zwischen der EU und den USA, das festlegt, dass US-Unternehmen, die sich am DPF-Programm beteiligen, ein in der EU äquivalentes Datenschutzniveau einhalten müssen. Die DPF-Zertifizierung von Google LLC kann auf der offiziellen Seite der U.S. Department of Commerce überprüft werden: https://www.dataprivacyframework.gov/participant/5780

Zusätzlich zum DPF schließt Google Standard Contractual Clauses (SCC) ab – rechtliche Vertragsklauseln zwischen Google Ireland Limited und Google LLC, die zusätzliche Schutzmaßnahmen für Datentransfers in die USA vorsehen. Diese Klauseln sind in Googles Datenverarbeitungsbedingungen dokumentiert: https://policies.google.com/privacy/frameworks

Für alle Angaben zu Googles Datenschutzverpflichtungen kann die Datenschutzerklärung von Google konsultiert werden: https://policies.google.com/privacy?hl=de

D. Datenverarbeitung – Ablauf

Der Prozess der Datenverarbeitung bei Google Analytics GA4 läuft nach einem standardisierten Ablauf:

E. Erhobene Daten

Google Analytics GA4 erfasst kontinuierlich eine breite Palette von Nutzungsdaten. Der Anbieter dokumentiert diese als Events und User Properties. Konkret gehören dazu:

• Client-ID: Eine eindeutige Kennung, die gtag.js dem Browser zuweist (_ga-Cookie)
• Session-ID: Kennzeichnet eine einzelne Website-Sitzung
• Seitendaten: URL der besuchten Seite, Seitentitel, Referrer
• Ereignisdaten: Automatisch erfasste Events wie page_view, scroll, click, view_search_results; Umfang abhängig von Konfiguration
• Gerätedaten: Gerätetyp (Desktop, Mobil, Tablet), Betriebssystem und dessen Version, Browsername und -version
• Standortdaten: Aus der IP-Adresse abgeleiteter geografischer Standort (Land, Stadt) – die IP selbst wird laut Anbieter nicht gespeichert
• Conversion-Events: Benutzerdefinierte Events für Geschäftsziele (Anmeldung, Kauf, Download, Form-Submission)
• User-Properties: Vom Webseitenbetreiber gesetzte Custom-Attribute (z. B. Kundensegment, Nutzertyp)

Diese Daten lassen sich nach Datenarten klassifizieren:

• Webserver-Protokolldaten: Uhrzeit, Browser, Betriebssystem, IP-Region (Standortinferenz)
• Klickpfade und Navigationsverhalten: Besuchte Seiten, Scrolltiefen, Elementinteraktionen, Referrer
• Endgeräte-Informationen: Gerätetyp, OS, Browser, Bildschirmauflösung, Sprache
• Browserkonfiguration: User-Agent, Schriftdarstellung, Locale, Zeitzone
• Grobe Standortdaten: Aus IP ermitteltes Sitzungsland und Stadt
• Nutzerprofile und Segmentierung: Besuchshäufigkeit, Kundensegmente, Interessen (falls Remarketing/Google Audience aktiv)
• Ereignisse und Conversions: Registrierungen, Käufe, Download, Formular-Submissions
• Interaktionsmessdaten: Scrolltiefen, Klicks, Video-Abspieldauer, externe Link-Klicks
• Telemetriedaten: Seitenladezeiten, Fehlerberichte, Ressourcen-Verfügbarkeit

F. Nutzungszwecke

Google Analytics GA4 wird zum Erfassen von Nutzungsdaten zu folgenden Zwecken eingesetzt:

• Allgemeine Produktverbesserung: Analyse von Besuchern-Navigationsmustern, um die Benutzerfreundlichkeit der Webseite zu optimieren
• Allgemeines Marketing und Kampagnenerfolgsmessung: Erfassung von Besucherzahlen, Herkünften (Google Ads, organische Suche, Social Media, direkt), Conversion-Rates
• Nutzersegmentierung und Profilbildung: Aufteilung von Besuchern nach Verhalten, Interessen, Gerätetyp, geografischer Herkunft
• Interessensbezogene Inhaltsbereitstellung: Personalisierung der Webseiteninhalte basierend auf vorherigen Besuchen
• Remarketing und interessensbezogenes Targeting: Wenn GA4 mit Google Ads verknüpft ist, können Besuchersegmente für Werbeanzeigen außerhalb der Website genutzt werden

Diese Zwecke orientieren sich am Geschäftsmodell des Anbieters Google, für den GA4-Daten auch zur Verbesserung seiner Werbenetzwerk-Angebote (Google Ads, Google Display Network) wertvoll sind.

G. Rechtsgrundlagen

Die Verarbeitung von Nutzungsdaten durch Google Analytics erfordert eine oder mehrere Rechtsgrundlagen nach Artikel 6 DSGVO:

1. Einwilligung (Artikel 6 Abs. 1 lit. a DSGVO):

Dies ist die Regelrechtsgrundlage für cookie-basiertes Tracking wie GA4. Der Grund: GA4 setzt Cookies, und gemäß Artikel 7 Abs. 4 TTDG (Telekommunikation-Telemedien-Datenschutz-Gesetz, das die ePrivacy-Richtlinie in Deutschland umsetzt) ist eine vorherige, explizite Einwilligung erforderlich. Der Webseitenbetreiber muss einen aktiven Cookie-Consent-Banner anzeigen, bevor gtag.js feuert. Die Einwilligung muss als Opt-In (positive Bestätigung) erfolgen – Opt-Out ist nicht zulässig. Erst nach Zustimmung des Nutzers sollte Google Analytics aktiv Daten erfassen.

2. Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f DSGVO):

Theoretisch könnte ein Webseitenbetreiber argumentieren, dass die Webseiten-Analyse seinen berechtigten Geschäftsinteressen dient (Nutzerverhalten verstehen, Conversion-Optimierung). Allerdings: Google Analytics ist Cookie-basiert und fällt daher primär unter die Einwilligungspflicht des TTDG. Ein reiner Interessensabwägungsansatz ohne Einwilligung ist rechtlich kontrovers und wird von deutschen Datenschutzaufsichtsbehörden i. d. R. nicht akzeptiert. Im Einzelfall zu prüfen.

Praktisch relevante Schlussfolgerung: Für GA4 kommt regelmäßig Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDG) als Rechtsgrundlage in Betracht. Dies muss in der Datenschutzerklärung explizit genannt und in einem separaten Zustimmungs-Mechanismus implementiert werden.

H. Besonderheiten und Hinweise

Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement):

Für Google Analytics ist ein schriftlicher Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO erforderlich. Dieser kann direkt im Google Analytics-Backend abgeschlossen werden:

1. Anmeldung im Google Analytics-Konto
2. Navigation zu Verwaltung > Kontoeinstellungen (oder Account Settings im englischen Interface)
3. Im Bereich "Addendum for Data Processing" (oder "Anhang zur Datenverarbeitung") → Ansicht anzeigen / View Addendum
4. Prüfung und Bestätigung mit dem Häkchen sowie Speichern

Dieser Vertrag ist zwingend erforderlich – ohne ihn liegt eine rechtswidrige Datenverarbeitung vor. Google Ireland Limited fungiert hier als Auftragsverarbeiter, verarbeitet aber tatsächlich über Google LLC (USA).

Drittlandtransfer und Schutzmechanismen:

Besucherdaten werden von Google Analytics an Google LLC in den USA übermittelt – außerhalb der EU/des EWR. Die USA gelten nach DSGVO als Drittland ohne Angemessenheitsbeschluss der EU-Kommission (seit Schrems II). Daher müssen Zusatzgarantien vorhanden sein:

• Data Privacy Framework (DPF): Google LLC ist DPF-zertifiziert. Der Anbieter gibt an, dass Google LLC sich an die DPF-Prinzipien bindet und dadurch ein adäquates Schutzniveau bietet.
• Standard Contractual Clauses (SCC): Google schließt zusätzlich SCC zwischen Google Ireland Limited (EU) und Google LLC (USA) ab.

Diese Mechanismen werden in der Datenschutzerklärung unter dem Stichwort "Drittlandtransfer" erläutert und mit einer Referenz zu Googles Datenschutzerklärung und DPF-Zertifikat belegt.

IP-Anonymisierung (nicht mehr relevant in GA4):

In Universal Analytics (der Vorgängerversion) war eine manuelle "IP-Anonymisierung" einstellbar. In GA4 ist dies nicht mehr nötig: Der Anbieter gibt an, dass GA4 IP-Adressen grundsätzlich nicht speichert, sondern nur zur Standortbestimmung heranzieht und sofort nach Ermittlung der geografischen Region verwirft.

Data Retention (Speicherdauer):

Die Voreinstellung in GA4 ist eine Speicherdauer von 2 Monaten. Im Backend kann dies auf bis zu 14 Monate erhöht werden. Diese Einstellung sollte dokumentiert und in der Datenschutzerklärung erwähnt werden (Erfüllung von Art. 13 Abs. 2 lit. a DSGVO).

Opt-Out und Nutzerwiderspruch:

Nutzer können Google Analytics deaktivieren durch:

• Browser-Erweiterung: Google stellt eine offizielle Opt-Out-Erweiterung bereit unter https://tools.google.com/dlpage/gaoptout?hl=de (verfügbar für Chrome, Firefox, Safari, Edge)
• Do-Not-Track-Signal: Browser können ein DNT-Signal senden; die Einhaltung ist jedoch freiwillig
• Zustimmung zurückziehen: Nutzer sollten in der Datenschutzerklärung darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können

Subprozessoren:

Google arbeitet bei der Datenverarbeitung mit weiteren Subprozessoren zusammen, die auf Nutzeranfrage offengelegt werden können (z. B. für Cloud-Speicherung, Abfragedienste, Sicherheit). Eine aktuelle Liste ist in Googles Datenverarbeitungsbedingungen einsehbar oder kann direkt bei Google angefordert werden.

I. Häufige Fragen zu Google Analytics und Datenschutz

J. Fazit

Google Analytics GA4 ist ein mächtiges Analyse-Tool, das umfangreiche Besucherdaten erfasst und verarbeitet. Für Webseitenbetreiber ergeben sich daraus folgende Kernpflichten:

1. Einwilligung einholen: Cookie-Consent-Banner vor Laden von GA4 ist zwingend (TTDG § 25 Abs. 1).
2. AVV mit Google abschließen: Der schriftliche Auftragsverarbeitungsvertrag (Data Processing Agreement) muss im GA4-Backend akzeptiert werden – ohne ihn ist die Nutzung rechtswidrig (Art. 28 DSGVO).
3. Datenschutzerklärung anpassen: Neue oder überarbeitete Datenschutzerklärung mit Angaben zu Zweck, Rechtsgrundlagen, Empfängern, Drittlandtransfer und Speicherdauer.
4. Technische Maßnahmen: Consent Mode v2 implementieren, Speicherdauer prüfen, Nutzer-Opt-Out-Möglichkeiten bereitstellen.

Ein wesentlicher Punkt: Viele Webseitenbetreiber verfassen lange, redundante Datenschutzerklärungen mit einzelnen „Textbausteinen" für jedes Tool. Das ist nicht nur schlecht lesbar, sondern widerspricht auch Artikel 12 Abs. 1 DSGVO. Besser ist ein themenorientierter Aufbau mit zentraler Empfängerliste – das ist verständlicher für Besucher und leichter für Compliance-Teams zu verwalten.

Der matterius-Datenschutzgenerator stellt diesen bewährten, methodisch fundierten Ansatz automatisiert zur Verfügung und erspart Webseitenbetreibern aufwendige manuelle Recherche und juristische Einzelfallprüfungen.