Matomo vs. Google Analytics: Welches Tool ist DSGVO-konformer?
Matomo und Google Analytics 4 im DSGVO-Vergleich: Datentransfer, Cookies, Consent-Pflicht, Cookie-freier Modus und Alternativen wie Plausible und Fathom.
Google Analytics ist mit über 85 % Marktanteil das meistgenutzte Webanalyse-Tool der Welt. Gleichzeitig ist es aus Datenschutzsicht das problematischste. Mehrere europäische Datenschutzbehörden haben den Einsatz von Google Analytics ohne zusätzliche Schutzmaßnahmen für rechtswidrig erklärt. Matomo positioniert sich als die datenschutzfreundliche EU-Alternative. Doch wie groß ist der Unterschied wirklich — und welche weiteren Optionen gibt es?
Google Analytics 4: Das Datenschutzproblem
Die Entscheidungen der Aufsichtsbehörden
Die rechtliche Problematik von Google Analytics begann mit dem EuGH-Urteil “Schrems II” (C-311/18, 16.07.2020), das den Privacy Shield für ungültig erklärte. In der Folge stellten mehrere Behörden fest, dass der Einsatz von Google Analytics gegen die DSGVO verstößt:
- Österreichische DSB (Januar 2022): Der Einsatz von Google Analytics auf der Website netdoktor.at verstößt gegen Art. 44 DSGVO, weil personenbezogene Daten ohne angemessene Schutzmaßnahmen in die USA übermittelt werden. Die IP-Anonymisierung reicht nicht aus, da Google über ausreichend andere Datenpunkte verfügt, um Nutzer zu identifizieren.
- CNIL, Frankreich (Februar 2022): Gleiches Ergebnis für mehrere französische Websites. Die CNIL räumt eine Frist von einem Monat ein, um den Einsatz einzustellen oder konforme Alternativen zu implementieren.
- Garante, Italien (Juni 2022): Untersagt den Einsatz von Google Analytics auf einer italienischen Website und verhängt eine 90-Tage-Frist.
EU-US Data Privacy Framework (DPF)
Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework wieder eine Rechtsgrundlage für Datentransfers in die USA — sofern der Empfänger DPF-zertifiziert ist. Google LLC ist zertifiziert. Das bedeutet: Der reine Datentransfer ist wieder zulässig.
Aber: Das DPF löst nicht alle Probleme. Die Einwilligungspflicht für Cookies und Tracking nach SS 25 TDDDG bleibt bestehen. Und das DPF könnte — wie schon Safe Harbor und Privacy Shield — vom EuGH für ungültig erklärt werden. Max Schrems und noyb haben bereits Bedenken geäußert.
Konkrete Datenschutzprobleme bei GA4
| Problem | Details |
|---|---|
| Cookies | _ga (2 Jahre), _ga_* (2 Jahre), _gid (24 Stunden) |
| Datentransfer | Daten werden auf Google-Servern in den USA verarbeitet |
| Fingerprinting | GA4 sammelt Browser-Version, Bildschirmauflösung, Sprache, OS |
| Cross-Site-Tracking | Über Google Signals können Nutzer seitübergreifend verfolgt werden |
| Datennutzung durch Google | Google kann Daten für eigene Zwecke verwenden (Ads-Optimierung) |
| Consent-Pflicht | Zwingend nach SS 25 TDDDG — ohne Einwilligung rechtswidrig |
Matomo: Die EU-Alternative
Self-Hosted vs. Matomo Cloud
Matomo gibt es in zwei Varianten, die sich datenschutzrechtlich unterscheiden:
| Kriterium | Matomo Self-Hosted | Matomo Cloud |
|---|---|---|
| Hosting | Eigener Server (EU) | Matomo-Server in Deutschland |
| AVV nötig? | Nein (du bist selbst Verantwortlicher) | Ja (Matomo = Auftragsverarbeiter) |
| Drittlandtransfer | Nein | Nein (EU-Server) |
| Kosten | Kostenlos (Open Source) | Ab 23 EUR/Monat |
| Wartung | Selbst (Updates, Backups, Server) | Managed durch Matomo |
| DSGVO-Konformität | Maximal (alles unter deiner Kontrolle) | Hoch (EU, AVV verfügbar) |
Matomos Cookie-freier Modus
Matomo bietet seit Version 4 einen Cookie-freien Tracking-Modus. In diesem Modus werden keine Cookies auf dem Gerät des Nutzers gesetzt. Stattdessen nutzt Matomo eine Kombination aus IP-Adresse (anonymisiert), User-Agent und Browserkonfiguration für eine eingeschränkte Wiedererkennung.
Vorteile des Cookie-freien Modus:
- Kein Cookie-Consent für Analytics nötig (SS 25 TDDDG greift nicht, da nichts auf dem Endgerät gespeichert wird)
- Höhere Datenerfassung, da kein Consent-Verlust
- Einfachere Datenschutzerklärung
Nachteile:
- Weniger genaue Wiedererkennung von wiederkehrenden Besuchern
- Session-Tracking ist eingeschränkt
- Funnel-Analysen werden ungenauer
- Die Verarbeitung der (anonymisierten) IP-Adresse bleibt ein personenbezogener Vorgang — Rechtsgrundlage nötig (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse)
Konfiguration in Matomo (config.ini.php):
[General]
; Cookie-freien Modus aktivieren
enable_browser_archiving_triggering = 0
[Tracker]
; Keine Cookies setzen
use_third_party_id_cookie = 0
create_new_visit_when_campaign_changes = 0
In der Matomo-Oberfläche unter “Verwaltung > Datenschutz > Anonymisierung”:
- “Besucher-Cookies deaktivieren” aktivieren
- IP-Anonymisierung auf mindestens 2 Bytes setzen
Feature-Vergleich: Matomo vs. GA4
| Feature | Google Analytics 4 | Matomo (Self-Hosted) | Matomo Cloud |
|---|---|---|---|
| Echtzeit-Dashboard | Ja | Ja | Ja |
| Heatmaps | Nein | Ja (Premium-Plugin) | Ja (inklusive) |
| Session Recording | Nein | Ja (Premium-Plugin) | Ja (inklusive) |
| Funnels | Ja (Explorations) | Ja (Premium-Plugin) | Ja (inklusive) |
| E-Commerce-Tracking | Ja | Ja | Ja |
| Event-Tracking | Ja (Event-basiert) | Ja | Ja |
| A/B-Testing | Nein (Optimize eingestellt) | Ja (Premium-Plugin) | Ja (inklusive) |
| SEO-Keywords | Eingeschränkt | Ja (Search Console Integration) | Ja |
| Kosten | Kostenlos | Kostenlos (Plugins kostenpflichtig) | Ab 23 EUR/Mo |
| Cookie-freier Modus | Nein | Ja | Ja |
| Consent-Pflicht | Ja (immer) | Nein (Cookie-frei) / Ja (mit Cookies) | Nein / Ja |
| Daten-Export | BigQuery (begrenzt) | Voller DB-Zugriff | API |
| Datenspeicherung | 14 Monate (Standard) | Unbegrenzt | Abhängig vom Plan |
GA4 mit Consent Mode v2
Wer Google Analytics 4 weiterhin nutzen möchte, muss seit März 2024 den Google Consent Mode v2 implementieren. Es gibt zwei Varianten:
Basic Mode
- Tracking-Scripts werden erst nach Consent geladen
- Ohne Consent: keine Datenerhebung
- DSGVO-konform, aber: hoher Datenverlust (nur Nutzer mit Consent werden erfasst)
Advanced Mode
- Tracking-Scripts laden sofort (auch vor Consent)
- Ohne Consent: Google sendet sogenannte “Cookieless Pings” — anonymisierte Signale ohne Cookies
- Mit Consent: Volle Datenerhebung
- Datenschutzrechtlich umstritten: Auch Cookieless Pings übertragen Daten an Google-Server
// Google Consent Mode v2 -- Default-Zustand (vor Consent)
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'wait_for_update': 500
});
// Nach Consent-Erteilung
gtag('consent', 'update', {
'ad_storage': 'granted',
'ad_user_data': 'granted',
'ad_personalization': 'granted',
'analytics_storage': 'granted'
});
Der Compliso Cookie-Banner setzt diese Signale automatisch basierend auf der Consent-Entscheidung des Nutzers.
Weitere Alternativen: Plausible und Fathom
Neben Matomo gibt es zwei weitere nennenswerte datenschutzfreundliche Alternativen:
| Kriterium | Plausible | Fathom |
|---|---|---|
| Hosting | EU (Deutschland, Hetzner) | Kanada (Fathom-eigene Infrastruktur) |
| Cookies | Keine | Keine |
| Consent nötig | Nein (kein Cookie, kein Fingerprinting) | Nein |
| Script-Größe | < 1 KB | ~2 KB |
| Open Source | Ja (AGPL) | Nein |
| Self-Hosting | Ja | Nein |
| Preis (Cloud) | Ab 9 EUR/Mo | Ab 14 USD/Mo |
| Funnels | Ja (Custom Events) | Ja (ab Plus) |
| E-Commerce | Eingeschränkt | Eingeschränkt |
Plausible eignet sich hervorragend für Websites, die einfache, datenschutzkonforme Traffic-Analysen ohne Consent-Banner benötigen. Für komplexe E-Commerce-Analysen reicht es nicht aus.
Fathom ist technisch ähnlich wie Plausible, aber nicht Open Source und mit Serverstandort in Kanada (Angemessenheitsbeschluss der EU-Kommission vorhanden).
Server-Side Tracking: GA4 über GTM Server Container
Eine technisch aufwändigere, aber datenschutzfreundlichere Variante für GA4 ist Server-Side Tracking über einen Google Tag Manager (GTM) Server Container:
- Der Browser sendet Daten an deinen eigenen Server (EU), nicht direkt an Google
- Dein Server filtert und anonymisiert die Daten
- Erst dann werden die (bereinigten) Daten an Google weitergeleitet
Vorteile:
- IP-Adressen werden vor der Übermittlung an Google entfernt
- Du kontrollierst, welche Daten an Google gehen
- Weniger Third-Party-Requests im Browser des Nutzers
Nachteile:
- Hosting-Kosten für den Server Container (ab ~30 EUR/Mo bei Stape.io, Google Cloud Run etc.)
- Komplexe Einrichtung
- Consent-Pflicht bleibt bestehen (Cookie wird trotzdem gesetzt)
- Daten erreichen weiterhin Google-Server — der Datentransfer wird nicht eliminiert, nur kontrolliert
Empfehlung nach Use-Case
Einsteiger / Blogs / kleine Websites
Empfehlung: Plausible (Cloud) oder Matomo Cookie-frei (Self-Hosted)
Kein Consent nötig, einfache Einrichtung, ausreichende Metriken (Seitenaufrufe, Referrer, Top-Seiten). Plausible kostet ab 9 EUR/Mo, Matomo Self-Hosted ist kostenlos.
Mittelstand / E-Commerce
Empfehlung: Matomo Cloud oder Matomo Self-Hosted mit Premium-Plugins
Matomo bietet Heatmaps, Funnels und E-Commerce-Tracking — Funktionen, die für Shop-Optimierung unverzichtbar sind. Im Cookie-freien Modus entfällt die Consent-Pflicht für Analytics, was die Datenerfassung deutlich verbessert.
Enterprise / Marketing-Teams mit Google Ads
Empfehlung: GA4 mit Consent Mode v2 (Advanced) + GTM Server Container
Wenn Google Ads ein zentraler Marketingkanal ist, führt an GA4 kein Weg vorbei. Der Consent Mode v2 und ein Server Container minimieren die Datenschutzrisiken, eliminieren sie aber nicht vollständig.
Praxis-Checkliste: Analytics DSGVO-konform einrichten
- Analytics-Tool gewählt (Matomo, Plausible, GA4)?
- Bei GA4: Consent Mode v2 implementiert (Advanced oder Basic)?
- Cookie-Banner mit echtem Script-Blocking für Analytics-Scripts?
- IP-Anonymisierung aktiviert (bei Matomo: mindestens 2 Bytes)?
- Datenspeicherdauer begrenzt (GA4: maximal 14 Monate)?
- AVV mit dem Analytics-Anbieter abgeschlossen (bei Cloud-Lösungen)?
- Analytics in der Datenschutzerklärung dokumentiert?
- Bei Matomo Cookie-frei: Berechtigtes Interesse als Rechtsgrundlage dokumentiert?
- Opt-Out-Möglichkeit für Nutzer eingerichtet?
- Regelmäßiger Check, ob neue Tracker hinzugekommen sind?
Fazit
Matomo ist aus DSGVO-Sicht die klar bessere Wahl — insbesondere im Cookie-freien Self-Hosted-Modus. Kein Drittlandtransfer, kein Consent nötig, volle Datenkontrolle. GA4 bleibt für Marketing-Teams relevant, die auf das Google-Ökosystem angewiesen sind, erfordert aber deutlich mehr Aufwand für eine konforme Einrichtung.
Der Compliso Scanner prüft automatisch, welche Analytics-Tools auf deiner Website aktiv sind, ob sie vor dem Consent laden und ob Google Consent Mode v2 korrekt konfiguriert ist. Scanne deine Website jetzt kostenlos und finde heraus, ob dein Analytics-Setup DSGVO-konform ist.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.