Website und Datenschutz in der Schweiz: Was das neue DSG für KMU bedeutet

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für Unternehmen mit einer Website — also praktisch jedes KMU — bringt das Gesetz konkrete Pflichten mit sich. Cookie-Banner, Datenschutzerklärungen, Einwilligungsmanagement und die Frage, wo Daten gespeichert werden: All das betrifft Ihre Online-Präsenz direkt. Doch viele Schweizer KMU sind sich unsicher, was genau sie tun müssen — und was Panikmache ist.

Dieser Artikel erklärt in verständlicher Sprache, was das neue DSG für Ihre Website bedeutet. Keine juristische Abhandlung, sondern praktische Hinweise, die Sie sofort umsetzen können. Bitte beachten Sie: Dieser Artikel ersetzt keine Rechtsberatung. Bei spezifischen Fragen wenden Sie sich an einen auf Datenschutz spezialisierten Anwalt.

Das neue DSG im Überblick: Was hat sich geändert?

Das revidierte Datenschutzgesetz (revDSG) ersetzt das alte Bundesgesetz über den Datenschutz von 1992. Die Revision war nötig, um das Schweizer Datenschutzrecht an die europäische Datenschutz-Grundverordnung (DSGVO) anzugleichen und den Angemessenheitsbeschluss der EU für die Schweiz zu sichern. Das bedeutet: Die Schweiz wird von der EU weiterhin als Land mit angemessenem Datenschutzniveau anerkannt — wichtig für den grenzüberschreitenden Datenverkehr.

Die wichtigsten Änderungen für KMU-Websites: Erstens schützt das neue DSG nur noch Daten natürlicher Personen — juristische Personen sind nicht mehr erfasst. Zweitens gilt eine erweiterte Informationspflicht. Sie müssen Nutzer aktiv darüber informieren, welche Daten Sie sammeln, warum und wohin diese allenfalls übermittelt werden. Drittens müssen Sie bei besonders schützenswerten Personendaten oder bei Profiling mit hohem Risiko eine ausdrückliche Einwilligung einholen. Viertens müssen Sie ein Verzeichnis Ihrer Datenbearbeitungstätigkeiten führen — wobei KMU mit weniger als 250 Mitarbeitenden unter bestimmten Bedingungen davon befreit sind.

Was viele KMU beruhigen dürfte: Das Schweizer DSG ist weniger streng als die europäische DSGVO. Es gibt kein generelles Verbot der Datenverarbeitung mit Erlaubnisvorbehalt wie in der EU. In der Schweiz dürfen Personendaten grundsätzlich bearbeitet werden, solange die Grundsätze eingehalten werden und kein Widerspruch vorliegt. Trotzdem gibt es klare Pflichten, die jede Website erfüllen muss.

Cookie-Banner: Braucht meine Website einen?

Die Frage nach dem Cookie-Banner ist die häufigste, die Schweizer KMU stellen. Die Antwort ist differenzierter, als viele denken. Nach reinem Schweizer Recht (DSG) besteht keine Pflicht für ein Cookie-Banner mit Einwilligungsmechanismus — solange Sie nur technisch notwendige Cookies verwenden. Technisch notwendige Cookies sind solche, die für den Betrieb der Website unerlässlich sind, etwa Session-Cookies für den Login-Bereich oder Warenkorb-Cookies in einem Online-Shop.

Sobald Sie jedoch Tracking-Cookies verwenden — etwa für Google Analytics, Facebook Pixel, Marketing-Automation oder Remarketing — sieht die Sache anders aus. Das DSG verlangt Transparenz: Sie müssen Nutzer darüber informieren, dass Sie Cookies einsetzen und welchen Zweck diese verfolgen. Eine Einwilligung vor dem Setzen von Tracking-Cookies ist nach Schweizer Recht nicht zwingend vorgeschrieben, wird aber empfohlen — insbesondere aus zwei Gründen.

Erstens: Das Fernmeldegesetz (FMG) verbietet die Bearbeitung von Daten auf fremden Geräten ohne Information — und Cookies sind genau das. Zweitens: Wenn Ihre Website auch von Personen aus dem EU-Raum besucht wird (was bei praktisch jeder Website der Fall ist), gilt für diese Nutzer die DSGVO — und die verlangt eine aktive Einwilligung vor dem Setzen nicht-notwendiger Cookies. Da Schweizer KMU in der Regel auch Besucher aus dem nahen EU-Ausland haben (Deutschland, Österreich, Frankreich), ist ein Cookie-Banner mit Einwilligungsmechanismus die sicherste Lösung.

Die pragmatische Empfehlung: Verzichten Sie auf unnötige Tracking-Cookies. Wenn Sie auf Google Analytics nicht verzichten möchten, nutzen Sie die cookielose Variante oder eine datenschutzfreundliche Alternative wie Plausible Analytics oder Matomo. So brauchen Sie keinen Cookie-Banner — und sparen sich die nervigen Pop-ups, die viele Besucher sofort wegklicken.

Datenschutzerklärung: Was muss drinstehen?

Jede Website braucht eine Datenschutzerklärung. Das war schon vor dem revDSG so, aber die Anforderungen sind gestiegen. Die Datenschutzerklärung muss leicht auffindbar sein — typischerweise verlinkt im Footer jeder Seite — und sie muss vollständig, verständlich und aktuell sein.

Folgende Informationen müssen enthalten sein: Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen). Kontaktdaten eines allfälligen Datenschutzberaters. Zweck der Datenbearbeitung — warum sammeln Sie Daten? Kategorien der bearbeiteten Personendaten. Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden. Bei Datenübermittlung ins Ausland: Name des Zielstaates und die Rechtsgrundlage für die Übermittlung. Aufbewahrungsdauer der Daten oder die Kriterien für deren Festlegung. Hinweis auf die Rechte der betroffenen Personen (Auskunftsrecht, Berichtigungsrecht, Löschungsrecht). Hinweis auf das Beschwerderecht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Konkret für Websites bedeutet das: Listen Sie alle Dienste auf, die Daten verarbeiten. Dazu gehören Ihr Hosting-Provider, allfällige Analytics-Tools, Kontaktformulare, Newsletter-Tools, eingebettete Videos (YouTube, Vimeo), Social-Media-Plugins, Chat-Tools, Schriftarten-Dienste (Google Fonts) und Kartendienste (Google Maps). Für jeden Dienst sollten Sie angeben, welche Daten erhoben werden, warum, und ob die Daten ins Ausland übermittelt werden.

Ein häufiger Fallstrick: Google Fonts. Wenn Sie Google Fonts über die Google-Server laden, wird bei jedem Seitenaufruf die IP-Adresse des Nutzers an Google in die USA übermittelt. Die Lösung ist einfach: Hosten Sie die Schriftarten lokal auf Ihrem eigenen Server. Das verbessert gleichzeitig die Ladezeit und eliminiert ein Datenschutzproblem. Dasselbe gilt für andere externe Ressourcen — laden Sie, was möglich ist, lokal.

Google Analytics und Datenschutz: Was ist erlaubt?

Google Analytics ist das meistverwendete Webanalyse-Tool der Welt — und gleichzeitig aus Datenschutzsicht eines der problematischsten. Der Grund: Google Analytics überträgt standardmässig Nutzerdaten (IP-Adresse, Geräteinformationen, Surfverhalten) an Google-Server in den USA. Seit dem Aus des Privacy-Shield-Abkommens und der Schrems-II-Entscheidung des EuGH ist die Datenübermittlung in die USA ein heikles Thema.

In der Schweiz ist die Situation etwas entspannter als in der EU. Der EDÖB hat die USA bisher nicht als Land mit ungenügendem Datenschutzniveau eingestuft, solange angemessene Schutzmassnahmen getroffen werden. Mit dem Data Privacy Framework (DPF) zwischen der EU und den USA gibt es seit 2023 zudem eine neue Rechtsgrundlage für Datenübermittlungen. Google LLC ist unter dem DPF zertifiziert.

Trotzdem empfehlen wir Schweizer KMU, datenschutzfreundliche Alternativen zu prüfen. Google Analytics 4 (GA4) ist zwar datenschutzfreundlicher als die Vorgängerversion — es anonymisiert IP-Adressen automatisch und kann ohne Cookies betrieben werden — aber es sendet weiterhin Daten an Google. Alternativen wie Plausible Analytics, Matomo (selbst gehostet) oder Simple Analytics erheben weniger Daten, setzen keine Cookies und können in der Schweiz oder in Europa gehostet werden.

Wenn Sie bei Google Analytics bleiben möchten, beachten Sie folgende Punkte: Aktivieren Sie die IP-Anonymisierung (in GA4 standardmässig aktiv). Schliessen Sie mit Google einen Auftragsverarbeitungsvertrag ab. Dokumentieren Sie die Datenübermittlung in Ihre Datenschutzerklärung. Bieten Sie Nutzern eine Opt-out-Möglichkeit an. Und verwenden Sie GA4 wenn möglich im Consent-Modus: Daten werden erst gesammelt, wenn der Nutzer im Cookie-Banner zugestimmt hat. Erfahren Sie mehr über datenschutzkonforme Websites bei professionelle Website erstellen.

Hosting in der Schweiz: Warum der Serverstandort wichtig ist

Wo Ihre Website gehostet wird, ist mehr als eine technische Frage — es ist eine Datenschutzfrage. Jedes Mal, wenn jemand Ihre Website besucht, wird seine IP-Adresse an den Server übermittelt, auf dem die Website läuft. Wenn dieser Server in den USA steht, findet eine Datenübermittlung ins Ausland statt, die datenschutzrechtlich relevant ist.

Schweizer Hosting bietet mehrere Vorteile: Die Daten bleiben unter dem Schweizer Datenschutzgesetz. Es gibt keine Probleme mit internationalen Datentransfers. Die Latenzzeiten sind kürzer, was die Website schneller macht. Und für viele Kunden — besonders in sensiblen Branchen wie Gesundheit, Recht oder Finanzen — ist «Hosting in der Schweiz» ein Vertrauenssignal.

Schweizer Hosting-Anbieter wie Infomaniak, Cyon oder Metanet bieten professionelle Lösungen zu wettbewerbsfähigen Preisen. Für moderne Websites auf Basis von Next.js gibt es auch die Möglichkeit, über Vercel mit einer Schweizer oder europäischen Edge-Region zu arbeiten — die Daten werden dann primär in Europa verarbeitet.

Wichtig: Der Hosting-Standort allein reicht nicht. Auch alle eingebundenen Drittdienste — Analytics, Fonts, Videos, Karten, Chat-Tools — übertragen Daten an ihre jeweiligen Server. Eine Website, die in der Schweiz gehostet wird, aber Google Fonts, YouTube-Videos, Google Maps und ein US-amerikanisches Chat-Tool einbindet, sendet trotzdem Daten in die USA. Prüfen Sie deshalb jeden Drittdienst und ersetzen Sie ihn wo möglich durch lokale oder datenschutzfreundliche Alternativen.

Kontaktformulare und Newsletter: Worauf Sie achten müssen

Kontaktformulare auf Websites erheben personenbezogene Daten — mindestens Name und E-Mail-Adresse. Nach dem revDSG müssen Sie den Nutzer informieren, was mit diesen Daten geschieht. Ein kurzer Hinweis unter dem Formular reicht: «Ihre Daten werden ausschliesslich zur Bearbeitung Ihrer Anfrage verwendet und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerklärung.» Verlinken Sie dabei direkt auf Ihre Datenschutzerklärung.

Beim Newsletter-Versand gelten strengere Regeln. Das Gesetz gegen den unlauteren Wettbewerb (UWG) verlangt eine ausdrückliche Einwilligung (Opt-in) für den Versand von Werbe-E-Mails. Best Practice ist das Double-Opt-in-Verfahren: Der Nutzer trägt seine E-Mail-Adresse ein und erhält eine Bestätigungs-E-Mail. Erst wenn er den Link in dieser E-Mail klickt, wird er in den Verteiler aufgenommen. Das schützt vor Missbrauch und dient als Nachweis der Einwilligung.

Achten Sie bei der Wahl Ihres Newsletter-Tools auf den Datenschutz. Beliebte Tools wie Mailchimp speichern Daten in den USA. Europäische Alternativen wie Brevo (ehemals Sendinblue), CleverReach oder Rapidmail bieten EU/CH-konformes Hosting und sind oft günstiger. Dokumentieren Sie in Ihrer Datenschutzerklärung, welches Tool Sie verwenden und wo die Daten gespeichert werden.

Praktische Checkliste: Ist Ihre Website DSG-konform?

Nutzen Sie diese Checkliste, um Ihre Website auf die wichtigsten Datenschutzanforderungen zu prüfen. Sie ersetzt keine professionelle Datenschutzprüfung, gibt Ihnen aber eine solide Grundlage.

SSL-Verschlüsselung: Ihre Website muss über HTTPS erreichbar sein. Ein SSL-Zertifikat ist bei den meisten Hosting-Anbietern kostenlos über Let's Encrypt verfügbar. Ohne HTTPS werden Formulardaten unverschlüsselt übertragen — ein klarer Datenschutzverstoss.

Datenschutzerklärung vorhanden und vollständig: Prüfen Sie, ob alle verwendeten Dienste und Datenbearbeitungen dokumentiert sind. Die Datenschutzerklärung muss von jeder Seite aus erreichbar sein (Footer-Link).

Impressum vorhanden: In der Schweiz besteht zwar keine allgemeine Impressumspflicht wie in Deutschland, aber das UWG verlangt bei kommerziellen Websites eine «leicht und unmittelbar zugängliche» Angabe der Identität und Kontaktdaten.

Cookie-Einstellungen: Prüfen Sie, welche Cookies Ihre Website setzt. Verwenden Sie nur technisch notwendige Cookies? Dann reicht ein Hinweis in der Datenschutzerklärung. Verwenden Sie Tracking-Cookies? Dann empfiehlt sich ein Cookie-Banner mit Einwilligungsmechanismus.

Externe Dienste geprüft: Listen Sie alle Drittdienste auf, die in Ihre Website eingebunden sind. Google Analytics, Google Fonts, YouTube, Google Maps, Social-Media-Buttons, Chat-Tools, Schriftarten, CDNs. Für jeden Dienst: Ist er in der Datenschutzerklärung erwähnt? Ist ein Auftragsverarbeitungsvertrag notwendig? Gibt es eine datenschutzfreundlichere Alternative?

Kontaktformulare: Ist ein Datenschutzhinweis vorhanden? Werden die Daten verschlüsselt übertragen (HTTPS)? Wie lange werden Anfragen gespeichert?

Google Fonts lokal gehostet: Laden Sie Schriftarten von Ihrem eigenen Server statt von Google. Das können Sie auf unserer Seite Webdesign Schweiz genauer nachlesen.

Fazit: Datenschutz als Chance, nicht als Bürde

Das revidierte DSG stellt Schweizer KMU vor neue Herausforderungen — aber es bietet auch Chancen. Wer transparent mit Daten umgeht, gewinnt Vertrauen. Wer auf datenschutzfreundliche Technologien setzt, hat oft auch eine schnellere und bessere Website. Und wer Datenschutz von Anfang an mitdenkt, spart sich teure Nachrüstungen.

Die wichtigsten Massnahmen für Ihre Website: Erstellen Sie eine vollständige Datenschutzerklärung. Prüfen und minimieren Sie externe Dienste. Hosten Sie Google Fonts und andere Ressourcen lokal. Nutzen Sie datenschutzfreundliche Analytics-Alternativen oder setzen Sie Google Analytics DSG-konform ein. Achten Sie auf Schweizer oder europäisches Hosting. Und implementieren Sie bei Bedarf einen Cookie-Banner mit echtem Einwilligungsmanagement.

Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Überprüfen Sie Ihre Website regelmässig — besonders wenn Sie neue Tools oder Dienste einbinden. Und wenn Sie sich unsicher sind, holen Sie sich professionelle Beratung. Bei der technischen Umsetzung unterstützen wir Sie gerne: Professionelle Website erstellen oder erfahren Sie mehr über Webdesign in der Schweiz.