Datenschutzrecht ist fur Websites nicht optional. Ob Sie unter der EU-Datenschutz-Grundverordnung (DSGVO), dem revidierten Schweizer Datenschutzgesetz (nDSG), oder beidem operieren, Ihre Website hat spezifische gesetzliche Pflichten. Sie zu ignorieren riskiert nicht nur Bussen. Es schadigt das Vertrauen Ihrer Kunden.
Dieser Leitfaden deckt die praktischen, technischen Schritte ab, die Sie unternehmen mussen, um Ihre Website compliant zu machen. Kein juristischer Fachjargon, keine Angstmacherei. Klare Erklarungen dessen, was das Gesetz verlangt und wie es umzusetzen ist.
Wer Muss Sich Anpassen?
Kurze Antwort: fast jedes Unternehmen mit einer Website.
Die DSGVO Gilt Wenn:
- Ihr Unternehmen in der EU/EWR ansassig ist
- Sie Waren oder Dienstleistungen an Personen in der EU anbieten (auch wenn Ihr Unternehmen in der Schweiz ist)
- Sie das Verhalten von Personen in der EU uberwachen (Analytics, Tracking, Profiling)
Das Schweizer nDSG Gilt Wenn:
- Sie personenbezogene Daten von Personen in der Schweiz verarbeiten
- Ihre Datenverarbeitung Auswirkungen in der Schweiz hat
Fur die meisten Schweizer Unternehmen gelten beide Gesetze gleichzeitig. Ein Unternehmen in Lugano, das an Kunden in Deutschland und Osterreich verkauft, muss sowohl das nDSG als auch die DSGVO einhalten.
Anforderungen an die Cookie-Einwilligung
Cookies sind der Punkt, an dem die meisten Websites erstmals auf Compliance-Probleme stossen.
EU/DSGVO Cookie-Regeln
Unter der ePrivacy-Richtlinie ist die Regel klar: Vor dem Setzen nicht-essentieller Cookies ist eine vorherige Einwilligung erforderlich.
- Unbedingt notwendige Cookies (Session, Warenkorb, Authentifizierung): keine Einwilligung erforderlich
- Analytics-Cookies (Google Analytics, Matomo mit Cookies): Einwilligung erforderlich
- Marketing-/Werbe-Cookies (Google Ads, Facebook Pixel): Einwilligung erforderlich
- Praferenz-Cookies (Sprachauswahl, Theme): Einwilligung erforderlich
Was eine Gultige Einwilligung Ausmacht
- Freiwillig: Der Nutzer muss eine echte Wahl haben. Vorangekreuzte Kastchen oder "Alle akzeptieren" prominenter als "Alle ablehnen" sind problematisch.
- Spezifisch: Nutzer mussen verschiedenen Kategorien separat zustimmen konnen.
- Informiert: Das Banner muss erklaren, wofur Cookies verwendet werden.
- Eindeutig: Die Einwilligung erfordert eine klare bestatige Handlung. Scrollen oder Weitersurfen ist keine Einwilligung.
- Widerrufbar: Nutzer mussen die Einwilligung so einfach widerrufen konnen, wie sie sie gegeben haben.
Schweizer nDSG Cookie-Regeln
Das Schweizer Recht verfolgt einen leicht anderen Ansatz. Das nDSG hat keine Cookie-spezifische Vorschrift wie die ePrivacy-Richtlinie der EU. Stattdessen konzentriert es sich auf die allgemeinen Grundsatze: Transparenz, Rechtsgrundlage und Verhaltnismassigkeit.
In der Praxis empfehlen viele Schweizer Datenschutzexperten, trotzdem eine Cookie-Einwilligung nach EU-Stil zu implementieren.
Wesentliche Elemente der Datenschutzerklaerung
Jede Website braucht eine Datenschutzerklaerung, die von jeder Seite aus zuganglich ist (typischerweise uber einen Link im Footer).
Erforderliche Informationen (DSGVO Art. 13/14)
- Identitat und Kontaktdaten des Verantwortlichen
- Kontaktdaten des DSB (falls zutreffend)
- Verarbeitungszwecke und Rechtsgrundlage fur jeden
- Empfanger oder Kategorien von Empfangern
- Ubermittlungen in Drittlander und Garantien
- Speicherdauer fur jede Datenkategorie
- Betroffenenrechte
- Recht auf Widerruf der Einwilligung
- Beschwerderecht bei einer Aufsichtsbehorde
Drittanbieter-Dienste: Das Versteckte Compliance-Problem
Google Analytics
Mehrere EU-Datenschutzbehorden haben bestimmte GA-Implementierungen als nicht konform beurteilt. Eine Einwilligung ist vor dem Laden der GA-Skripte erforderlich.
Alternativen: Matomo (selbst gehostet), Plausible, Fathom.
Google Fonts
Das Laden von Schriften vom Google-CDN ubermittelt die IP-Adresse des Nutzers an Google. Ein deutsches Gericht hat dies im Januar 2022 als DSGVO-Verstoss beurteilt. Die Losung: Hosten Sie Ihre Schriften selbst.
Eingebettete Inhalte
YouTube-Videos, Google Maps, Social-Media-Widgets laden externe Ressourcen. Verwenden Sie Zwei-Klick-Losungen, den youtube-nocookie.com-Modus oder statische Bilder mit Link.
Formulare und Datenerfassung
- Nur notwendige Daten erfassen (Datenminimierung)
- Datenschutzerklaerung in der Nahe des Formulars verlinken
- Marketing-Einwilligung separat uber nicht-angekreuztes Kontrollkastchen
- HTTPS fur die Formularubermittlung
- Datenschutzfreundlicher Spamschutz (Honeypot statt reCAPTCHA)
- Aufbewahrungsfristen definiert und durchgesetzt
Betroffenenrechte
DSGVO und nDSG gewahren Einzelpersonen Rechte uber ihre Daten: Auskunft, Berichtigung, Loschung, Einschrankung, Datenubertragbarkeit und Widerspruch. Sie mussen innerhalb von 30 Tagen antworten.
Bussen und Durchsetzung
DSGVO-Bussen
Bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes. Fur KMU liegen die Bussen fur Website-Verstoosse typischerweise im Bereich von einigen Tausend bis mehreren Hunderttausend Euro.
Schweizer nDSG-Bussen
Das nDSG zielt auf naturliche Personen (verantwortliche Personen in der Organisation), nicht auf das Unternehmen. Maximalbusse: CHF 250.000. Die personliche Haftung ist beabsichtigt, um Compliance zu motivieren.
Schweiz vs EU: Zentrale Unterschiede
| Aspekt | DSGVO | Schweizer nDSG |
|---|---|---|
| Rechtsgrundlage | 6 explizite Grundlagen | Keine explizite Liste; Verarbeitung ist rechtmassig, sofern keine Personlichkeitsverletzung |
| DSB-Anforderung | Fur bestimmte Organisationen obligatorisch | Freiwillig (aber empfohlen) |
| Breach-Meldung | 72 Stunden an die Aufsichtsbehorde | "So rasch wie moglich" an den EDOB |
| Bussen | Bis 20M EUR / 4% Umsatz (gegen Unternehmen) | Bis CHF 250.000 (gegen naturliche Personen) |
Praktische Compliance-Checkliste
Cookie-Einwilligung
- Cookie-Banner ladt vor nicht-essentiellen Cookies
- Nicht-essentielle Skripte bis zur Einwilligung blockiert
- Ablehnung mit einem Klick
- Granulare Auswahlmoglichkeiten (Analytics, Marketing, Praferenzen)
- Moglichkeit, Praferenzen jederzeit zu andern
- Einwilligung mit Zeitstempel aufgezeichnet
Datenschutzerklaerung
- Von jeder Seite zuganglich (Footer-Link)
- In allen Website-Sprachen verfugbar
- Listet alle Drittanbieter-Dienste mit ihren Zwecken auf
- Enthalt spezifische Speicherdauern
- Erklart Betroffenenrechte und deren Ausubung
Drittanbieter-Dienste
- AVVs mit allen Auftragsverarbeitern vorhanden
- Google Fonts selbst gehostet
- Analytics mit Einwilligungsanforderung oder datenschutzfreundliche Alternative
- Eingebettete Inhalte mit Zwei-Klick-Losung
Technische Massnahmen
- HTTPS auf allen Seiten erzwungen
- Security Headers konfiguriert (siehe unsere Sicherheitsaudit-Checkliste)
- Zugriff auf personenbezogene Daten eingeschrankt und protokolliert
- Backups verschlusselt
- Notfallplan fur Datenschutzverletzungen vorhanden
Nachste Schritte
Website-Compliance ist kein einmaliges Projekt. Es erfordert kontinuierliche Aufmerksamkeit. Beginnen Sie mit der Checkliste oben und integrieren Sie Compliance in Ihren Entwicklungsprozess.
Wenn Sie Hilfe bei der Bewertung des Compliance-Status Ihrer Website benotigen, kontaktieren Sie unser Team. Wir arbeiten mit Unternehmen in der ganzen Schweiz, um ihre Webprasenz mit den Anforderungen von DSGVO und nDSG in Einklang zu bringen.
Wollen Sie wissen, ob Ihre Website sicher ist?
Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.
Kostenloses Audit Anfordern