Analytics 8. Januar 2025 9–11 Min. Lesezeit

DSGVO-konforme Analytics: Alternativen zu Google Analytics 4

Wie Sie rechtskonform messen – mit Matomo, Plausible oder eigener Event-Pipeline. Inklusive Consent-Flows, IP-Anonymisierung, Server-Side-Tagging und Checkliste.

Tool-Überblick

  • Matomo (Self-Hosted): Maximale Kontrolle, flexible Reports, höhere Ops-Aufwände; Cookies optional, IP-Maskierung möglich.
  • Plausible (EU-Cloud): Schlank, cookielos, sehr geringe Komplexität; Fokus auf Essentials (Events, Conversions, Kampagnen).
  • Eigene Lösung: Event-Pipeline (z. B. Snowplow/OSS) + Warehouse; ideal für Enterprise & Data-Science, aber anspruchsvoll in Governance.

Vergleich: Matomo vs. Plausible vs. Eigenbau

Kriterium Matomo Plausible Eigenbau
Betrieb Self-Hosted/Cloud Managed EU-Cloud Eigene Infrastruktur
Komplexität Mittel–Hoch Niedrig Hoch
Cookies Optional Nein (cookielos) Optional
Kosten Hosting + Wartung Planbasiert CapEx + Ops
DSGVO Sehr gut abbildbar Sehr gut abbildbar Volle Kontrolle

Rechtliche Basics (Kurzüberblick)

  • Rechtsgrundlage: Einwilligung (Consent) oder berechtigtes Interesse (eng, datensparsam, Interessenabwägung dokumentieren).
  • Personenbezug minimieren: IP früh kürzen, keine User-IDs ohne Einwilligung, Geo grob (Land).
  • AV-Verträge & TOMs: mit Anbietern/Hostern abschließen; EU-Hosting bevorzugen.
  • Transparenz: Datenschutzhinweise aktualisieren (Zwecke, Speicherdauer, Opt-Out).

Praxis: Setup-Snippets (Minimalbeispiele)

<!-- 1) Plausible cookielos (nur nach Consent "analytics" laden) -->
                            <script>
                            if (window.myConsent && myConsent.analytics === true) {
                                var s = document.createElement('script');
                                s.defer = true; s.dataset.domain = 'example.de';
                                s.src = 'https://plausible.io/js/plausible.js';
                                document.head.appendChild(s);
                            }
                            </script>

                            <!-- 2) Matomo Self-Hosted mit IP-Anonymisierung -->
                            <script>
                            var _paq = window._paq = window._paq || [];
                            _paq.push(['requireConsent']);         // nur tracken wenn Consent da
                            _paq.push(['setVisitorCookieTimeout', '0']); // möglichst cookielos
                            _paq.push(['setCookieSameSite', 'Strict']);
                            _paq.push(['setAnonymizeIP', true]);  // IP-Kürzung aktiv
                            _paq.push(['trackPageView']);
                            _paq.push(['enableLinkTracking']);
                            (function() {
                                var u="//analytics.example.de/";
                                _paq.push(['setTrackerUrl', u+'matomo.php']);
                                _paq.push(['setSiteId', '1']);
                                var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
                                g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
                            })();
                            </script>

                            <!-- 3) Server-Side Proxy (Nginx) für /collect Endpunkt -->
                            # Anfragen an /a.gif werden intern an Plausible/Matomo weitergeleitet
                            location /a.gif {
                            proxy_pass https://plausible.io/api/event;
                            proxy_set_header X-Forwarded-For 0.0.0.0;   # IP nicht durchreichen
                            proxy_set_header User-Agent "";
                            proxy_hide_header Set-Cookie;               # keine Cookies durchlassen
                            }

Consent, Governance & Team-Prozess

  • Consent-Layer: klare Kategorien (Analytics/Marketing), Opt-In vor Laden.
  • Data-Layer: Events standardisieren (event_name, page, source, campaign).
  • Audit: Skript-Inventar/3rd-Parties regelmäßig prüfen, unnötiges entfernen.
  • Dokumentation: Verarbeitungsverzeichnis, Aufbewahrungsfristen, Zugriffsrechte.

Welche KPIs ohne Cookies sinnvoll sind

Reichweite

  • Seitenaufrufe/Landingpages
  • Referrer & Kampagnen (UTM)

Engagement

  • Scrolltiefe, Lesezeit
  • Event-Klicks (CTA, Download)

Erfolg

  • Lead-Formular gesendet
  • Demo-Buchung / Kontakt

Häufige Fehler vermeiden

  • Tracking vor Consent laden: führt zu Rechtsrisiken & fehlerhaften Daten.
  • Zu feine Geo/IP-Daten: unnötiger Personenbezug, besser nur Land/Region.
  • Unkontrollierte 3rd-Party-Skripte: verursachen Shadow-Tracking und Performance-Probleme.

Schnellstart-Checkliste

  • Tool wählen (Matomo/Plausible) + Hosting/Region festlegen
  • Consent-Flow definieren, Skripte erst nach Opt-In laden
  • IP-Kürzung & Datensparsamkeit aktivieren (keine User-IDs ohne Einwilligung)
  • Data-Layer & Event-Namen standardisieren (Namensschema)
  • Server-Side-Proxy/Tagging optional für zusätzliche Kontrolle
  • Datenschutzhinweise aktualisieren, AV/TOMs dokumentieren

Sie wollen Messbarkeit ohne Rechtsstress? → Kostenlose Erstberatung anfragen.

Wir machen Analytics DSGVO-fit

Von Tool-Auswahl bis Consent-Setup – inkl. Datenschutz-Check durch Partner und messbarer KPI-Einführung.

Beratung anfragen Weitere Artikel

Häufige Fragen (FAQ)

Brauche ich für Plausible/Matomo immer eine Einwilligung?
Abhängig von Konfiguration & Rechtsgrundlage. Cookielos + datensparsam kann teils ohne Opt-In möglich sein – bitte rechtlich prüfen.
Ist Server-Side-Tagging automatisch DSGVO-konform?
Nein – es erleichtert Kontrolle & Pseudonymisierung, ersetzt aber keine gültige Rechtsgrundlage.
Wie anonymisiere ich IP-Adressen korrekt?
Früh kürzen, nicht speichern, Geo grob halten, keine Re-Identifizierung ermöglichen.
Welche Metriken lohnen sich ohne Cookies?
Seitenaufrufe, Events, Conversions, UTM-Kampagnen – Attribution eher aggregiert.

Verwandte Artikel