Datenschutz auf der Website – ein Thema, das viele Kleinunternehmer verunsichert. Seit September 2023 ist das revidierte Schweizer Datenschutzgesetz (nDSG) in Kraft. Seither kursieren Gerüchte über Bussgelder, Pflicht-Cookie-Banner und ellenlange Datenschutztexte. Die gute Nachricht: Für eine typische KMU-Website ist der Aufwand deutlich kleiner, als viele befürchten.
In diesem Artikel erkläre ich, was wirklich gilt – und was nicht. Was eine Schweizer Website braucht, was optional ist, und wo die Unterschiede zur europäischen DSGVO liegen.
Hinweis: Dieser Artikel ist eine praxisorientierte Einschätzung, keine Rechtsberatung. Bei konkreten rechtlichen Fragen empfehle ich, einen Datenschutzexperten oder Anwalt beizuziehen.
Die Datenschutzerklärung: Pflicht für jede Website
Das Wichtigste zuerst: Jede Website, die Daten von Besucherinnen und Besuchern verarbeitet, braucht eine Datenschutzerklärung. Das gilt auch für einfache Unternehmenswebsites ohne Onlineshop. Denn schon ein Kontaktformular, ein eingebettetes Google-Map oder ein Analyse-Tool wie Google Analytics verarbeitet personenbezogene Daten.
Was muss in der Datenschutzerklärung stehen?
- Wer ist verantwortlich? Name und Kontaktdaten des Unternehmens.
- Welche Daten werden gesammelt? Z. B. Name, E-Mail-Adresse über das Kontaktformular; technische Daten wie IP-Adresse und Browser.
- Wozu werden sie verwendet? Z. B. zur Beantwortung von Anfragen, zur Analyse des Website-Traffics.
- Wie lange werden sie gespeichert? Möglichst konkret – z. B. "Kontaktanfragen werden nach 12 Monaten gelöscht".
- Welche Drittanbieter sind involviert? Google Analytics, Hosting-Anbieter, eingebettete Karten etc.
- Welche Rechte haben die Besucher? Auskunft, Berichtigung, Löschung.
Die Sprache muss klar und verständlich sein – das schreibt das nDSG ausdrücklich vor. Ein juristisch korrekter, aber völlig unlesbarer Text erfüllt die Anforderung nicht. Schreiben Sie so, als würden Sie einem Kunden am Telefon erklären, was mit seinen Daten passiert.
Cookie-Banner: Braucht das jede Schweizer Website?
Hier herrscht die grösste Verwirrung. Die Antwort: Nein, nicht jede Schweizer Website braucht einen Cookie-Banner.
Die EU-DSGVO schreibt eine aktive Einwilligung vor, bevor nicht-notwendige Cookies gesetzt werden dürfen. Das ist der Grund, warum auf deutschen und österreichischen Websites überall Cookie-Popups auftauchen. Das Schweizer nDSG ist hier weniger streng: Es gibt keine generelle Pflicht zum Cookie-Consent-Banner.
Wann ist ein Cookie-Banner in der Schweiz trotzdem sinnvoll?
- Wenn Google Analytics oder ähnliche Tracking-Tools eingesetzt werden, die Daten an Dritte in einem Land ohne angemessenes Datenschutzniveau übertragen (z. B. USA). Hier empfiehlt sich zumindest eine Information und idealerweise eine Einwilligung.
- Wenn Sie auch EU-Bürgerinnen und -Bürger ansprechen, gilt möglicherweise trotzdem die DSGVO. Wenn Ihre Website auf EU-Kunden ausgerichtet ist – z. B. durch Preise in Euro oder länderspezifische Inhalte – sollten Sie die EU-Anforderungen berücksichtigen.
- Wenn Sie Marketing-Cookies für Retargeting-Kampagnen einsetzen. Das ist jedoch bei einer typischen KMU-Präsenz selten der Fall.
Praxisbeispiel: Eine Schreinerei aus Aarau, die lokale Privatkundschaft anspricht und Google Analytics mit IP-Anonymisierung nutzt, braucht keinen Cookie-Banner. Ein Webshop, der Produkte in die ganze Schweiz und nach Deutschland verkauft, sollte einen haben.
Kontaktformular und Datenschutz
Das Kontaktformular ist der datenschutzrechtlich heikelste Teil einer einfachen Unternehmenswebsite – weil dort aktiv personenbezogene Daten eingegeben werden. Was ist zu beachten?
- HTTPS ist Pflicht. Kontaktformulare, die über unverschlüsselte HTTP-Verbindungen übertragen werden, entsprechen nicht dem Stand der Technik. Jeder seriöse Hosting-Anbieter stellt heute kostenlose SSL-Zertifikate bereit. Falls Ihre Website noch kein HTTPS hat, ist das dringend zu beheben.
- Nur notwendige Felder abfragen. Wenn Name, E-Mail und Nachricht ausreichen, kein Geburtsdatum, keine Telefonnummer als Pflichtfeld. Datenminimierung ist ein Grundprinzip des nDSG.
- Hinweis auf Datenschutzerklärung. Beim Formular sollte ein kurzer Text oder ein Link erscheinen – z. B. "Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäss unserer Datenschutzerklärung zu." Eine aktive Checkbox ist in der Schweiz nicht zwingend, wirkt aber vertrauensbildend.
Google Analytics: Was gilt es zu beachten?
Google Analytics ist das am häufigsten eingesetzte Web-Analyse-Tool – und gleichzeitig das, das in der Datenschutzdiskussion am meisten aufgetaucht ist. Das Problem: Google verarbeitet die erhobenen Daten auf Servern in den USA, einem Land, das die Schweiz bisher nicht auf der Liste der Länder mit angemessenem Datenschutzniveau führt.
Was bedeutet das praktisch?
- Google Analytics 4 (GA4) ist der aktuelle Standard. Google bietet darin eine IP-Anonymisierung an, die standardmässig aktiviert sein sollte – die IP-Adresse der Besucher wird dann vor der Übertragung an Google verkürzt und kann keiner Person mehr direkt zugeordnet werden.
- In der Datenschutzerklärung muss erwähnt werden, dass Google Analytics eingesetzt wird, welche Daten übertragen werden und dass Besucher der Analyse widersprechen können.
- Datenschutzfreundliche Alternativen gibt es: Plausible Analytics (europäischer Anbieter, ohne Cookies, ohne persönliche Daten) oder Matomo (selbst gehostet) sind für viele KMU eine sinnvolle Option, die die Datenschutzfrage vollständig entschärft.
nDSG vs. DSGVO: Was ist der Unterschied?
Das Schweizer Datenschutzgesetz (nDSG) und die europäische Datenschutz-Grundverordnung (DSGVO) sind ähnlich aufgebaut, aber nicht identisch. Die wichtigsten Unterschiede für KMU:
- Territorialität: Das nDSG gilt für Unternehmen in der Schweiz. Die DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgerinnen und -Bürgern verarbeiten – unabhängig davon, wo das Unternehmen sitzt.
- Cookie-Consent: In der Schweiz keine generelle Pflicht, in der EU ja.
- Bussgelder: Das nDSG sieht persönliche Bussen für Einzelpersonen (nicht für Unternehmen) von bis zu CHF 250'000 vor – aber nur bei vorsätzlichen Verstössen. Die automatischen Millionenbussen, die manchmal im Zusammenhang mit der DSGVO genannt werden, gelten in der Schweiz nicht.
- Datenschutzbeauftragter: In der EU für viele Unternehmen Pflicht, in der Schweiz empfohlen aber nicht vorgeschrieben.
Checkliste: Was Ihre Website braucht
Damit Sie sehen, wo Ihre Website steht, hier eine kompakte Übersicht:
- ✓ HTTPS aktiv – jede Seite wird verschlüsselt übertragen
- ✓ Datenschutzerklärung vorhanden – im Footer verlinkt, klar formuliert
- ✓ Kontaktformular – nur notwendige Felder, Hinweis auf Datenschutz
- ✓ Google Analytics – IP-Anonymisierung aktiv, in der DS-Erklärung erwähnt
- ✓ Eingebettete Karten / Videos – z. B. Google Maps oder YouTube erwähnt in DS-Erklärung
- ✓ Cookie-Banner – nur wenn Tracking oder EU-Kundschaft relevant
- ✓ Impressum – Pflichtangaben vollständig (Name, Adresse, Kontakt)
Sie sind unsicher, ob Ihre Website datenschutzkonform ist? Wir schauen gern gemeinsam drüber – im kostenlosen Erstgespräch. Jetzt Kontakt aufnehmen →