CRM DSGVO-konform nutzen – HubSpot, Salesforce & Co.
CRM DSGVO-konform nutzen: AVV, EU-Serverstandort, Löschkonzept und Marketing-Einwilligung – mit Vergleich von HubSpot, Salesforce und deutschen Alternativen.
Weiterlesen
Kaum ein Tool sorgt für so viel Unsicherheit wie Google Analytics. 2022 stufte die österreichische Datenschutzbehörde den Einsatz als rechtswidrig ein, mehrere EU-Behörden zogen nach. Seitdem fragen sich viele Website-Betreiber: Darf ich das überhaupt noch nutzen?
Die kurze Antwort: ja – aber nur mit den richtigen Maßnahmen. GA4 verarbeitet personenbezogene Daten und überträgt sie in die USA. Ohne Einwilligung, AVV und technische Schutzmaßnahmen ist der Einsatz nicht rechtskonform.
GA4 ist nicht pauschal verboten. Aber es ist einwilligungspflichtig: Erst wenn der Besucher aktiv zustimmt, darf das Tag laden und Daten verarbeiten. Das ergibt sich aus § 25 TDDDG (Zugriff auf Endgeräte-Informationen) und der DSGVO.
Der eigentliche Knackpunkt ist der Datentransfer in die USA. Google stützt ihn auf das EU-US Data Privacy Framework. Das ist derzeit eine gültige Grundlage – aber keine dauerhafte Garantie.
Lädt GA4 schon vor der Zustimmung (etwa direkt beim Seitenaufruf), verarbeiten Sie Daten ohne Rechtsgrundlage. Genau das ist der häufigste Fehler. Der Consent Mode v2 hilft nur, wenn davor ein sauberes Einwilligungsbanner steht.
Der Google Consent Mode steuert, wie Google-Tags reagieren, wenn keine Einwilligung vorliegt: Dann werden nur anonyme, cookielose Signale gesendet. Das ist sinnvoll – ersetzt aber nicht das Einwilligungsbanner.
Server-Side-Tagging verlagert die Datenerhebung auf einen eigenen Server. Der Vorteil: Die IP-Adresse des Besuchers erreicht Google nicht direkt. Der Haken: Es verschiebt nur, wo verarbeitet wird – die Einwilligungspflicht bleibt. Wer glaubt, damit das Consent-Thema zu umgehen, irrt.
Lädt Ihr Tracking wirklich erst nach der Einwilligung? Prüfen Sie Ihre Seite mit unserem kostenlosen DSGVO-Scanner – er deckt Tracking trotz Ablehnung und weitere Cookie-Banner-Fehler auf. Mehr dazu in unserem Beitrag zu den häufigsten Cookie-Banner-Fehlern.
Wer den USA-Transfer und die Einwilligungsdiskussion umgehen will, nutzt Matomo. Selbst gehostet und cookiefrei konfiguriert, ist oft gar keine Einwilligung nötig – und die Daten bleiben in der EU.
| Kriterium | Google Analytics 4 | Matomo (self-hosted) |
|---|---|---|
| Serverstandort | USA (DPF) | eigene EU-Server |
| Einwilligung nötig | ja (immer) | oft nein (cookiefrei) |
| Dateneigentum | bei Google | bei Ihnen |
| USA-Transfer | ja | nein |
Wir setzen auf unseren eigenen Seiten aus genau diesem Grund auf Matomo. Für die meisten KMU reicht der Funktionsumfang völlig – und die Datenschutz-Dokumentation wird deutlich schlanker.
Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.
Genau so ist es bei Analytics: Viele halten das Thema für Schikane, bis sie merken, wie einfach eine saubere Lösung ist. Ein korrekt eingebundenes Consent-Banner oder der Wechsel zu Matomo – und die Abmahngefahr ist weg.
Das Wichtigste auf einen Blick:
Ist Ihr Tracking sauber aufgesetzt?
Wir prüfen Cookie-Banner, GA4-Konfiguration und Datenschutzerklärung – oder migrieren Sie auf ein datensparsames Matomo.
Kostenloses Erstgespräch buchen →GA4 ist nicht verboten, aber einwilligungspflichtig. Es darf erst Daten verarbeiten, nachdem der Besucher aktiv zugestimmt hat. Mit Einwilligung, AVV, Consent Mode und IP-Schutz lässt es sich rechtskonform betreiben – ein Restrisiko wegen des USA-Transfers bleibt.
Ja. Nach § 25 TDDDG und der DSGVO ist eine aktive Einwilligung (Opt-in) nötig, bevor GA4 geladen wird. Ein Cookie-Banner mit vorausgewählten Häkchen oder reines Weiterscrollen reicht nicht aus.
Der Consent Mode steuert, ob und wie Google-Tags Daten senden – abhängig von der Einwilligung des Besuchers. Ohne Zustimmung werden nur anonyme, cookielose Signale übertragen. Er ersetzt aber nicht das Einwilligungsbanner.
Für viele Unternehmen ja. Matomo lässt sich selbst hosten und cookiefrei betreiben – dann ist oft gar keine Einwilligung nötig, und die Daten verlassen die EU nicht. Der Funktionsumfang reicht für die meisten KMU völlig aus.
Nein. Server-Side-Tagging reduziert das Risiko, weil die IP-Adresse Google nicht direkt erreicht. Es verschiebt aber nur, wo verarbeitet wird – die Einwilligungspflicht bleibt bestehen.
Analytics ist nur ein Baustein Ihrer Website-Compliance.
Mit Hugo DSB managen Sie Einwilligungen, AVV, technische und organisatorische Maßnahmen (TOMs) und Datenschutzerklärungen für Ihren gesamten digitalen Stack — DSGVO-konform und nachweisbar.
Hugo DSB ab 79 €/Monat ansehen →Inhaltsverzeichnis
CRM DSGVO-konform nutzen: AVV, EU-Serverstandort, Löschkonzept und Marketing-Einwilligung – mit Vergleich von HubSpot, Salesforce und deutschen Alternativen.
Weiterlesen
Newsletter DSGVO-konform versenden: Double-Opt-in, AVV, Einwilligung und Abmeldung richtig umsetzen – mit Vergleich von Mailchimp, Brevo und EU-Alternativen.
Weiterlesen
Slack DSGVO-konform im Unternehmen nutzen: AVV-Pflicht, EU-Datenresidenz, Betriebsrat und eine Checkliste mit den wichtigsten Einstellungen.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular