Den 3 juli 2023 skickade IMY — Integritetsskyddsmyndigheten, Sveriges dataskyddsmyndighet — en tydlig signal till varje svensk organisation som använder Google Analytics: Tele2 fick en sanktionsavgift på 12,3 miljoner kronor (motsvarande 1 miljon euro) för att ha använt verktyget utan tillräckliga skyddsåtgärder (IMY, 2023). Samma dag fick CDON en avgift på 300 000 kronor. Ytterligare två svenska bolag, Coop och Dagens Industri, fick förelägganden om att omedelbart upphöra med GA4-användningen.
Frågan är inte längre akademisk. Den berör direkt din webbplats, dina annonspengar och din exponering mot regulatorisk risk.
Det korta svaret är att GA4 i dag kan användas lagligt i Sverige — men bara om det är korrekt konfigurerat. Det långa svaret kräver att vi går igenom vad som faktiskt hänt sedan 2020, var vi befinner oss juridiskt 2026, och exakt vad som krävs för en GDPR-säker implementering.
1. Bakgrunden: Hur EU:s dataskyddsmyndigheter vände sig mot Google Analytics
Schrems II-domen satte spelreglerna
Den 16 juli 2020 ogiltigförklarade EU-domstolen (CJEU) den dåvarande rättsliga grunden för dataöverföringar från EU till USA — det så kallade Privacy Shield (Court of Justice of the EU, 2020). Domen, känd som Schrems II, slog fast att USA:s lagstiftning om nationell säkerhet inte ger en skyddsnivå som är i stort sett likvärdig med EU:s, vilket krävs av GDPR:s artikel 44–49 om tredjelandsöverföringar.
Det direkta konsekvensen: varje verktyg som skickar personuppgifter från europeiska besökare till amerikanska servrar — inklusive Google Analytics — hamnade i ett juridiskt grått område.
DPA-besluten rullade in land för land
Schrems II-domen lade grunden. Sedan följde ett dominofall av nationella tillsynsbeslut:
| Land | Myndighet | Datum | Beslut |
|---|---|---|---|
| Österrike | Österrikiska DPA | Januari 2022 | Google Analytics bryter mot GDPR artikel 44 |
| Frankrike | CNIL | Februari 2022 | Google Analytics strider mot GDPR, kräver åtgärd inom 1 månad |
| Italien | Garante | Juni 2022 | Olaglig dataöverföring bekräftad |
| Danmark | Datatilsynet | September 2022 | Google Analytics förklaras olagligt utan skyddsåtgärder |
| Sverige | IMY | Juli 2023 | Fyra bolag beordras upphöra, Tele2 bötfälls med €1M |
| Norge | Datatilsynet | Januari 2025 | Ny tillsynsåtgärd mot GA-användning |
Samtliga beslut grundar sig på samma juridiska logik: Google Analytics skickar personuppgifter (IP-adresser, unika identifierare, surfbeteende) till Googles servrar i USA, och den skyddsnivå som amerikanska lagar erbjuder räcker inte enligt GDPR.
2. Vad IMY:s beslut betyder för ditt svenska företag
IMY:s beslut från juli 2023 är inte bara en dom mot fyra namngivna bolag. Myndigheten formulerade det uttryckligen: ”Besluten ger vägledning för andra organisationer som använder Google Analytics” (IMY, 2023).
Det innebär att om din organisation:
– använder Google Analytics / GA4 på er webbplats
– riktar er till besökare i Sverige eller EU
– inte har vidtagit dokumenterade tekniska skyddsåtgärder
…så befinner ni er i samma regulatoriska riskzon som Tele2 och CDON befann sig i 2023.
Sanktionsavgifterna sattes utifrån omsättning. Tele2 är ett stort bolag — därav den högre avgiften. Mindre organisationer riskerar lägre belopp, men IMY har befogenhet att utdöma avgifter upp till 4 procent av ett företags globala årsomsättning alternativt 20 miljoner euro, beroende på vilket belopp som är högst (GDPR artikel 83, 2018).
3. EU-US Data Privacy Framework ändrade läget — men osäkerheten kvarstår
Den 10 juli 2023 — exakt en vecka efter IMY:s beslut mot de svenska bolagen — antog EU-kommissionen det nya EU-US Data Privacy Framework (DPF) (Europeiska kommissionen, 2023). DPF ersätter Privacy Shield och ger Google (som är certifierat under ramverket) en ny, giltig rättslig grund för dataöverföringar till USA.
Praktisk konsekvens: GA4 är i dag tillåtet att använda igen — förutsatt att ni uppfyller GDPR:s övriga krav (samtycke, dataminimering, korrekt konfiguration).
Men DPF är inte utan risker. Viktiga varningssignaler 2025:
- Det amerikanska Privacy and Civil Liberties Oversight Board (PCLOB) — den oberoende tillsynsmekanism som är central för DPF:s giltighet — hade 3 av 5 ledamöter avskedade av den nya amerikanska administrationen under 2025 (IAPP, 2025).
- Norges dataskyddsmyndighet rekommenderade i februari 2025 att organisationer bör förbereda exitstrategier för det fall att DPF ifrågasätts rättsligt (Datatilsynet NO, 2025).
- Danmarks och Tysklands inrikesministerier utfärdade liknande varningar om DPF:s långsiktiga stabilitet under 2025.
Sammanfattning: GA4 är juridiskt tillåtet idag, men organisationer med hög riskprofil (känsliga personuppgifter, stor datamängd, offentlig sektor) bör aktivt utvärdera alternativ som Matomo eller Piwik PRO med självhostad lagring i EU.
4. Hur ser en GDPR-säker GA4-implementering ut 2026?
Det finns inte ett enda tekniskt krav — det är kombinationen av åtgärder som avgör om er implementering håller vid en granskning. Här är de fyra kritiska komponenterna:
4.1 Consent Mode v2 — obligatoriskt sedan mars 2024
Sedan den 6 mars 2024 kräver Google att alla organisationer som annonserar mot användare i EU/EES implementerar Consent Mode v2 (Google Tag Manager Help, 2024). Kravet drivs av EU:s Digital Markets Act (DMA).
Consent Mode v2 introducerar två nya parametrar utöver de ursprungliga:
– ad_user_data — Huruvida Google får använda slutanvändarens data för annonsering
– ad_personalization — Huruvida annonser får personaliseras
Implementeras inte Consent Mode v2 korrekt: Google Ads tappar förmågan att mäta konverteringar från EES-användare, och kampanjer begränsas till icke-personaliserade annonser baserade på aggregerad data. Det direkt påverkar er annonseffektivitet.
4.2 IP-anonymisering — automatisk i GA4, men kontrollera servrar
GA4 anonymiserar automatiskt IP-adresser vid insamlingstillfället och lagrar dem inte (Google Analytics Help, 2024). Detta skiljer sig från Universal Analytics, där IP-anonymisering var ett manuellt konfigurationsval.
Dock: om er GA4 är konfigurerad med server-side tagging (se nedan) ger det ytterligare kontroll och minskar risken för att rå IP-data når Googles servrar överhuvudtaget.
4.3 Datalagring — sätt den till 2 månader
GA4 erbjuder endast två alternativ för lagring av användardata kopplad till analytiska aktiviteter: 2 månader eller 14 månader (TermsFeed, 2025). För GDPR-efterlevnad rekommenderas standardmässigt 2 månaders lagring, med dokumenterat affärsskäl om längre lagring väljs.
4.4 Consent Management Platform (CMP)
En fungerande samtyckesbanner räcker inte — den måste vara tekniskt integrerad med GA4 så att spårning faktiskt stoppas när en besökare väljer bort cookies. Populära CMP:er certifierade för Consent Mode v2 i Sverige:
- Cookiebot (nu del av Usercentrics)
- Usercentrics
- Cookie Information (nu del av Piwik PRO-gruppen)
Aidapt är certifierad partner för Cookiebot och Usercentrics och kan implementera och verifiera att er CMP kommunicerar korrekt med GA4.
5. Server-side tagging — behöver ni det?
Server-side tagging innebär att er analytics-setup körs via en server ni kontrollerar (i stället för direkt från besökarens webbläsare till Google). Det ger:
- Ökad datanoggrannhet — Ad-blockers och webbläsarrestriktioner blockerar i dag 30–40 procent av klientbaserade GA4-träffar för vissa målgrupper (Cookiebot Research, 2024)
- Bättre GDPR-kontroll — IP-adresser kan trunkeras eller anonymiseras på er server innan data vidarebefordras till Google
- PII-rensning — Personligt identifierbar information kan filtreras bort innan den lämnar er infrastruktur
Server-side tagging är inte nödvändigt för alla organisationer. Tumregel: om ni kör Google Ads i kombination med GA4 och era konverteringsvolymer är affärskritiska, är investeringen i server-side tagging berättigad. För organisationer med lägre annonsbudget och lägre risk räcker en korrekt klientbaserad GA4-implementering med CMP och Consent Mode v2.
Vanliga frågor om GA4 och GDPR i Sverige
Är Google Analytics lagligt att använda i Sverige 2026?
Ja, GA4 är lagligt att använda i Sverige 2026 under förutsättning att det är korrekt konfigurerat: Consent Mode v2 implementerat, samtycke inhämtat via en tekniskt integrerad CMP, datalagring satt till 2 månader, och att ni följer GDPR:s krav på dataprocessing. EU-US Data Privacy Framework (antaget juli 2023) ger Google en giltig rättslig grund för dataöverföringar till USA.
Vad händer om vi inte implementerar Consent Mode v2?
Sedan den 6 mars 2024 tappar Google Ads förmågan att mäta konverteringar från EES-användare för organisationer utan Consent Mode v2. Ni kan fortfarande köra annonser, men de begränsas till icke-personaliserade kampanjer och konverteringsdata blir otillförlitlig. Utöver annonsförluster kan en avsaknad av korrekt samtyckesinsamling leda till GDPR-sanktioner.
Behöver vi byta från GA4 till Matomo eller Piwik PRO för att vara säkra?
Inte nödvändigtvis. GA4 kan användas lagligt med rätt konfiguration. Matomo (självhostad) och Piwik PRO (EU-datacenter) är alternativ för organisationer som vill eliminera beroendet av EU-US-dataöverföringar helt — exempelvis offentlig sektor, sjukvård eller organisationer med känslig data. Vi hjälper er välja rätt verktyg baserat på er specifika situation.
Vilka risker löper vi om vi inte gör något?
IMY har befogenhet att utdöma sanktionsavgifter upp till 4 procent av ett företags globala årsomsättning eller 20 miljoner euro. IMY:s beslut mot Tele2 (1 miljon euro) och CDON (300 000 kronor) visar att myndigheten aktivt granskar GA4-implementeringar. IMY har explicit angett att besluten ”ger vägledning för andra organisationer” — vilket innebär att bristfällig implementation medvetet riskerar regulatorisk åtgärd.
Hur vet vi om vår nuvarande GA4-setup är korrekt?
Det enklaste sättet är att genomföra en teknisk spårningsgranskning: verifiera att Consent Mode v2 aktiveras korrekt när en besökare väljer bort cookies (via Googles Tag Assistant), kontrollera datalagringsinställningar i GA4-administrationen, och granska att er CMP faktiskt blockerar GA4-script vid nekad samtycke. Vi erbjuder en kostnadsfri 20-minutersgranskning av er nuvarande implementering.
Osäker på om din spårning håller?
IMY:s beslut är tydliga: bristfällig GA4-konfiguration är inte en teoretisk risk — det är en dokumenterad regulatorisk exponering för svenska organisationer. Aidapt har hjälpt svenska B2B-bolag att sätta upp och verifiera GDPR-säker spårning sedan 2023. Vi är certifierade partners för Cookiebot och Usercentrics och arbetar verktygsagnostiskt — vi rekommenderar det upplägg som passar er organisation, inte det som ger oss högst provision.
Boka en kostnadsfri 20-minutersgranskning av er GA4-implementering och få ett konkret svar på om er nuvarande setup håller vid en IMY-granskning.
Boka gratis analytics-genomgång →
Källförteckning
- IMY (Integritetsskyddsmyndigheten) — Fyra företag måste sluta använda Google Analytics (3 juli 2023). Tele2 sanktionerad med 12,3 miljoner kronor (€1M), CDON med 300 000 kronor.
- Court of Justice of the European Union (CJEU) — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II), C-311/18 (16 juli 2020). Privacy Shield ogiltigförklaras.
- Europeiska kommissionen — Adequacy decision for the EU-US Data Privacy Framework (10 juli 2023). DPF antas som ny rättslig grund för EU-US-dataöverföringar.
- Austrian Data Protection Authority — Decision against Netdoktor.at (13 januari 2022). Första europeiska DPA-beslutet mot Google Analytics.
- CNIL (Commission Nationale de l’Informatique et des Libertés) — Google Analytics violates GDPR (10 februari 2022). Frankrike kräver åtgärd inom 1 månad.
- Garante (Italian Data Protection Authority) — Ruling against Italian website operator (Juni 2022). Olaglig dataöverföring via Google Analytics.
- Datatilsynet (Denmark) — Decision on Google Analytics (September 2022). GA olagligt utan skyddsåtgärder.
- Datatilsynet (Norway) — Enforcement action on Google Analytics (Januari 2025). Ny tillsynsåtgärd mot GA-användning.
- IAPP — Privacy and Civil Liberties Oversight Board members removed (2025). Tre av fem PCLOB-ledamöter avskedas, påverkar DPF:s stabilitet.
- Google Tag Manager Help — Updates to consent mode for traffic in European Economic Area (EEA) (2024). Consent Mode v2 obligatoriskt sedan 6 mars 2024.
- GDPR (EU) 2016/679 — Artikel 44–49 (tredjelandsöverföringar), Artikel 83 (sanktionsavgifter upp till 4% av global omsättning eller €20M).
- TermsFeed — GDPR and Google Analytics 4 (GA4) Compliance Guide (2025). Datalagring: 2 månader rekommenderas.
- Cookiebot Research — Ad-blocker impact on GA4 client-side tracking (2024). 30–40% av klientbaserade GA4-träffar blockeras av ad-blockers.
Erik Nettelbrandt är grundare av Aidapt AB och certifierad analytics-konsult med specialisering på GDPR-säker spårning för svenska B2B-företag. Han är certifierad partner för Cookiebot (Usercentrics) och arbetar dagligen med att hjälpa organisationer navigera skärningspunkten mellan datainsamling, annonseffektivitet och regulatorisk efterlevnad.
Vanliga frågor om Google Analytics och GDPR i Sverige
Är GA4 GDPR-compliant om man installerar det korrekt?
Ja, GA4 kan vara GDPR-compliant med korrekt Consent Mode v2, anonymisering och dataöverföringsinställningar. IMY har bötfällt för felaktig implementation, inte för GA4 i sig.
Vad krävs för att GA4 ska uppfylla IMYs krav?
Consent Mode v2 (advanced), korrekt cookie banner som blockerar GA-cookies utan samtycke och korrekta inställningar för datalagring. Aidapt implementerar och verifierar alla dessa krav.
Vad är alternativet till GA4 för maximal GDPR-säkerhet?
Matomo self-hosted eller Piwik PRO ger full datakontroll utan Googles infrastruktur. Aidapt hjälper dig bedöma om ett verktygsbyte är motiverat baserat på din organisations krav.
