Warum GA4 dir nie 100 % deiner User zeigt — und Privacy-first-Tools schon.

Cookie-Banner, Data Modeling, Browser-Restrictions, ITP, ETP und die rechtlichen Constraints hinter jeder „(other)“-Zeile in deinen GA4-Reports. Wir gehen durch, wo 30–60 % der Visitor-Daten verschwinden und was eine Privacy-first-Architektur tatsächlich anders macht.

Wichtigste Erkenntnisse · TL;DR
  • GA4 verfehlt strukturell 30–60 % der EU-Visitor durch fünf sich aufaddierende Faktoren, von denen sich keiner im Dashboard fixen lässt.
  • Cookie-Banner allein verbergen 35–65 % des europäischen Traffics; Ad Blockers, ITP, ETP und DNS-Blocking schneiden jeweils weitere Scheiben ab.
  • Weil nie personenbezogene Daten erhoben werden, entfällt bei einer Privacy-first-Architektur die Consent-Pflicht — die Visitor-Zählung wird vollständig.
  • EU-only-Hosting eliminiert das Schrems II-Risiko, das beim Senden von Visitor-Daten an Googles US-Infrastruktur entsteht.

Wenn du Google Analytics 4 auf einer europäischen Website betreibst, triffst du fast sicher Entscheidungen auf Basis unvollständiger Daten. Die Branchenforschung zeigt durchgängig, dass GA4 zwischen 30 % und 60 % der tatsächlichen Visitor einer typischen EU-Site verfehlt. Das ist kein Bug — es ist eine strukturelle Konsequenz aus der Funktionsweise von GA4, dem rechtlichen Umfeld und dem Browser-Ökosystem, von dem es abhängt.

Dieser Artikel schlüsselt genau auf, warum GA4 Daten verliert, welche Mechanismen dafür verantwortlich sind und wie eine grundlegend andere Architektur — eine, die den Consent-Bedarf abschafft, weil nie personenbezogene Daten erhoben werden — volle Sichtbarkeit liefern kann, ohne GDPR-Konformität einzubüßen.

Die fünf Schichten des Datenverlusts in GA4

Die Datenlücke von GA4 entsteht nicht durch einen einzelnen Faktor. Sie ist das Compound-Ergebnis aus fünf unabhängigen Mechanismen, von denen jeder eine Scheibe deiner Visitor aus dem Datensatz herausschneidet.

1. Consent Mode und Cookie-Banner

Nach GDPR und der ePrivacy-Richtlinie braucht jedes Tool, das Cookies setzt oder personenbezogene Daten für Analytics verarbeitet, eine ausdrückliche, informierte Einwilligung des Visitors vor Beginn der Datenerhebung. GA4 nutzt Cookies (_ga, _gid) und sendet die IP-Adresse des Visitors an Googles Server in den USA — beides gilt nach EU-Recht als Verarbeitung personenbezogener Daten.

Cookie-Consent-Opt-in-Raten · nach Region
EU · 2025–2026
Für GA4 unsichtbar (kein Consent) Von GA4 getrackt
Quelle: Cookiebot, Usercentrics, IAB Europe TCF Aggregatdaten 2025

Googles „Consent Mode v2“ versucht das zu patchen, indem cookieless Pings für nicht-zustimmende Visitor gesendet werden und Machine Learning die fehlenden Daten modelliert. Das bringt aber ein anderes Problem mit sich: die Zahlen in deinem Dashboard sind keine gemessenen Daten — es sind statistische Schätzungen.

2. Ad Blockers

Ad Blockers blockieren Requests an google-analytics.com und googletagmanager.com auf Netzwerkebene. Ad-Blocker-Nutzung in Europa:

  • Desktop: 30–42 % der User nutzen einen Ad Blocker
  • Mobile: 15–20 %, mit Brave und Firefox Focus wachsend
  • Tech-affines Publikum: 50–70 % (Entwickler-Sites, SaaS, Fintech)

3. ITP und ETP

Apples Safari (ITP) begrenzt JavaScript-gesetzte Cookies auf 7 Tage. Mozillas Firefox (ETP) blockiert bekannte Tracking-Domains. Zusammen verantworten sie 30–40 % des EU-Web-Traffics mit beschädigten Session-Daten.

4. Blocking auf Netzwerkebene

Pi-hole, AdGuard Home, Firmen-Firewalls und VPNs mit eingebautem Blocking verhindern, dass google-analytics.com überhaupt aufgelöst wird. Kein Signal erreicht Google.

5. Sampling und Verarbeitungsverzögerungen

Der Free-Tier von GA4 wendet Sampling auf große Zeiträume an. Kombiniert mit 24–48 Stunden Processing-Delay triffst du Entscheidungen auf modellierten, gesampelten und verzögerten Daten.

Der Compound-Effekt: was du wirklich siehst

Diese fünf Faktoren stapeln sich. Jeder schneidet eine Scheibe aus dem ab, was nach dem vorherigen übrig bleibt.

Wo deine Visitor wirklich landen · deutsches B2B-SaaS (typisch)
Compound Loss · Waterfall Chart
Alle tatsächlichen Visitor
Page-Load-Events auf deinem Server
100 % Baseline
100 %
Nach Cookie-Consent
−55 % · Banner-Ablehnung
45 % zugestimmt
45 %
Nach Ad Blockers
−16 % vom Gesamtwert
29 % erreichen GA4
−16 %
29 %
Nach ITP-/ETP-Verzerrung
−10 % haben falsch zugeordnete Sessions
19 % akkurat
81 % fehlen oder sind modelliert
19 %
GA4 zeigt akkurate, vollständige Daten für ungefähr 19–29 % deines tatsächlichen EU-Traffics.

Das ist kein Worst-Case-Szenario. Die 19–29-%-Zahl geht von typischem deutschem B2B-Traffic aus. Bei Developer-Tools oder Fintech sinkt sie unter 15 %.

Wie eine Privacy-first-Architektur das löst

Die Kern-Erkenntnis: wenn du nie personenbezogene Daten erhebst, brauchst du keinen Consent. Personenbezogene Daten weg, Consent-Pflicht weg.

„Die Privatsphäre des Visitors wird durch die Architektur geschützt, nicht durch einen Consent-Dialog. Das Ergebnis ist für beide Seiten besser.“— internes datakant-Designprinzip

1. First-Party-Cookies, keine personenbezogenen Daten

datakant nutzt First-Party-Cookies und localStorage für die Session-Kontinuität — eine zufällige ID, keine personenbezogenen Daten. Kein _ga-Cookie, kein Third-Party-Cookie. Safaris ITP begrenzt dieses First-Party-Cookie auf 7 Tage wie jedes per Script gesetzte Cookie — aber datakant zählt Sessions und Pageviews, keine persistente Per-User-ID, sodass der Cap die Zahlen nicht aufbläht wie bei GA4s User-Zahlen. Und da datakant keine Cross-Site-Cookies setzt, landet es nie auf Firefox' Tracker-Liste, sodass ETP seinen First-Party-State unangetastet lässt.

2. IP-Adressen werden verworfen, nicht gespeichert

Die rohe IP wird für einen einzigen city-level Geo-Lookup gegen eine lokal gebundelte MaxMind-Datenbank verwendet und dann sofort verworfen. Nie auf Disk geschrieben.

3. First-party, same-origin Requests

Daten gehen an collect.yourdomain.com, nicht an google-analytics.com. Ad Blockers haben keinen Grund, das zu blockieren.

Der Ad-Blocker-Bypass ist kein Hack. Es ist eine natürliche Folge der first-party-Architektur — kein Domain-Masking, keine Proxy-Tricks.

4. Datenresidenz nur in der EU

Alle Daten werden auf Hetzner Cloud in Deutschland verarbeitet und gespeichert. Kein Schrems-II-Risiko.

Was „100 % Tracking“ wirklich bedeutet

Jeder Visitor, der deine Seite lädt, wird gezählt. Kein Consent-Gate, keine blockierte Domain, kein gedeckeltes Cookie. Das heißt nicht, personenbezogene Daten ohne Consent zu erheben — es werden keine personenbezogenen Daten erhoben.

Side-by-side: GA4 vs datakant

FaktorGA4datakant
Consent nötig JaCookies + IP in die USA gesendet Neinkeine PII erhoben
Ad-Blocker-Impact 30–42 %auf Netzwerkebene geblockt 0 %first-party Endpoint
ITP-/ETP-Impact Cookie-Cap7-Tage-Reset, aufgeblähte User-Zahlen Keine Session-VerlusteGleicher Cap, aber Sessions & Pageviews unberührt
Sampling Jabei langen Zeiträumen, Free-Tier Nieimmer Rohzählungen
Processing-Delay 24–48 hBatch-Verarbeitung EchtzeitIngest unter einer Sekunde
Datenresidenz USAGoogle Cloud, multi-region nur EUHetzner, Deutschland
Schrems-II-Risiko JaUS-Transfer, FISA 702 KeinsDaten verlassen nie die EU
Typische Datenabdeckung 19–29 %der tatsächlichen EU-Visitor ~100 %der tatsächlichen EU-Visitor

Der Zweck der GDPR ist es, Individuen davor zu schützen, identifiziert, profiliert und gezielt angesprochen zu werden. Privacy-first Analytics erreicht das besser als consent-basierte Tools:

  1. Es werden keine personenbezogenen Daten verarbeitet. GDPR Art. 4(1) greift nicht.
  2. Kein Cross-Site-Tracking. Jede Property ist isoliert.
  3. Kein Profiling. Keine persistenten Identifier, die einer Person zugeordnet werden.
  4. Legitimate Interest greift gemäß Art. 6(1)(f).

Fazit

Die Datenlücke von GA4 ist strukturell und nicht reparierbar. Privacy-first-Tools eliminieren das Consent-Gate, das Ad-Blocker-Problem und das Browser-Restriktions-Problem gleichzeitig. Vollständige, akkurate Echtzeitdaten — mit stärkeren Privacy-Garantien als GA4.

Zitierte Quellen

  1. Cookiebot Consent Barometer 2025
  2. IAB Europe TCF Transparency Report
  3. Statista Ad Blocker Usage 2025
  4. CJEU C-582/14 (Breyer v. Bundesrepublik)
  5. CNIL Audience Measurement Exemption
Probier es auf deiner eigenen Site

Sieh deine echten Zahlen in 7 Tagen.

Snippet einbinden, ab Tag eins vollständige Daten erhalten und am Ende der Woche deinen eigenen GA4-vs-datakant-Chart lesen. Keine Kreditkarte. EU-gehostet.

Demo buchen
Über den Autor
SF
Sascha Fuß
Founder & CEO · datakant
Baut Analytics-Tools in Köln. Hat zuvor mit seiner Agentur Web- und Data-Analytics für mehrere Konzerne verantwortet.