Cookie-Consent und Analytics richtig einrichten

Analytics-Tools sind unverzichtbar für datengetriebene Entscheidungen. Gleichzeitig sind sie einer der häufigsten Gründe für DSGVO-Verstöße. In diesem Guide zeigen wir dir, wie du Cookie-Consent und Analytics korrekt zusammenbringst.

Das Grundprinzip: Consent First

Die DSGVO und die ePrivacy-Richtlinie (TDDDG § 25 in Deutschland) sind eindeutig: Nicht-essentielle Cookies und Tracking-Technologien dürfen erst nach Einwilligung gesetzt werden.

Das bedeutet:

1. Seite lädt ohne Analytics-Script
2. Cookie-Banner wird angezeigt
3. Nutzer stimmt zu (oder lehnt ab)
4. Erst bei Zustimmung: Analytics-Script wird geladen

Ein Cookie-Banner, der nur informiert, aber das Script trotzdem vorher lädt, ist rechtswidrig.

Google Analytics 4 (GA4) richtig einrichten

Option 1: Script-Blocking mit Cookie-Banner

Der sicherste Ansatz: Das GA4-Script wird vom Cookie-Banner komplett blockiert, bis der Nutzer zustimmt.

So funktioniert es mit Compliso:

1. Füge das GA4-Script normal in deine Website ein
2. Markiere es mit dem Attribut data-compliso-category="analytics"
3. Compliso blockiert das Script automatisch
4. Nach Consent wird es dynamisch geladen

<script data-compliso-category="analytics"
        src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX">
</script>
<script data-compliso-category="analytics">
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  gtag('config', 'G-XXXXXXXXXX');
</script>

Option 2: Google Consent Mode v2

Google Consent Mode v2 (GCM v2) ermöglicht eine differenziertere Steuerung:

• Default: Alle Consent-Signale auf denied
• Nach Consent: Signale auf granted setzen
• Vorteil: Google kann trotzdem anonymisierte Conversion-Modellierung durchführen

Compliso unterstützt GCM v2 nativ. Die Consent-Signale werden automatisch an Google gesendet:

• analytics_storage — GA4 Cookies
• ad_storage — Google Ads Cookies
• ad_user_data — Nutzerdaten für Werbung
• ad_personalization — Personalisierte Werbung

Was du bei GA4 beachten musst

• IP-Anonymisierung: GA4 anonymisiert IPs standardmäßig — trotzdem ist Consent nötig (EuGH C-604/22)
• Data Retention: Stelle die Aufbewahrungsdauer auf 2 Monate (Standard: 14 Monate)
• Google Signals: Deaktiviere Google Signals, wenn du keine Cross-Device-Daten brauchst
• AVV: Google bietet einen Auftragsverarbeitungsvertrag in den Admin-Einstellungen

Matomo als Alternative

Matomo ist eine Open-Source-Analytics-Lösung, die self-hosted betrieben werden kann.

Vorteile für die DSGVO

• Daten bleiben auf deinem Server — kein Drittlandtransfer
• Cookie-freier Modus möglich — dann kein Consent nötig
• Full Data Ownership — du bist alleiniger Verantwortlicher

Cookie-freier Modus einrichten

// Matomo ohne Cookies
_paq.push(['disableCookies']);
_paq.push(['trackPageView']);

Im Cookie-freien Modus nutzt Matomo Fingerprinting-ähnliche Techniken (IP + User-Agent, täglich rotiert). Die Datenschutzkonformität ist hier umstritten — die sicherste Variante ist trotzdem ein Consent-Banner.

Self-Hosted vs. Cloud

• Self-hosted (auf deinem Server): Kein AVV nötig, volle Kontrolle
• Matomo Cloud: Server in der EU (Deutschland), AVV verfügbar

Plausible Analytics

Plausible ist der datenschutzfreundlichste Ansatz:

• Kein Cookie — nutzt keine Cookies oder Local Storage
• Kein Fingerprinting — aggregierte Daten, keine User-Profile
• EU-gehostet — Server in Deutschland (Hetzner)
• Open Source — Self-Hosting möglich

Kein Consent nötig?

Die DSK (Datenschutzkonferenz) und mehrere europäische DPAs bestätigen: Analytics ohne Cookies und ohne Fingerprinting braucht keinen Consent — sofern:

1. Keine personenbezogenen Daten an Dritte übermittelt werden
2. Die Daten nur für eigene Analysen genutzt werden
3. Keine Profile erstellt werden

Plausible erfüllt diese Kriterien. Du kannst es ohne Cookie-Banner einsetzen. Erwähne es trotzdem in deiner Datenschutzerklärung.

Einbindung

<script defer data-domain="deine-domain.de"
        src="https://plausible.io/js/script.js">
</script>

Vergleich: GA4 vs. Matomo vs. Plausible

Feature	GA4	Matomo	Plausible
Consent nötig	Ja	Optional (ohne Cookies)	Nein
Cookies	Ja (_ga, _ga_*)	Optional	Nein
Self-Hosting	Nein	Ja	Ja
EU-Server	Optional	Ja (self-hosted)	Ja
Kostenlos	Ja	Ja (self-hosted)	Ab 9€/Mo
Datenumfang	Sehr detailliert	Detailliert	Basis-Metriken
Google Ads Integration	Ja	Nein	Nein
AVV nötig	Ja (Google)	Nein (self-hosted)	Ja (Cloud)

Cookie-Consent technisch umsetzen

Der dataLayer-Ansatz (GTM)

Wenn du den Google Tag Manager nutzt, solltest du den Consent-Status über den dataLayer steuern:

// Default: alles blockiert
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied'
});

// Nach Consent-Update (durch Cookie-Banner):
gtag('consent', 'update', {
  'analytics_storage': 'granted',
  'ad_storage': 'granted'
});

Events nach Consent

Compliso bietet JavaScript-Events, die du nutzen kannst:

document.addEventListener('ComplisoConsentChanged', (e) => {
  if (e.detail.analytics) {
    // Analytics wurde erlaubt — eigene Logik hier
  }
});

Häufige Fehler

1. Script lädt vor Consent — Der häufigste Fehler. Das Analytics-Script wird im <head> geladen, bevor der Banner erscheint
2. Consent-Banner ohne Script-Blocking — Banner informiert, blockiert aber nichts
3. Reject-Button fehlt oder ist versteckt — Verstoß gegen EDPB-Richtlinien
4. Consent nicht dokumentiert — Du musst nachweisen können, wann und wofür zugestimmt wurde
5. Keine Widerrufsmöglichkeit — Nutzer müssen ihre Einwilligung jederzeit zurücknehmen können

Praxis-Checkliste

• Analytics-Script erst nach Consent laden (Script-Blocking)
• Google Consent Mode v2 implementieren (falls GA4)
• Cookie-Banner mit gleichwertigen Akzeptieren/Ablehnen-Buttons
• Consent-Logs speichern (Nachweispflicht)
• Widerrufsmöglichkeit bereitstellen
• Datenschutzerklärung mit Analytics-Abschnitt
• Privacy-freundliche Alternative evaluieren (Plausible, Matomo ohne Cookies)
• Regelmäßig prüfen, ob alle Scripts korrekt blockiert werden

Fazit

Die richtige Kombination aus Cookie-Consent und Analytics ist keine Raketenwissenschaft — aber sie erfordert technische Sorgfalt. Mit einem professionellen Cookie-Banner, der Scripts wirklich blockiert, bist du auf der sicheren Seite.

Teste jetzt kostenlos, ob dein Analytics-Setup DSGVO-konform ist: Der Compliso Scanner erkennt automatisch GA4, GTM, Facebook Pixel und 35+ weitere Tracker — und prüft, ob sie korrekt erst nach Consent laden.