Google Analytics 4 og GDPR — er det lovligt i 2026?
Google Analytics er det mest udbredte web analytics-værktøj i verden. Og i årevis har europæiske datatilsynsmyndigheder erklæret det ulovligt. Det er det korte svar på det lange spørgsmål, der har plaget marketingteams og juridiske afdelinger siden 2020: er det egentlig lovligt at bruge Google Analytics i EU?
I 2026 er svaret ikke et enkelt ja eller nej. Det er et “det afhænger af” — og konsekvenserne af at vælge forkert kan være alvorlige.
Denne guide giver dig det fulde billede: historikken, status i dag, hvad Google Consent Mode v2 faktisk løser (og hvad det ikke løser), og hvilke alternativer der er realiteter frem for markedsførings-buzzwords.
Den store GA4 GDPR-kontroversi
Det begyndte med et østrigsk datatilsyn i januar 2022 og er siden rullet ud til en koordineret europæisk indsats, der har rystet hele analytics-branchen.
Kernen i problemet er enkel: Google Analytics sender data — herunder IP-adresser og unikke bruger-ID’er — til Googles servere i USA. Og USA betragtes under GDPR som et “usikkert tredjeland”, medmindre der er en gyldig juridisk ramme på plads for dataoverførsler.
Det er den ramme, der har skiftet — og skabt usikkerhed — tre gange på seks år.
Historik: Hvorfor nationale DPA’er forbød Google Analytics
Schrems II og dataoverførsler til USA
Fundamentet for hele debatten er EU-Domstolens afgørelse i Data Protection Commissioner mod Facebook Ireland og Maximillian Schrems — populært kaldet Schrems II — fra juli 2020.
Domstolen annullerede Privacy Shield-aftalen, som hidtil havde dannet det juridiske grundlag for masseoverførsler af persondata fra EU til USA. Begrundelsen: Amerikanske efterretningsloves adgang til data (primært FISA Section 702 og Executive Order 12333) er uforenelig med EU’s grundlæggende rettigheder.
Det efterlod virksomheder i et juridisk vakuum. Standard Contractual Clauses (SCC’er) — kontraktuelle standardklausuler — var teknisk set stadig gyldige, men Domstolen fastslog, at de i sig selv ikke er tilstrækkelige, hvis den modtagende parts hjemland ikke sikrer et beskyttelsesniveau svarende til EU’s.
Google svarede ved at opdatere sine SCC’er og tilbyde nye databehandlingsvilkår. Det var ikke nok for de europæiske tilsynsmyndigheder.
CNIL’s afgørelse — Frankrig, januar 2022
Den franske datatilsynsmyndighed CNIL var en af de første til at handle konkret. I januar 2022 udsendte CNIL en “mise en demeure” (påbud) til en navngivet fransk hjemmeside — og signalerede samtidig, at afgørelsen gjaldt som præcedens for alle franske virksomheder, der brugte Google Analytics.
CNIL’s konklusion: Brugen af Google Analytics er ikke i overensstemmelse med GDPR artikel 44, som regulerer internationale dataoverførsler. De tilgængelige tekniske foranstaltninger (IP-anonymisering, SCC’er) var ikke tilstrækkelige til at beskytte EU-borgeres data mod adgang fra amerikanske myndigheder.
Franske virksomheder fik én måned til at bringe sig i overensstemmelse — enten ved at implementere tekniske supplementerende foranstaltninger eller ved at skifte til et andet analytics-værktøj.
IMY Sverige, DSB Østrig, Garante Italien
Koordineringen var ikke tilfældig. Den Europæiske Databeskyttelsesstyrelse (EDPB) havde nedsat en taskforce specifikt til at behandle Google Analytics-klager — 101 i alt, indgivet af den østrigske nonprofit noyb (None of Your Business) i 2020 efter Schrems II.
Afgørelserne kom i koordineret bølge:
-
Østrig (DSB), januar 2022: Første nationale DPA-afgørelse. Konklusionen: Google Analytics overskriver GDPR ved at overføre data til USA uden tilstrækkelig beskyttelse. DSB understregede, at Google Analytics 4 ikke løste problemet — problemet var ikke produktet, men den strukturelle adgang, amerikanske myndigheder har til data på amerikanske servere.
-
Frankrig (CNIL), januar 2022: Se ovenfor. CNIL nåede samme konklusion og anbefalede reverse proxy-pseudonymisering som mulig teknisk foranstaltning — men understregede, at det var ressourcekrævende og ikke garanteret tilstrækkeligt.
-
Italien (Garante), juni 2022: Garante erklærede ligeledes Google Analytics ulovlig og gav virksomheder 90 dage til at ophøre.
-
Sverige (IMY), juni 2023: Den svenske tilsynsmyndighed fulgte op med afgørelser mod fire virksomheder, der brugte Google Analytics. IMY ilagde bøder og påbud.
-
Norge (Datatilsynet NO), februar 2025: Den norske tilsynsmyndighed genoptog diskussionen i lyset af urolighederne om EU-US Data Privacy Framework og advarede specifikt om risikoen ved at fortsætte brugen af US-baserede analytics-tjenester.
Datatilsynet DK’s position
Det danske Datatilsyn fulgte den europæiske koordinerede linje og erklærede Google Analytics ulovlig i sin standardopsætning. Tilsynet understregede eksplicit, at afgørelsen gælder for både Universal Analytics og GA4.
Datatilsynets anbefaling til virksomheder:
- Enten implementere tekniske supplementerende foranstaltninger (fx reverse proxy-anonymisering), eller
- Overgå til et privacy-sikkert alternativ
Tilsynet fremhæver, at den blotte accept af Googles opdaterede databehandlingsvilkår ikke er tilstrækkeligt — da det grundlæggende problem er strukturel adgang fra US-myndigheder, ikke kontraktuelle vilkår.
GA4 — løste det problemerne?
Da Google lancerede Google Analytics 4 som erstatning for Universal Analytics (UA) i 2020—2023, præsenterede Google det delvist som et privacy-forbedret produkt. Men løste det de konkrete GDPR-problemer?
Hvad er anderledes i GA4?
Hændelsesbaseret datamodel: GA4 er fundamentalt anderledes opbygget end UA — det er ikke session-baseret men hændelsesbaseret. Det giver bedre fleksibilitet og en friere datamodel, men det er primært en analytisk fordel, ikke en privacy-fordel.
Ingen cookies som standard (app): I GA4’s app-implementering bruges der ikke cookies. Men på web bruger GA4 stadig _ga- og _ga_[container_id]-cookies til at spore brugere på tværs af sessioner.
IP-anonymisering: I GA4 er IP-anonymisering aktiveret som standard — IP-adressen kortlægges til en omtrentlig geografisk placering, hvorefter den slettes. I UA var IP-anonymisering et valgfrit, manuelt trin.
Kortere dataopbevaring som standard: GA4 har kortere standard dataopbevaringsperioder end UA.
Google Signals: GA4 tilbyder opt-in til Google Signals, som tillader krydsenheds-tracking via Google-konti. Det er et yderligere privacy-risiko og kræver eksplicit samtykke.
Løste det dataoverførsels-problemet?
Nej. Og her er den afgørende pointe:
GA4’s tekniske forbedringer adresserer en del af privacy-designet, men de ændrer ikke ved det fundamentale juridiske problem: data behandles stadig på Googles servere, som er underlagt US-lov — herunder FISA Section 702, som giver amerikanske efterretningsorganer adgang til data om ikke-amerikanske borgere på kommercielle serveres.
IP-anonymisering hjælper ikke, hvis den sker efter at IP-adressen er transmitteret til en US-baseret server. Det er præcis det punkt, som Datatilsynet DK, DSB, CNIL og de øvrige DPA’er har fastslået.
Som den danske Datatilsynets FAQ formulerede det:
“For GA4 fremgår det af Googles dokumentation, at IP-adresser bruges til at bestemme den omtrentlige placering af den besøgende, hvorefter adressen kasseres, inden data logges til en server. Som med Universal Analytics er det samme problem relevant for GA4, da der — afhængigt af den registreredes placering — kan være direkte forbindelse til bl.a. amerikanske servere, inden adressen kasseres.”
Data Processing Amendment (DPA-aftale)
Google tilbyder en Data Processing Amendment, som formelt etablerer Googles rolle som databehandler og inkorporerer de nødvendige SCC’er. At undlade at indgå denne aftale er i sig selv et GDPR-brud — men at indgå den er heller ikke tilstrækkeligt.
Status i 2026
Er GA4 lovlig i EU efter EU-US Data Privacy Framework?
Her er situationen i marts 2026:
EU-US Data Privacy Framework (DPF) blev vedtaget af EU-Kommissionen i juli 2023. Det er den tredje ramme for EU-US dataoverførsler — efter Safe Harbor (annulleret 2015) og Privacy Shield (annulleret 2020 med Schrems II).
DPF etablerer mekanismer for, at EU-borgere kan klage over US-myndigheders adgang til deres data (Data Protection Review Court), og kræver, at US-virksomheder certificerer sig under DPF.
Google er certificeret under EU-US DPF, og teknisk set giver dette et juridisk grundlag for dataoverførsler til Google Analytics.
Men situationen er usikker i 2026 af to årsager:
1. PCLOB-problemet: I begyndelsen af 2025 fyrede præsident Trump alle demokratiske medlemmer af Privacy and Civil Liberties Oversight Board (PCLOB) — det amerikanske tilsynsorgan, der spiller en central rolle i at overvåge DPF’s overholdelse. PCLOB er ikke funktionsdygtigt med det nuværende antal medlemmer. Det er en direkte trussel mod DPF’s juridiske grundlag, fordi EU-Kommissionens adequacy-beslutning for DPF var baseret på delvist PCLOB’s uafhængige tilsynskapacitet.
2. Risikoen for Schrems III: noyb og andre privacy-aktivister har allerede varslet nye juridiske udfordringer til DPF. Historien har vist, at EU-Domstolen er villig til at annullere rammer, den finder utilstrækkelige — det skete med Safe Harbor i 2015 og Privacy Shield i 2020.
Praktisk konklusion for 2026: Brugen af GA4 kan i teorien forsvares juridisk ved at støtte sig på DPF — forudsat at DPF fortsat er gyldigt, og at den konkrete implementation er korrekt (DPA-aftale med Google, Consent Mode v2, gyldig samtykkeindsamling). Men det er en juridisk risikabel strategi, fordi DPF’s fremtid er usikker.
Hvad siger DPA’erne nu?
De europæiske tilsynsmyndigheder har ikke formelt trukket deres tidligere afgørelser om Google Analytics tilbage. Det norske Datatilsyn udsendte i februar 2025 specifik vejledning, der advarede mod fortsat brug af US-baserede analytics-tjenester og opfordrede virksomheder til at auditere deres datastrømme nu.
EDPB har ikke udsendt en fælles reevaluering af GA4 under DPF. Det betyder, at de nationale DPA’ers afgørelser teknisk set stadig er gældende præcedens, selv om DPF i princippet åbner for lovlige overførsler.
Datatilsynet DK’s position
Det danske Datatilsyn har ikke udstedt en ny, specifik afgørelse om GA4 under DPF. Den seneste klare udmelding er fortsat, at GA4 ikke kan bruges lovligt uden supplementerende foranstaltninger. Virksomheder, der ønsker juridisk sikkerhed, bør enten:
- Bruge en EU-hostet analytics-løsning, eller
- Implementere en teknisk proxy-løsning, der forhindrer direkte dataoverførsler til US-servere (ressourcekrævende og teknisk komplekst), eller
- Acceptere den juridiske risiko forbundet med at stole på DPF’s fortsatte gyldighed
Google Consent Mode v2 og GA4
Google Consent Mode v2 er Googles system til at kommunikere brugerens samtykkevalg til Googles tags. Det er obligatorisk for EU/EØS-trafik siden marts 2024.
Hvad gør Consent Mode v2?
Systemet introducerer fire samtykkeparametre:
analytics_storage— consent til analytiske cookies (GA4)ad_storage— consent til reklame-cookiesad_user_data— consent til at sende brugerdata til Google til reklamebrugad_personalization— consent til personaliserede annoncer
I Advanced Consent Mode loader GA4-tagget med det samme, men sender kun anonyme “cookieless pings” til brugere, der ikke har givet samtykke. Disse pings indeholder ingen personlige identifikatorer men giver Google data til at bruge behavioral modeling til at estimere samlet adfærd.
Løser Consent Mode v2 GDPR-problemet?
Nej — og det er afgørende at forstå.
Consent Mode v2 handler om at bevare datakvalitet og målenøjagtighed. Det er ikke en GDPR-compliance-mekanisme i sig selv. De anonyme “cookieless pings”, der sendes i Advanced Mode selv til brugere, der ikke har samtykket, rejser faktisk nye spørgsmål: udgør de transmissioner til US-servere, og kræver de et juridisk grundlag?
Google argumenterer for, at cookieless pings ikke udgør behandling af personoplysninger. Datatilsynsmyndigheder har endnu ikke taget formelt stilling til dette spørgsmål.
Hvad Consent Mode v2 kræver: For at bruge GA4 korrekt i EU kræves:
- En certificeret CMP (Consent Management Platform) integreret med Consent Mode v2
- Gyldigt samtykke indhentet inden
analytics_storagesættes til “granted” - Korrekt signal-propagering fra CMP til GA4-tagget
- Behavioral modeling aktiveres kun, hvis datavolumenen er tilstrækkelig (mindst 1.000 daglige events med “analytics_storage=denied” over 7 dage)
Vigtigt: Selv med perfekt implementeret Consent Mode v2 løser du ikke det strukturelle dataoverførsels-problem, som de europæiske DPA’er har identificeret. Consent Mode v2 forudsætter stadig, at data sendes til Google’s servere.
Alternativer til GA4
Markedet for privacy-venlige analytics har modnet markant siden 2022. Her er de bedste alternativer:
Matomo (self-hosted)
Matomo (tidligere Piwik) er det mest funktionsrige open source-alternativ til GA4.
Fordele:
- Fuld datasuverænitet ved self-hosting — data forlader aldrig dine servere
- GDPR-compliant som standard (ingen tredjelande-overførsler)
- Ingen behov for cookie-banner ved cookieless-konfiguration
- Rig funktionssæt: heatmaps, sessionsoptagelser, A/B-test, e-commerce tracking
- 100% data uden sampling (GA4 sampler data ved høje volumener)
- Open source og gratis at self-hoste
Ulemper:
- Kræver serveropsætning og vedligeholdelse ved self-hosting
- Cloud-version er dyrere end GA4 (som er gratis)
- Brattere indlæringskurve end GA4 for nye brugere
Bedst til: Virksomheder, der kræver fuld datakontrol og avancerede analytics-funktioner.
Plausible Analytics
Plausible er en letanvendelig, cookie-fri analytics-løsning.
Fordele:
- Cookie-fri som standard — ingen cookie-banner nødvendig
- Behandler ingen personoplysninger — GDPR-compliant by design
- Ekstremt lille script (under 1 KB vs. GA4’s ~45 KB)
- Enkel, clean dashboard — ingen “analytics overload”
- Open source (kan self-hostes) eller cloud-version
- EU-hostede servere (cloud-versionen er hostet i EU)
Ulemper:
- Begrænset i avanceret segmentering og analyse
- Ingen bruger-niveau tracking (designet som en begrænsning, ikke en fejl)
- Ingen A/B-test eller heatmaps indbygget
- Prismodel baseret på pageviews — kan blive dyrt for høj-trafik sites
Bedst til: Blogs, small business, e-commerce med simpelt analytics-behov, og virksomheder der vil eliminere behovet for cookie-banner til analytics.
Fathom Analytics
Fathom er en SaaS-only, privacy-first analytics-løsning.
Fordele:
- Cookie-fri og GDPR-compliant by design
- Enkel og overskuelig brugerflade
- Hurtig og let tracking-script
- EU-datahostning tilgængeligt
- Bypassar ad-blockers etisk (via custom domain relay)
Ulemper:
- Ingen self-hosting-mulighed
- Dyrere end Plausible for sammenlignelige features
- Begrænset integration-øko-system
Bedst til: Simpel analytics uden compliance-hovedpine, særligt for bureauer og freelancers med mange sites.
Umami
Umami er et open source analytics-alternativ med fokus på enkelhed.
Fordele:
- Open source og gratis at self-hoste
- Cookie-fri konfiguration mulig
- Enkel, clean interface
- Understøtter multiple sites i én installation
- Self-hostet version: ingen dataoverførsler til tredjelande
Ulemper:
- Mere begrænset feature-sæt end Matomo
- Cloud-versionen er hostet i USA (brug self-hosted for EU-compliance)
- Aktiv men lille community sammenlignet med Matomo
Bedst til: Teknisk orienterede teams, der vil have en simpel, let-hostet løsning.
Sammenligningstabel
| GA4 | Matomo (self-hosted) | Plausible | Fathom | Umami | |
|---|---|---|---|---|---|
| GDPR-status | Usikker | Compliant | Compliant | Compliant | Compliant (self-hosted) |
| Cookie-fri | Nej | Valgfrit | Ja | Ja | Valgfrit |
| Cookie-banner nødvendig | Ja | Nej (cookieless) | Nej | Nej | Nej (cookieless) |
| EU-datahosting | Delvist | Ja (self-hosted) | Ja | Ja | Ja (self-hosted) |
| Open source | Nej | Ja | Ja | Nej | Ja |
| Pris | Gratis | Gratis (self-host) | Fra ~$9/md | Fra ~$14/md | Gratis (self-host) |
| Avancerede features | Ja | Ja | Begrænset | Begrænset | Begrænset |
| E-commerce tracking | Ja | Ja | Basal | Basal | Basal |
| Behavioral modeling | Ja | Nej | Nej | Nej | Nej |
| Datakompleksitet | Høj | Middel | Lav | Lav | Lav |
Vores anbefaling: Hvad skal du bruge?
Der er ikke et enkelt svar, der passer alle. Men her er vores klare vejledning:
Vælg Matomo (self-hosted) hvis: Du har brug for avancerede analytics-funktioner (e-commerce, heatmaps, segmentering), og du har teknisk kapacitet til at vedligeholde en server. Det er den tætteste erstatning for GA4 i funktionalitet og giver fuld datasuverænitet.
Vælg Plausible eller Fathom hvis: Du primært har brug for trafik-overview, bounce rate, top pages og trafikkilder — og vil have den enkleste compliance-løsning. Ingen cookies, ingen banner nødvendig til analytics, og minimal opsætning.
Behold GA4 (med stor forsigtighed) hvis: Din virksomhed er afhængig af Google Ads og advanced conversion modeling, og juridisk afdeling har vurderet risikoen ved at støtte sig på DPF som acceptabel. I så fald: implementer Consent Mode v2 korrekt med en certificeret CMP, indgå Googles DPA, og hold tæt øje med DPF-situationen.
Anbefaling til de fleste danske SMVer og e-commerce: Brug Plausible eller Matomo Cloud (EU-hostet) som primær analytics og par det med Privaci.io til cookiescanning og compliance-sikring. Det eliminerer den juridiske GA4-risiko og forenkler din compliance-struktur.
FAQ
Er det ulovligt at bruge Google Analytics i Danmark?
Det danske Datatilsyn har erklæret, at Google Analytics (inklusiv GA4) ikke kan bruges i sin standardopsætning uden at overtræde GDPR. Det er ikke forbudt ved lov, men brugen udgør et GDPR-brud, som kan medføre bøder og påbud. Det er op til dig som dataansvarlig at vurdere og håndtere risikoen.
Løser EU-US Data Privacy Framework (DPF) problemet?
DPF giver et juridisk grundlag for dataoverførsler til DPF-certificerede US-virksomheder (inkl. Google). Det betyder, at GA4 teknisk set kan bruges med DPF som grundlag. Men DPF’s fremtid er usikker (PCLOB-situationen og risikoen for Schrems III), og de fleste europæiske DPA’er har ikke formelt reevalueret GA4 under DPF.
Hvad sker der, hvis jeg ignorerer problemet?
Du risikerer bøder op til 4% af global omsætning eller 20 mio. EUR (det højeste), påbud om straks at ophøre med brugen af GA4, og offentlig eksponering ved brud. Datatilsynet prioriterer klager, og noyb er aktiv med koordinerede klager på tværs af EU.
Hjælper IP-anonymisering i GA4?
Ikke tilstrækkeligt ifølge de europæiske DPA’er. IP-adressen anonymiseres efter den er sendt til Googles servere — dvs. den har allerede været på en US-server. Det er det konkrete problem.
Kræver privacy-venlige alternativer som Plausible stadig et cookie-banner?
Nej. Plausible, Fathom og cookieless Matomo behandler ingen personoplysninger og sætter ingen cookies. Du behøver ikke et cookie-banner til disse analytics-værktøjer, forudsat at du ikke bruger andre cookies, der kræver samtykke.
Hvad er Google Consent Mode v2, og løser det GDPR-problemet?
Consent Mode v2 er et system til at kommunikere brugerens samtykke til Googles tags. Det hjælper dig med at overholde Googles EU User Consent Policy og bevare datakvalitet ved opt-outs. Men det løser ikke det strukturelle GDPR-problem med dataoverførsler til USA.
Kan jeg bruge GA4 til intern analyse uden at sende data til Googles servere?
Teknisk set nej — GA4’s arkitektur er cloud-baseret og kræver dataoverførsler til Googles servere. Der er ingen self-hosted version af GA4. Vil du have GA4-lignende funktionalitet med self-hosting, er Matomo det bedste alternativ.
Hvad koster det at skifte fra GA4 til Matomo?
Matomo er gratis at self-hoste (du betaler kun serveromkostninger). Matomo Cloud starter fra ca. 23 EUR/måned for op til 50.000 hits. Migrationen kræver opsætning og historisk data migreres typisk ikke 1:1, men Matomo kan importere Google Analytics-data.
Gratis cookie scan — se din GA4 setup status nu
Bruger du GA4 på din hjemmeside eller webshop? Privaci.io by bon.do scanner automatisk din side og fortæller dig:
- Hvilke GA4-cookies der sættes (og hvornår)
- Om Consent Mode v2 er korrekt implementeret
- Om cookies sættes inden brugerens samtykke
- Hvilke andre tredjeparts cookies der er på din side
Scanningen er gratis og tager under 60 sekunder. Du får en konkret compliance-rapport — ikke en generisk tjekliste.
Start din gratis scanning og se din GA4 compliance-status med det samme.
Scan din hjemmeside gratis med Privaci.io
Denne artikel er senest opdateret marts 2026. Situationen med EU-US Data Privacy Framework og DPA-afgørelser om Google Analytics er dynamisk — hold øje med opdateringer fra Datatilsynet, EDPB og noyb.