Inhalt
Datenschutzkonformes Web-Tracking ist für ein Schweizer KMU 2026 keine Frage von «erlaubt oder verboten», sondern von Aufwand und Einwilligung. Plausible Analytics ist die einfachere Wahl: keine Cookies, keine persistenten Identifier, EU-Hosting — laut Anbieter ohne Cookie-Banner. Google Analytics 4 ist entgegen dem verbreiteten Eindruck nicht illegal, verlangt im Werbekontext aber faktisch ein Consent-Banner samt Plattform. Welches Tool passt, hängt davon ab, ob Sie tiefe Attribution brauchen oder ob Reichweite, Quellen und Top-Seiten genügen. Wie sich diese Datenschutz-Frage sauber in eine entkoppelte Architektur einbettet, ordnet der Beitrag zu Headless WordPress und dem revDSG ein.
Dieser Beitrag trennt zwei Dinge, die in der Praxis oft vermischt werden: die rechtliche Lage (revDSG für die Schweiz, DSGVO nur bei EU-Nutzern) und die operative Frage, welches Tool den geringsten Banner- und Pflege-Aufwand verursacht. Beide Seiten gehören in eine ehrliche Bewertung — eine pauschale «GA ist illegal»-These wäre 2026 schlicht falsch.
Ist Google Analytics in der Schweiz verboten?
Nein, Google Analytics ist in der Schweiz nicht verboten. Die oft zitierten Behörden-Entscheide aus dem Jahr 2022 betrafen das ältere Universal Analytics und den damaligen US-Datentransfer nach dem Schrems-II-Urteil — nicht die Analyse-Funktion selbst und nicht das heutige Google Analytics 4. Diese Unterscheidung ist entscheidend, sonst entsteht ein falsches Bild der Rechtslage.
Den Anfang machte die österreichische Datenschutzbehörde, die am 13. Januar 2022 als erste EU-Aufsichtsbehörde den Einsatz von Google Analytics für DSGVO-widrig erklärte — weil die Übermittlung personenbezogener Daten in die USA unter Standardvertragsklauseln keinen angemessenen Schutz bot. Die französische CNIL folgte am 10. Februar 2022 mit einem förmlichen Mahnschreiben, die italienische Garante am 9. Juni 2022 mit einem Verbot ohne zusätzliche Garantien. In allen drei Fällen war der Stein des Anstosses derselbe: der US-Transfer, nicht das Messen an sich.
Diese Grundlage ist seither entfallen. Am 10. Juli 2023 erliess die EU-Kommission ihren Angemessenheitsbeschluss zum EU-US Data Privacy Framework, und Google LLC ist nachweislich DPF-zertifiziert. Für die Schweiz zog der Bundesrat nach: Seit dem 15. September 2024 dürfen Schweizer Unternehmen Daten ohne zusätzliche Garantien an DPF-zertifizierte US-Empfänger übermitteln. Die reine Datenübermittlung über Google Analytics ist damit für sich genommen nicht mehr rechtswidrig — andere Pflichten wie Information, Datenminimierung und gegebenenfalls Einwilligung bleiben.
Was fordert das revidierte Datenschutzgesetz konkret?
Das revidierte Schweizer Datenschutzgesetz (revDSG) verlangt keinen Cookie-Banner und arbeitet mit einer Opt-out-Logik. Damit unterscheidet es sich grundlegend von DSGVO und ePrivacy-Richtlinie, die im EU-Raum für viele Cookies eine vorgängige Einwilligung verlangen. Für ein Schweizer KMU, das überwiegend Schweizer Publikum bedient, ist das die zentrale Erleichterung — und zugleich die häufigste Fehlannahme, die wir aus eigenen Schweizer Projekten 2024–2026 kennen.
Das revDSG trat am 1. September 2023 in Kraft und schreibt keinen Cookie-Banner vor. Tracking ist grundsätzlich ohne Einwilligung zulässig, solange die Information in der Datenschutzerklärung erfolgt und Nutzer ihr Widerspruchsrecht ausüben können. Das ist die berühmte Opt-out-Logik: messen erlaubt, bis jemand widerspricht — anders als das Opt-in-Prinzip der DSGVO.
Ein Freibrief ist das nicht. Für eine schlichte Reichweitenmessung — genau der Tooling-Fall in diesem Beitrag — reicht die Information in der Datenschutzerklärung; sie löst keine Einwilligungspflicht aus. Sobald jedoch über mehrere Dienste hinweg ein aggregiertes Personenprofil entsteht, gelten strengere Pflichten. Wie diese Schwelle (Profiling mit hohem Risiko, ausdrückliche Einwilligung, Folgenabschätzung) im Detail funktioniert, ordnet der Beitrag zu Headless WordPress und dem revDSG ein. «Tracking braucht in der Schweiz nie Einwilligung» ist deshalb zu absolut formuliert.
Wie funktioniert Plausible datenschutzrechtlich?
Plausible Analytics ist als einwilligungsfreie Alternative konzipiert: kein Cookie, kein persistenter Identifier, keine Speicherung roher IP-Adressen, Verarbeitung in der EU. Genau diese Eigenschaften sind der Grund, warum laut Anbieter kein Cookie-Banner für die Analyse nötig ist — der praktische Hauptvorteil gegenüber einem klassischen Analytics-Setup mit Consent-Plattform.
Nach der Daten-Richtlinie von Plausible werden rohe IP-Adressen und User-Agent-Daten nie gespeichert; die IP wird nur kurz zur Ableitung eines anonymen Tages-Identifiers genutzt. Alle Besucherdaten werden auf Infrastruktur europäischer Anbieter in der EU verarbeitet. Ein vom Anbieter beauftragtes Rechtsgutachten von Datenschutzanwalt Steffen Gross (Simpliant Legal, veröffentlicht im März 2024) kommt zum Schluss, dass sich Plausible auf das berechtigte Interesse stützen kann und nach der ePrivacy-Richtlinie keine Einwilligung benötigt, weil keine Informationen auf dem Endgerät gespeichert werden.
Wichtig zur Einordnung: Beide Belege stammen vom Anbieter selbst beziehungsweise einem von ihm beauftragten Gutachten — kein Gericht und keine Aufsichtsbehörde hat das bestätigt. Für die grosse Mehrheit der Marketing-Sites trägt diese Position in der Praxis dennoch, weil das technische Verhalten (keine Cookies, keine persistenten Identifier) überprüfbar und unstrittig ist. Wer hohe Compliance-Anforderungen hat, lässt die Konstellation trotzdem individuell prüfen.
Die Frage ist 2026 nicht «Plausible oder Google ist legal», sondern «welches Tool verursacht den geringeren Consent- und Pflege-Aufwand für das, was ich wirklich messen muss».
Ist GA4 wirklich die Datenkrake? Der ehrliche Teil
Nein — und an dieser Stelle wird die Bewertung unbequem. Google Analytics 4 ist datenschutzfreundlicher gebaut als sein Ruf und als das Produkt, das 2022 beanstandet wurde. Wer Plausible über ein «GA4 ist illegal» oder «GA4 ist die IP-Datenkrake» verkauft, argumentiert auf veraltetem Stand und macht sich angreifbar.
Drei Punkte gehören zur ehrlichen Gegenrede:
Erstens: Die IP-Frage ist in GA4 entschärft. In Google Analytics 4 ist die IP-Anonymisierung standardmässig aktiv und nicht abschaltbar — die IP wird nur kurz zur groben Geolokalisierung genutzt und danach verworfen, nicht dauerhaft gespeichert. Beim früheren Universal Analytics war «Anonymize IP» standardmässig aus. GA4 hat also genau die Schwäche behoben, die 2022 mit beanstandet wurde.
Zweitens: Der US-Transfer ist abgesichert. Mit dem EU-US Data Privacy Framework und dem Swiss-US-Pendant gibt es eine gültige Rechtsgrundlage für die Übermittlung an das DPF-zertifizierte Google LLC. Die «GA illegal»-Grundlage von 2022 existiert nicht mehr.
Drittens: GA4 ist funktional reicher. Tiefe E-Commerce-Trichter, kanalübergreifende Attribution und die Verzahnung mit Google Ads sind etwas, das Plausible bewusst nicht abbildet — Plausible ist schlank, nicht vollständig.
Der eigentliche Nachteil von GA4 liegt woanders: beim Consent-Aufwand. Seit dem 6. März 2024 müssen Unternehmen, die im EWR über Google werben oder tracken, Consent Mode v2 integrieren; ohne gültige Einwilligungssignale erfassen Google Ads und GA4 keine Daten neuer EWR-Nutzer, und Remarketing entfällt. Praktisch heisst das: Im Werbekontext brauchen Sie eine Consent-Plattform und damit den Banner, den Plausible Ihnen erspart. Genau hier — nicht bei einer angeblichen Illegalität — liegt das stärkste Pro-Plausible-Argument.
Plausible oder Google Analytics 4 — welches Profil passt?
Plausible passt für Sites, denen Reichweite, Quellen und Top-Seiten genügen und die den Cookie-Banner vermeiden wollen; Google Analytics 4 passt, wenn Sie tiefe Attribution, E-Commerce-Trichter oder eine Google-Ads-Verzahnung brauchen. Die Entscheidung ist multikriteriell — Marktanteil ist dabei nur ein Faktor, denn die Verbreitung von GA bedeutet auch einen grossen Pool an Wissen, Plugins und Vorlagen.
Zur Grössenordnung: Google Analytics ist mit Abstand das meistgenutzte Analyse-Tool. Laut W3Techs (Abruf Juni 2026) setzen es 80,4 % aller Websites mit bekanntem Analyse-Tool ein, was 45,1 % aller Websites entspricht; datenschutzspezialisierte Tools wie Plausible machen nur einen Bruchteil aus. Diese Live-Werte ändern sich laufend — der Stichtag gehört deshalb dazu. Für Sie bedeutet die Dominanz vor allem: GA-Kompetenz ist am Markt breit verfügbar, eine Migration weg davon ist ein realer Aufwand.
Der Banner-Aufwand schlägt sich auch in den Daten nieder. Nach der Cookie-Consent-Benchmark-Studie von etracker (2025) werden Cookies und einwilligungspflichtige Verarbeitung bei rechtskonform gestaltetem Banner in 60 % der Besuche abgelehnt — diese Sitzungen fehlen in einem consent-pflichtigen GA4-Setup vollständig. Auch beim Skriptgewicht trennen sich die Welten: Laut Plausible wiegt das eigene Tracking-Skript 2,5 KB (gzipped) gegenüber 135 KB für das Google-Analytics-Skript — rund 54-mal weniger, noch ohne Tag Manager und Consent-Banner.
| Profil | Empfehlung | Warum |
|---|---|---|
| Marketing-Site, Schweizer Publikum, Reichweite + Quellen genügen | Plausible | Einwilligungsfrei laut Anbieter, kein Cookie-Banner, EU-Hosting — geringster Pflege-Aufwand |
| E-Commerce mit tiefen Trichtern und Produkt-Attribution | Google Analytics 4 | Funktional überlegen bei Conversion-Pfaden; Consent-Banner ohnehin meist nötig |
| Aktives Google-Ads-Konto mit Remarketing im EWR | Google Analytics 4 + Consent Mode v2 | Seit März 2024 Pflicht für EWR-Werbung; ohne Consent keine Datenerfassung neuer Nutzer |
| Profiling mit hohem Risiko (aggregierte Personenprofile) | Tool zweitrangig — erst Rechtsprüfung | Art. 6 Abs. 7 lit. b revDSG verlangt ausdrückliche Einwilligung + ggf. Folgenabschätzung |
| Datenschutz als Marken-Argument, Banner-Verzicht gewünscht | Plausible | Kein Cookie-Banner stärkt die UX und das Datenschutz-Versprechen |
Wie bindet man Plausible in ein Headless-Setup sauber ein?
In einer entkoppelten Architektur gehört das Analytics-Skript ins statisch ausgelieferte Frontend, nicht ins WordPress-Backend. Plausible wird als einzelnes, leichtgewichtiges Skript eingebunden — ohne Plugin im Backend, ohne Cookie-Logik, ohne Consent-Abhängigkeit. Das passt strukturell besser zu einem Headless-Aufbau als ein klassisches Tag-Manager-Konstrukt mit Consent-Gating.
Der entscheidende Vorteil im Headless-Kontext: Weil das datentragende WordPress-Backend nicht öffentlich stehen muss, lassen sich die Personendaten gezielt in der Schweiz oder der EU halten, während das Frontend global am CDN-Rand ausgeliefert wird. Das Analytics-Skript erzeugt dabei selbst keine Personendaten, die eine zusätzliche Transfer-Prüfung auslösen würden. Wie diese Trennung von datentragendem Backend und auslieferndem Frontend technisch aussieht, beschreibt unsere Übersicht zur Headless-WordPress-Architektur; welche Leistungen wir dabei abdecken, finden Sie unter unseren Leistungen für Headless-Projekte.
Ein praktischer Nebeneffekt: Ein einzelnes, schlankes Skript ohne Consent-Plattform belastet die Ladezeit deutlich weniger als ein Tag-Manager mit nachgeladener Consent-Logik. Für ein Projekt, das ohnehin auf Performance ausgelegt ist, ist das ein willkommener, wenn auch nicht ausschlaggebender Bonus.
Wo Ihre Site heute steht — der schnelle Check
Bevor Sie das Analyse-Tool wechseln, lohnt der Blick auf den Ist-Zustand: Welche Skripte laden bereits, gibt es einen Consent-Banner, und ist die Datenschutzerklärung aktuell? Der kostenlose Website-Check prüft sichtbare Indikatoren von aussen und liefert eine erste Standortbestimmung — kein Ersatz für eine rechtliche Prüfung, aber ein guter Startpunkt, um den eigenen Tracking-Stack zu sortieren.
Aus diesem Befund ergibt sich die richtige nächste Frage fast von selbst: Reicht ein schlankes, einwilligungsfreies Tool, oder brauchen Ihre Ziele die Tiefe von Google Analytics 4 samt Consent-Plattform?
Nächster Schritt
Datenschutzkonformes Tracking ist 2026 vor allem eine Frage des passenden Werkzeugs für Ihr Mess-Ziel — nicht eine Glaubensfrage zwischen «legal» und «illegal». Ob Plausible Ihnen den Banner erspart oder ob die Attribution von Google Analytics 4 den Mehraufwand rechtfertigt, lässt sich in einem kurzen Gespräch sauber einordnen. Wenn Sie Ihren Tracking-Stack oder eine datenschutzfreundliche Headless-Architektur planen, vereinbaren wir gerne ein Erstgespräch — 15 Minuten, kostenlos.
Wer die rechtliche Seite vertiefen will, findet die Einordnung im Beitrag zu Headless WordPress und Datenschutz unter dem revDSG — dort geht es um die Architektur-Frage, die diesem Tracking-Thema zugrunde liegt.