Google Analytics 4 DSGVO-konform einrichten - Schritt für Schritt

Google Analytics 4 (GA4) ist nicht per se verboten - aber nur dann zulässig, wenn es erst nach einer wirksamen Einwilligung lädt und richtig konfiguriert ist. Lädt es vorher, ist es ein Verstoß gegen § 25 TDDDG. Diese Anleitung zeigt Schritt für Schritt, wie Sie GA4 datenschutzkonform einrichten - und wie Sie das Ergebnis mit dem Google-Analytics-Checker überprüfen.

Schritt 1: Einwilligung vorschalten

GA4 darf erst feuern, nachdem der Besucher aktiv zugestimmt hat. Binden Sie das Tag deshalb über eine Consent-Management-Plattform (CMP) ein, die das Skript blockiert, bis eine Einwilligung vorliegt. Vor dem Klick auf „Akzeptieren" darf kein gtag- oder GTM-Aufruf an Google gehen.

Schritt 2: Consent Mode v2 aktivieren

Mit Google Consent Mode v2 passt GA4 sein Verhalten an den Einwilligungsstatus an. Ohne Einwilligung werden keine Analyse-Cookies gesetzt und nur anonyme, aggregierte Signale übertragen. Verknüpfen Sie Ihre CMP so mit dem Consent Mode, dass die Signale analytics_storage und ad_storage standardmäßig auf „denied" stehen.

Schritt 3: IP-Adressen kürzen und Datenfreigaben abschalten

GA4 kürzt IP-Adressen zwar automatisch, doch schalten Sie zusätzlich alle Datenfreigaben an Google (Produktverbesserung, Benchmarking) in den Property-Einstellungen ab. Deaktivieren Sie außerdem Google-Signale, wenn Sie kein geräteübergreifendes Tracking benötigen.

Schritt 4: Auftragsverarbeitungsvertrag abschließen

Für den Einsatz von GA4 brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Google nach Art. 28 DSGVO - er ist in den Google-Bedingungen enthalten und muss akzeptiert werden. Da Daten in die USA fließen, stützt sich der Transfer auf das EU-US Data Privacy Framework; dokumentieren Sie das in Ihrer Datenschutzerklärung.

Schritt 5: Einbindung prüfen und dokumentieren

Kontrollieren Sie zum Schluss, ob GA4 wirklich erst nach der Einwilligung lädt. Der Cookie-Checker und der Google-Analytics-Checker rufen Ihre Seite ohne Zustimmung auf und melden jeden vorzeitigen Aufruf. Nennen Sie Google Analytics anschließend vollständig in Ihrer Datenschutzerklärung. Wer noch datensparsamer messen will, findet in Matomo eine selbst gehostete Alternative.

Fazit

GA4 ist DSGVO-konform betreibbar, wenn vier Dinge stimmen: Einwilligung zuerst, Consent Mode v2, abgeschaltete Datenfreigaben und ein AVV. Prüfen Sie nach jeder Änderung am Tracking erneut, ob nichts vor der Einwilligung feuert.