Am Zürcher WordPress Meetup vom 11. September 2025 drehte sich alles um Datenschutz, Cookie-Banner und Consent-Technik.

Während viele Teams derzeit stark auf KI-Tools und schnellere Produktionsprozesse setzen, erinnerte dieser Abend daran, dass die Pflichten rund um Datenschutz und Tracking nicht verschwinden – im Gegenteil: Sie werden laufend relevanter.

In zwei inhaltlich hervorragend aufeinander abgestimmten Talks beleuchteten Martin Steiger (Rechtsanwalt, Datenschutz-Aktivist und Unternehmer) und Frank Mickeler (Tracking/Analytics Consultant) die Frage, wie man in der Schweiz und mit Blick nach Europa rechtlich sauber und technisch korrekt mit Datenschutzerklärung und Consent umgeht.

Langweilig – und doch wichtig: Datenschutzerklärungen und Cookie-Banner

Martin Steiger eröffnete den Abend mit einem Vortrag, der bewusst ohne Alarmismus daherkam – aber sehr klar machte: Datenschutz ist kein «einmal erledigen und vergessen»-To-do, sondern ein dauerhafter Compliance-Prozess.

Er betonte gleich zu Beginn: Auch wenn das Thema trocken wirken kann, ist es praktisch in jedem WordPress-Projekt relevant – weil Websites fast nie ohne Bearbeitung von Personendaten betrieben werden können.

Videoaufzeichnung auf WordPress.TV:
Langweilig – und doch wichtig: Datenschutzerklärungen und Cookie-Banner

Datenschutzerklärung: keine Zierde – sondern Informationspflicht

Martin ordnete die Datenschutzerklärung nicht als Formalie ein, sondern als Kernstück der gesetzlichen Informationspflicht: Betroffene Personen sollen verstehen können,

  • welche Personendaten verarbeitet werden,
  • von welchen Personengruppen
  • zu welchen Zwecken
  • mit welchen Tools / Dienstleistern (z. B. Cloud-Dienste)
  • in welchen Ländern
  • und welche Rechte betroffene Personen haben

Wichtig war ihm dabei: Wer Datenschutz ernsthaft «lebt», muss zuerst überhaupt wissen, was technisch und organisatorisch im Projekt passiert. Genau hier entstehe in der Praxis ein häufiges Problem: Viele Websites wurden über Jahre erweitert – Plugins kamen dazu, Script-Snippets wurden ergänzt, Marketing-Tools installiert – und irgendwann weiss niemand mehr wirklich, was alles im Einsatz ist.

Datenschutz ist nicht neu – aber immer noch nicht sauber umgesetzt

Er erinnerte daran, dass:

  • die EU-Cookie-Richtlinie bereits seit 2009 existiert
  • die DSGVO seit 2018 gilt
  • und die Schweiz mit dem revidierten Datenschutzrecht seit 2023 nachgezogen hat (nicht identisch, aber ähnlich).

Die Konsequenz: Das Thema ist in vielen Organisationen «eigentlich bekannt» – trotzdem seien die Hausaufgaben oft unvollständig.

Konsequenzen in der Schweiz: selten, aber zunehmend spürbar

Er erwähnte auch, dass Datenschutzverstösse in der Schweiz nicht automatisch zu spektakulären Strafen führen – aber:

  • das Risiko steige
  • Datenschutzverfahren seien unangenehm (auch ohne harte Sanktionen),
  • und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) trete zunehmend aktiver auf – teils auch öffentlichkeitswirksam («Naming and Shaming»).

Gerade für Websitebetreibende und Agenturen ist dabei auch das Thema Datensicherheit relevant: Sicherheitslücken (z. B. in Plugins) sind nicht nur ein technisches Problem, sondern auch ein Datenschutzthema.

Wie erstellt man Datenschutzerklärungen sinnvoll?

Martin zeigte drei typische Wege:

1. Copy & Paste

Funktioniert nur, wenn:

  • die Vorlage hochwertig ist
  • und wirklich zum eigenen Setup passt

In der Praxis ist Copy & Paste laut ihm eine häufige Fehlerquelle – insbesondere wegen veralteter Rechtsbegriffe, falscher Zuständigkeiten oder schlicht falscher Angaben.

2. Generative KI

Er ordnete KI eher skeptisch-pragmatisch ein: KI kann auf den ersten Blick plausible Texte liefern – aber im Detail entstehen schnell Fehler. Gerade im Rechtsbereich kann das riskant sein, weil man sich mit eigenen Aussagen selbst bindet.

3. Datenschutzgeneratoren

Er schilderte Datenschutzgeneratoren (z. B. Fragebogen-Systeme) als gängigen Weg, verwies aber auf wichtige Qualitätskriterien:

  • Muss laufend aktualisiert werden
  • Support / Maintenance muss real existieren
  • Vorsicht bei «Scanner»-Generatoren: oft unseriös oder technisch ungenau
  • Viele Anbieter sind stark auf Deutschland/EU optimiert und decken die Schweiz nur oberflächlich ab

Ein praktischer Hinweis aus dem Vortrag: Wer behauptet, EU-kompatibel zu sein, sollte in seiner Datenschutzerklärung häufig auch eine EU-Vertretung (Art. 27 DSGVO) nennen, sobald Angebote an Personen im EWR gerichtet sind.

Cookie-Banner: in der Schweiz (meist) unnötig – aber trotzdem überall

Der zweite Teil war der (im Publikum spürbar) emotionalere Teil: Cookie-Banner.

Martin machte eine klare Aussage zur Schweizer Rechtslage: In der Schweiz ist das Setzen/Lesen von Cookies bzw. die Bearbeitung von Daten auf fremden Geräten im Fernmeldegesetz geregelt – dort geht es um:

  • Information der Nutzerinnen und Nutzer
  • und Hinweis auf Opt-out-Möglichkeiten (z. B. Browser-Einstellungen)

Aber: Eine vorgängige Einwilligung («Opt-in») ist in der Schweiz grundsätzlich nicht erforderlich.

Mit anderen Worten: Kein Consent-Zwang wie in der EU → grundsätzlich kein Cookie-Banner nötig.

Warum gibt es dann in der Schweiz trotzdem so viele Cookie-Banner?

Martin nannte mehrere Gründe – entscheidend war jedoch dieser:

Viele Cookie-Banner existieren nicht wegen Schweizer Recht, sondern wegen Verträgen und Richtlinien, vor allem von Google-Diensten.

Wer Google Ads, Analytics oder werberelevante Google-Dienste nutzt, landet schnell in einem Setup, in dem Cookie-Banner «praktisch notwendig» werden – egal ob Schweizer Recht das verlangt oder nicht.

Zusätzlich erwähnte er, dass der EDÖB in einem Leitfaden teilweise europäische Standards in Schweizer Kontexte überträgt – was nicht zwingend der Rechtslage entspricht, aber als Behördenposition in der Praxis trotzdem relevant sein kann.

EU vs. Schweiz: zwei Welten

Martin kontrastierte die Schweizer Lage mit Europa:

  • EU (Cookie-Richtlinie / nationale Umsetzungen): Einwilligung erforderlich
  • Schweiz: Information + Opt-out-Hinweis genügt

Für Projekte mit Zielgruppen in Europa bedeutet das: Selbst wenn der Shop/die Website “schweizerisch” ist, kann ein Cookie-Banner durch EU-Besucher faktisch notwendig werden – Stichwort: Geotargeting/Unterscheidung nach IP möglich (aber nicht perfekt).

Cookie-Banner sind oft nicht nur nervig – sondern auch falsch

Ein zentrales Fazit von Steiger war, dass ein grosser Teil der Cookie-Banner:

  • rechtlich zweifelhaft gestaltet ist (Dark Patterns, Ablehnen versteckt, etc.)
  • technisch nicht korrekt funktioniert (Tracking feuert trotzdem)

Was besonders bitter ist: Das Banner erzeugt Aufwand, stört Nutzerinnen und Nutzer – und ist am Ende oft weder Compliance noch Datenqualität.

Collateral Damage im Cookie-Krieg: So bändigst du die Consent Technik

Frank Mickeler knüpfte perfekt an: Wenn man sich – egal aus welchem Grund – für ein Cookie-Banner und Consent-Setup entscheidet, beginnt die eigentliche Herausforderung erst. Seine Kernthese: Viele Consent-Setups «sehen» korrekt aus – aber liefern in Wahrheit massiv kaputte Daten.

Videoaufzeichnung auf WordPress.TV: Collateral Damage im Cookie-Krieg:
So bändigst du die Consent Technik

Das technische Problem: Banner + Tracking müssen dieselbe Sprache sprechen

Frank erklärte das Setup als Zusammenspiel aus drei Komponenten:

  1. CMP (Consent Management Platform / Banner)
  2. Data Layer (als «schwarzes Brett» der Website)
  3. Tags / Tracker (Google Tag, Meta, LinkedIn, etc.)

Der Banner schreibt die Consent-Information in den Data Layer – und die Tags müssen diese Information korrekt auslesen und respektieren. In der Praxis ist das fehleranfällig und nicht trivial.

Warum Google keine eigene CMP baut (und warum das relevant ist)

Ein spannender Gedankengang: Frank fragte sich selbst, warum Google (mit GA4 + GTM) nicht einfach auch noch die Consent-Plattform liefert – und vermutete: weil Google die rechtliche Verantwortung für «gültigen Consent» nicht tragen möchte.

Er illustriert das mit dem Hinweis auf hohe Bussgelder in Frankreich (CNIL).

Consent Mode: V1 vs. V2 – was hat sich verändert?

Frank nahm das Publikum mit durch die Evolution:

Consent Mode “V0” (inoffiziell)

Man könnte es selbst bauen: kleines Popup + JavaScript Data-Layer Push.
Er riet klar davon ab – zu fragil, zu wartungsintensiv.

Consent Mode V1

Zwei Effekte:

  • Google standardisiert Begriffe/Kategorien (ad_storage, analytics_storage usw.)
  • führt «Cookieless Pings» (anonymes Tracking) ein

Consent Mode V2 (seit 2024)

Die grosse Veränderung:

  • Google geht defaultmässig von denied aus
  • es gibt neu vier Consent-Kategorien (1× Analytics, 3× Ads)
  • bei Ablehnung droht ein «Basic Mode» mit komplettem Tracking-Verlust bei nicht zustimmenden Users

Das Problem: Du siehst oft nicht, dass du Daten verlierst

Besonders wichtig war sein Hinweis: GA4 kann anzeigen «Einwilligungsstatus: sehr gut», während gleichzeitig z. B. ein Shop im Backend doppelt so viele Conversions hat wie GA4 misst.

Denn: Der GA4-Check bestätigt primär, dass es für Google formal okay aussieht – nicht, dass die Daten vollständig oder korrekt sind.

Debugging ist Pflicht: GTM Preview Mode & Consent Tab

Sein pragmatischer Rat: Ohne Debugging weiss man nichts. Er zeigte (im Talk live) die wichtigsten Tools:

  • Cookies löschen (um Defaults zu testen)
  • Chrome Inspect → Application → Cookies
  • Chrome Extensions wie Analytics Debugger
  • Google Tag Manager Preview Mode
    • dort ist insbesondere der Tab «Einwilligung» entscheidend
    • man muss «default» und «update» Events sehen

Typische Consent-Setups, die scheitern

Frank listete mehrere reale Fehlerbilder, die im Alltag extrem häufig sind:

  • CMP behauptet «Consent Mode V2 Support», aber Data Layer bleibt leer
  • Consent Mode V2 ist teils ein Premium Feature
  • Manche CMPs erfordern zusätzliche Aktivierung im WordPress-Plugin
  • CMP blockiert den kompletten GTM → Advanced Mode kann nie funktionieren
  • Doppeltes Tracking: Tag im GTM UND zusätzlich im Source Code → Chaos
  • Vergessene Subdomains: Hauptdomain hat Banner, aber Subdomains (App, Landingpage, Forms) nicht

Empfehlung: Native Consent Mode (ohne extra GTM Tag)

Sein Best-Practice Setup:

  • CMP wählen, die Consent Mode V2 unterstützt
  • GTM-Script direkt in Website integrieren (nicht über CMP nachladen)
  • im GTM dann Google Tag + weitere Tags verwalten
  • bei nicht-Google Tags (Meta/LinkedIn) Consent manuell sauber konfigurieren
  • Debugging obligatorisch

Fazit des Abends: Nicht nur «Compliance» – sondern auch Datenqualität

Dieses Meetup war ein Paradebeispiel dafür, warum WordPress-Meetups wertvoll sind: Es ging nicht um oberflächliche Tool-Tipps, sondern um reale Projektpraxis, die fast jede und jeder von uns kennt.

Die zentralen Learnings

  1. Datenschutz ist ein Prozess – und ohne sauberes Verständnis des eigenen Setups bleibt jede Datenschutzerklärung fragil.
  2. Schweizer Recht ≠ EU-Recht: Cookie-Banner sind hierzulande oft nicht gesetzlich nötig, aber durch Plattformen/Tools faktisch «erzwungen».
  3. Consent-Technik ist fehleranfällig – und scheinbar funktionierendes Tracking kann kompletter Selbstbetrug sein.
  4. Wer Consent-Setups baut oder betreut, muss Debugging als Pflicht ansehen – nicht als «nice to have».

Danke an die Speaker und Community

Ein grosses Dankeschön an:

  • Martin Steiger für den klaren, sehr praxisnahen Blick auf Datenschutzpflichten und Cookie-Banner-Realität
  • Frank Mickeler für den technischen Deep Dive, der vielen Teilnehmenden vermutlich einige «Aha-Momente» beschert hat
  • sowie an alle Teilnehmenden für die Diskussionen und den Austausch

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert