Datenschutzrecht: Was deine Website rechtlich braucht

Datenschutz ist kein Thema, das Begeisterung auslöst. Aber es ist eines, das dich teuer zu stehen kommen kann, wenn du es ignorierst. In der Schweiz gilt seit dem 1. September 2023 das revidierte Datenschutzgesetz (DSG) – ohne Übergangsfrist. Und wenn du dein Angebot auf Personen in der EU ausrichtest oder deren Verhalten trackst, kommt die DSGVO dazu.

Die gute Nachricht: Für die meisten Schweizer KMU ist der Aufwand überschaubar, wenn du einmal die Grundlagen richtig aufgesetzt hast. In diesem Guide erklären wir dir, was du brauchst, was du nicht brauchst und wo die häufigsten Fehler lauern.

Dieser Artikel ergänzt unseren umfassenden Perfekte-Website-Guide, in dem wir alle Aspekte einer erfolgreichen Website behandeln.

Schweizer DSG vs. EU-DSGVO: Wann gilt was?

Viele Schweizer KMU sind unsicher: Gilt für mich das DSG, die DSGVO – oder beides? Die Antwort hängt von deiner Geschäftstätigkeit ab.

Das Schweizer DSG gilt, wenn:

• Du ein Unternehmen mit Sitz in der Schweiz bist
• Du Personendaten von Personen in der Schweiz bearbeitest
• Du Daten im Auftrag eines Schweizer Unternehmens verarbeitest

Die EU-DSGVO gilt zusätzlich, wenn:

• Du Waren oder Dienstleistungen an Personen in der EU anbietest (auch kostenlos)
• Du das Verhalten von Personen in der EU beobachtest (z. B. Tracking, Profiling)
• Du eine Niederlassung in der EU hast

Praxis-Beispiel: Ein Coiffeur in Olten mit ausschliesslich lokaler Kundschaft muss nur das DSG beachten – auch wenn gelegentlich EU-Bürger seine Website besuchen. Ein Online-Shop aus Solothurn, der auch nach Deutschland und Frankreich liefert, muss sowohl DSG als auch DSGVO einhalten. Ein IT-Dienstleister, der gezielt das Verhalten von Besuchern aus der EU trackt, kann ebenfalls unter die DSGVO fallen.

Die wichtigsten Unterschiede auf einen Blick:

Cookie-Banner: Richtig umsetzen statt Abmahnung riskieren

Der Cookie-Banner ist das sichtbarste Zeichen des Datenschutzes auf deiner Website – und gleichzeitig das, was am häufigsten falsch umgesetzt wird.

Was du brauchst (nach DSGVO-Standard):

• Ein Cookie-Banner, das vor dem Setzen nicht-essenzieller Cookies erscheint
• Klare Information darüber, welche Cookies gesetzt werden und warum
• Die Möglichkeit, einzelne Kategorien zu akzeptieren oder abzulehnen
• Einen «Alle ablehnen»-Button, der genauso prominent ist wie «Alle akzeptieren»
• Einen Link zur vollständigen Cookie-Richtlinie

Häufige Fehler bei Cookie-Bannern:

• Dark Patterns: Der «Akzeptieren»-Button ist gross und grün, der «Ablehnen»-Button klein und grau. Das ist nach DSGVO problematisch.
• Vorangekreuzte Checkboxen: Alle Kategorien sind standardmässig aktiviert. Das entspricht nicht einer informierten Einwilligung.
• Kein echtes Opt-out: Der Banner erscheint zwar, aber die Cookies werden trotzdem gesetzt, bevor der Nutzer entscheidet.
• Cookie-Wall: Die Website ist nur nutzbar, wenn man alle Cookies akzeptiert. Das ist nach DSGVO unzulässig.
• Fehlende Widerrufsmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit widerrufen können.

Empfohlene Cookie-Kategorien:

• Notwendig: Session-Cookies, Warenkorb, Sicherheit – immer aktiv, keine Einwilligung nötig
• Statistik: Google Analytics, Matomo – nur mit Einwilligung
• Marketing: Google Ads, Facebook Pixel, Retargeting – nur mit Einwilligung
• Funktional: Chat-Widgets, eingebettete Videos, Kartenintegration – je nach Datenverarbeitung mit Einwilligung

Tool-Empfehlungen:

• Cookiebot: Automatische Cookie-Erkennung, DSGVO-konform, Preis nach Grösse der Website
• Usercentrics: Umfangreich konfigurierbare Consent-Management-Plattform für grössere Setups
• Borlabs Cookie: Kostengünstiges Plugin speziell für WordPress (Jahreslizenz)

Impressum und Datenschutzerklärung: Was muss rein?

Jede geschäftliche Website in der Schweiz braucht ein Impressum und eine Datenschutzerklärung. Beides muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein.

Impressum – Pflichtangaben:

• Vollständiger Name oder Firmenname
• Postadresse (kein Postfach)
• E-Mail-Adresse
• Bei Handelsregistereintrag: UID-Nummer (CHE-XXX.XXX.XXX)
• Bei MWST-Pflicht: Mehrwertsteuernummer
• Vertretungsberechtigte Personen (bei juristischen Personen)

Datenschutzerklärung – Pflichtinhalte nach DSG:

• Name und Kontaktdaten des Verantwortlichen
• Zweck der Datenbearbeitung
• Kategorien der bearbeiteten Personendaten
• Empfänger oder Kategorien von Empfängern
• Bei Datenexport ins Ausland: Zielländer und Schutzgarantien
• Aufbewahrungsdauer oder Kriterien zur Festlegung
• Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung)
• Kontakt für Datenschutzanfragen

Zusätzliche Angaben bei DSGVO-Anwendbarkeit:

• Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)
• Recht auf Datenübertragbarkeit
• Recht auf Beschwerde bei einer Aufsichtsbehörde
• Angaben zum Datenschutzbeauftragten (falls vorhanden)
• Informationen zu automatisierter Entscheidungsfindung (falls vorhanden)

Praxis-Tipp: Verwende keinen generischen Datenschutzerklärungs-Generator ohne Anpassung. Jede Website ist anders, und eine Copy-Paste-Erklärung stimmt selten mit deiner tatsächlichen Datenverarbeitung überein. Gute, auf Schweizer Recht ausgelegte Generatoren sind ein sinnvoller Startpunkt – passe das Ergebnis aber immer auf deine spezifische Situation an.

Kontaktformulare, Newsletter und Tracking: Typische Stolperfallen

Im Alltag deiner Website gibt es zahlreiche Stellen, an denen Personendaten verarbeitet werden. Hier sind die wichtigsten:

Kontaktformulare:

• Erhebe nur Daten, die du wirklich brauchst (Datenminimierung)
• Verlinke die Datenschutzerklärung im Formular
• Speichere Formulardaten verschlüsselt
• Lösche Anfragen, die nicht mehr benötigt werden
• Setze SSL/TLS-Verschlüsselung ein (HTTPS ist Pflicht)

Newsletter:

• Double-Opt-in ist Pflicht: Der Empfänger muss seine Anmeldung per E-Mail bestätigen
• Jeder Newsletter braucht einen funktionierenden Abmeldelink
• Dokumentiere die Einwilligung (Zeitpunkt, IP-Adresse, Umfang)
• Informiere in der Datenschutzerklärung über den Newsletter-Dienst (z. B. Mailchimp, Brevo)

Eingebettete Dienste:

• Google Maps: Übermittelt Daten an Google in den USA – entweder mit Einwilligung einbetten oder eine Karte als Bild nutzen mit Link zu Google Maps
• YouTube-Videos: Nutze den erweiterten Datenschutzmodus (youtube-nocookie.com)
• Social-Media-Buttons: Verwende Shariff oder ähnliche datenschutzfreundliche Lösungen statt der Originalskripte
• Schriftarten (Google Fonts): Hoste sie lokal auf deinem Server, statt sie von Google zu laden

Ein häufiger und teurer Fehler: Google Fonts direkt von Google-Servern zu laden. Jeder Seitenaufruf überträgt dabei die IP-Adresse des Besuchers an Google in den USA. In Deutschland gab es bereits Massenabmahnungen mit Forderungen von EUR 100-170 pro Verstoss. Die Lösung ist einfach: Fonts herunterladen und lokal hosten.

Checkliste: Datenschutz für deine KMU-Website

Nutze diese Checkliste, um deine Website zu überprüfen:

Grundlagen:

• Impressum mit allen Pflichtangaben vorhanden
• Datenschutzerklärung aktuell und vollständig
• Beide Seiten von jeder Unterseite erreichbar (Footer)
• SSL-Zertifikat aktiv (HTTPS)
• Verarbeitungsverzeichnis erstellt

Cookies und Tracking:

• Cookie-Banner eingerichtet mit Opt-in vor dem Setzen von Cookies
• «Alle ablehnen» ist gleich sichtbar wie «Alle akzeptieren»
• Google Analytics mit Consent Mode eingerichtet (IP-Anonymisierung ist bei GA4 Standard)
• Tracking startet erst nach erteilter Einwilligung
• Auftragsverarbeitungsvertrag mit Google abgeschlossen

Formulare und Kommunikation:

• Kontaktformulare erheben nur notwendige Daten
• Newsletter mit Double-Opt-in
• Einwilligungen dokumentiert
• Löschkonzept definiert

Technische Massnahmen:

• Google Fonts lokal gehostet
• YouTube im erweiterten Datenschutzmodus
• Social-Media-Buttons datenschutzkonform
• Regelmässige Backups verschlüsselt

Bei D3 Webstudio achten wir bei jedem Webprojekt auf die Einhaltung der datenschutzrechtlichen Anforderungen – damit du dich auf dein Kerngeschäft konzentrieren kannst.

FAQ: Häufige Fragen zum Datenschutz

Kann ich als Einzelunternehmer abgemahnt werden? Ja. Das Schweizer DSG richtet sich mit Bussen sogar direkt an die verantwortliche Privatperson. Unter der DSGVO ist das Risiko für Schweizer KMU geringer, da die EU-Aufsichtsbehörden ihren Fokus eher auf grössere Unternehmen legen. Trotzdem: Abmahnungen durch Privatpersonen oder Anwälte sind auch bei kleinen Firmen möglich.

Brauche ich einen Datenschutzbeauftragten? Nach Schweizer DSG ist ein Datenschutzberater empfohlen, aber für KMU nicht vorgeschrieben. Nach DSGVO hängt die Pflicht von der Art und dem Umfang der Datenverarbeitung ab – nicht von der Firmengrösse. Die meisten Schweizer KMU brauchen keinen formellen Datenschutzbeauftragten.

Reicht ein einfacher Cookie-Hinweis? Nein. Ein simpler Hinweis «Diese Website verwendet Cookies» ohne Auswahlmöglichkeit reicht weder nach DSG noch nach DSGVO. Du brauchst ein Banner mit echten Auswahlmöglichkeiten: akzeptieren, ablehnen, individuelle Einstellungen.

Muss ich alte Daten löschen? Ja. Sowohl DSG als auch DSGVO verlangen, dass Personendaten gelöscht werden, wenn sie nicht mehr benötigt werden. Definiere Aufbewahrungsfristen und halte dich daran. Für geschäftliche Korrespondenz gelten in der Schweiz handelsrechtliche Aufbewahrungsfristen von 10 Jahren.

Fazit: Datenschutz als Vertrauenssignal nutzen

Datenschutz muss kein Schreckgespenst sein. Wenn du die Grundlagen einmal sauber aufgesetzt hast, ist der laufende Aufwand gering. Und: Ein professioneller Umgang mit Datenschutz stärkt das Vertrauen deiner Kunden. Wer transparent kommuniziert, wie er mit Daten umgeht, zeigt Professionalität.

Du möchtest eine Website, die von Anfang an datenschutzkonform aufgebaut ist? Lass deine Website von uns erstellen – inklusive Cookie-Banner, Impressum und Datenschutzerklärung.