Google Analytics 4 DSG-konform einrichten: Schritt für Schritt
Google Analytics 4 ist auch auf Schweizer Webseiten das meistgenutzte Analyse-Tool — und datenschutzrechtlich machbar, wenn die Einrichtung stimmt. Sechs Schritte von der Einwilligung über den Consent Mode V2 bis zur Datenschutzerklärung.

«Dürfen wir Google Analytics eigentlich noch einsetzen?» Diese Frage höre ich von Schweizer KMU und Agenturen fast wöchentlich — meist begleitet von halb erinnerten Schlagzeilen über Verbote in Österreich und Frankreich. Die kurze Antwort: Ja, Google Analytics 4 (GA4) lässt sich in der Schweiz rechtskonform betreiben. Die längere Antwort: nur, wenn Sie sechs Dinge richtig machen. Genau die gehen wir hier durch.
Warum Google Analytics 4 datenschutzrechtlich heikel ist
GA4 überträgt Personendaten an die Google LLC in die USA — das ist der Kern des Problems, nicht das Messen an sich. Cookie-Kennungen, Geräteinformationen und Verhaltensdaten gelten sowohl unter dem Bundesgesetz über den Datenschutz (DSG) als auch unter der europäischen Datenschutz-Grundverordnung (DSGVO) als Personendaten, sobald sie einer Person zugeordnet werden können. Damit stellen sich zwei Fragen: Ist das Tracking selbst zulässig — und darf man die Daten in die USA schicken?
Die erste Frage beantworten DSG und DSGVO im Grundsatz gleich: Reichweitenmessung ist erlaubt, aber nicht bedingungslos. Es braucht Transparenz, eine gültige Einwilligung und einen Vertrag mit dem Dienstleister — dazu gleich mehr in den sechs Schritten.
Bei der zweiten Frage hat sich die Lage entspannt, und das wird oft übersehen. Seit dem 15. September 2024 anerkennt der Bundesrat die USA als Land mit angemessenem Datenschutzniveau — allerdings nur für Unternehmen, die unter dem Swiss–U.S. Data Privacy Framework zertifiziert sind. Google LLC ist zertifiziert. Die Übermittlung an Google ist damit zulässig, ohne dass Sie zusätzliche Garantien wie Standardvertragsklauseln abschliessen müssten. Die bekannten «Google Analytics ist illegal»-Entscheide aus Österreich und Frankreich stammen aus dem Jahr 2022 — aus der Zeit vor dem Framework und zur alten Version Universal Analytics. Wer sie heute als Beleg gegen GA4 zitiert, argumentiert mit einer überholten Rechtslage.
Entwarnung ist das trotzdem nur zur Hälfte. Das Framework löst ausschliesslich die Übermittlungsfrage. Einwilligung, Auftragsverarbeitungsvertrag, Datenminimierung und Transparenz bleiben Ihre Aufgabe — und genau daran scheitern die meisten Installationen. Die folgenden sechs Schritte decken alles ab. Wer die Grundlagen der beiden Gesetze nachlesen will, findet sie in unseren Guides zum DSG und zur DSGVO.
Schritt 1: Einwilligung einholen, bevor GA4 lädt
Das GA4-Skript darf erst laden, nachdem die Besucherin im Cookie-Banner aktiv zugestimmt hat — das ist die wichtigste Regel überhaupt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hält in seinem Cookie-Leitfaden fest, dass Tracking zu Analysezwecken, das Nutzungsprofile erstellt, einer Einwilligung bedarf. Unter der DSGVO ist die Sache noch eindeutiger: ohne Einwilligung kein Analyse-Cookie.
In der Praxis heisst das: Der Banner muss das GA4-Tag technisch blockieren, bis die Kategorie «Statistik» akzeptiert wurde. Ein Banner, der nur informiert, während GA4 im Hintergrund längst feuert, ist wertlos — und genau dieses Muster sehe ich bei Audits am häufigsten. Prüfen können Sie es selbst: Browser-Entwicklertools öffnen, Netzwerk-Tab beobachten, Seite neu laden. Erscheinen Requests an Google-Analytics-Domains, bevor Sie im Banner irgendetwas angeklickt haben, lädt das Skript zu früh.
Wichtig ist auch die Gestaltung des Banners selbst: «Ablehnen» muss so einfach sein wie «Akzeptieren», und vorangekreuzte Kästchen machen die Einwilligung ungültig. Dokumentieren Sie zudem jede Entscheidung — wer hat wann welcher Kategorie zugestimmt? Ohne dieses Protokoll können Sie im Streitfall keine gültige Einwilligung nachweisen. Eine saubere Einwilligung ist das Fundament — alle weiteren Schritte bauen darauf auf.
Schritt 2: Google Consent Mode V2 verdrahten
Der Consent Mode V2 übersetzt die Banner-Entscheidung in vier Signale, die Google-Dienste verstehen — und er ist Pflicht, sobald Sie neben GA4 auch Google Ads mit Nutzern aus dem Europäischen Wirtschaftsraum (EWR) einsetzen. Die Signale analytics_storage, ad_storage, ad_user_data und ad_personalization müssen standardmässig auf «denied» stehen und dürfen erst nach der Einwilligung auf «granted» wechseln.
Wie die Implementierung im Detail funktioniert — Basic vs. Advanced Mode, die Default-Konfiguration, typische Fehler — haben wir in einer eigenen Anleitung zum Google Consent Mode V2 beschrieben. Für die GA4-Einrichtung genügt an dieser Stelle: Ihr Cookie-Banner muss die vier Signale korrekt setzen, sonst misst GA4 entweder gar nichts oder — schlimmer — ohne gültige Einwilligung.
Schritt 3: Datenaufbewahrung auf 2 oder 14 Monate begrenzen
GA4 speichert Ereignisdaten auf Nutzerebene standardmässig begrenzt — Sie wählen in den Property-Einstellungen unter Datenaufbewahrung zwischen 2 und 14 Monaten. Das ist eine der wenigen Stellen, an denen GA4 dem Grundsatz der Datenminimierung von Haus aus entgegenkommt: Mehr als 14 Monate sind in der Standardversion gar nicht möglich.
Welche Option ist richtig? Aus reiner Datenschutzsicht: 2 Monate. Wer in explorativen Analysen Jahresvergleiche fahren will, braucht 14 Monate — auch das ist vertretbar, solange die Datenschutzerklärung die Dauer transparent nennt. Zu wissen ist dabei: Die Einstellung betrifft nur die detaillierten Ereignis- und Nutzerdaten für eigene Auswertungen. Die aggregierten Standardberichte — Seitenaufrufe pro Monat, Besucherquellen — bleiben unabhängig davon erhalten, weil sie keine Einzelprofile mehr enthalten.
Kontrollieren Sie bei der Gelegenheit gleich die Einstellung zur Zurücksetzung der Aufbewahrungsdauer bei neuer Aktivität: Ist sie aktiv, beginnt die Frist bei jedem Besuch neu zu laufen. Für konsequente Datenminimierung gehört sie deaktiviert.
Schritt 4: Google-Signale und Werbefunktionen bewusst entscheiden
Die Google-Signale sind eine aktive Entscheidung, keine Standardeinstellung — und für die meisten Schweizer Webseiten lautet die richtige Antwort: ausgeschaltet lassen. Aktivieren Sie die Signale, verknüpft Google die Besuche Ihrer Webseite mit den Google-Konten eingeloggter Nutzer. Das ermöglicht geräteübergreifende Auswertungen, demografische Berichte und Remarketing-Zielgruppen — bedeutet aber auch, dass deutlich mehr Daten zu Werbezwecken an Google fliessen.
Wer die Signale einschaltet, braucht dreierlei: die Einwilligung der Nutzer in personalisierte Werbung (im Consent Mode das Signal ad_personalization), einen entsprechenden Hinweis in der Datenschutzerklärung und einen echten Anwendungsfall. Genau daran hapert es oft — viele Installationen haben die Werbefunktionen aktiviert, ohne je eine Remarketing-Kampagne geschaltet zu haben. Dann sammeln Sie Daten ohne Zweck, und das widerspricht dem Grundsatz der Verhältnismässigkeit im DSG. Die Faustregel: Nur aktivieren, was Sie nachweislich nutzen.
Schritt 5: Data Processing Terms akzeptieren
Google bearbeitet die Analytics-Daten in Ihrem Auftrag — dafür verlangt das Gesetz einen Vertrag, und den schliessen Sie direkt in den Kontoeinstellungen ab. Google stellt dafür die sogenannten Data Processing Terms bereit: den Auftragsverarbeitungsvertrag (AVV) für Google-Werbe- und Analyseprodukte. Sie finden die Annahme in den Kontoeinstellungen Ihrer GA4-Property; dort hinterlegen Sie auch die Kontaktangaben Ihrer Organisation.
Klingt nach Formalie, ist aber Pflicht: Art. 9 DSG und Art. 28 DSGVO verlangen für jede Auftragsbearbeitung eine vertragliche Grundlage. Ohne akzeptierte Terms bearbeitet Google Ihre Besucherdaten ohne Vertrag — ein Mangel, der bei jeder Datenschutzprüfung sofort auffällt. Wann ein AVV generell nötig ist und worauf Sie beim Abschluss achten sollten, erklärt unser Beitrag zum Auftragsverarbeitungsvertrag.
Schritt 6: Datenschutzerklärung ergänzen
Ihre Datenschutzerklärung muss den GA4-Einsatz vollständig ausweisen — wer misst, muss es sagen. Konkret gehören in den Analytics-Absatz: der Zweck (Reichweitenmessung und Verbesserung des Angebots), der Anbieter (Google LLC bzw. Google Ireland Limited als europäische Vertragspartnerin), die Rechtsgrundlage Einwilligung, die gesetzten Cookies mit Laufzeiten, die gewählte Aufbewahrungsdauer, die Übermittlung in die USA mit Verweis auf die Zertifizierung unter dem Data Privacy Framework — und der Hinweis, dass sich die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen lässt.
Falls Sie die Google-Signale aktiviert haben, kommt der Absatz zu personalisierter Werbung dazu. Wie eine vollständige Datenschutzerklärung aufgebaut ist und was das DSG darüber hinaus verlangt, zeigt unsere Anleitung zur Datenschutzerklärung.
IP-Anonymisierung: in GA4 bereits Standard
Die IP-Anonymisierung müssen Sie in GA4 nicht konfigurieren — es gibt schlicht keinen Schalter mehr dafür. Wer noch Universal Analytics kannte, erinnert sich an das anonymizeIp-Flag, das man von Hand setzen musste und gerne vergass. GA4 protokolliert IP-Adressen gar nicht erst: Google nutzt sie beim Empfang kurz für die Geolokalisierung auf Ebene von Stadt oder Region und verwirft sie anschliessend. Ein beliebter Prüfpunkt aus alten Datenschutz-Checklisten — «IP-Anonymisierung aktiviert?» — ist damit gegenstandslos. Wenn Ihnen ein Berater diesen Punkt für GA4 als Mangel ankreidet, arbeitet er mit einer veralteten Checkliste.
Reicht das für die DSGVO?
Weitgehend ja — die sechs Schritte decken auch die DSGVO-Anforderungen ab, denn die europäischen Vorgaben sind bei Analytics strenger und waren hier durchgehend der Massstab. Einwilligung vor dem Laden, Widerrufsmöglichkeit, Auftragsverarbeitungsvertrag, Transparenz in der Datenschutzerklärung: Das sind exakt die Punkte, die europäische Aufsichtsbehörden bei Analytics prüfen.
Zwei Besonderheiten bleiben für Schweizer Unternehmen mit EU-Kundschaft: Erstens verlangt die DSGVO die Einwilligung ausnahmslos — die unter dem DSG diskutierte Möglichkeit, gewisse Messungen auf ein überwiegendes Interesse zu stützen, trägt gegenüber EU-Besuchern nicht. Zweitens brauchen Unternehmen ohne EU-Niederlassung, die regelmässig Personen in der EU tracken, unter Umständen eine EU-Vertretung nach Art. 27 DSGVO. Was sonst noch gilt, wenn Ihre Webseite auf den EU-Markt ausgerichtet ist, fasst unser DSGVO-Guide zusammen.
GA4 mit Aiara DSG-konform einbinden
Mit Aiara erledigen sich die technischen Schritte dieser Anleitung von selbst. Der Cookie-Banner blockiert GA4 automatisch, bis die Einwilligung vorliegt, setzt die vier Consent-Mode-V2-Signale korrekt und protokolliert jede Entscheidung revisionssicher. Der Rechtstext-Generator erstellt den passenden Analytics-Absatz für die Datenschutzerklärung in vier Sprachen — inklusive Data-Privacy-Framework-Hinweis. Übrig bleiben nur die Konto-Einstellungen, die Google Ihnen nicht abnehmen lässt: Datenaufbewahrung wählen, Data Processing Terms akzeptieren, Google-Signale bewusst entscheiden. Drei Klicks, einmalig — und Ihr GA4 ist sauber aufgesetzt.
Häufige Fragen
Ist Google Analytics 4 in der Schweiz erlaubt?
Ja — sofern die Einrichtung stimmt. Nötig sind eine Einwilligung über den Cookie-Banner, bevor das Skript lädt, korrekt gesetzte Consent-Mode-Signale, akzeptierte Data Processing Terms als Auftragsverarbeitungsvertrag und ein Absatz in der Datenschutzerklärung. Die Übermittlung in die USA ist seit dem 15. September 2024 über das Swiss–U.S. Data Privacy Framework abgedeckt, weil Google LLC dort zertifiziert ist.
Brauche ich für Google Analytics eine Einwilligung?
Ja. GA4 setzt Cookies und erstellt Nutzungsprofile — dafür braucht es nach dem Cookie-Leitfaden des EDÖB und erst recht nach der DSGVO eine aktive Einwilligung. Das Skript darf erst laden, nachdem die Besucherin im Banner zugestimmt hat. Ein Banner, der GA4 schon beim Seitenaufruf feuert, ist der häufigste Fehler in der Praxis.
Was bedeutet das Data Privacy Framework für Google Analytics?
Der Bundesrat anerkennt die USA seit dem 15. September 2024 als Land mit angemessenem Datenschutzniveau — allerdings nur für Unternehmen, die unter dem Swiss–U.S. Data Privacy Framework zertifiziert sind. Google LLC ist zertifiziert. Damit ist die Datenübermittlung an Google ohne zusätzliche Garantien wie Standardvertragsklauseln zulässig. Das Framework löst aber nur die Übermittlungsfrage — Einwilligung, Vertrag und Transparenz bleiben Ihre Aufgabe.
Muss ich die IP-Anonymisierung in GA4 aktivieren?
Nein — sie lässt sich gar nicht aktivieren, weil sie Standard ist. Anders als Universal Analytics mit seinem anonymizeIp-Flag protokolliert GA4 keine IP-Adressen. Google nutzt die IP-Adresse nur kurz zur Geolokalisierung auf Stadt- oder Regionsebene und verwirft sie danach. Ein entsprechender Konfigurationsschritt entfällt also.
Welche Datenaufbewahrung soll ich in GA4 einstellen?
GA4 bietet für Ereignisdaten auf Nutzerebene nur zwei Optionen: 2 oder 14 Monate. Aus Sicht der Datenminimierung sind 2 Monate die sauberste Wahl. Wer Jahresvergleiche in explorativen Analysen braucht, wählt 14 Monate — auch das ist vertretbar, wenn es in der Datenschutzerklärung transparent gemacht wird. Die aggregierten Standardberichte bleiben von der Einstellung unberührt.
Bereit für sauberen Cookie-Consent?
Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.
Aiara entdeckenWeitere Beiträge

3. Juli 2026 · 8 Min. Lesezeit
Auftragsverarbeitungsvertrag (AVV) in der Schweiz: Wann Sie ihn brauchen — mit Checkliste

16. Juni 2026 · 8 Min. Lesezeit
Datenschutz-Bussen in der Schweiz: Wer bestraft wird — und wofür

9. Mai 2026 · 8 Min. Lesezeit