Ein praktischer Leitfaden zu Google Analytics und Cookie-Einwilligung

Dieser Leitfaden erklärt Google Analytics und Cookie-Einwilligung praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Google Analytics und Cookie-Zustimmung sind eng miteinander verbunden, da GA4 Cookies verwendet, um Benutzer und Sitzungen zu unterscheiden. Googles eigene GA4-Cookie-Dokumentation listet _ga- und _ga_<container-id>-Cookies mit standardmäßigen Ablaufzeiträumen für die Benutzer- und Sitzungsmessung auf.

In EU und UK bedeutet das normalerweise, dass Google Analytics nicht geladen werden sollte, bis der Besucher eine gültige Zustimmung zur Analysespeicherung gibt, es sei denn, es gilt eine enge nationale Ausnahmeregelung und die Implementierung ist qualifiziert. Bei den meisten standardmäßigen GA4-Implementierungen ist dies nicht der Fall.

Vor der Nachverfolgung muss die Einwilligung eingeholt werden

Ein häufiger Fehler besteht darin, ein Banner anzuzeigen, während Google Analytics bereits ausgelöst wurde. Das ist keine Einwilligung. Die Seite hat bereits Kennungen gespeichert oder darauf zugegriffen und Daten gesendet.

Die richtige Reihenfolge ist:

1. Die Seite wird geladen, wenn nicht unbedingt erforderliche Analysen deaktiviert sind.
2. Banner oder Präferenz-Benutzeroberfläche werden angezeigt.
3. Der Besucher akzeptiert Analysen.
4. GA4 lädt oder empfängt aktualisierte Zustimmungssignale.
5. Analyse-Cookies und -Ereignisse beginnen erst nach Einwilligung.

Wenn der Besucher die Analyse ablehnt, sollte GA4 keine Analyse-Cookies setzen. Wenn Sie den Google-Einwilligungsmodus verwenden, konfigurieren Sie die Standardeinstellungen als „verweigert“, bevor ein Google-Tag ausgeführt wird.

Einwilligungsmodus verstehen

Google dokumentiert Einwilligungstypen wie analytics_storage, das die Speicherung im Zusammenhang mit Analysen und werbebezogenen Signalen wie ad_storage, ad_user_data und ad_personalization steuert.

Der Einwilligungsmodus kann Tags dabei helfen, sich an Einwilligungsentscheidungen anzupassen, ist jedoch kein Ersatz für eine Schnittstelle zur rechtmäßigen Einwilligung. Es macht auch nicht jeden Datenfluss anonym oder einwilligungsfrei. Ihr CMP, Ihre Tag-Konfiguration, Ihre regionalen Einstellungen und Ihre Anbieterangaben sind weiterhin wichtig.

Zu vermeidende Implementierungsfehler

Laden von GTM vor der Einwilligung ohne Kontrollen. Google Tag Manager kann sorgfältig konfiguriert werden, kann aber auch viele Tags von Drittanbietern vor der Einwilligung laden, wenn die Auslöser falsch sind.

Behandeln Sie „Weitersurfen“ als Einwilligung. Die Einwilligungsrichtlinien des EDSA erfordern eine klare positive Handlung. Passives Surfen reicht nicht aus.

Ablehnen schwieriger machen als Akzeptieren. Dunkle Muster können die Einwilligung ungültig machen und ein Durchsetzungsrisiko darstellen.

Verknüpfte Produkte vergessen. Wenn GA4 mit Google Ads, Google-Signalen oder Remarketing-Funktionen verknüpft ist, entsteht ein anderes Datenschutzprofil als bei der einfachen Messung.

Senden personenbezogener Daten bei Ereignisse. Senden Sie niemals E-Mails, Namen, Telefonnummern, Konto IDs oder Formulartext an GA4.

Auszahlung wird ignoriert. Benutzer müssen in der Lage sein, ihre Auswahl zu ändern, und die Nachverfolgung sollte nach der Auszahlung beendet werden.

Warum Einwilligung Datenlücken schafft

Wenn eine Einwilligung erforderlich ist und einige Benutzer dies ablehnen, sind Ihre Analysen unvollständig. Das ist kein Fehler. Es ist die rechtliche und ethische Konsequenz des Fragens.

Erwarten Sie Lücken durch:

• Region
• Browser
• Gerätetyp
• Verkehrsquelle
• Privatsphäre-Präferenz des Publikums
• Verwendung von Werbeblockern

„Beheben“ Sie die Lücke nicht, indem Sie Tags vor der Einwilligung auslösen. Interpretieren Sie Berichte stattdessen als Analysen der Einwilligung des Benutzers und verwenden Sie aggregierte Tools, bei denen der Datenschutz an erster Stelle steht, wenn Sie einen umfassenderen Überblick über den grundlegenden Datenverkehr benötigen.

Ein sichereres GA4-Setup

Wenn Sie GA4 beibehalten, konfigurieren Sie es konservativ:

• Standardeinwilligung wird in den entsprechenden Regionen verweigert
• Google-Signale deaktivieren, wenn sie nicht benötigt werden
• Deaktivieren Sie gegebenenfalls die detaillierte Standort- und Geräteerfassung
• Vermeiden Sie das Remarketing von Zielgruppen, es sei denn, die Einwilligung deckt diese ausdrücklich ab
• Bereinigen Sie URLs und Ereignisparameter
• Retention bewusst festlegen
• Bedingungen und Übertragungsmechanismus des Dokumentenanbieters
• Testen Sie Cookies vor und nach der Einwilligung

Laut Google protokolliert oder speichert GA4 keine IP-Adressen und bietet EU-fokussierte Datenkontrollen, einschließlich EU-Erfassungsweiterleitung und regionaler Einstellungen. Diese Kontrollen sind nützlich, aber sie beseitigen nicht die Einwilligungspflicht für Cookies, wenn ePrivacy-Regeln gelten.

Wann Sie stattdessen Cookieless Analytics verwenden sollten

Für viele Teams ist GA4 komplexer als die Frage, die beantwortet werden muss. Wenn Sie hauptsächlich Seitenaufrufe, Referrer, Kampagnen, Top-Seiten und Conversions benötigen, ist ein Cookie-freies, datenschutzorientiertes Analysetool einfacher.

Suchen:

• Standardmäßig keine Cookies
• kein Cross-Site-Tracking
• Keine Weitergabe von Werbenetzwerkdaten
• Gesamtberichte
• Bereinigung von Abfragezeichenfolgen
• kurze Aufbewahrungskontrollen
• transparente Datenverarbeitung

Dies kann in einigen Rechtsordnungen den Bedarf an Analytics-Einwilligungsbannern verringern und die Abhängigkeit von Opt-in-Daten verringern, während gleichzeitig die Besucher respektiert werden. Der Schlüssel ist die tatsächliche Konfiguration, nicht das Cookieless-Label.

Das Fazit

Google Analytics kann sorgfältiger konfiguriert werden als viele Standardinstallationen, bleibt aber in weiten Teilen Europas ein einwilligungsintensives Tool. Wenn Sie es verwenden, laden Sie es nur nach gültiger Zustimmung und halten Sie die Nutzlast minimal.

Wenn Sie kein Tracking auf Benutzerebene oder keine Anzeigenintegration benötigen, wählen Sie Analysen, die darauf ausgelegt sind, diese nicht zu benötigen.

QA-Checkliste für die Einwilligung

Erfassen Sie, ob erweiterte Messung, Google Signals, personalisierte Anzeigen, Benutzer-ID, BigQuery-Export, Einwilligungsmodus, domänenübergreifende Messung und regionsspezifische Einstellungen aktiviert sind. Dann testen Sie die Einwilligung wie ein Feature, nicht wie ein Bannerdesign. Laden Sie die Website in einem sauberen Browser und lehnen Sie die Analyse ab. Bestätigen Sie vor oder nach der Ablehnung, dass kein GA4, Google-Tag, GTM-Analytics-Tag, Werbepixel oder damit verbundene Speicherbrände vorhanden sind. Akzeptieren Sie Analysen und bestätigen Sie, dass nur die erwarteten Tags geladen werden. Ändern Sie die Auswahl und bestätigen Sie den Aktualisierungsstatus der Website, ohne dass Benutzer Cookies löschen müssen. Der Cookie-Banner-Taskforce-Bericht des EDPB ist nützlich, da es sich bei vielen Fehlern um Schnittstellen- und Implementierungsfehler handelt und nicht nur um Fehler bei der rechtlichen Formulierung.

Testen Sie dann Grenzfälle: Landung auf einem Deep Link, Navigation zwischen Seiten, Verwendung eingebetteter Formulare, Übermittlung einer Konvertierung, Wechsel der Sprache und Rückkehr nach Ablauf der Einwilligung. Bewahren Sie Screenshots, Netzwerkprotokolle, CMP-Einstellungen und Tag-Konfigurationen als Beweismittel auf. Wenn GA4 über GTM konfiguriert ist, testen Sie sowohl die Zustimmungsplattform als auch den Container. Wenn Ihre Website nur eine aggregierte Zielgruppenmessung benötigt, vergleichen Sie die Betriebskosten dieses Qualitätssicherungsprozesses mit einem Cookie-freien Analyse-Setup, das von vornherein auf einwilligungsintensive Identifikatoren verzichtet.