Zum Inhalt springen
Sorrel
← Blog

03. Februar 2026 · Marie Heller

Google Analytics ohne Einwilligung: Warum das teuer wird

Google Analytics setzt ohne vorherige Einwilligung Tracking-Cookies und überträgt Daten in die USA – das verstößt gegen § 25 TTDSG und Art. 6 DSGVO und kann Abmahnungen auslösen.

analyticsdsgvottdsgconsent

Google Analytics ohne vorherige Einwilligung einzusetzen ist in Deutschland unzulässig. Das Tool speichert Informationen auf dem Endgerät der Nutzer und überträgt Daten an Google – beides erfordert nach § 25 TTDSG eine aktive, informierte Einwilligung. Wer darauf verzichtet, riskiert Abmahnungen, Bußgelder und im Einzelfall Schadensersatzforderungen Betroffener.

Viele Website-Betreiber binden Analytics ein, weil es kostenlos und verbreitet ist – und übersehen dabei die rechtlichen Voraussetzungen. Dieser Artikel erklärt, warum eine Einwilligung zwingend ist und wie Sie das Tool rechtskonform betreiben.

Warum Analytics eine Einwilligung braucht

Google Analytics ist kein technisch notwendiger Dienst. Es dient der Reichweitenmessung und dem Marketing – also genau jenen Zwecken, für die § 25 TTDSG eine Einwilligung verlangt.

Konkret greifen zwei Ebenen ineinander:

  • Zugriff auf das Endgerät (§ 25 TTDSG): Analytics speichert Kennungen (Cookies oder vergleichbare Technologien) auf dem Gerät der Nutzer. Das Speichern und Auslesen ist nur mit Einwilligung erlaubt – es sei denn, es ist für den Dienst unbedingt erforderlich. Reichweitenmessung ist das nicht.
  • Verarbeitung personenbezogener Daten (Art. 6 DSGVO): IP-Adresse, Geräte- und Nutzungsdaten sind personenbezogen. Als Rechtsgrundlage kommt hier praktisch nur die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO infrage – ein berechtigtes Interesse trägt das Tracking in aller Regel nicht.

Der BGH hat in „Planet49" (I ZR 7/16) klargestellt, dass die Einwilligung aktiv erfolgen muss. Vorangekreuzte Kästchen oder ein bloßes Weitersurfen genügen nicht.

Der US-Transfer als zweites Problem

Selbst mit Einwilligung bleibt ein Punkt, den viele unterschätzen: Google verarbeitet Daten auch in den USA. Nach dem EuGH-Urteil Schrems II (C-311/18) ist ein solcher Drittlandtransfer (Art. 44 ff. DSGVO) nur zulässig, wenn ein angemessenes Schutzniveau besteht.

Heute stützt sich der Transfer in der Regel auf das EU-US Data Privacy Framework, sofern Google entsprechend zertifiziert ist. Was das praktisch bedeutet, lesen Sie in unserem Artikel US-Datentransfer nach Schrems II. Wichtig: Auch hier müssen Nutzer in der Datenschutzerklärung über die Übermittlung informiert werden.

Was bei Verstößen droht

Die Risiken sind real, auch ohne dramatische Übertreibung:

  1. Aufsichtsbehörden: Datenschutzbehörden können Tracking ohne Rechtsgrundlage untersagen und Bußgelder verhängen.
  2. Abmahnungen: Mitbewerber und Verbände nutzen fehlenden Consent zunehmend als Anlass.
  3. Schadensersatz: Das LG München (3 O 17493/20) sprach im Fall dynamisch geladener Google Fonts einem Betroffenen Schadensersatz wegen der unzulässigen IP-Übermittlung in die USA zu. Die zugrunde liegende Logik – unzulässiger US-Transfer ohne Einwilligung – lässt sich auf Analytics übertragen.

So setzen Sie Analytics rechtskonform ein

  • Consent zuerst: Laden Sie das Analytics-Skript erst, nachdem der Nutzer aktiv eingewilligt hat. Eine korrekt eingerichtete CMP blockiert das Tag bis dahin – siehe unsere Consent-Banner-Checkliste.
  • Ablehnen ermöglichen: Der „Ablehnen"-Button muss gleichwertig sichtbar sein. Grundlagen dazu in § 25 TTDSG einfach erklärt.
  • Transparenz schaffen: Benennen Sie Analytics, die verarbeiteten Daten und den US-Transfer in der Datenschutzerklärung.
  • AVV abschließen: Mit Google brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO – mehr dazu in Was ist ein AVV.
  • IP-Anonymisierung und Datensparsamkeit konfigurieren, soweit das Tool dies anbietet.
  • Alternativen prüfen: Cookielose, in der EU gehostete Analyse-Tools können den Aufwand reduzieren – eine Einwilligung kann dennoch nötig bleiben, wenn ein Geräteszugriff erfolgt.

Unsicher, ob auf Ihrer Seite Analytics schon vor der Einwilligung lädt? Prüfen Sie Ihre Website mit einem kostenlosen DSGVO-Scan – Sorrel zeigt, welche Tracker vor dem Consent feuern. Den vollen Funktionsumfang sehen Sie unter Funktionen.

Häufige Fragen

Reicht es, die IP-Adresse zu anonymisieren?

Nein. Die IP-Anonymisierung reduziert das Risiko, ersetzt aber weder die Einwilligung nach § 25 TTDSG noch eine Rechtsgrundlage für den US-Transfer. Der Geräteszugriff durch Analytics bleibt einwilligungspflichtig.

Kann ich Analytics auf berechtigtes Interesse stützen?

In der Praxis nicht. § 25 TTDSG verlangt für den Zugriff auf das Endgerät eine Einwilligung, unabhängig von Art. 6 DSGVO. Ein berechtigtes Interesse genügt für nicht notwendiges Tracking daher regelmäßig nicht.

Was passiert, wenn ich Analytics einfach weiterlaufen lasse?

Sie tragen das volle Risiko aus behördlichen Maßnahmen, Abmahnungen und individuellen Schadensersatzansprüchen. Die einfachste Absicherung ist, das Tag konsequent erst nach aktiver Einwilligung zu laden.