Seit dem Inkrafttreten des nDSG am 1. September 2023 stellen sich viele Schweizer KMU und ihre Datenschutzverantwortlichen dieselbe Frage: Darf Google Analytics überhaupt noch eingesetzt werden? Die kurze Antwort lautet: ja — aber nur unter strengen Bedingungen, die in der Praxis von der grossen Mehrheit der Websites nicht eingehalten werden. Dieser Artikel erklärt den rechtlichen Rahmen, die konkreten Anforderungen für einen konformen Einsatz und zeigt Alternativen auf, die die Sache erheblich vereinfachen.
Rechtsstatus von Google Analytics unter dem nDSG
Google Analytics ist nicht verboten — weder durch das nDSG noch durch eine formelle Entscheidung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Anders als einige europäische Aufsichtsbehörden — darunter die französische CNIL und die österreichische DSB — hat der EDÖB bis heute keine Verbotsverfügung gegen Google Analytics erlassen.
Dennoch hat der EDÖB klar signalisiert, dass Datenübermittlungen in die USA strukturelle, noch nicht befriedigend gelöste Probleme aufwerfen. Jedes Tool, das solche Übermittlungen beinhaltet, muss durch solide Schutzgarantien abgesichert sein. Google Analytics fällt als Messinstrument, das Verhaltensdaten an US-amerikanische Google-Server übermittelt, direkt in diese Kategorie.
Google Analytics 4 (GA4), die aktuelle Version, bringt gegenüber dem alten Universal Analytics (UA) spürbare Verbesserungen mit sich:
- Die IP-Anonymisierung ist standardmässig aktiviert — die vollständige IP-Adresse wird nicht mehr an Google übermittelt
- Das Datenmodell basiert auf Ereignissen statt auf Sitzungen, was bestimmte Formen der Verhaltensprofilierung reduziert
- Kürzere Datenspeicherfristen sind einstellbar (Minimum: 2 Monate)
- Google hat den Google Consent Mode v2 eingeführt, der eine Verhaltensmodellierung ohne Cookies ermöglicht, wenn keine Einwilligung vorliegt
Diese Fortschritte gehen in die richtige Richtung, lösen aber das eigentliche Problem nicht: die Übermittlung personenbezogener Daten in die USA und die strengen Bedingungen, die das nDSG daran knüpft.
Das Problem der Datenübermittlung in die USA
Hier liegt die zentrale rechtliche Schwierigkeit. Das nDSG regelt — ähnlich wie die DSGVO — grenzüberschreitende Datenübermittlungen in Drittstaaten streng. Es verlangt, dass das Empfängerland ein angemessenes Schutzniveau bietet oder dass geeignete Garantien vorhanden sind.
Seit dem 15. September 2024 anerkennt die Schweiz ein angemessenes Datenschutzniveau für US-Empfänger, die unter dem Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) zertifiziert sind. Die vom EDÖB veröffentlichte Angemessenheitsliste umfasst damit neben EU/EWR-Mitgliedstaaten, dem Vereinigten Königreich, Kanada und Japan auch DPF-zertifizierte US-Unternehmen. Für nicht zertifizierte US-Empfänger gilt jedoch weiterhin kein angemessenes Schutzniveau.
Der EDÖB hat wiederholt auf die Risiken bei Datenübermittlungen an amerikanische Cloud-Dienste hingewiesen. US-Überwachungsgesetze — insbesondere der CLOUD Act und der Foreign Intelligence Surveillance Act (FISA) — erlauben amerikanischen Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, auch wenn diese ausserhalb der USA liegen. Das Swiss‑U.S. DPF sieht zwar zusätzliche Schutzmechanismen vor, doch für nicht zertifizierte Empfänger bleibt dieser Widerspruch zu den Anforderungen des nDSG bestehen.
Für Datenübermittlungen an US-Anbieter, die nicht unter dem Swiss‑U.S. DPF zertifiziert sind, müssen Unternehmen auf Standardvertragsklauseln (SVK/SCC) zurückgreifen — entweder die EU-Standardvertragsklauseln analog oder die vom EDÖB veröffentlichten Schweizer Klauseln. Google stellt einen Datenverarbeitungsvertrag (Data Processing Agreement, DPA) mit SVK bereit. Dabei ist zu beachten, dass SVK allein möglicherweise nicht ausreichen, wenn der US-Empfänger nicht DPF-zertifiziert ist und das US-Recht staatliche Zugriffe ohne unabhängige richterliche Kontrolle ermöglicht.
GA4 legal in der Schweiz einsetzen: die kumulativen Voraussetzungen
Wenn Sie Google Analytics weiterhin einsetzen und dabei das nDSG einhalten möchten, müssen alle folgenden Bedingungen gleichzeitig erfüllt sein:
1. Vorherige und ausdrückliche Einwilligungsbanner
Das Google-Analytics-Skript muss beim Laden der Seite blockiert sein und darf erst nach ausdrücklicher Einwilligung aktiviert werden. Das bedeutet konkret:
- Ein "Akzeptieren"- und ein "Ablehnen"-Button mit gleicher visueller Gewichtung
- Keine vorausgewählten Checkboxen, kein Scrollen oder Weitersurfen als Einwilligung
- Jederzeit widerrufbare Einwilligung — so einfach wie die Erteilung
<!-- Skript bis zur Einwilligung blockiert -->
<script type="text/plain" data-category="analytics"
src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX">
</script>
2. Ausdrückliche Erwähnung in der Datenschutzerklärung
Ihre Datenschutzerklärung muss explizit ausführen:
- Den Einsatz von Google Analytics 4
- Die Art der erhobenen Daten (Browser-Kennungen, Navigationsverhalten, Ereignisdaten)
- Die Übermittlung in die USA und die damit verbundenen Garantien (DPA + SVK mit Google)
- Die in GA4 konfigurierte Aufbewahrungsdauer
- Das Widerspruchsrecht der Nutzer
3. Datenverarbeitungsvertrag mit Google
Sie müssen den Data Processing Agreement von Google in den Einstellungen Ihres Google-Analytics-Kontos akzeptiert haben. Dieser Vertrag umfasst die SVK und legt Googles Pflichten als Auftragsverarbeiter fest.
4. IP-Anonymisierung
Diese ist in GA4 standardmässig aktiviert und kann nicht deaktiviert werden — eine strukturelle Verbesserung gegenüber UA. Stellen Sie sicher, dass Sie die Einstellung nicht über eine benutzerdefinierte Konfiguration geändert haben.
5. Minimale Datenspeicherfrist
Konfigurieren Sie in den Einstellungen Ihrer GA4-Property die Nutzerdatenspeicherung auf 2 Monate (kleinstmöglicher Wert). Je kürzer die Aufbewahrungsdauer, desto geringer das Risiko einer langfristigen Profilbildung.
6. Google Signals und Datenweitergabe deaktivieren
In den Einstellungen Ihrer GA4-Property:
- Deaktivieren Sie Google Signals — sie ermöglichen Google, Ihre Daten mit anderen Google-Diensten zu verknüpfen
- Deaktivieren Sie die Datenweitergabe an Google zur "Produktverbesserung" und für "Benchmarks"
- Deaktivieren Sie die Remarketing-Funktion
Server-seitiges Tracking: ein fortgeschrittener Compliance-Ansatz
Beim server-seitigen Tracking werden Analytics-Ereignisse nicht direkt vom Browser des Besuchers an Google gesendet, sondern über einen von Ihnen kontrollierten Zwischenserver.
In der Praxis bedeutet das: Statt dass der Browser Daten an analytics.google.com sendet, übermittelt Ihre Website die Ereignisse an Ihren eigenen Server (in der Schweiz oder der EU gehostet), der sie — nach Filterung oder Pseudonymisierung — an Google weiterleitet.
Datenschutzrechtliche Vorteile:
- Die IP-Adresse des Besuchers wird niemals an Google übermittelt — Ihr Zwischenserver sendet seine eigene IP
- Sie können sensible Daten herausfiltern, bevor sie Google erreichen
- Sie behalten die Kontrolle darüber, was und wann übermittelt wird
- Das Risiko aus dem US-Recht wird deutlich reduziert — wenn auch nicht vollständig eliminiert
Einschränkung: Server-seitiges Tracking ist eine anspruchsvolle technische Lösung, die eine dedizierte Infrastruktur erfordert (z.B. Google Tag Manager Server-Side). Es löst das Übermittlungsproblem nicht vollständig, reduziert aber dessen Umfang erheblich.
Konforme Alternativen zu GA4
Viele Schweizer KMU stellen sich die Frage: Gibt es Analytics-Lösungen, die diese Komplikationen von vornherein vermeiden? Ja — und einige sind sogar in der Schweiz gehostet.
| Lösung | Hosting | nDSG-Transferrisiko | Einwilligung erforderlich | Funktionsumfang | Preis |
|---|---|---|---|---|---|
| Matomo (selbst gehostet) | Eigener Server (CH) | ✅ Keines — Daten bleiben in der Schweiz | Nein, bei korrekter Konfiguration | Umfassend (Funnels, E-Commerce, Heatmaps) | Kostenlos (Infrastruktur selbst tragen) |
| Friendly Analytics | Schweiz (Infomaniak) | ✅ Keines — Daten bleiben in der Schweiz | Nein, cookie-frei | Grundlegend (Seitenaufrufe, Quellen, Verweildauer) | Ab CHF 9/Monat |
| Plausible | EU (Deutschland/Belgien) | ⚠️ Gering — EU-Transfer, keine US-Exposition | Nein, cookie-frei | Grundlegend, schlank, Open-Source | Ab €9/Monat |
| Fathom | Kanada/EU | ⚠️ Mittel — Hosting ausserhalb CH und evtl. ausserhalb EU | Nein, cookie-frei | Grundlegend, datenschutzorientiert | Ab $15/Monat |
| Google Analytics 4 | USA | ❌ Hoch — US-Transfer, DPF + SVK erforderlich | Ja, zwingend | Umfassend, fortgeschritten, kostenlos | Kostenlos |
Matomo selbst gehostet
Matomo ist die umfassendste Alternative für Teams, die eine funktional gleichwertige Lösung zu GA4 suchen. Auf eigenen Servern oder bei einem Schweizer Hoster wie Infomaniak betrieben, werden keinerlei Daten an Dritte weitergegeben. Korrekt konfiguriert (IP-Anonymisierung, kein Cross-Site-Tracking) kann Matomo ohne Einwilligungsbanner eingesetzt werden — ein erheblicher operativer Vorteil. Der Funktionsumfang ist beeindruckend: Conversion-Funnels, E-Commerce-Tracking, Heatmaps, Session-Aufzeichnungen. Wer möchte, kann Matomo auch als gehostete Cloud-Version bei Matomo selbst beziehen — die Daten liegen dann in der EU, bleiben aber vollständig unter Ihrer Kontrolle.
Friendly Analytics
Friendly Analytics ist eine Schweizer Lösung, die bei Infomaniak gehostet wird und speziell für die Konformität mit europäischen und schweizerischen Datenschutzgesetzen entwickelt wurde. Es werden keine Cookies gesetzt und keine vollständigen IP-Adressen erfasst. Für Schweizer KMU ist es wahrscheinlich der einfachste Weg zur Compliance: keine grenzüberschreitenden Übermittlungen, keine Einwilligungspflicht für Analytics-Daten. Zudem profitieren Sie von Schweizer Support und einer Abrechnung in CHF — praktische Vorteile für lokale Unternehmen.
Plausible
Plausible ist eine schlanke Open-Source-Lösung, die in der Europäischen Union gehostet wird. Sie verwendet keine Cookies und erhebt keine personenidentifizierenden Daten. Das Dashboard ist bewusst einfach gehalten — ideal für die Mehrheit der KMU, die Seitenaufrufe, Quellen und Konversionen im Blick behalten wollen, ohne sich in Dutzenden von Berichten zu verlieren. Plausible ist DSGVO-konform und mit dem nDSG vereinbar, ohne dass ein Einwilligungsbanner erforderlich ist. Zu beachten ist jedoch, dass EU-Hosting eine grenzüberschreitende Übermittlung im Sinne des nDSG darstellt — ein geringeres Risiko als ein US-Transfer, aber nicht gleichwertig mit Schweizer Hosting.
Fathom
Fathom ist eine weitere cookie-freie, datenschutzorientierte Lösung. Sie ist bekannt für ihre einfache Integration — ein einziger Skript-Tag genügt — und ihre ausgewiesene Konformität mit zahlreichen Datenschutzgesetzen, darunter die DSGVO und das nDSG. Fathom verarbeitet Daten in Kanada und der EU — nicht in der Schweiz — sodass eine grenzüberschreitende Übermittlung im Sinne des nDSG vorliegt. Für Organisationen, bei denen Schweizer Datenresidenz eine strikte Anforderung ist, bleibt eine in der Schweiz gehostete Lösung vorzuziehen.
Wann müssen Sie zwingend wechseln?
In bestimmten Situationen ist der Einsatz von Google Analytics besonders problematisch und kaum zu rechtfertigen:
- Ihre Website verarbeitet Gesundheits-, Finanz- oder Justizdaten — die Verknüpfung von Verhaltensdaten mit diesen sensiblen Kategorien vervielfacht die Risiken erheblich
- Ihre Zielgruppe umfasst Minderjährige — die Einwilligungsanforderungen sind noch strenger
- Eine konforme Einwilligungsbanner lässt sich nicht umsetzen — etwa bei Intranets, Fachanwendungen oder öffentlichen Diensten
- Sie unterliegen branchenspezifischen Anforderungen — Gesundheitswesen, Finanzsektor oder kantonale/eidgenössische Verwaltungen
- Ihre Ablehnungsrate ist sehr hoch — wenn 60 bis 80 % Ihrer Besucher die Einwilligung verweigern (was bei einem konformen Banner üblich ist), sind Ihre Analytics-Daten ohnehin zu lückenhaft für eine sinnvolle Auswertung
In all diesen Fällen ist die Migration zu einer cookie-freien, in der Schweiz gehosteten Lösung die pragmatischste Entscheidung — sie eliminiert grenzüberschreitende Übermittlungspflichten vollständig. EU-gehostete Alternativen reduzieren das Risiko im Vergleich zu US-basierten Tools erheblich, beinhalten aber weiterhin eine Übermittlung im Sinne des nDSG. In beiden Fällen vereinfacht der Wechsel weg von GA4 Ihre Compliance und liefert zuverlässige Daten über 100 % Ihrer Besucher. Ein weiterer Vorteil, der oft übersehen wird: Sie müssen sich nicht länger mit dem jährlichen Überprüfungsaufwand befassen, der mit dem Einsatz eines US-amerikanischen Dienstleisters unter dem nDSG verbunden ist.
Bevor Sie entscheiden, wie Sie Ihre Analytics-Tools handhaben wollen, sollten Sie zunächst wissen, welche Tracker heute auf Ihrer Website aktiv sind. PrivaScan analysiert Ihre Website kostenlos, erkennt alle Drittanbieter-Skripte und Cookies und zeigt Ihnen, was unter dem nDSG eine Einwilligung erfordert.