Was muss in eine Datenschutzerklärung nach revDSG rein?

Die verantwortliche Stelle mit Kontaktangaben, die bearbeiteten Daten und der Zweck, eingesetzte Drittdienste wie Analytics oder Schriftarten, eine allfällige Bekanntgabe ins Ausland sowie die Rechte der betroffenen Personen auf Auskunft, Berichtigung und Löschung. Bei Profiling und automatisierten Entscheiden braucht es einen zusätzlichen Hinweis.

Was kostet eine fehlende Datenschutzerklärung in der Schweiz?

Das revDSG sieht Bussen bis CHF 250'000 vor. Anders als die DSGVO trifft die Busse nicht die Firma, sondern die verantwortliche natürliche Person, also typischerweise die Geschäftsführung. In der Praxis sind Bussen selten, das Risiko liegt eher bei Abmahnungen und Vertrauensverlust.

Gilt für meine Schweizer Website auch die DSGVO?

Die DSGVO gilt zusätzlich, wenn Sie gezielt Personen in der EU ansprechen, etwa mit einem Shop, der in die EU liefert, oder Inhalten, die sich an EU-Kunden richten. Ein paar zufällige Besucher aus Deutschland lösen die DSGVO nicht aus. Bei aktivem EU-Geschäft braucht es eine DSGVO-konforme Erklärung.

Brauche ich für das revDSG einen Cookie-Banner?

Nein. Das revDSG verlangt keinen Cookie-Consent-Banner, nur die Informationspflicht in der Datenschutzerklärung. Einen Banner brauchen Sie erst, wenn die DSGVO greift oder wenn Sie Google Ads und Analytics einsetzen, dann ist seit März 2024 der Consent Mode v2 nötig.

Datenschutzerklärung für Schweizer Websites (revDSG): was rein muss · Blog

Q: Braucht meine Schweizer Website eine Datenschutzerklärung?

Ja, sobald die Website Personendaten bearbeitet. Das beginnt bei der Server-Logdatei mit IP-Adresse, einem Kontaktformular oder eingebundenem Google Analytics. Praktisch jede geschäftliche Website fällt darunter. Das revDSG verlangt seit dem 1. September 2023 eine verständliche Information darüber, wer welche Daten zu welchem Zweck bearbeitet.

Braucht meine Schweizer Website eine Datenschutzerklärung?

Ja, sobald Ihre Website Personendaten bearbeitet. Das passiert fast immer, schon eine Server-Logdatei mit IP-Adresse, ein Kontaktformular oder eingebundenes Google Analytics zählt dazu. Das revidierte Datenschutzgesetz (revDSG) gilt seit dem 1. September 2023 und verlangt, dass Sie verständlich informieren, wer welche Daten zu welchem Zweck bearbeitet.

Personendaten heisst dabei jede Angabe, die sich auf eine bestimmbare Person bezieht. Eine IP-Adresse gehört dazu, ein Name im Formular sowieso. In der Praxis hat darum jede geschäftliche Website diese Pflicht. Ob Visitenkarten-Seite oder Online-Shop spielt keine Rolle, nur der Umfang der Erklärung ist unterschiedlich gross.

Was muss in die Datenschutzerklärung rein?

Das revDSG nennt keine fixe Vorlage, aber die Informationspflicht legt fest, was die betroffene Person erfahren muss. Diese Punkte gehören hinein:

Verantwortliche Stelle. Wer betreibt die Website, mit Firmenname, Adresse und einer Kontaktmöglichkeit. Bei mir ist das die tomventures GmbH in Windisch AG.
Bearbeitete Daten und Zweck. Welche Daten sammeln Sie und wozu. Beispiel: Kontaktformular-Eingaben, um Anfragen zu beantworten. Server-Logs, um den Betrieb sicherzustellen.
Drittdienste. Jedes externe Werkzeug, das Daten erhält. Dazu gleich mehr.
Bekanntgabe ins Ausland. Wenn Daten an Server ausserhalb der Schweiz gehen, etwa in die USA, muss das stehen.
Rechte der betroffenen Personen. Auskunft, Berichtigung, Löschung und der Hinweis auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als Aufsichtsbehörde.
Aufbewahrungsdauer, soweit sie sich sinnvoll angeben lässt.
Profiling und automatisierte Einzelentscheide, falls Sie so etwas einsetzen. Bei einer normalen KMU-Website meistens nicht.

Der häufigste Fehler ist nicht eine fehlende Erklärung, sondern eine, die die eingebundenen Drittdienste verschweigt.

Welche Drittdienste muss ich auflisten?

Alles, was beim Aufruf Ihrer Seite Daten an einen Dritten sendet. Diese vier begegnen mir am häufigsten, und jeder davon gehört in die Erklärung:

Dienst	Was er bearbeitet	Warum er rein muss
Google Analytics	Nutzungsdaten, IP (gekürzt)	Daten gehen an Google, teils in die USA
Google Fonts (extern geladen)	IP-Adresse beim Schriftabruf	Vermeidbar durch lokales Hosten der Schriften
Google Maps (eingebettet)	IP, Standortdaten	Lädt beim Seitenaufruf von Google
Kontaktformular / Newsletter	Name, E-Mail, Inhalt	Daten landen bei Ihnen und beim Tool-Anbieter

Mein Standardrat: Schriftarten lokal hosten statt von Google laden, dann fällt dieser Datenfluss weg. Maps nur auf Klick laden. Beides macht die Erklärung kürzer und die Seite schneller.

revDSG oder DSGVO, wann gilt was?

Das revDSG ist das Schweizer Gesetz, die DSGVO das der EU. Sie schliessen sich nicht aus, manchmal gelten beide. Die wichtigsten Unterschiede:

Thema	revDSG (Schweiz)	DSGVO (EU)
In Kraft	seit 1.9.2023	seit 25.5.2018
Cookie-Consent-Banner	nicht verlangt	bei nicht-nötigen Cookies verlangt
Datenschutzerklärung	Pflicht (Informationspflicht)	Pflicht
Busse trifft	verantwortliche Person	Unternehmen
Bussenhöhe	bis CHF 250’000	bis 20 Mio. EUR / 4% Umsatz
Auftritt eines Vertreters	i.d.R. nicht nötig	EU-Vertreter ggf. nötig

Der praktisch wichtigste Unterschied: Das revDSG verlangt keinen Cookie-Banner, nur die Information. Wer in der Schweiz sitzt und Schweizer Publikum bedient, kommt oft ohne Banner aus. Mehr dazu im Beitrag revDSG und der Cookie-Banner.

Der zweite Unterschied wird gern übersehen: Die revDSG-Busse trifft nicht die GmbH, sondern die verantwortliche natürliche Person dahinter. Das ist ein Grund, das Thema nicht auf die lange Bank zu schieben.

Wann brauche ich zusätzlich eine DSGVO-Erklärung?

Sobald Sie gezielt Personen in der EU ansprechen. Das ist der Fall, wenn Ihr Shop in die EU liefert, wenn Sie Inhalte oder Preise in Euro auf EU-Kunden ausrichten oder aktiv in der EU werben. Ein paar zufällige Besucher aus Deutschland reichen nicht, es geht um die Ausrichtung Ihres Angebots.

Wenn die DSGVO greift, kommt einiges dazu: eine Rechtsgrundlage je Bearbeitung, ein Cookie-Consent-Banner für nicht-notwendige Cookies und oft ein Verzeichnis der Verarbeitungstätigkeiten. In dem Fall lohnt sich der Blick zum Anwalt, gerade beim Shop.

Ein technischer Punkt unabhängig vom Standort: Wer Google Ads oder Google Analytics nutzt, braucht seit März 2024 den Consent Mode v2. Ohne ihn liefert Google in der EU keine vollständigen Daten mehr. Das ist eine Mess- und Werbefrage, keine reine Rechtsfrage, gehört aber zur selben Baustelle.

Reicht ein Generator aus dem Netz?

Als Gerüst ja, als Endprodukt selten. Ein Generator kennt Ihre konkreten Tools nicht. Er weiss nicht, ob Sie Analytics einsetzen, ob Ihre Schriften lokal liegen oder ob Ihr Formular über einen externen Anbieter läuft. Genau diese Details machen die Erklärung korrekt oder falsch.

Ich erstelle keine Rechtstexte und bin kein Anwalt. Was ich beim Website-Projekt mache: Ich liste sauber auf, welche Dienste Ihre Seite technisch einbindet und welche Datenflüsse entstehen. Auf dieser Basis füllen Sie einen Generator richtig aus oder lassen den Text vom Anwalt prüfen. Bei einer einfachen KMU-Seite reicht meist der erste Weg.

Verbindliche Auskunft und aktuelle Vorlagen gibt der EDÖB unter edoeb.admin.ch. Das ist die offizielle Quelle, nicht ich.

Wie halte ich die Erklärung aktuell?

Eine Datenschutzerklärung ist kein Dokument, das man einmal schreibt und vergisst. Sie ändert sich, sobald sich die Technik ändert. Binden Sie ein neues Tool ein, etwa ein Chat-Widget, einen Buchungskalender oder ein Newsletter-System, muss das rein. Wechseln Sie den Hoster, kann sich der Serverstandort verschieben.

Mein Vorgehen: Bei jeder grösseren Änderung an der Website schaue ich die Erklärung mit an. Wer eine Wartung hat, bekommt das automatisch mitgepflegt. Wer selbst werkelt, sollte einmal im Jahr durchgehen, welche Dienste tatsächlich noch aktiv sind. Oft findet man dann ein altes Skript, das niemand mehr braucht und das man getrost entfernt.

Kurz zusammengefasst

Jede geschäftliche Schweizer Website braucht eine Datenschutzerklärung. Sie nennt die verantwortliche Stelle, Zweck und Daten, alle Drittdienste, allfällige Auslandbekanntgabe und die Rechte der Betroffenen. Einen Cookie-Banner verlangt das revDSG nicht, die DSGVO schon, sobald Sie EU-Kunden gezielt bedienen. Halten Sie das Dokument synchron mit der Technik, sonst stimmt es nach dem nächsten Tool-Wechsel nicht mehr.

Beim Website-Projekt baue ich die Datengrundlage von Anfang an sauber auf, damit Ihre Erklärung zur eingesetzten Technik passt. Den rechtlich verbindlichen Text liefert dann ein Generator oder der Anwalt, nicht ich.