Umami Analytics & DSGVO: Die datenschutzkonforme Google-Analytics-Alternative

Webanalyse ohne Cookie-Banner, ohne US-Datentransfer, ohne Nutzerprofile – wie Umami funktioniert, was es rechtlich bedeutet und wie Sie es maximal datenschutzfreundlich konfigurieren.

1. Das Problem: Webanalyse und Datenschutz im Konflikt

Wer eine Website betreibt, möchte wissen, ob seine Inhalte ankommen. Wie viele Menschen besuchen die Seite? Über welche Kanäle kommen sie? Welche Seiten funktionieren und welche nicht? Webanalyse ist aus modernem Online-Marketing schlicht nicht wegzudenken.

Lange Zeit war Google Analytics die Standardantwort auf all diese Fragen – kostenlos, mächtig, weit verbreitet. Doch die Nutzung ist nicht so unkompliziert, wie es zunächst aussieht.

Warum Google Analytics kompliziert bleibt

Google Analytics ist nicht verboten aber anspruchsvoll in der rechtssicheren Umsetzung. Kritisch diskutiert wird vor allem die Übermittlung von Nutzerdaten in die USA sowie die Intransparenz darüber, welche Daten Google konkret verarbeitet. Wer GA4 einsetzt, benötigt in der Regel einen Auftragsverarbeitungsvertrag mit Google, eine ausdrückliche Nutzereinwilligung und damit zwingend einen Cookie-Banner.

Das Ergebnis: Viele Website-Betreiber stehen vor einem Dilemma. Sie brauchen Daten über ihr Publikum aber sie wollen rechtlich auf der sicheren Seite stehen. Cookie-Banner werden immer aufwändiger, das Nutzervertrauen sinkt und rechtliche Unsicherheiten bleiben. Hier kommt Umami ins Spiel.

2. Was ist Umami Analytics?

Umami ist ein schlankes Open-Source-Webanalyse-Tool, das sich als datenschutzfreundliche Alternative zu Google Analytics positioniert. Das Projekt wurde 2020 von Mike Cao veröffentlicht und wird seitdem aktiv weiterentwickelt.

Open Source - transparent und nachvollziehbar

Der gesamte Quellcode von Umami ist öffentlich auf GitHub einsehbar. Jeder Entwickler, jede Datenschutzbehörde, jeder Sicherheitsexperte kann nachvollziehen, welche Daten das Tool erfasst und welche nicht. Dieses Maß an Transparenz ist ein erheblicher Vorteil gegenüber proprietären Lösungen.

Privacy-First: Das Kernversprechen

Umami wurde von Anfang an ohne Cookies und ohne Erfassung personenbezogener Daten entwickelt. Kein Tracking über Seitengrenzen hinweg, keine Nutzerprofile(!), keine Weitergabe an Dritte - stattdessen aggregierte Statistiken, die helfen, das Nutzerverhalten zu verstehen

Self-Hosting vs Cloud

Self-Hosting (empfohlen)

• Daten verlassen Ihre Infrastruktur nie

• Volle Kontrolle über Serverstandort

• Maximale Datenschutzkonformität

• Keine monatlichen Abo-Kosten

Cloud

• Einfache Einrichtung ohne Server

• Keine Kontrolle über Serverstandort

• Datenschutzvertrag erforderlich

• Monatliche Kosten

3. Welche Daten sammelt Umami?

Damit Sie selbst beurteilen können, wie Umami einzustufen ist, lohnt ein genauer Blick auf die Datenpunkte, die das Tool standardmäßig erfasst.

Erfasste Daten

• Seitenaufrufe • Referrer • Gerät & Browser • Betriebssystem • Sprache • Region(grob) • UTM-Parameter (optional) • Custom Events

Nicht erfasst

• Cookies • IP-Adressen im Klartext • Persistente Nutzerprofile • Cross-Site-Tracking • Datenweitergabe an Dritte • Verknüpfung mit Werbenetzwerken

Zum Vergleich: Google Analytics

GA4 erstellt detaillierte Nutzerprofile, verfolgt Nutzer über Websites und Geräte hinweg, kombiniert Daten mit anderen Google-Diensten und überträgt alle Informationen auf US-Server, in der Regel ohne dass der Nutzer es bewusst wahrnimmt. Genau hier liegt der fundamentale Unterschied zu Umami.

4. Wie funktioniert Umami technisch?

Technische Details müssen nicht kompliziert sein. Eine Analogie hilft:

Stellen Sie sich vor, am Eingang Ihres Ladengeschäfts steht jemand mit einem Klickzähler. Er zählt, wie viele Menschen hereinkommen, ob sie mit Kinderwagen oder zu Fuß kommen, aber er notiert keinen Namen, keine Adresse, kein Gesicht. Am nächsten Tag fängt er von vorne an. Genau so funktioniert Umami.

Tracking ohne Cookies

Klassische Analytics-Tools speichern eine eindeutige Kennung als Cookie im Browser. So können sie denselben Nutzer über Wochen wiedererkennen. Umami verzichtet vollständig darauf. Es wird kein Cookie gesetzt, keine dauerhafte Kennung gespeichert. Stattdessen wird für jeden Aufruf ein temporärer Hash-Wert berechnet, der weder im Browser noch persistent auf dem Server gespeichert wird.

Sitzungsdifferenzierung über Hashing

Umami verwendet eine Kombination aus anonymisierten Geräteeigenschaften und der gehashten IP-Adresse, um innerhalb einer Sitzung verschiedene Nutzer unterscheiden zu können. Der Hash ist ein Einwegverfahren: Aus ihm lässt sich weder die IP-Adresse noch eine andere identifizierbare Information zurückrechnen.

Event-Tracking & Tracking-Script

Neben Seitenaufrufen können benutzerdefinierte Ereignisse getrackt werden z.B. Klicks auf Buttons oder das Absenden vom Kontaktformular und das mit nur wenigen Zeilen JavaScript, ganz ohne Erhebung personenbezogener Daten. Das Tracking-Script selbst ist minimal (~2KB) und sendet bei jedem Aufruf eine anonymisierte Anfrage an den Umami-Server. Keine externen Abhängigkeiten, keine Daten an Drittanbieter.

5. Ist Umami DSGVO-konform in Deutschland?

Hier ist Ehrlichkeit gefragt – pauschale Antworten wären unseriös. Die Einordnung hängt von der konkreten Konfiguration ab.

Argumente für die DSGVO-Konformität

• Keine personenbezogenen Daten im klassischen Sinne: keine Namen, E-Mails oder direkten Identifikatoren
• Keine Cookies: das Einwilligungserfordernis des §25 TDDDG (ehemals TTDSG) greift in vielen Szenarien nicht
• Kein Drittland-Transfer: beim Self-Hosting auf EU-Servern bleiben alle Daten in der EU
• Datenminimierung nach Art. 5 Abs. 1c DSGVO: Umami erhebt nur das Nötigste
• Keine Nutzerprofile: keine individuellen Nutzerverläufe, die aufgebaut oder gespeichert werden

Kritische Punkte und rechtliche Grauzonen

IP-Adressverarbeitung

Selbst eine gehashte IP-Adresse ist theoretisch eine Verarbeitung personenbezogener Daten, wenn die Identifizierung durch Dritte möglich wäre. Nach herrschender Meinung entfällt die Personenbezogenheit, wenn der Server-Betreiber technisch keine Möglichkeit hat, aus dem Hash die ursprungliche IP zu rekonstrurieren. Bei korrektem Hashing ist das der Fall. (vgl. EuG, Urt. v. 26.04.2023 – T-557/20)

Anonym vs. pseudonym - ein wichtiger Unterschied

Pseudonyme Daten (ein Hash, der unter Umständen noch rückverfolgbar wäre) unterliegen der DSGVO. Echte anonyme Daten fallen aus dem Anwendungsbereich heraus. Ob Umami-Daten als anonym oder pseudonym gelten, hängt von der korrekten Konfiguration und den Hashing-Verfahren ab.

Fehlende Rechtsprechung

Es gibt noch keine höchstrichterliche Entscheidung, die Umami explizit bewertet. Die allgemeine Einschätzung in der Datenschutz-Community ist wohlwollend, rechtliche Verbindlichkeit ist das jedoch nicht.

Wichtiger Hinweis!

Keine Analytics-Lösung kann als „100% DSGVO-sicher" bezeichnet werden. Die Einschätzung, dass Umami bei korrekter Konfiguration DSGVO-konform eingesetzt werden kann, ist fundiert und weit verbreitet - sie ersetzt aber keine individuelle Rechtsberatung.

6. Braucht man ein Cookie-Banner / Consent?

Diese Frage stellt sich jeder, der Umami oder andere Alternativen in Betracht zieht und es gibt eine differenzierte Antwort.

Die rechtliche Grundlage: TDDDG und DSGVO

In Deutschland gilt seit Dezember 2021 das TDDDG. §25 TDDDG regelt das Setzen und Auslesen von Informationen im Endgerät des Nutzers (also Cookies und ähnliche Technologien). Die DSGVO regelt darüber hinaus die Verarbeitung personenbezogener Daten.

Kein Cookie-Banner nötig, wenn...

• Umami ohne Cookies betrieben wird (Standard)
• Ausschließlich anonymisierte Daten erfasst werden
• Kein Schreiben/Lesen im Endgerät stattfindet (§25 TDDDG greift nicht)
• Daten als wirklich anonym eingestuft werden können

Banner ggf. sinnvoll, wenn...

• Custom Events im Grenzbereich zu personenbezogenen Daten
• Umami Cloud mit nicht EU-Serverstandort
• Zusätzliche Tracking-Tools ohnehin einen Bannern erfordern
• Datenschutzbeauftragter vorsorglich einen Hinweis empfiehlt

In der Praxis: Bei korrekter Konfiguration von Umami (kein Cookie-Einsatz, IP-Hasing, EU-Server, kurze Speicherdauer) ist in der Regel kein Cookie Banner erforderlich. Das ist ein erheblicher Vorteil gegenüber Google Analytics & Co.

Datenschutzerklärung: immer aktualisieren

Umami sollte immer in der Datenschutzerklärung Ihrer Website erwähnt werden. Erklären Sie, welche Daten erhoben werden, zu welchem Zweck und wo die Daten gespeichert sind. Transparenz ist ein Kernprinzip der DSGVO.

7. Best Practices: Umami datenschutzfreundlich konfigurieren

Umami bringt bereits gute Datenschutz-Defaults mit. Mit diesen Maßnahmen schützen Sie die Privatsphäre Ihrer Besucher noch stärker und sichern Ihre Rechtsposition ab.

1. IP-Hashing aktivieren
   IP-Adressen werden sofort beim Eingang als kryptografischer Hash verarbeitet und niemals im Klartext gespeichert. Der Hash ist ein Einwegverfahren – eine Rückverfolgung ist technisch ausgeschlossen. Wichtigstes Argument für die Nicht-Personenbezogenheit der gesammelten Daten.
2. 24-Stunden-Nutzer-ID-Rotation
   In unserem Setup werden Nutzer-IDs nach spätestens 24 Stunden automatisch zurückgesetzt. Ein Besucher, der heute kommt und morgen wiederkommt, erhält eine völlig neue, zufällige ID – er ist aus Datenschutzsicht ein kompletter neuer Besucher. Langzeit-Nutzerprofile sind damit konstruktiv ausgeschlossen.
3. Self-Hosting auf EU-Servern
   Betreiben Sie Umami auf einem deutschen oder EU-Server (z.B. IONOS, Hetzner, etc.). Alle Analytics-Daten verbleiben in Ihrer Infrastruktur. Das Drittland-Transfer-Problem, das Google-Analytics belastet, entfällt vollständig.
4. HTTPS & aktuelle TLS-Zertifikate
   Sowohl das Dashboard als auch den Tracking-Endpoint ausschließlich über HTTPS betreiben. Ohne HTTPS können erfasste Daten auf dem Übertragungsweg abgegriffen werden.
5. Datenminimierung: nur aktivieren, was gebraucht wird
   Wenn nur Seitenaufrufe gezählt werden, sollte auf Session-Tracking verzichtet werden. UTM-Parameter sind nur sinnvoll im Zusammenhang mit Kampagnen-Tracking. Für historische Daten sollten klare Aufbewahrungsfristen definiert sein. Grundsätzlich gilt: Je weniger Daten erhoben werden, desto klarer ist die Rechtsposition.
6. Zugriffskontrolle & starke Passwörter
   Dashboard mit starken Passwörtern - und wenn möglich - Zwei-Faktor-Authentifizierung sichern. Zugriff auf autorisierte Personen beschränken. Auch aggregierte Analytics-Daten sind schützenswert.
7. Regelmäßige Updates einspielen
   Als Open-Source-Projekt erhält Umami regelmäßig Sicherheits-Updates. Installation aktuell halten, um bekannte Schwachstellen zu schließen.

8. Vorteile gegenüber Google-Analytics

• Datenschutz & Rechtskonformität
  Kein Drittland-Transfer, keine Cookies, keine Nutzerprofile. Datenschutz ist bei Umami Ausgangspunkt, nicht nachträgliche Anpassung. Google Analytics benötigt Flickwerk-Lösungen; Umami nicht.
• Kein Cookie-Banner (meistens)
  Kein Banner bedeutet bessere User Experience, weniger Reibung und höhere Datenqualität, weil nicht jeder Nutzer die Einwilligung ablehnt und damit aus der Messung herausfällt.
• Performance
  Das Tracking-Script ist ~2 KB klein und hat quasi keinen Einfluss auf die Ladezeit. Googles gtag.js ist ein Vielfaches davon und kann das Page-Rendering blockieren.
• Datenhoheit
  Ihre Daten liegen auf Ihrem Server. Sie werden nicht für Googles Werbemaschinerie genutzt, nicht mit anderen Daten kombiniert und nicht an Dritte verkauft.
• Kostenstruktur
  Umami ist Open Source und kostenlos. Die einzigen Kosten entstehen durch Server-Hosting – in der Regel deutlich günstiger als Premium-Analytics-Tools.
• Übersichtliche Oberfläche
  Klare, intuitive Benutzeroberfläche mit den wichtigsten KPIs auf einen Blick – ohne aufwändige Konfiguration oder komplexe Berichtsstrukturen.

9. Nachteile & Grenzen von Umami

Ein ausgewogener Artikel nennt auch die Grenzen. Umami ist nicht für jeden Use Case die richtige Lösung.

• Weniger Funktionsumfang
  Keine komplexen Conversion-Funnels, kein detailliertes Audience-Management, keine Kohorten-Analysen, keine automatische Anomalie-Erkennung. Für datengetriebene Marketing-Teams kein vollwertiger Ersatz.
• Kein tiefes Marketing-Tracking
  Keine Customer-Journey-Analyse über mehrere Sitzungen hinweg, keine Multi-Touch-Attribution, keine Lifetime-Value-Berechnungen oder Google-Ads-Integration.
• Selbstverwaltung erforderlich
  Sie sind für Betrieb, Wartung und Sicherheit verantwortlich. Updates, Backups und Server-Ressourcen müssen eigenständig verwaltet werden.
• Keine KI-gestützten Insights
  Keine KI-basierten Analysen, keine automatischen Insights, keine prädiktiven Metriken. Umami liefert solide Rohdaten und Visualisierungen, aber keine automatisierten Empfehlungen.
• Kleinere Community
  Weniger Plugins, Integrationen und Third-Party-Support als rund um Google Analytics. Für spezifische Anforderungen kann das ein einschränkender Faktor sein.
• Keine tiefen Nutzerprofile
  Bewusst kein Feature, aber wer Langzeitverhaltensdaten, Segmentierungen oder persönliche Retargeting-Daten benötigt, stößt bei Umami konzeptionell an eine Grenze.

10. Fazit: Für wen ist Umami die richtige Wahl?

Umami ist eine überzeugende, datenschutzfreundliche Webanalyse-Lösung, besonders für Website-Betreiber in Deutschland und der EU, die die Privatsphäre der Besucher ernst nehmen.

Umami ist ideal für...

• KMU und Startups mit grundlegendem Statistik-Bedarf
• Betreiber, die auf Cookie-Banner verzichten möchten
• Teams, die Datenhoheit und EU-Compliance priorisieren
• Blogs, Portfolio- und teilweise Unternehmenswebsites
• Entwickler, die Transparenz und Kontrolle schätzen

Weniger geeignet, wenn...

• Komplexes Marketing-Attribution-Tracking nötig ist
• Strategie tief in Google Ads integriert ist
• Kein technisches Team für Self-Hosting vorhanden
• Detaillierte Nutzerprofile oder Langzeitanalysen gefragt sind

Unsere Empfehlung: Umami ist kein Allheilmittel, aber für eine breite Mehrheit der Website-Betreiber in Deutschland eine hervorragende Alternative zu Google-Analytics. Wer Umami auf einem deutschen Server betreibt, IP-Hashing aktiviert und Nutzer-IDs nach <24 Stunden zurücksetzt, hat eine Analytics-Lösung, die technisch solide und rechtlich gut vertretbar ist – ohne Cookie-Banner.

11. Quellen

Die Einschätzungen zur DSGVO-Konformität basieren auf allgemeinen zugänglichen Quellen, Fachdiskussionen und technischer Analyse – sie ersetzen keine individuelle Rechtsberatung durch einen zugelassenen Rechtsanwalt.

Umami offizielle Website und Dokumentation

DSGVO-Text (offiziell)

TDDDG

DSK (Datenschutzkonferenz - Orientierungshilfen zu Telemedien

GitHub Repository Umami