Google Analytics illegal? Interview mit Anwalt Dr. Ronald Kandelhard

• • •

In den letzten Jahren hat kaum ein Tracking-Thema für so viel Unsicherheit gesorgt wie Google Analytics.

Auslöser waren unter anderem Entscheidungen europäischer Datenschutzbehörden – zuerst aus Österreich, später auch aus Frankreich. Beide Fälle haben die Diskussion rund um Datentransfers in die USA, Cookie-Einwilligungen und den rechtssicheren Einsatz von Google Analytics noch einmal deutlich verschärft.

Genau darüber habe ich sehr kurzfristig mit Dr. jur. Ronald Kandelhard gesprochen. Ronald ist Rechtsanwalt und Unternehmer und beschäftigt sich seit Jahren intensiv mit Datenschutz, Webseitenrecht und der praktischen Frage, wie Unternehmen mit solchen Entwicklungen umgehen können.

Die zentrale Frage des Interviews war damals wie heute hochrelevant:

Ist Google Analytics jetzt illegal?

Die kurze Antwort lautet: So einfach ist es nicht.

Die lange Antwort ist deutlich spannender. Denn zwischen „einfach weiter wie bisher“, „sofort alles abschalten“ und „wir müssen die Lage differenziert bewerten“ liegen in der Praxis Welten.

Genau deshalb findest du hier nicht nur das Video, sondern auch eine ausführlichere Einordnung der Themen, die wir im Gespräch besprochen haben.

Und wenn du generell tiefer in Themen wie Google Ads, Tracking, Webanalyse und Online-Marketing einsteigen möchtest, dann schau gern auch auf unserem YouTube-Kanal vorbei. Dort bauen wir gerade wieder deutlich mehr Inhalte auf.

Diese Themen behandeln wir im Video und in diesem Beitrag:

Warum Google Analytics datenschutzrechtlich so stark unter Druck geraten ist
Was hinter den Entscheidungen aus Österreich und Frankreich steckt
Warum das Thema nicht nur Google, sondern generell Datentransfers in die USA betrifft
Welche Rolle Privacy Shield, Standardvertragsklauseln und US-Gesetze spielen
Ob Unternehmen Google Analytics sofort entfernen mussten oder müssen
Welche Vorkehrungen das Risiko zumindest verringern können
Welche Alternativen es zu Google Analytics gibt
Ob Google Analytics 4 die Lage wirklich grundlegend verbessert
Wie Unternehmen das Risiko praktisch bewerten können
Welche Rolle Cookie-Banner und Datenschutzerklärung dabei spielen

Warum Google Analytics überhaupt so stark diskutiert wurde

Viele Unternehmen haben sich über Jahre darauf verlassen, dass Google Analytics einfach der Standard für Webanalyse ist. Besucherzahlen, Zielvorhaben, Kampagnenauswertung, Verzahnung mit Google Ads – all das lief für viele ganz selbstverständlich über Analytics.

Dann wurde das Thema Datenschutz immer schärfer diskutiert. Spätestens seit der DSGVO war klar: Es reicht nicht mehr, irgendein Tracking-Tool einzubauen und sich darauf zu verlassen, dass das schon irgendwie passt.

Im Fall von Google Analytics kamen dabei mehrere Probleme gleichzeitig zusammen:

die Frage nach einer wirksamen Einwilligung über Cookie-Banner
die Frage, welche Daten Google selbst für eigene Zwecke nutzt
die Frage, ob Datentransfers in die USA überhaupt rechtssicher möglich sind

Und genau diese Mischung hat den Druck auf Google Analytics in Europa massiv erhöht.

Was damals in Österreich und Frankreich passiert ist

Die Entscheidungen aus Österreich und Frankreich haben das Thema so sichtbar gemacht, weil sie vielen Unternehmen erstmals vor Augen geführt haben, dass es eben nicht nur um theoretische Datenschutzdebatten geht.

Plötzlich stand im Raum: Wenn Datenschutzbehörden den Einsatz von Google Analytics unter bestimmten Bedingungen als nicht zulässig ansehen, was bedeutet das dann für die eigene Website?

Mussten jetzt alle Unternehmen sofort Google Analytics abschalten?

War der Einsatz generell verboten?

War das nur in Österreich und Frankreich relevant?

Genau an diesem Punkt hat die Verunsicherung bei vielen erst richtig begonnen.

Das eigentliche Kernproblem: Datentransfers in die USA

Der entscheidende juristische Hebel war damals nicht einfach „Google Analytics ist böse“, sondern die viel grundsätzlichere Frage:

Unter welchen Voraussetzungen dürfen personenbezogene Daten aus Europa in die USA übertragen werden?

Und genau da wurde es heikel.

Denn ein wesentlicher Kritikpunkt war, dass US-Unternehmen – vereinfacht gesagt – nicht nur ihren eigenen Verträgen und Datenschutzversprechen unterliegen, sondern auch US-Gesetzen. Und diese Gesetze können staatlichen Stellen unter bestimmten Voraussetzungen Zugriff auf Daten ermöglichen.

Das war einer der zentralen Gründe, warum das Thema Privacy Shield und seine Vorgänger so eine große Rolle gespielt haben.

Warum Privacy Shield nicht die große Dauerlösung war

Das Privacy Shield war damals der Versuch, einen rechtlichen Rahmen für Datentransfers zwischen Europa und den USA zu schaffen.

Das Problem war nur: Dieser Rahmen stand schon früh in der Kritik. Und genau deshalb war die Unsicherheit auch so groß.

Im Kern ging es immer wieder um dieselbe Grundfrage:

Kann ein europäisches Datenschutzniveau wirklich gewährleistet sein, wenn US-Recht gleichzeitig weitergehende Zugriffe auf Daten ermöglichen kann?

Das ist keine akademische Detailfrage, sondern genau der Punkt, an dem viele Überlegungen zu Google Analytics, Facebook, US-Tools und internationalen SaaS-Anbietern zusammenlaufen.

Warum das Thema nicht nur Google betrifft

Das ist ein Punkt, den Ronald im Gespräch sehr klar gemacht hat: Das Problem ist nicht nur Google selbst.

Google steht zwar besonders im Fokus, weil Google riesige Datenmengen verarbeitet und in der Praxis für sehr viele Unternehmen eine zentrale Rolle spielt.

Aber rein rechtlich betrachtet geht es viel breiter um die Frage, wie Unternehmen mit Diensten umgehen, bei denen Daten in die USA übertragen oder dort verarbeitet werden.

Genau deshalb ist Google Analytics zwar ein prominentes Beispiel – aber nicht das einzige Thema in dieser ganzen Diskussion.

Ist Google Analytics deshalb automatisch komplett unzulässig?

Genau hier wird es wichtig, nicht zu vereinfachen.

Die damalige Debatte wurde häufig in zwei extreme Richtungen gezogen:

„Google Analytics ist ab sofort komplett illegal.“
„Ach, das ist nur Panikmache, es ändert sich sowieso nichts.“

Beides war und ist zu kurz gedacht.

Richtiger ist: Der Einsatz von Google Analytics war und ist datenschutzrechtlich nur dann vertretbar, wenn sehr viele Voraussetzungen sauber erfüllt werden – und selbst dann blieb beziehungsweise bleibt ein Restrisiko, solange die Grundfrage rund um Datentransfers und Zugriffsmöglichkeiten nicht sauber und dauerhaft geklärt ist.

Genau deshalb war Ronalds Haltung im Interview auch bewusst differenziert: keine Panik, aber auch keine naive Sorglosigkeit.

Was Unternehmen damals praktisch tun konnten

Die wichtigste praktische Frage war natürlich:

Was macht ein Unternehmen jetzt konkret?

Einfach alles abschalten?

Einfach weitermachen?

Oder etwas dazwischen?

Die pragmatische Antwort aus dem Gespräch war im Kern:

Wenn du Google Analytics weiter nutzt, dann nur mit den datenschutzfreundlichsten Einstellungen, die möglich sind.
Cookie-Banner und Einwilligungslogik müssen sauber aufgesetzt sein.
Die Datenschutzerklärung muss aktuell und korrekt sein.
Auftragsverarbeitungsvereinbarungen und alle verfügbaren Datenschutzoptionen sollten sauber geprüft und eingerichtet werden.

Das löst nicht jede Grundsatzfrage. Aber es reduziert zumindest das Risiko im Vergleich zu einem komplett ungepflegten Standard-Setup.

Warum Cookie-Banner allein nicht die Lösung sind

Viele haben damals – und ehrlich gesagt auch heute noch – gehofft, dass ein Cookie-Banner das Problem schon irgendwie erschlägt.

So einfach ist es nicht.

Ein Cookie-Banner ist wichtig, aber es beantwortet nicht automatisch alle Fragen rund um Datentransfers, gemeinsame Verantwortlichkeit, technische Einbindung und tatsächliche Datenverarbeitung.

Mit anderen Worten: Ein sauberer Banner ist Pflicht, aber kein Freifahrtschein.

Datenschutzeinstellungen in Google Analytics: so wenig wie möglich, so viel wie nötig

Ein wichtiger praktischer Gedanke aus dem Gespräch war deshalb: Wenn du Analytics einsetzt, solltest du alle datenschutzfreundlichen Einstellungen prüfen und konsequent nutzen.

Dazu gehört vor allem, Google möglichst wenig zusätzliche Nutzungsspielräume zu geben.

Also nicht einfach jeden Standard aktiviert lassen, sondern bewusst prüfen:

Wie lange werden Daten gespeichert?
Welche Zusatzfunktionen sind aktiv?
Welche Daten fließen überhaupt?
Welche Datenfreigaben an Google sind aktiviert?

Je datensparsamer und sauberer das Setup, desto besser.

Natürlich löst auch das nicht jede juristische Grundsatzfrage. Aber es ist ein wichtiger Teil eines verantwortungsvollen Umgangs mit dem Thema.

Was Google Analytics für Unternehmen trotzdem so wertvoll macht

Man muss an dieser Stelle auch ehrlich sein: Viele Unternehmen setzen Google Analytics nicht aus Bequemlichkeit ein, sondern weil das Tool in der Praxis sehr viel leistet.

Gerade die Verzahnung mit Google Ads, die Zielauswertung, die Kampagnenanalyse und die allgemeine Webanalyse sind für viele Unternehmen elementar.

Und genau deshalb ist die Entscheidung auch nie rein juristisch, sondern immer auch wirtschaftlich.

Unternehmen stellen sich am Ende oft ganz praktisch die Frage:

Wie hoch ist der Nutzen von Google Analytics für mein Marketing und meine Steuerung?
Wie hoch ist demgegenüber das rechtliche Risiko?

Das ist keine angenehme Abwägung – aber in der Praxis genau die Frage, die viele für sich beantworten müssen.

Welche Alternativen wurden und werden diskutiert?

Ein weiterer wichtiger Teil des Gesprächs drehte sich um Alternativen.

Denn wenn Unternehmen sich mit dem Risiko bei Google Analytics unwohl fühlen, stellt sich schnell die nächste Frage:

Was nutzen wir stattdessen?

Eine Lösung, die im Gespräch konkret genannt wurde, war Matomo – insbesondere in einer datensparsamen, selbst gehosteten Variante.

Der große Vorteil solcher Setups liegt darin, dass du die Datenverarbeitung deutlich stärker selbst kontrollieren kannst und weniger stark von großen US-Plattformen abhängig bist.

Der Nachteil ist ebenfalls klar: Du bekommst nicht in jedem Fall denselben Funktionsumfang, dieselbe Bequemlichkeit und dieselbe Verzahnung, die viele von Google Analytics gewohnt sind.

Genau deshalb ist die Umstellung für viele Unternehmen keine rein technische Frage, sondern eine strategische Entscheidung.

Ist Google Analytics 4 die Lösung?

Auch diese Frage kam im Gespräch natürlich auf.

Google Analytics 4 wurde lange als modernere und datenschutzfreundlichere Weiterentwicklung dargestellt. Und ja, es gibt Unterschiede zu Universal Analytics.

Aber Ronalds Einschätzung war damals schon klar: GA4 allein löst das Grundproblem nicht automatisch.

Denn solange Datentransfers, Einwilligungen und die grundsätzliche Rolle eines US-Anbieters im Raum stehen, verschiebt ein neues Produkt nicht automatisch die juristische Bewertung auf wundersame Weise ins Grüne.

Anders gesagt: Nur weil ein Tool moderner ist, ist es nicht automatisch rechtlich unkritisch.

Gab und gibt es Abmahnwellen?

Auch das ist ein Thema, das Unternehmen verständlicherweise besonders beschäftigt.

Die Sorge lautete sinngemäß: Kommt jetzt die große Abmahnwelle gegen alle, die Google Analytics eingebunden haben?

Die ehrliche Antwort darauf war schon damals: Es gab viel Unsicherheit, aber keine einfache Ja-nein-Antwort.

Das Risiko war und ist nicht für jede Website gleich. Branche, Sichtbarkeit, Professionalität des Setups, Wettbewerbssituation und allgemeine rechtliche Angriffspunkte spielen dabei eine Rolle.

Genau deshalb war die Empfehlung auch nicht Panik, sondern ein bewusster Umgang mit dem Thema.

Die pragmatische Kernempfehlung aus dem Gespräch

Wenn man das Gespräch auf eine pragmatische Handlungsebene herunterbricht, dann lässt sich Ronalds Position ungefähr so zusammenfassen:

Das Thema ernst nehmen.
Nicht so tun, als gäbe es kein Problem.
Aber auch nicht blind in Panik verfallen.
Tracking-Setup, Einwilligung und Datenschutzhinweise sauber aufsetzen.
Prüfen, ob und wann eine datensparsamere Alternative sinnvoll ist.
Das wirtschaftliche Bedürfnis nach Analytics gegen das rechtliche Risiko abwägen.

Das ist vielleicht nicht die radikalste Antwort – aber oft die realistischste.

Warum automatische Aktualisierung von Cookie-Banner und Datenschutzerklärung für viele Unternehmen so sinnvoll ist

Ein weiterer Punkt aus dem Gespräch war ein Angebot von Ronald rund um automatisch aktualisierte Datenschutztexte und Cookie-Banner.

Der Hintergrund ist einfach: Viele Website-Betreiber haben nicht das Problem, dass sie absichtlich etwas falsch machen wollen. Das Problem ist eher, dass sich Rechtslage, Tools, Anforderungen und technische Einbindungen laufend verändern – und dann die Website schlicht nicht mehr aktuell ist.

Genau deshalb kann es für viele Unternehmen extrem sinnvoll sein, einen Ansatz zu nutzen, bei dem Datenschutzerklärung und Cookie-Banner nicht nur einmal eingerichtet, sondern auch fortlaufend aktuell gehalten werden.

Denn gerade bei Tracking, eingebetteten Inhalten, neuen Tools oder geänderten Einwilligungsmechanismen entstehen sonst sehr schnell Lücken.

Mein Fazit zum Interview

Das Interview mit Ronald hat vor allem eines deutlich gemacht: Das Thema Google Analytics ist rechtlich nie so simpel gewesen, wie es viele gern hätten.

Es gibt nicht die eine Zauberantwort, die für jedes Unternehmen und jede Website passt.

Aber es gibt sehr wohl ein paar klare Linien:

Google Analytics ist kein Thema, das man datenschutzrechtlich auf die leichte Schulter nehmen sollte.
Die Diskussion dreht sich nicht nur um Cookies, sondern auch um Datentransfers und die Rolle großer US-Anbieter.
Ein sauberes Setup, Einwilligungsmanagement und aktuelle Rechtstexte sind absolute Pflicht.
Alternativen wie Matomo können für manche Unternehmen eine sinnvolle Option sein.
Jedes Unternehmen muss den Nutzen und das Risiko bewusst gegeneinander abwägen.

Wenn du das Video noch nicht gesehen hast, schau es dir auf jeden Fall an. Gerade weil Ronald die juristischen Hintergründe sehr verständlich und gleichzeitig differenziert einordnet, ist das Gespräch auch heute noch sehr wertvoll – nicht als starre Rechtsanweisung, sondern als fundierte Denkhilfe.

Was ist deine Sicht auf das Thema?
Nutzt du Google Analytics weiterhin?
Bist du schon auf eine Alternative umgestiegen?
Oder beobachtest du die Entwicklung erst einmal weiter?

Schreib deine Meinung gern in die Kommentare unter dem Video oder unter diesen Artikel.

Links aus dem Video

Ronalds Angebot für automatisch aktualisierte Cookie-Banner und Datenschutzerklärung: https://www.digistore24.com/product/400173
Datenschutzeinstellungen für Analytics: https://easyrechtssicher.de/google-analytics-blog/
Entscheidung in Österreich: https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf
Entscheidung in Frankreich: https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
Ältere Berichte zu den damaligen Verhandlungen rund um einen Nachfolger des Privacy Shield: https://www.politico.eu/article/negotiations-for-new-transatlantic-data-deal-nudge-forward/ und https://www.politico.eu/newsletter/digital-bridge/privacy-shield-update-3-0-semiconductor-subsidies-eu-us-policy-spat/
Microsofts Reaktion: https://news.microsoft.com/de-de/datenschutz-wie-wir-unsere-kundendaten-nach-dem-schrems-ii-urteil-schuetzen/
Google Analytics 4 und DSGVO: https://easyrechtssicher.de/google-analytics-4-dsgvo/
Kontakt zu uns, zum Beispiel für Tracking-Setups: https://www.Master-of-Search.de

Melde dich jetzt zum Google Ads Kurs an:

Sichere dir zusätzlich jetzt den exklusiven Report 📥 zum Herunterladen 📥 und mache Schluss mit Geldverschwendung.

Name*

E-Mail*

Telefon

Autor

Christoph Mohr

Christoph Mohr ist offiziell zertifizierter Google Ads Trainer und seit 2006 im Performance Marketing zu Hause. Er hilft Unternehmen, Selbstständigen und Agenturen, ihre Google Ads Kampagnen profitabler zu machen – durch 1:1-Coaching, Beratung und Inhouse-Schulungen. Über tausend Kampagnen aus Praxis, IHK- und Hochschul-Lehraufträge, Google-Speaker und Buch-Autor. Sein Programm "Master of Scaling" begleitet Unternehmen, die mit Google Ads messbar wachsen wollen.

Noch keine Kommentare vorhanden

Was denkst du?

Dieses Blog basiert auf der Inbound Marketing-Plattform Chimpify

Mehr Infos