Was heißt „DSGVO-konforme Analytics"?

DSGVO-konforme Analytics bedeutet, dass personenbezogene Daten nur auf Basis einer gültigen Rechtsgrundlage (in der Regel Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO) verarbeitet werden, die Datenübermittlung in Drittländer abgesichert ist (SCCs + DPA) und die Betroffenenrechte technisch wie organisatorisch umgesetzt sind.

Ist Google Analytics 4 DSGVO-konform einsetzbar?

Mit Auflagen ja — aber nicht mit Standard-Einstellungen. Notwendig sind: DPA mit Google Ireland, IP-Anonymisierung, Consent Mode V2, saubere CMP-Integration, eingeschränkte Datenspeicherung (14 Monate) und Ausschluss des US-Datentransfers bei kritischen Datenflüssen. Einfacher ist eine cookielose Alternative.

Brauche ich bei Plausible Community Edition ein Cookie-Banner?

Nein. Plausible CE setzt keine Cookies, speichert keine IP-Adressen und verarbeitet keine personenbezogenen Daten im Sinne der DSGVO. Daher ist keine Einwilligung erforderlich. Das gilt insbesondere für die selbst-gehostete Community Edition, bei der alle Daten unter eurer Hoheit bleiben.

Was ist der Unterschied zwischen Plausible und Matomo?

Beide sind datenschutzfreundliche Alternativen zu GA4. Plausible ist einfacher, cookiefrei per Default und auf das Wesentliche reduziert. Matomo ist mächtiger, kann aber Cookies setzen — je nach Konfiguration ist dort ein Consent-Banner wieder nötig. Für Marketing-Sites ohne tiefes Attribution-Modell ist Plausible meist die bessere Wahl.

Was ist Piwik PRO und wann lohnt es sich?

Piwik PRO ist die Enterprise-Variante aus Polen mit EU-Servern und integriertem CMP. Technisch vergleichbar mit GA4, rechtlich unkritischer. Lohnt sich bei regulierten Branchen (Banking, Healthcare) oder Konzernen mit expliziter EU-Cloud-Vorgabe.

Was ist Consent Mode V2?

Consent Mode V2 ist Googles API zur Steuerung von Tag-Verhalten basierend auf dem Consent-Status. Richtig implementiert sendet er auch bei abgelehnter Einwilligung aggregierte Signale an Google, was für Conversion-Modeling genutzt wird. Er ersetzt aber kein vollständig DSGVO-konformes CMP — er ergänzt es.

Muss Consent Mode V2 seit März 2024 implementiert sein?

Ja, für den Betrieb von Google Ads mit personalisierten Funktionen (Remarketing, Enhanced Conversions) ist Consent Mode V2 seit März 2024 verpflichtend. Wer das nicht umgesetzt hat, verliert bei abgelehnter Einwilligung sämtliche Signale statt nur personenbezogener.

Was kostet ein Consent- und Analytics-Audit?

Je nach Komplexität zwischen 1.500 und 5.500 €. Enthalten: priorisierter Audit-Report, konkrete Handlungsempfehlungen, Walkthrough-Call. Kein Strategiepapier — sondern eine Liste die das Dev-Team direkt umsetzen kann.

SEO Pillar

DSGVO-konforme Analytics: Tools, Setup, Rechtsgrundlagen

DSGVO-konforme Analytics bedeutet, dass personenbezogene Daten nur auf einer gültigen Rechtsgrundlage erfasst werden und die technische Umsetzung — Cookies, IP-Speicherung, Drittländer-Transfer — dokumentiert und geprüft ist. Diese Seite zeigt, welche Tools 2026 sinnvoll funktionieren und wie du das Setup korrekt aufbaust.

TODO — Volltext: Die Keyword-Map (datascale-seo-keyword-map.md) liegt aktuell nicht im Projekt. Sobald sie da ist, werden die H2-Sections entlang Cluster 2 ausgebaut (IP-Anonymisierung, Consent Mode V2, Schrems II, Server-Side Tracking, Firebase + DSGVO, Matomo vs Plausible, Audit-Checkliste).

Was DSGVO-konform wirklich heißt

Die DSGVO verlangt nicht „kein Tracking". Sie verlangt: eine nachvollziehbare Rechtsgrundlage, transparente Information der Nutzer, Umsetzung der Betroffenenrechte und technische Maßnahmen zum Schutz der Daten. Für Web-Analytics bedeutet das in der Praxis: entweder eine valide Einwilligung einholen (und messbar akzeptieren, dass ein Teil der Nutzer ablehnt) — oder auf Technologien setzen, die gar keine personenbezogenen Daten verarbeiten.

Die vier gängigen Tools im Vergleich

Kriterium	GA4	Plausible CE	Piwik PRO	Matomo
Cookies	Ja (auch First-Party)	Nein	Optional	Optional
Consent-Banner nötig	Ja	Nein	Je nach Konfiguration	Je nach Konfiguration
Hosting	US (Google)	Self-hosted EU	EU (Polen)	Self-hosted / EU-Cloud
IP-Anonymisierung	Standard	Keine IP-Speicherung	Konfigurierbar	Konfigurierbar
Marketing-Integrationen	Stark (Ads, Search Ads)	Minimal	Solide	Solide
Lizenzkosten	0 €	0 € (self-host)	Ab 270 €/mo	0 € / ab 19 €/mo Cloud
Empfohlen für	Marketing mit Ads-Fokus	Content-Sites, Agenturen	Enterprise, regulierte Branchen	Flexible Setups

Wann lohnt welches Tool

Plausible CE ist der Default, wenn kein tiefes Attribution-Modell nötig ist und die Seite primär Content, Leads oder Brand Awareness bedient. Kein Consent-Banner, keine Datenverluste durch Opt-out, volle Abdeckung.

GA4 bleibt Pflicht, wenn Google Ads mit Smart Bidding, Enhanced Conversions oder Audiences ausgespielt werden. In dem Fall: CMP + Consent Mode V2 sauber konfigurieren, damit Conversion-Modeling greift.

Piwik PRO ist die Wahl für Enterprise-Kunden mit EU-Cloud-Vorgabe, bei denen US-Transfer kein Kompromiss ist.

Server-Side Tracking als Daten-Booster

Unabhängig vom Tool: Server-Side GTM (z. B. via stape.io) verbessert Datenqualität deutlich, weil Tags im Server-Kontext ausgeführt werden statt im Browser. Ad-Blocker greifen nicht, First-Party-Cookies bleiben länger gültig, und Third-Party-Weiterleitungen können kontrolliert werden.

DSGVO-Stack-Calculator

Unsicher, welcher Stack zu deinem Setup passt? Unser DSGVO-Stack-Calculator zeigt dir basierend auf Traffic-Profil, Marketing-Kanälen und Branche die sinnvollste Kombination.

Zum Stack-Calculator →

Häufige Fragen

Was heißt „DSGVO-konforme Analytics"?

DSGVO-konforme Analytics bedeutet, dass personenbezogene Daten nur auf Basis einer gültigen Rechtsgrundlage (in der Regel Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO) verarbeitet werden, die Datenübermittlung in Drittländer abgesichert ist (SCCs + DPA) und die Betroffenenrechte technisch wie organisatorisch umgesetzt sind.
Ist Google Analytics 4 DSGVO-konform einsetzbar?

Mit Auflagen ja — aber nicht mit Standard-Einstellungen. Notwendig sind: DPA mit Google Ireland, IP-Anonymisierung, Consent Mode V2, saubere CMP-Integration, eingeschränkte Datenspeicherung (14 Monate) und Ausschluss des US-Datentransfers bei kritischen Datenflüssen. Einfacher ist eine cookielose Alternative.
Brauche ich bei Plausible Community Edition ein Cookie-Banner?

Nein. Plausible CE setzt keine Cookies, speichert keine IP-Adressen und verarbeitet keine personenbezogenen Daten im Sinne der DSGVO. Daher ist keine Einwilligung erforderlich. Das gilt insbesondere für die selbst-gehostete Community Edition, bei der alle Daten unter eurer Hoheit bleiben.
Was ist der Unterschied zwischen Plausible und Matomo?

Beide sind datenschutzfreundliche Alternativen zu GA4. Plausible ist einfacher, cookiefrei per Default und auf das Wesentliche reduziert. Matomo ist mächtiger, kann aber Cookies setzen — je nach Konfiguration ist dort ein Consent-Banner wieder nötig. Für Marketing-Sites ohne tiefes Attribution-Modell ist Plausible meist die bessere Wahl.
Was ist Piwik PRO und wann lohnt es sich?

Piwik PRO ist die Enterprise-Variante aus Polen mit EU-Servern und integriertem CMP. Technisch vergleichbar mit GA4, rechtlich unkritischer. Lohnt sich bei regulierten Branchen (Banking, Healthcare) oder Konzernen mit expliziter EU-Cloud-Vorgabe.
Was ist Consent Mode V2?

Consent Mode V2 ist Googles API zur Steuerung von Tag-Verhalten basierend auf dem Consent-Status. Richtig implementiert sendet er auch bei abgelehnter Einwilligung aggregierte Signale an Google, was für Conversion-Modeling genutzt wird. Er ersetzt aber kein vollständig DSGVO-konformes CMP — er ergänzt es.
Muss Consent Mode V2 seit März 2024 implementiert sein?

Ja, für den Betrieb von Google Ads mit personalisierten Funktionen (Remarketing, Enhanced Conversions) ist Consent Mode V2 seit März 2024 verpflichtend. Wer das nicht umgesetzt hat, verliert bei abgelehnter Einwilligung sämtliche Signale statt nur personenbezogener.
Was kostet ein Consent- und Analytics-Audit?

Je nach Komplexität zwischen 1.500 und 5.500 €. Enthalten: priorisierter Audit-Report, konkrete Handlungsempfehlungen, Walkthrough-Call. Kein Strategiepapier — sondern eine Liste die das Dev-Team direkt umsetzen kann.