Kurzfassung: Das nDSG verlangt von jeder Schweizer KMU-Website eine vollständige Datenschutzerklärung, korrektes Cookie-Handling und transparente Informationen zur Datenverarbeitung. Verstösse können mit bis zu CHF 250’000 geahndet werden. Diese Checkliste zeigt alle Pflichten und sofort umsetzbare Massnahmen.
Am 1. September 2023 trat das neue Schweizer Datenschutzgesetz (nDSG) in Kraft — ohne Übergangsfrist. Seit diesem Tag müssen alle Unternehmen in der Schweiz die neuen Regeln einhalten. Trotzdem sind viele KMU-Websites bis heute nicht konform. Das liegt selten an bösem Willen, sondern daran, dass die Anforderungen oft unklar kommuniziert werden und sich mit technischen Fragen vermischen, die ohne Fachkenntnisse schwer zu beantworten sind.
Dieser Artikel richtet sich an Geschäftsführer, Marketingverantwortliche und IT-Leiter von Schweizer KMU, die ihre Website auf nDSG-Konformität prüfen möchten. Sie erhalten eine vollständige, praxisnahe Checkliste, die alle relevanten Bereiche abdeckt — von der Datenschutzerklärung über Cookies und Tracking bis hin zur Wahl des Hosting-Standorts. Keine juristischen Floskeln, sondern konkrete Massnahmen, die Sie sofort umsetzen können.
Eines vorweg: Dieser Artikel ersetzt keine Rechtsberatung. Er bietet eine solide Orientierungshilfe, aber bei komplexen Fragen — etwa wenn Sie sensible Personendaten verarbeiten oder international tätig sind — sollten Sie einen spezialisierten Anwalt hinzuziehen.
Was hat sich mit dem nDSG geändert?
Das alte Datenschutzgesetz (DSG) stammte aus dem Jahr 1992. Es wurde in einer Welt geschrieben, in der das Internet noch in den Kinderschuhen steckte und Cookies nur ein Gebäck waren. Das nDSG bringt die Schweizer Datenschutzgesetzgebung ins digitale Zeitalter — und orientiert sich dabei stark an der europäischen DSGVO, geht aber in einigen Punkten einen eigenen Weg.
Die wichtigsten Änderungen auf einen Blick
Nur noch natürliche Personen geschützt: Das alte DSG schützte auch die Daten von juristischen Personen (Unternehmen). Das nDSG beschränkt den Schutz auf natürliche Personen — also auf Menschen. Für die Praxis bedeutet das: B2B-Kontaktdaten von Einzelpersonen innerhalb eines Unternehmens fallen weiterhin unter das Gesetz, die Firmendaten selbst aber nicht mehr.
Erweiterte Informationspflicht: Unter dem nDSG müssen Sie bei jeder Datenerhebung die betroffenen Personen informieren — nicht nur bei besonders schützenswerten Daten wie früher. Das betrifft jedes Kontaktformular, jede Newsletter-Anmeldung und jede Bestellung auf Ihrer Website. Sie müssen angeben, welche Daten Sie erheben, zu welchem Zweck, und ob die Daten ins Ausland übermittelt werden.
Privacy by Design und Privacy by Default (Art. 7 nDSG): Datenschutz muss von Anfang an in die technische Gestaltung eingebaut werden. Und die datenschutzfreundlichste Einstellung muss die Standardeinstellung sein. Konkret heisst das: Wenn Ihre Website ein Cookie-Banner zeigt, dürfen nicht alle Cookies standardmässig aktiviert sein.
Verschärfte Meldepflicht bei Datenverletzungen (Art. 24 nDSG): Bei einer Verletzung der Datensicherheit — etwa einem Hackerangriff oder einem versehentlichen Datenleck — müssen Sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren, wenn ein hohes Risiko für die betroffenen Personen besteht.
Strafen gegen natürliche Personen: Hier unterscheidet sich das nDSG grundlegend von der DSGVO. Bussen von bis zu CHF 250’000 richten sich nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person — typischerweise den Geschäftsführer oder den Datenschutzverantwortlichen. Das ist ein erhebliches persönliches Risiko.
Datenschutz-Folgenabschätzung (Art. 22 nDSG): Bei Datenbearbeitungen, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen, muss vorab eine Folgenabschätzung durchgeführt werden. Für die meisten KMU-Websites ist das nicht relevant, aber wenn Sie umfangreiches User-Tracking betreiben oder KI-gestützte Personalisierung einsetzen, kann es nötig werden.
nDSG vs. DSGVO — die wichtigsten Unterschiede
Obwohl sich das nDSG stark an der DSGVO orientiert, gibt es Unterschiede, die für Schweizer Unternehmen relevant sind:
- Strafadressat: nDSG bestraft natürliche Personen (bis CHF 250’000), DSGVO bestraft Unternehmen (bis 4% des Jahresumsatzes oder EUR 20 Mio.).
- Einwilligung: Das nDSG verlangt nicht in jedem Fall eine explizite Einwilligung. Es reicht häufig, dass Betroffene informiert wurden und nicht widersprochen haben (Opt-out-Prinzip). Die DSGVO verlangt in der Regel ein aktives Opt-in.
- Datenschutzbeauftragter: Das nDSG empfiehlt einen Datenschutzberater, schreibt ihn aber für private Unternehmen nicht zwingend vor. Die DSGVO macht ihn unter bestimmten Bedingungen obligatorisch.
- Verzeichnis der Bearbeitungstätigkeiten: Unter dem nDSG sind Unternehmen mit weniger als 250 Mitarbeitenden grundsätzlich befreit, sofern kein hohes Risiko besteht. Unter der DSGVO gelten ähnliche, aber nicht identische Schwellenwerte.
Die komplette Website-Checkliste
Hier ist die vollständige Checkliste für eine nDSG-konforme Website. Arbeiten Sie die Punkte systematisch durch und dokumentieren Sie den Status jedes einzelnen Elements.
Datenschutzerklärung
| Punkt | Anforderung | Status |
|---|---|---|
| 1 | Datenschutzerklärung ist vorhanden und über jede Seite erreichbar (idealerweise im Footer) | ☐ |
| 2 | Identität und Kontaktdaten des Verantwortlichen sind angegeben | ☐ |
| 3 | Zweck der Datenbearbeitung ist beschrieben | ☐ |
| 4 | Empfänger oder Kategorien von Empfängern sind genannt | ☐ |
| 5 | Bei Datenübermittlung ins Ausland: Zielland und Schutzgarantien sind angegeben | ☐ |
| 6 | Aufbewahrungsdauer oder Kriterien zur Bestimmung der Dauer sind festgelegt | ☐ |
| 7 | Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung) sind aufgeführt | ☐ |
| 8 | Automatisierte Einzelentscheidungen sind deklariert (falls vorhanden) | ☐ |
| 9 | Datum der letzten Aktualisierung ist angegeben | ☐ |
Cookies und Tracking
| Punkt | Anforderung | Status |
|---|---|---|
| 10 | Cookie-Banner informiert über verwendete Cookies | ☐ |
| 11 | Technisch nicht notwendige Cookies werden erst nach Einwilligung gesetzt | ☐ |
| 12 | Cookie-Banner bietet echte Wahlmöglichkeit (nicht nur “Akzeptieren”) | ☐ |
| 13 | Einwilligungsentscheidung ist jederzeit widerrufbar | ☐ |
| 14 | Cookie-Richtlinie listet alle Cookies mit Zweck und Lebensdauer auf | ☐ |
| 15 | Third-Party-Tracking-Scripts werden erst nach Consent geladen | ☐ |
Kontaktformulare
| Punkt | Anforderung | Status |
|---|---|---|
| 16 | Hinweis auf Datenschutzerklärung beim Formular | ☐ |
| 17 | Nur notwendige Daten werden erhoben (Datensparsamkeit) | ☐ |
| 18 | Formulardaten werden verschlüsselt übertragen (HTTPS) | ☐ |
| 19 | Aufbewahrungsfristen für Anfragen sind definiert | ☐ |
| 20 | Formulardaten werden nicht an unbeteiligte Dritte weitergegeben | ☐ |
Hosting und Datenübertragung
| Punkt | Anforderung | Status |
|---|---|---|
| 21 | Hosting-Standort ist dokumentiert | ☐ |
| 22 | Bei Hosting ausserhalb der Schweiz/EU: Schutzgarantien sind vorhanden | ☐ |
| 23 | SSL/TLS-Verschlüsselung ist aktiv (HTTPS) | ☐ |
| 24 | Auftragsverarbeitungsvertrag (AVV) mit Hosting-Anbieter liegt vor | ☐ |
| 25 | Server-Logfiles und deren Aufbewahrungsdauer sind dokumentiert | ☐ |
Newsletter
| Punkt | Anforderung | Status |
|---|---|---|
| 26 | Newsletter-Anmeldung erfolgt mit informierter Einwilligung | ☐ |
| 27 | Double-Opt-in-Verfahren ist implementiert | ☐ |
| 28 | Jeder Newsletter enthält einen Abmeldelink | ☐ |
| 29 | Newsletter-Dienst ist in der Datenschutzerklärung aufgeführt | ☐ |
| 30 | Bei Dienst im Ausland: Schutzgarantien sind dokumentiert | ☐ |
Analytics
| Punkt | Anforderung | Status |
|---|---|---|
| 31 | Analytics-Tool ist in der Datenschutzerklärung genannt | ☐ |
| 32 | IP-Anonymisierung ist aktiviert (falls verfügbar) | ☐ |
| 33 | Analytics wird erst nach Cookie-Consent geladen (bei trackingbasierten Tools) | ☐ |
| 34 | Datenverarbeitungsvertrag mit Analytics-Anbieter liegt vor | ☐ |
| 35 | Opt-out-Möglichkeit wird angeboten | ☐ |
Strafen und Konsequenzen
Das nDSG kennt empfindliche Strafen. Und im Gegensatz zur DSGVO richtet sich die Busse gegen die verantwortliche natürliche Person — nicht gegen das Unternehmen. Das bedeutet: Als Geschäftsführer oder verantwortliche Person haften Sie persönlich.
| Verstoss | Maximale Busse | Rechtsgrundlage |
|---|---|---|
| Verletzung der Informationspflicht | CHF 250’000 | Art. 60 nDSG |
| Verletzung der Sorgfaltspflicht bei Auslandsübermittlung | CHF 250’000 | Art. 61 nDSG |
| Verletzung der Auskunftspflicht | CHF 250’000 | Art. 60 nDSG |
| Verletzung der Mitwirkungspflicht gegenüber dem EDÖB | CHF 250’000 | Art. 63 nDSG |
| Verletzung der beruflichen Schweigepflicht | CHF 250’000 | Art. 62 nDSG |
| Ungenügende Datensicherheit | Massnahmen durch den EDÖB | Art. 51 nDSG |
Wichtig zu wissen: Die Strafbestimmungen des nDSG setzen in der Regel Vorsatz voraus. Fahrlässiges Handeln wird nur in bestimmten Fällen bestraft. Das bedeutet aber nicht, dass Sie sich darauf ausruhen können — im Streitfall liegt die Beweislast zur Sorgfaltspflicht bei Ihnen.
Neben den strafrechtlichen Bussen kann der EDÖB auch verwaltungsrechtliche Massnahmen anordnen: Er kann eine Datenbearbeitung einschränken, sistieren oder verbieten. Für ein KMU, dessen Geschäft zu einem grossen Teil über die Website läuft, kann das existenzbedrohend sein.
Zudem können betroffene Personen zivilrechtliche Ansprüche geltend machen — also Schadenersatz und Genugtuung fordern. Das ist ein zusätzliches finanzielles Risiko, das über die Bussen hinausgeht.
Technische Umsetzung
Theorie ist das eine, die Praxis das andere. Hier erfahren Sie, wie Sie die wichtigsten technischen Anforderungen konkret auf Ihrer Website umsetzen.
Cookie-Consent richtig implementieren
Ein Cookie-Banner ist für die meisten Websites unumgänglich — zumindest dann, wenn Sie Cookies setzen, die über die rein technische Funktion hinausgehen. Und das tun fast alle Websites: Google Analytics, Facebook Pixel, YouTube-Einbettungen, Chat-Widgets und dutzende andere Tools setzen Cookies.
So implementieren Sie den Cookie-Consent korrekt:
1. Kategorisieren Sie Ihre Cookies. Unterscheiden Sie zwischen technisch notwendigen Cookies (Session-Cookies, Spracheinstellungen, Warenkorb), Statistik-Cookies (Analytics), Marketing-Cookies (Retargeting, Social Media) und Komfort-Cookies (Personalisierung).
2. Blockieren Sie nicht-notwendige Cookies vor der Einwilligung. Das ist der entscheidende Punkt, den viele falsch machen. Ein Banner, das nur informiert, aber trotzdem alle Cookies setzt, ist nicht konform. Die Scripts, die Tracking-Cookies setzen, dürfen erst geladen werden, nachdem der Nutzer aktiv zugestimmt hat.
3. Bieten Sie echte Wahlfreiheit. Der Nutzer muss die Möglichkeit haben, einzelne Cookie-Kategorien abzulehnen oder zu akzeptieren. Ein Banner, das nur “Akzeptieren” als Option bietet, genügt nicht. Es braucht mindestens “Akzeptieren”, “Ablehnen” und idealerweise eine Detailansicht mit Einzelauswahl.
4. Speichern Sie die Einwilligung. Die Entscheidung des Nutzers muss dokumentiert werden, damit Sie im Zweifelsfall nachweisen können, dass eine Einwilligung vorlag.
5. Ermöglichen Sie den Widerruf. Der Nutzer muss seine Einwilligung jederzeit ändern können — etwa über einen Link im Footer oder ein erneut aufrufbares Cookie-Banner.
Bewährte Consent-Management-Lösungen für Schweizer Websites sind Cookiebot, Usercentrics und Klaro. Alle drei unterstützen das nDSG und können Consent-Entscheidungen dokumentieren.
Datenschutzfreundliche Analytics
Google Analytics ist das am weitesten verbreitete Analysetool — und gleichzeitig das problematischste aus Datenschutzsicht. GA4 überträgt Nutzerdaten in die USA, setzt Cookies und erfordert eine informierte Einwilligung über Ihren Cookie-Banner. Das bedeutet: Nutzer, die Cookies ablehnen, tauchen in Ihren Statistiken nicht auf. Je nach Branche können das 30 bis 50 Prozent Ihrer Besucher sein.
Die Alternative: datenschutzfreundliche Analytics-Tools, die keine Cookies setzen und keine personenbezogenen Daten verarbeiten.
Plausible Analytics ist ein europäisches Tool (in der EU gehostet), das ohne Cookies funktioniert, keine persönlichen Daten speichert und vollständig DSGVO- und nDSG-konform ist. Es braucht keinen Cookie-Banner und liefert trotzdem aussagekräftige Statistiken zu Besucherzahlen, Seitenaufrufen, Verweildauer und Referrern.
Fathom Analytics verfolgt einen ähnlichen Ansatz: cookiefrei, datenschutzkonform, und mit einem klaren Fokus auf einfache, verständliche Berichte.
Beide Tools kosten zwischen USD 9 und USD 19 pro Monat — ein kleiner Preis für rechtliche Sicherheit und gleichzeitig vollständige Datenerfassung ohne Consent-Verluste.
Formulardaten sicher handhaben
Kontaktformulare sind die häufigste Art der Datenerhebung auf KMU-Websites. Um sie nDSG-konform zu gestalten, beachten Sie diese Punkte:
- HTTPS ist Pflicht. Formulardaten müssen verschlüsselt übertragen werden. Wenn Ihre Website noch kein SSL-Zertifikat hat, ist das die erste Massnahme.
- Datensparsamkeit: Fragen Sie nur, was Sie wirklich brauchen. Für eine Kontaktanfrage brauchen Sie Name, E-Mail und Nachricht — nicht Geburtsdatum, Adresse und Telefonnummer.
- Zweckbindung: Verwenden Sie die erhobenen Daten nur für den angegebenen Zweck. Wenn jemand Ihnen eine Anfrage schickt, dürfen Sie diese Person nicht automatisch in Ihren Newsletter eintragen.
- Löschkonzept: Definieren Sie, wann Formulardaten gelöscht werden. Eine Aufbewahrungsdauer von sechs bis zwölf Monaten nach Abschluss der Anfrage ist eine sinnvolle Richtlinie.
- Hinweistext: Platzieren Sie beim Formular einen kurzen Hinweis wie: “Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer Daten gemäss unserer Datenschutzerklärung zu.”
SSL/TLS-Verschlüsselung
HTTPS ist seit Jahren Standard und wird von den meisten Hosting-Anbietern kostenlos über Let’s Encrypt angeboten. Trotzdem gibt es noch immer Websites, die unverschlüsselt laufen. Für eine nDSG-konforme Website ist eine SSL/TLS-Verschlüsselung zwingend erforderlich — sie gehört zu den Mindestanforderungen an die Datensicherheit gemäss Art. 8 nDSG.
Prüfen Sie auch, ob Ihre Website korrekt von HTTP auf HTTPS weiterleitet. Ein häufiger Fehler ist, dass die HTTP-Version parallel zur HTTPS-Version erreichbar bleibt.
Hosting-Standort und Datenübertragung
Die Wahl des Hosting-Standorts ist aus datenschutzrechtlicher Sicht relevant, weil das nDSG klare Regeln für die Übermittlung von Personendaten ins Ausland aufstellt (Art. 16-18 nDSG).
Schweizer Hosting — der sicherste Weg
Wenn Ihre Website bei einem Schweizer Anbieter gehostet wird — etwa bei Infomaniak, Cyon oder Hostpoint — befinden sich die Daten im Inland. Damit entfallen die zusätzlichen Anforderungen für Auslandsübermittlungen. Das ist die einfachste und sicherste Lösung.
EU/EWR-Hosting — unkompliziert
Die EU gilt aus Sicht des Bundesrats als Land mit angemessenem Datenschutz. Datenübermittlungen in den EU/EWR-Raum sind ohne zusätzliche Massnahmen zulässig. Anbieter wie Hetzner (Deutschland), OVH (Frankreich) oder Vercel (mit EU-Region) sind daher unproblematisch.
US-Hosting — Vorsicht geboten
Die Datenübermittlung in die USA ist das komplexeste Thema im Datenschutzrecht. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (2020) ist das Privacy Shield ungültig. Zwar gibt es seit 2023 den neuen EU-US Data Privacy Framework, aber dessen langfristige Gültigkeit ist umstritten.
Für Schweizer Unternehmen gilt: Der Bundesrat hat eine eigene Staatenliste verabschiedet, die festlegt, welche Länder einen angemessenen Datenschutz bieten. Die USA sind auf dieser Liste mit Einschränkungen aufgeführt — die Datenübermittlung ist nur zulässig, wenn der US-Empfänger unter dem Swiss-U.S. Data Privacy Framework zertifiziert ist.
Praktisch bedeutet das: Wenn Sie Ihre Website auf AWS, Google Cloud oder Vercel (US-Region) hosten, müssen Sie prüfen, ob der Anbieter unter dem Framework zertifiziert ist, und dies in Ihrer Datenschutzerklärung dokumentieren. Alternativ können Sie auf Standard Contractual Clauses (Standardvertragsklauseln, SCCs) zurückgreifen.
Unsere Empfehlung: Für Schweizer KMU-Websites ist Hosting in der Schweiz oder der EU die pragmatischste Lösung. Sie vermeiden rechtliche Graubereiche und können gegenüber Kunden und Aufsichtsbehörden klar kommunizieren, wo die Daten liegen. Bei Interesse an modernem, schnellem Hosting beraten wir Sie gerne — kontaktieren Sie uns.
Drittanbieter-Dienste nicht vergessen
Das Hosting ist nur ein Teil des Puzzles. Denken Sie auch an alle Drittanbieter-Dienste, die Daten verarbeiten:
- E-Mail-Dienst (Mailchimp, Brevo, etc.): Wo werden die Empfängerdaten gespeichert?
- CRM-System (HubSpot, Salesforce, etc.): Wo stehen die Server?
- Cloud-Speicher (Google Drive, Dropbox, etc.): Werden Kundendaten dort abgelegt?
- Chat-Tools (Zendesk, Intercom, etc.): Wo werden die Chatverläufe gespeichert?
- Zahlungsanbieter (Stripe, PayPal, etc.): Wie werden Zahlungsdaten verarbeitet?
Jeder dieser Dienste muss in Ihrer Datenschutzerklärung aufgeführt werden, inklusive Angaben zum Standort der Datenverarbeitung und den getroffenen Schutzgarantien.
Datenschutzerklärung richtig erstellen
Die Datenschutzerklärung ist das Herzstück Ihrer nDSG-Konformität. Sie muss transparent, verständlich und vollständig sein. Hier ist die Struktur, die eine konforme Datenschutzerklärung haben sollte.
Pflichtinhalte nach nDSG
1. Identität und Kontaktdaten des Verantwortlichen: Vollständiger Firmenname, Adresse, E-Mail-Adresse, ggf. Telefonnummer. Wenn Sie einen Datenschutzberater ernannt haben, dessen Kontaktdaten ebenfalls angeben.
2. Zweck der Datenbearbeitung: Beschreiben Sie für jede Art der Datenerhebung klar den Zweck. Beispiele: “Bearbeitung Ihrer Kontaktanfrage”, “Zustellung unseres Newsletters”, “Analyse des Nutzerverhaltens zur Verbesserung unserer Website”.
3. Kategorien der bearbeiteten Personendaten: Listen Sie auf, welche Daten Sie erheben — z.B. Name, E-Mail-Adresse, IP-Adresse, Geräteinformationen, Browserdaten.
4. Empfänger der Daten: Nennen Sie alle Dritten, an die Daten weitergegeben werden — Hosting-Anbieter, Analytics-Dienste, Newsletter-Tools, Zahlungsanbieter, etc.
5. Aufbewahrungsdauer: Geben Sie an, wie lange die Daten gespeichert werden, oder nach welchen Kriterien die Speicherdauer bestimmt wird.
6. Datenübermittlung ins Ausland: Wenn Daten in Länder ausserhalb der Schweiz übermittelt werden, müssen Sie das Zielland und die getroffenen Schutzgarantien angeben (Angemessenheitsbeschluss, SCCs, Einwilligung, etc.).
7. Rechte der betroffenen Personen: Informieren Sie über das Recht auf Auskunft (Art. 25 nDSG), das Recht auf Datenherausgabe und -übertragung (Art. 28 nDSG), das Recht auf Berichtigung, Löschung und Widerspruch.
8. Automatisierte Einzelentscheidungen: Falls Sie automatisierte Entscheidungsprozesse einsetzen, die rechtliche Wirkung haben, müssen Sie darüber informieren.
Sprache und Zugänglichkeit
Verfassen Sie die Datenschutzerklärung in einer Sprache, die Ihre Zielgruppe versteht. Für eine deutschsprachige Website sollte sie auf Deutsch verfügbar sein, für eine mehrsprachige Website in allen angebotenen Sprachen.
Vermeiden Sie unnötigen Juristenjargon. Das nDSG verlangt eine “angemessene” Informierung — und angemessen bedeutet auch: verständlich. Gliedern Sie den Text klar mit Überschriften, verwenden Sie kurze Absätze und erklären Sie technische Begriffe.
Die Datenschutzerklärung muss von jeder Seite Ihrer Website aus erreichbar sein — idealerweise über einen Link im Footer. Der Link sollte eindeutig beschriftet sein, etwa “Datenschutz” oder “Datenschutzerklärung”.
Vorlage vs. individuelle Erstellung
Im Internet finden sich zahlreiche Datenschutzerklärung-Generatoren. Diese können ein Startpunkt sein, ersetzen aber keine individuelle Anpassung. Jede Website ist anders — die verwendeten Tools, die Art der Datenerhebung, der Hosting-Standort. Eine generische Vorlage deckt selten alle Besonderheiten ab.
Wenn Sie bei loaded eine Website erstellen lassen, erstellen wir die Datenschutzerklärung passend zu den eingesetzten Tools und Diensten. So stellen wir sicher, dass sie tatsächlich zu Ihrer Website passt — und nicht eine leere Hülle ist.
Häufig gestellte Fragen (FAQ)
Gilt das nDSG auch für kleine Unternehmen?
Ja, uneingeschränkt. Das nDSG kennt keine Grössenausnahme. Ob Einzelunternehmen, GmbH oder AG — wer Personendaten bearbeitet, muss das Gesetz einhalten. Es gibt lediglich eine Erleichterung beim Verzeichnis der Bearbeitungstätigkeiten: Unternehmen mit weniger als 250 Mitarbeitenden sind davon befreit, sofern keine umfangreiche Bearbeitung besonders schützenswerter Daten oder Hochrisiko-Profiling stattfindet. Alle anderen Pflichten — Informationspflicht, Datensicherheit, Betroffenenrechte — gelten für jedes Unternehmen, unabhängig von der Grösse.
Brauche ich einen Datenschutzbeauftragten?
Das nDSG spricht von einem “Datenschutzberater” (Art. 10 nDSG). Für private Unternehmen ist die Ernennung freiwillig — im Gegensatz zur DSGVO, die unter bestimmten Umständen einen Datenschutzbeauftragten vorschreibt. Allerdings ist die Ernennung empfehlenswert, insbesondere wenn Sie regelmässig Personendaten bearbeiten. Der Datenschutzberater ist die interne Anlaufstelle für Datenschutzfragen und kann dazu beitragen, Risiken frühzeitig zu erkennen. Wenn Sie einen Datenschutzberater ernennen, können Sie ihn beim EDÖB melden — das ist freiwillig, kann aber in bestimmten Fällen Verfahrenserleichterungen bringen.
Darf ich Google Analytics noch nutzen?
Ja, aber mit Einschränkungen. Google Analytics 4 (GA4) setzt Cookies und überträgt Daten an Google-Server, die sich teilweise in den USA befinden. Sie müssen daher sicherstellen, dass Google unter dem Swiss-U.S. Data Privacy Framework zertifiziert ist (was aktuell der Fall ist), die IP-Anonymisierung aktiviert ist, GA4 erst nach einer informierten Cookie-Einwilligung geladen wird, und der Einsatz von Google Analytics in Ihrer Datenschutzerklärung dokumentiert ist.
Alternativ empfehlen wir datenschutzfreundliche Tools wie Plausible oder Fathom, die ohne Cookies auskommen und kein Consent-Banner erfordern. Das liefert vollständigere Daten und reduziert das rechtliche Risiko auf null.
Was muss in meine Datenschutzerklärung?
Ihre Datenschutzerklärung muss mindestens folgende Angaben enthalten: Identität und Kontaktdaten des Verantwortlichen, Zweck der Datenbearbeitung, Kategorien der erhobenen Daten, Empfänger oder Kategorien von Empfängern, Angaben zur Datenübermittlung ins Ausland (Zielland und Schutzgarantien), Aufbewahrungsdauer, Rechte der betroffenen Personen und Angaben zu automatisierten Einzelentscheidungen (falls vorhanden). Zusätzlich sollten Sie alle eingesetzten Drittanbieter-Dienste (Analytics, Newsletter, Hosting, etc.) einzeln aufführen und erklären, welche Daten sie verarbeiten. Eine detaillierte Anleitung finden Sie in unserer Datenschutzerklärung.
Sind Kontaktformulare nDSG-konform?
Kontaktformulare sind grundsätzlich zulässig, müssen aber korrekt umgesetzt sein. Erheben Sie nur die Daten, die Sie tatsächlich benötigen (Datensparsamkeit). Übertragen Sie die Daten verschlüsselt (HTTPS). Weisen Sie beim Formular auf Ihre Datenschutzerklärung hin. Speichern Sie die Daten nur so lange, wie sie für den Zweck benötigt werden. Und verwenden Sie die Daten nicht für andere Zwecke — etwa Newsletter-Versand — ohne separate Einwilligung. Wenn Sie diese Punkte beachten, sind Kontaktformulare ein datenschutzkonformer Weg, um mit Ihren Kunden in Kontakt zu treten.
Muss ich Cookies aktiv einwilligen lassen?
Das nDSG verlangt für die Bearbeitung von Personendaten grundsätzlich eine informierte Einwilligung, wenn kein anderer Rechtfertigungsgrund vorliegt. Für technisch notwendige Cookies (Session-Cookies, Spracheinstellungen) brauchen Sie keine Einwilligung, da sie für den Betrieb der Website erforderlich sind. Für alle anderen Cookies — insbesondere Tracking- und Marketing-Cookies — müssen Sie die Einwilligung einholen, bevor die Cookies gesetzt werden. Wichtig: Der Bundesrat hat klargestellt, dass die blosse Weiternutzung der Website nicht als Einwilligung gilt. Ein Banner mit “Durch die Nutzung dieser Website stimmen Sie zu…” reicht nicht aus.
Was passiert bei einem Verstoss?
Bei einem vorsätzlichen Verstoss gegen das nDSG können Bussen von bis zu CHF 250’000 gegen die verantwortliche natürliche Person ausgesprochen werden. Das betrifft insbesondere Verstösse gegen die Informationspflicht, die Sorgfaltspflicht bei Auslandsübermittlungen, die Auskunftspflicht und die Mitwirkungspflicht gegenüber dem EDÖB. Zusätzlich kann der EDÖB verwaltungsrechtliche Massnahmen anordnen — von der Einschränkung der Datenbearbeitung bis hin zum vollständigen Verbot. Betroffene Personen können zudem zivilrechtliche Ansprüche auf Schadenersatz und Genugtuung geltend machen. Ein Verstoss kann also weit mehr kosten als die Busse allein.
Wie unterscheidet sich das nDSG von der DSGVO?
Die wichtigsten Unterschiede: Das nDSG bestraft natürliche Personen mit bis zu CHF 250’000, die DSGVO bestraft Unternehmen mit bis zu 4% des weltweiten Jahresumsatzes oder EUR 20 Mio. Das nDSG erlaubt in vielen Fällen ein Opt-out-Modell (informieren genügt), während die DSGVO häufiger ein aktives Opt-in verlangt. Ein Datenschutzbeauftragter ist unter dem nDSG freiwillig, unter der DSGVO unter bestimmten Bedingungen Pflicht. Dafür ist der Geltungsbereich des nDSG auf natürliche Personen beschränkt, während die DSGVO auch juristische Personen schützt. Für Schweizer Unternehmen, die auch Kunden in der EU bedienen, gilt: Sie müssen beide Gesetze einhalten.
Fazit: Handeln Sie jetzt
Das nDSG ist seit über zwei Jahren in Kraft. Die Übergangsfrist gab es nie — und die Durchsetzung durch den EDÖB nimmt zu. Wenn Ihre Website noch nicht konform ist, sollten Sie jetzt handeln. Die gute Nachricht: Für die meisten KMU-Websites sind die notwendigen Anpassungen überschaubar. Eine saubere Datenschutzerklärung, ein korrekt implementiertes Cookie-Banner, datenschutzfreundliches Analytics und HTTPS — das sind die Grundpfeiler.
Nutzen Sie die Checkliste in diesem Artikel als Ausgangspunkt und arbeiten Sie die Punkte systematisch ab. Wenn Sie Unterstützung bei der technischen Umsetzung brauchen, sprechen Sie uns an. Wir bauen Websites, die nicht nur schnell und schön sind, sondern von Anfang an datenschutzkonform — by Design und by Default.
