Kurz vorweg: GA4 ist 2026 weiterhin in der Schweiz nutzbar – aber nur mit Cookie-Banner, Consent Mode v2, AVV und sauberem Setup. Wer ohne Einwilligung tracken will, braucht Matomo, Plausible oder Fathom. Der Vergleich zeigt: Für die meisten KMU ist eine cookielose Lösung schneller, günstiger und liefert paradoxerweise mehr brauchbare Daten als das vermeintlich "kostenlose" GA4.
Die Rechtslage 2026
Seit Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) im September 2023 gelten in der Schweiz verschärfte Regeln für die Bearbeitung von Personendaten. Webanalyse ist davon direkt betroffen, weil Cookies, IP-Adressen und Device-IDs als Personendaten gelten, sobald sie einer Person zugeordnet werden können. Was Sie 2026 kennen müssen:
revDSG: Einwilligung bei Personendaten
Sobald Tracking-Tools Cookies setzen oder Browser-Fingerprints erfassen, liegt eine Bearbeitung von Personendaten vor. Eine explizite, freiwillige und informierte Einwilligung ist nötig.
Schweizer TKG und Cookies
Das Fernmeldegesetz (FMG/TKG) verlangt für Cookies, die nicht technisch zwingend sind, eine Information und Widerspruchsmöglichkeit – analog zur EU-ePrivacy.
EU-DSGVO als Schatten-Recht
Wer in der EU verkauft oder dort Besucher hat, fällt zusätzlich unter die DSGVO. Der EuGH hat in mehreren Urteilen (Schrems II, GA-Verfahren AT/FR/IT) GA4 ohne zusätzliche Massnahmen für unzulässig erklärt.
Schrems-II-Effekt
Der EuGH hat 2020 das Privacy Shield gekippt. Datentransfer in die USA ist nur mit zusätzlichen Garantien (Standard Contractual Clauses + Risikoassessment) zulässig.
US Data Privacy Framework (DPF)
Seit Juli 2023 ersetzt das EU-US DPF das Privacy Shield. Die Schweiz hat im September 2024 ein eigenes Swiss-US DPF unterzeichnet. Google ist DPF-zertifiziert.
Was ist ein Personendatum bei Analytics?
Viele KMU-Verantwortliche denken: "Wir tracken doch nur Klicks." Tatsächlich erfassen Analytics-Tools eine ganze Reihe von Identifikatoren, die einzeln oder in Kombination zu Personendaten werden. Die Liste:
- IP-Adresse: Auch dynamisch zugeteilte IPs gelten als Personendaten, weil der Provider zuordnen kann. Lösung: Anonymisierung um mindestens die letzten 2 Bytes (Matomo, GA mit IP-Anonymisierung).
- Device-IDs / Client-IDs: GA4 vergibt eine Client-ID, Matomo eine Visitor-ID. Diese identifizieren ein Gerät über Sessions hinweg – also Personendaten.
- Cookies: Sowohl First-Party (_ga, _pk_id) als auch Third-Party Cookies dienen der Wiedererkennung. Einwilligung erforderlich, ausser bei rein technischen Cookies.
- Browser-Fingerprint: Kombination aus User-Agent, Schriftarten, Plug-ins, Canvas-Rendering ergibt eine quasi-eindeutige Signatur. Auch ohne Cookie ein Personendatum.
- Login-IDs / Customer-IDs: Wer eingeloggte User trackt (Membership, Shop, Portal), bearbeitet zwingend Personendaten. Einwilligung im AGB-Prozess oder per Opt-in.
- Referrer-URLs mit Suchanfragen: "https://google.com/search?q=arzt+zürich" kann Rückschluss auf die Person ermöglichen – besonders bei seltenen Suchbegriffen.
Analytics-Tools im direkten Vergleich
| Tool | Datenstandort | Banner nötig | Preis/Monat | Funktions-Tiefe | KMU-Empfehlung |
|---|---|---|---|---|---|
| Google Analytics 4 | USA (DPF) | Ja, zwingend | Gratis (Std.) / CHF 150k+ (360) | Sehr hoch: Audiences, Predictive, BigQuery-Export | Nur mit Server-side GTM + Consent Mode v2; sonst meiden |
| Matomo Cloud | DE (EU) | Nein (cookieless) | Ab CHF 19 (50k Aktionen) | Hoch: Heatmaps, A/B-Test, Funnels, SEO-Modul | Erste Wahl für die meisten KMU – DSGVO/revDSG konform out of the box |
| Matomo On-Premise | CH/EU (selbst gewählt) | Nein (cookieless) | Gratis + Hosting CHF 20–60 | Hoch: gleiche Features wie Cloud | Für Daten-Souveränität und tech-affine Teams |
| Plausible | DE (EU, Open Source) | Nein (cookieless) | Ab CHF 9 (10k Pageviews) | Bewusst minimal: KPI-Dashboard, Goals, UTM | Top für Marketing-Sites mit klarem Funnel und wenig Komplexität |
| Fathom Analytics | EU-Region wählbar | Nein (cookieless) | Ab CHF 14 (100k Pageviews) | Minimal: schnelles Dashboard, Events, EU-Isolation | Für DSGVO-Sensitive mit B2B-Fokus |
| Umami | CH/EU (self-hosted) | Nein (cookieless) | Gratis + Hosting CHF 10–30 | Minimal: Pageviews, Events, sehr leichtgewichtig | Für Developer-affine Teams mit eigenem Server |
Preise Stand Mai 2026, exkl. MwSt., Listenpreise. Matomo, Plausible und Umami sind Open Source und können selbst gehostet werden – das senkt die Lizenzkosten auf null, verlagert den Aufwand aber auf Hosting und Wartung.
Cookie-Banner Best Practice
Wer GA4, Meta Pixel oder LinkedIn Insight Tag einsetzt, kommt um einen Consent-Banner nicht herum. Damit der Banner rechtskonform und nicht kundenfeindlich gestaltet ist, gelten 2026 folgende Regeln:
- Granulare Auswahl: Mindestens drei Kategorien (Notwendig / Statistik / Marketing). User muss einzelne Kategorien ablehnen können, nicht nur "alle".
- Keine Dark Patterns: "Akzeptieren" und "Ablehnen" sind gleich gross, gleich farbig, gleich prominent. Kein vorausgewähltes Häkchen, keine versteckten "Ablehnen"-Buttons im 3. Layer.
- "Ablehnen" gleichrangig zu "Akzeptieren": EDÖB und EU-Behörden verlangen explizit, dass Ablehnen kein zusätzlicher Klick ist gegenüber Akzeptieren.
- Cookieless-Tracking parallel: Wo möglich, parallel ein cookieloses Tool (Matomo, Plausible) laufen lassen, das auch bei Banner-Ablehnung Daten liefert.
- Consent-Dokumentation: Jede Einwilligung mit Zeitstempel, Banner-Version und Kategorien-Auswahl protokollieren – revDSG Art. 12 verlangt Nachweisbarkeit.
- Reconsent nach 12 Monaten: Einwilligungen verfallen nicht automatisch, sollten aber jährlich erneuert werden, insbesondere bei Banner-Updates.
Praxis-Setup: Matomo Cloud
Matomo Cloud lässt sich in einer halben Stunde einrichten und ist mit der richtigen Konfiguration sofort revDSG- und DSGVO-konform. Die Schritte im Überblick:
- Account anlegen, Server-Region Schweiz oder EU wählen (Standard bei Matomo Cloud: Frankfurt, optional auf Anfrage Schweiz für Enterprise).
- Datenschutz-Einstellungen: IP-Anonymisierung auf 2 Bytes setzen, Cookies deaktivieren (Config-Cookie aus), DoNotTrack respektieren aktivieren.
- Server-side Tracking via Matomo Tag Manager einrichten – das umgeht Ad-Blocker und stellt sicher, dass Daten nicht via Browser an Dritte fliessen.
- Goals und E-Commerce-Tracking konfigurieren (Kontaktformular, Newsletter, Bestellungen) – Conversion-Daten sind nun ohne Banner verfügbar.
- Heatmaps und Session-Recording bewusst NICHT aktivieren – diese erfassen Personendaten und würden einen Banner erzwingen.
- AVV bei Matomo (InnoCraft) herunterladen, unterzeichnen, im Verarbeitungsverzeichnis eintragen. Datenschutzerklärung anpassen: "Matomo, cookieless, ohne Einwilligung".
Praxis-Setup: GA4 cookieless
Wer GA4 weiter nutzen will – etwa wegen BigQuery-Export, Google-Ads-Attribution oder Looker-Studio-Integration – muss 2026 zusätzliche Massnahmen einbauen, um rechtskonform zu bleiben:
- Consent Mode v2 aktivieren: Sendet bei Banner-Ablehnung "Cookieless Pings" – aggregierte Daten ohne Cookies, mit reduzierter Genauigkeit aber DSGVO-konform.
- Server-side Google Tag Manager auf eigener Subdomain (z.B. metrics.firma.ch) – Daten landen zuerst bei Ihnen, dann bei Google. Maskiert IP, filtert sensible Parameter.
- IP-Anonymisierung erzwingen: Server-side im GTM die letzten 2 Bytes der IP entfernen, bevor sie GA4 erreicht.
- Google-Signale (Cross-Device-Tracking) und Demografie-Reports deaktivieren – diese erfordern Marketing-Einwilligung und liefern oft wenig Mehrwert.
- AVV mit Google Ireland Ltd. unterzeichnen (im GA-Admin verfügbar), Datenstandort EU wählen, DPF-Zertifizierung im Verarbeitungsverzeichnis dokumentieren.
- Data Retention auf 14 Monate setzen (Maximum), nach Auswertung in BigQuery archivieren und in GA4 löschen.
ROI-Rechnung: Gratis ist nicht gratis
GA4 ist vermeintlich kostenlos, doch der Cookie-Banner reduziert die erfasste Datenmenge typischerweise um 40–70%. Eine durchgespielte Rechnung für ein KMU mit 80’000 Sessions/Monat:
| Position | GA4 (mit Banner) | Matomo Cloud (cookieless) |
|---|---|---|
| Lizenzkosten/Jahr | CHF 0 | CHF 228 (CHF 19 × 12) |
| Cookie-Banner-Tool (z.B. Cookiebot) | CHF 384 (CHF 32 × 12) | CHF 0 |
| Server-side GTM Hosting | CHF 360 (Cloud Run) | CHF 0 |
| Einrichtung & Konfiguration | CHF 2’400 (16h × 150) | CHF 900 (6h × 150) |
| Erfasste Sessions effektiv | ~32’000/Mt (40% nach Opt-in) | ~76’000/Mt (95%, ohne Bots) |
| Datenqualität | Modellierte Lücken durch Consent Mode | Vollständige Reichweitenmessung |
| Gesamt Jahr 1 | CHF 3’144 | CHF 1’128 |
Resultat: Matomo Cloud spart im ersten Jahr rund CHF 2’000 – und liefert dabei mehr als doppelt so viele auswertbare Sessions. GA4 lohnt sich nur, wenn Sie Google Ads im grossen Stil nutzen, BigQuery-Pipelines aufgebaut haben oder Predictive Audiences brauchen.
Migration-Roadmap: GA4 zu Matomo in 4 Wochen
- Woche 1: Inventur. Welche Goals, Conversions, Custom Events laufen in GA4? Welche Reports nutzt das Marketing wöchentlich? Stakeholder-Interview, Anforderungs-Dokument.
- Woche 2: Matomo Cloud aufsetzen, Tracking-Code via Tag Manager parallel zu GA4 installieren. Custom Events 1:1 mappen (gleicher Event-Name, gleiche Parameter), damit Vergleich möglich ist.
- Woche 3: Conversion-Setup: Kontaktformular, Newsletter, Shop-Bestellungen als Matomo-Goals konfigurieren. Looker-Studio-Connector durch Matomo-Reporting oder API-Anbindung ersetzen.
- Woche 4: Parallel-Tracking-Phase auswerten – stimmen Sessions, Conversions, Bounce Rate? Falls Abweichungen über 15%: Tag-Setup prüfen. GA4-Tag deaktivieren, Datenschutzerklärung aktualisieren, Banner entfernen (wenn keine anderen Marketing-Pixel mehr aktiv sind).
Typische Stolpersteine
- Cookie-Banner verkrüppelt: "Akzeptieren" gross und grün, "Ablehnen" klein und grau – ist 2026 nachweislich nicht rechtskonform. EDÖB hat erste Verfahren eingeleitet.
- AVV fehlt: Wer GA4 oder Matomo Cloud ohne unterzeichneten Auftragsverarbeitungsvertrag einsetzt, begeht einen revDSG-Verstoss. Auch bei Open-Source-Self-Hosting Verträge mit Hosting-Provider prüfen.
- Kein Datenkatalog: Niemand im Unternehmen weiss, welche Tools welche Daten erfassen. Verarbeitungsverzeichnis nach revDSG Art. 12 ist Pflicht ab 250 Mitarbeitenden – aber auch darunter empfohlen.
- Heatmaps tracken Personendaten: Hotjar, Mouseflow, Microsoft Clarity zeichnen Mausbewegungen und teils Formulareingaben auf. Ohne Einwilligung tabu, Session-Recording grundsätzlich heikel.
- GA4 ohne Consent Mode v2: Wer GA4 einsetzt ohne Consent Mode, hat bei Banner-Ablehnung gar keine Daten und gleichzeitig keine Möglichkeit, modellierte Conversions zu erhalten.
- Tracking-Pixel von Meta und LinkedIn nicht eingebunden: Marketing setzt Pixel direkt im Footer ein, IT weiss nichts davon, Banner-Tool ignoriert sie – klassischer revDSG-Verstoss in Schweizer KMU.
- Server-side GTM falsch konfiguriert: Wer Server-side ein- aber IP-Anonymisierung ausschaltet, verschlechtert die Datenschutzposition aktiv. Setup zwingend dokumentieren und prüfen lassen.
Fazit: Cookieless ist 2026 der Standard
Für die meisten Schweizer KMU ist Matomo Cloud, Plausible oder Fathom 2026 die pragmatischste Wahl: kein Banner, mehr Daten, klare Rechtslage, faire Kosten. GA4 lohnt sich nur dort, wo Google Ads, BigQuery oder spezifische Marketing-Use-Cases zentral sind – und dann mit Server-side GTM, Consent Mode v2 und AVV.
Wichtiger als die Tool-Wahl ist die saubere Umsetzung: AVV unterzeichnen, IP-Anonymisierung, Verarbeitungsverzeichnis pflegen, Cookie-Banner ohne Dark Patterns gestalten. Wer das einmal sauber aufsetzt, hat 5 Jahre Ruhe – und mehr verlässliche Daten als die Konkurrenz, die sich hinter halbgaren Bannern versteckt.
Analytics revDSG-konform aufsetzen
Wir analysieren Ihr bestehendes Tracking, wählen das passende Tool, migrieren technisch sauber und richten cookieloses Tracking, AVV und Verarbeitungsverzeichnis ein – inklusive Schulung des Marketing-Teams.
Beratung anfragen