- GA4 verfehlt strukturell 30–60 % der EU-Visitor durch fünf sich aufaddierende Faktoren, von denen sich keiner im Dashboard fixen lässt.
- Cookie-Banner allein verbergen 35–65 % des europäischen Traffics; Ad Blockers, ITP, ETP und DNS-Blocking schneiden jeweils weitere Scheiben ab.
- Weil nie personenbezogene Daten erhoben werden, entfällt bei einer Privacy-first-Architektur die Consent-Pflicht — die Visitor-Zählung wird vollständig.
- EU-only-Hosting eliminiert das Schrems II-Risiko, das beim Senden von Visitor-Daten an Googles US-Infrastruktur entsteht.
Wenn du Google Analytics 4 auf einer europäischen Website betreibst, triffst du fast sicher Entscheidungen auf Basis unvollständiger Daten. Die Branchenforschung zeigt durchgängig, dass GA4 zwischen 30 % und 60 % der tatsächlichen Visitor einer typischen EU-Site verfehlt. Das ist kein Bug — es ist eine strukturelle Konsequenz aus der Funktionsweise von GA4, dem rechtlichen Umfeld und dem Browser-Ökosystem, von dem es abhängt.
Dieser Artikel schlüsselt genau auf, warum GA4 Daten verliert, welche Mechanismen dafür verantwortlich sind und wie eine grundlegend andere Architektur — eine, die den Consent-Bedarf abschafft, weil nie personenbezogene Daten erhoben werden — volle Sichtbarkeit liefern kann, ohne GDPR-Konformität einzubüßen.
Die fünf Schichten des Datenverlusts in GA4
Die Datenlücke von GA4 entsteht nicht durch einen einzelnen Faktor. Sie ist das Compound-Ergebnis aus fünf unabhängigen Mechanismen, von denen jeder eine Scheibe deiner Visitor aus dem Datensatz herausschneidet.
1. Consent Mode und Cookie-Banner
Nach GDPR und der ePrivacy-Richtlinie braucht jedes Tool, das Cookies setzt oder personenbezogene Daten für Analytics verarbeitet, eine ausdrückliche, informierte Einwilligung des Visitors vor Beginn der Datenerhebung. GA4 nutzt Cookies (_ga, _gid) und sendet die IP-Adresse des Visitors an Googles Server in den USA — beides gilt nach EU-Recht als Verarbeitung personenbezogener Daten.
Googles „Consent Mode v2“ versucht das zu patchen, indem cookieless Pings für nicht-zustimmende Visitor gesendet werden und Machine Learning die fehlenden Daten modelliert. Das bringt aber ein anderes Problem mit sich: die Zahlen in deinem Dashboard sind keine gemessenen Daten — es sind statistische Schätzungen.
2. Ad Blockers
Ad Blockers blockieren Requests an google-analytics.com und googletagmanager.com auf Netzwerkebene. Ad-Blocker-Nutzung in Europa:
- Desktop: 30–42 % der User nutzen einen Ad Blocker
- Mobile: 15–20 %, mit Brave und Firefox Focus wachsend
- Tech-affines Publikum: 50–70 % (Entwickler-Sites, SaaS, Fintech)
3. ITP und ETP
Apples Safari (ITP) begrenzt JavaScript-gesetzte Cookies auf 7 Tage. Mozillas Firefox (ETP) blockiert bekannte Tracking-Domains. Zusammen verantworten sie 30–40 % des EU-Web-Traffics mit beschädigten Session-Daten.
4. Blocking auf Netzwerkebene
Pi-hole, AdGuard Home, Firmen-Firewalls und VPNs mit eingebautem Blocking verhindern, dass google-analytics.com überhaupt aufgelöst wird. Kein Signal erreicht Google.
5. Sampling und Verarbeitungsverzögerungen
Der Free-Tier von GA4 wendet Sampling auf große Zeiträume an. Kombiniert mit 24–48 Stunden Processing-Delay triffst du Entscheidungen auf modellierten, gesampelten und verzögerten Daten.
Der Compound-Effekt: was du wirklich siehst
Diese fünf Faktoren stapeln sich. Jeder schneidet eine Scheibe aus dem ab, was nach dem vorherigen übrig bleibt.
Das ist kein Worst-Case-Szenario. Die 19–29-%-Zahl geht von typischem deutschem B2B-Traffic aus. Bei Developer-Tools oder Fintech sinkt sie unter 15 %.
Wie eine Privacy-first-Architektur das löst
Die Kern-Erkenntnis: wenn du nie personenbezogene Daten erhebst, brauchst du keinen Consent. Personenbezogene Daten weg, Consent-Pflicht weg.
„Die Privatsphäre des Visitors wird durch die Architektur geschützt, nicht durch einen Consent-Dialog. Das Ergebnis ist für beide Seiten besser.“— internes datakant-Designprinzip
1. First-Party-Cookies, keine personenbezogenen Daten
datakant nutzt First-Party-Cookies und localStorage für die Session-Kontinuität — eine zufällige ID, keine personenbezogenen Daten. Kein _ga-Cookie, kein Third-Party-Cookie. Safaris ITP begrenzt dieses First-Party-Cookie auf 7 Tage wie jedes per Script gesetzte Cookie — aber datakant zählt Sessions und Pageviews, keine persistente Per-User-ID, sodass der Cap die Zahlen nicht aufbläht wie bei GA4s User-Zahlen. Und da datakant keine Cross-Site-Cookies setzt, landet es nie auf Firefox' Tracker-Liste, sodass ETP seinen First-Party-State unangetastet lässt.
2. IP-Adressen werden verworfen, nicht gespeichert
Die rohe IP wird für einen einzigen city-level Geo-Lookup gegen eine lokal gebundelte MaxMind-Datenbank verwendet und dann sofort verworfen. Nie auf Disk geschrieben.
3. First-party, same-origin Requests
Daten gehen an collect.yourdomain.com, nicht an google-analytics.com. Ad Blockers haben keinen Grund, das zu blockieren.
Der Ad-Blocker-Bypass ist kein Hack. Es ist eine natürliche Folge der first-party-Architektur — kein Domain-Masking, keine Proxy-Tricks.
4. Datenresidenz nur in der EU
Alle Daten werden auf Hetzner Cloud in Deutschland verarbeitet und gespeichert. Kein Schrems-II-Risiko.
Was „100 % Tracking“ wirklich bedeutet
Jeder Visitor, der deine Seite lädt, wird gezählt. Kein Consent-Gate, keine blockierte Domain, kein gedeckeltes Cookie. Das heißt nicht, personenbezogene Daten ohne Consent zu erheben — es werden keine personenbezogenen Daten erhoben.
Side-by-side: GA4 vs datakant
| Faktor | GA4 | datakant |
|---|---|---|
| Consent nötig | ✕ JaCookies + IP in die USA gesendet | ✓ Neinkeine PII erhoben |
| Ad-Blocker-Impact | ✕ 30–42 %auf Netzwerkebene geblockt | ✓ 0 %first-party Endpoint |
| ITP-/ETP-Impact | ✕ Cookie-Cap7-Tage-Reset, aufgeblähte User-Zahlen | ✓ Keine Session-VerlusteGleicher Cap, aber Sessions & Pageviews unberührt |
| Sampling | ✕ Jabei langen Zeiträumen, Free-Tier | ✓ Nieimmer Rohzählungen |
| Processing-Delay | ✕ 24–48 hBatch-Verarbeitung | ✓ EchtzeitIngest unter einer Sekunde |
| Datenresidenz | ✕ USAGoogle Cloud, multi-region | ✓ nur EUHetzner, Deutschland |
| Schrems-II-Risiko | ✕ JaUS-Transfer, FISA 702 | ✓ KeinsDaten verlassen nie die EU |
| Typische Datenabdeckung | ✕ 19–29 %der tatsächlichen EU-Visitor | ✓ ~100 %der tatsächlichen EU-Visitor |
Das juristische Argument: warum das kein Schlupfloch ist
Der Zweck der GDPR ist es, Individuen davor zu schützen, identifiziert, profiliert und gezielt angesprochen zu werden. Privacy-first Analytics erreicht das besser als consent-basierte Tools:
- Es werden keine personenbezogenen Daten verarbeitet. GDPR Art. 4(1) greift nicht.
- Kein Cross-Site-Tracking. Jede Property ist isoliert.
- Kein Profiling. Keine persistenten Identifier, die einer Person zugeordnet werden.
- Legitimate Interest greift gemäß Art. 6(1)(f).
Fazit
Die Datenlücke von GA4 ist strukturell und nicht reparierbar. Privacy-first-Tools eliminieren das Consent-Gate, das Ad-Blocker-Problem und das Browser-Restriktions-Problem gleichzeitig. Vollständige, akkurate Echtzeitdaten — mit stärkeren Privacy-Garantien als GA4.
Zitierte Quellen
- Cookiebot Consent Barometer 2025
- IAB Europe TCF Transparency Report
- Statista Ad Blocker Usage 2025
- CJEU C-582/14 (Breyer v. Bundesrepublik)
- CNIL Audience Measurement Exemption
Sieh deine echten Zahlen in 7 Tagen.
Snippet einbinden, ab Tag eins vollständige Daten erhalten und am Ende der Woche deinen eigenen GA4-vs-datakant-Chart lesen. Keine Kreditkarte. EU-gehostet.