Deine Website ist live. Glückwunsch. Jetzt passiert meistens eines von zwei Dingen.
- Entweder du trackst gar nichts. Die Website läuft, aber du weißt nicht, ob jemand drauf ist, wo die Leute abspringen oder ob das Kontaktformular überhaupt jemand nutzt.
- Oder du hast Google Analytics installiert, den Code irgendwo reingekopft, und seitdem nicht mehr angeschaut.
Beides ist ein Problem. Diese Website Tracking Checkliste zeigt dir, was du nach dem Launch wirklich einrichten solltest, welche Tools DSGVO-konform funktionieren und wo die ethische Grenze beim Tracking liegt.
Was du nach dem Launch wirklich tracken solltest
Kurze Antwort zuerst. Für eine typische KMU-Website brauchst du sieben Dinge:
- Ein DSGVO-konformes Analytics-Tool (Matomo oder Plausible)
- Google Search Console verknüpft
- Conversion-Ereignisse: Formular abgeschickt, Telefon-Klick, E-Mail-Klick
- CTA-Klicks auf wichtige Buttons
- Grobe Scroll-Tiefe (50% und 90%)
- UTM-Parameter für deine Kampagnen
- 404-Fehler und Crawling-Probleme im Blick
Das ist kein Rocket Science. Die meisten dieser Dinge richtest du einmalig ein und vergisst sie. Der eigentliche Wert liegt darin, dass du Entscheidungen auf Basis echter Daten triffst, statt nach Gefühl.
Die Liste gehen wir weiter unten Schritt für Schritt durch.
Google Analytics 2026: Was du wissen musst
Lass mich direkt sein. Google Analytics ist das meistgenutzte Analytics-Tool der Welt, auch in Deutschland. Gleichzeitig ist es das Tool, mit dem sich die meisten Website-Betreiber rechtlich auf dünnem Eis bewegen.
Warum?
Wenn du Google Analytics nutzt, übermittelst du Nutzerdaten an Google in den USA. Die deutschen Datenschutzbehörden (DSK) stufen das nicht als einfache Auftragsverarbeitung ein, sondern als gemeinsame Verantwortlichkeit. Das bedeutet: Google nutzt die Daten auch für eigene Zwecke, zum Beispiel für Werbung. Und da Google ein US-Unternehmen ist, unterliegt es dem amerikanischen Überwachungsrecht.
Die Aufsichtsbehörden in Österreich, Frankreich und Dänemark haben Google Analytics in der Standardkonfiguration bereits für unzulässig erklärt. Die deutsche DSK verlangt mindestens eine ausdrückliche, informierte Einwilligung vor dem Laden der Analytics-Skripte.
Heißt das, du darfst Google Analytics nicht mehr nutzen?
Nicht zwingend. Aber du brauchst einen ordentlichen Consent-Banner mit echtem Ablehnen-Button, eine aktuelle Datenschutzerklärung mit Hinweis auf den EU-US-Datentransfer und korrekte Einstellungen (keine Google Signals, keine Cross-Device-Features).
Der Aufwand ist real. Und das Risiko bleibt. Europaweit wurden 2024 DSGVO-Bußgelder in Höhe von rund 1,2 Milliarden Euro verhängt. Ein erheblicher Teil davon betraf Tracking und Cookie-Banner.
Die ethische Alternative: Matomo, Plausible und Umami
Es gibt gute Alternativen zu Google Analytics. Keine davon ist schlechter. Für KMU-Websites sind sie in vielen Fällen sogar die bessere Wahl.
| Matomo | Plausible | Umami | |
|---|---|---|---|
| Open Source | Ja | Ja | Ja |
| Self-Hosting | Ja | Ja | Ja |
| Cookieless | Optional (konfigurierbar) | Standardmäßig | Standardmäßig |
| Preis (Cloud) | ab ca. 10 €/Monat | ab ca. 9 €/Monat | ab ca. 9 €/Monat |
| Funktionsumfang | Umfangreich (Funnels, E-Commerce, Segmentierung) | Schlank, auf das Wesentliche fokussiert | Leichtgewichtig, event-orientiert |
| US-Datentransfer | Keiner (bei self-hosted oder EU-Cloud) | Keiner (Hetzner, Deutschland) | Keiner (bei self-hosted) |
Matomo ist die ausgewachsenste Alternative. Du bekommst ähnlich viele Funktionen wie bei GA, aber auf deinem eigenen Server oder in einer deutschen Cloud. Alle Daten bleiben unter deiner Kontrolle, kein amerikanisches Werbenetzwerk bekommt Zugriff.
Plausible ist der einfachste Einstieg. Cookieless von Haus aus, keine persönlichen Daten, kein komplexes Setup. Die Cloud läuft auf Hetzner-Servern in Deutschland. Für die meisten KMU-Websites reicht der Funktionsumfang völlig aus.
Umami ist die leichtgewichtigste Option für alle, die selbst hosten wollen. Schlank, schnell, MIT-Lizenz.
Zum Vergleich: Rund 25% der deutschen Websites mit Analytics nutzen bereits Matomo. Der Trend weg von Google Analytics ist real.
Wann du keinen Cookie-Banner brauchst
Das ist der Teil, der die meisten überrascht.
§ 25 TTDSG (seit 2024 ins TDDDG überführt) sagt: Wer auf dem Endgerät eines Nutzers Informationen speichert oder ausliest, braucht dafür vorher eine informierte, freiwillige Einwilligung. Das ist die gesetzliche Grundlage für Consent-Banner.
Aber: Wenn kein Zugriff auf das Endgerät stattfindet, greift die Pflicht nicht.
Cookieless Tracking bedeutet: kein Cookie, kein localStorage, kein Fingerprinting. Nur was der Browser bei jeder Anfrage ohnehin mitschickt (ungefähre Region, Gerätetyp, Referrer), wird anonymisiert ausgewertet. Wenn du zusätzlich die IP-Adresse anonymisierst, auf einem EU-Server hostest und keine Daten an Dritte weitergibst, brauchst du für dieses Tracking keinen Banner.
Matomo cookieless oder Plausible in der Standardkonfiguration erfüllen diese Bedingungen.
Was bleibt nach Banner-Pflicht? Alles, was Cookies setzt oder auf Geräte-Speicher zugreift: Google Analytics in der Standardkonfiguration, Werbe-Pixel (Meta, Google Ads), Retargeting-Tools, eingebettete Videos von YouTube, Social-Media-Buttons. Für die brauchst du weiterhin einen Banner.
Und bitte: Mach den Banner ordentlich. Eine Studie der Ruhr-Universität Bochum fand, dass damals rund 86% der untersuchten deutschen Cookie-Banner keinen echten Ablehnen-Button hatten. Eine europäische Meta-Analyse ergab, dass rund die Hälfte aller EU-Cookie-Banner DSGVO-Anforderungen verletzt. Das ist kein Detail, das man ignorieren kann.
Die Website Tracking Checkliste
Hier sind die sieben Punkte im Detail.
1. Analytics-Tool DSGVO-konform einrichten
Entscheide dich für Matomo (self-hosted oder EU-Cloud) oder Plausible. Wenn du Matomo nimmst: cookieless Modus aktivieren, IP-Anonymisierung auf maximale Stufe stellen, Datenaufbewahrungsfrist auf 12 Monate begrenzen.
Wenn du trotzdem bei GA bleibst: Consent-Banner mit echtem Ablehnen-Button auf erster Ebene, GA-Skripte laden erst nach Zustimmung, Google Signals deaktivieren, Datenschutzerklärung aktualisieren.
2. Google Search Console verknüpfen
GSC ist der blinde Fleck in vielen Analytics-Setups. Das Tool zeigt dir, für welche Suchbegriffe du Impressionen bekommst, welche Seiten klicken und welche technischen Probleme Google beim Crawlen deiner Seite findet. Kein Cookie, kein Datenschutzproblem, keine Einwilligung nötig. Einfach Eigentumsnachweis über DNS oder HTML-Datei hinterlegen und fertig.
3. Conversion-Ereignisse messen
Das Wichtigste überhaupt. Richte Ereignisse ein für:
- Kontaktformular erfolgreich abgeschickt (entweder Dankeschön-Seite oder JavaScript-Ereignis)
- Klick auf Telefonnummer (tel:-Links)
- Klick auf E-Mail-Adresse (mailto:-Links)
Wichtig: Nie die Inhalte des Formulars im Analytics-Tool speichern. Nur das Ereignis selbst zählt.
4. CTA-Klicks tracken
Wenn du wichtige Buttons hast wie "Angebot anfragen" oder "Termin buchen", willst du wissen, wie viele Leute darauf klicken. Das ist in Matomo und Plausible mit wenigen Zeilen Code erledigt.
5. Scroll-Tiefe einrichten
Scroll-Tracking bei 50% und 90% zeigt dir, wie weit Besucher eine Seite wirklich lesen. Wenn 80% bei 50% abbrechen, ist der untere Teil der Seite entweder irrelevant oder zu lang. Hilfreich für Landingpages und Blogartikel.
6. UTM-Parameter für Kampagnen
Wenn du Links auf Instagram postest, in einem Newsletter versendest oder in anderen Kanälen verlinkst, hänge UTM-Parameter an. Zum Beispiel: ?utm_source=newsletter&utm_medium=email&utm_campaign=april2026. Dann siehst du in deinem Analytics-Tool, welcher Kanal tatsächlich Traffic bringt.
7. 404-Fehler und Crawling-Probleme
Richte in GSC eine E-Mail-Benachrichtigung für neue Crawling-Fehler ein. In Matomo gibt es einen integrierten 404-Report. Kaputte Links und fehlende Seiten schaden sowohl der User Experience als auch dem SEO.
Wenn du wissen willst, ob dein aktuelles Setup diese Punkte schon abdeckt, ist unser kostenloser Website Check ein guter Startpunkt.
Was du besser nicht tracken solltest
DSGVO-Grundprinzip: Datenminimierung. Erhebe nur, was du wirklich brauchst.
Konkret bedeutet das für KMU-Websites: kein detailliertes Session-Recording für alle Besucher. Wenn du Heatmaps oder Sitzungsaufzeichnungen nutzen willst, begrenze das auf bestimmte Seiten, begrenze den Zeitraum und stelle sicher, dass Formularinhalte automatisch maskiert werden.
Keine vollständigen IP-Adressen langfristig speichern. IP-Adressen sind personenbezogene Daten. Anonymisiere sie so früh wie möglich, am besten bevor sie überhaupt in die Datenbank geschrieben werden.
Keine Nutzerprofile über mehrere Websites oder Geräte hinweg aufbauen. Das ist der Bereich, in dem Tracking von Analyse zu Überwachung wird.
Deine Besucher haben dir vertrauen, indem sie deine Seite aufrufen. Erhebe nur Daten, die dir wirklich helfen, deinen Service zu verbessern. Das ist nicht nur rechtlich sauberer, es ist auch schlicht fairer.
Google Search Console: Dein DSGVO-freundlicher SEO-Begleiter
GSC ist das einzige wichtige Analyse-Tool, das keinerlei Datenschutzprobleme verursacht. Es setzt keine Cookies auf deiner Website, erhebt keine Besucherdaten und muss in den meisten Fällen nicht einmal in der Datenschutzerklärung erwähnt werden. Die Daten entstehen auf der Seite von Google während des Crawlings.
Was du in der GSC regelmäßig prüfen solltest:
- Performance-Bericht: Welche Suchbegriffe bringen Impressionen und Klicks? Welche Seiten performen gut, welche nicht?
- Core Web Vitals: Wie schnell lädt deine Seite aus Nutzerperspektive? Google nutzt diese Werte als Rankingfaktor.
- Crawling-Bericht: Welche Seiten kann Google nicht lesen? Gibt es Weiterleitungsprobleme?
- Manuelle Maßnahmen: Hat Google Spam oder Richtlinienverstöße auf deiner Seite gefunden?
Einmal pro Monat in die GSC schauen reicht für die meisten KMU-Websites. Wenn du gerade eine neue Seite veröffentlicht hast oder eine technische Änderung vorgenommen hast, lohnt sich ein Blick früher.
Wenn dein Tracking oder dein SEO-Setup professionell aufgesetzt werden soll, schau dir an, was beim Website Relaunch alles mitgemacht wird. Das Analytics-Setup ist dabei immer Teil des Projekts.
