Datenschutzerklärung Schweiz: Kompletter Leitfaden und nDSG-Vorlage

Jede Website, die personenbezogene Daten erhebt, braucht eine Datenschutzerklärung — das ist keine Empfehlung, sondern eine gesetzliche Pflicht. Das neue Datenschutzgesetz (nDSG) verpflichtet Verantwortliche in Art. 19 nDSG, betroffene Personen bei der Datenerhebung aktiv zu informieren. Dieser Leitfaden erklärt, was Ihre Datenschutzerklärung zwingend enthalten muss, welche Fehler Sie vermeiden sollten, und wie Sie das Dokument strukturieren und aktuell halten.

Warum jede Schweizer Website eine Datenschutzerklärung braucht

Sobald Ihre Website Personendaten bearbeitet — und das tut praktisch jede — greift die Informationspflicht nach Art. 19 nDSG. Konkret: Erheben Sie Daten direkt bei den betroffenen Personen, müssen Sie diese zum Zeitpunkt der Erhebung informieren. Die Information muss leicht zugänglich, verständlich und vollständig sein.

Typische Auslöser auf einer gewöhnlichen Unternehmenswebsite:

• Einbindung von Google Analytics oder vergleichbaren Analyse-Tools
• Kontakt- oder Anmeldeformulare
• Werbe-Tracker wie Meta Pixel, LinkedIn Insight Tag oder Google Ads-Remarketing
• Online-Shop mit Kundenkonto und Zahlungsabwicklung
• Eingebettete Inhalte von Drittanbietern (YouTube, Google Maps, Social-Media-Buttons)

Fehlt die Datenschutzerklärung oder ist sie unvollständig, können Betroffene beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Beschwerde einreichen. Im Wiederholungsfall oder bei vorsätzlichem Verstoss drohen Bussen bis zu CHF 250 000 — gerichtet gegen die verantwortliche Privatperson, nicht gegen das Unternehmen als juristischer Person.

Haben Sie Kunden oder Nutzer in der Europäischen Union, gilt parallel dazu Art. 13 DSGVO. Eine sorgfältig erstellte Datenschutzerklärung kann beide Anforderungen gleichzeitig abdecken.

Pflichtangaben nach Art. 19 nDSG

Die Datenschutzverordnung (DSV) konkretisiert, welche Mindestinformationen in die Datenschutzerklärung aufgenommen werden müssen. Diese neun Bereiche sind zwingend:

1. Identität und Kontaktdaten des Verantwortlichen

Name und vollständige Postadresse Ihres Unternehmens sowie eine E-Mail-Adresse für datenschutzbezogene Anfragen. Haben Sie einen Vertreter in der Schweiz oder der EU bestellt, ist dieser ebenfalls zu nennen.

2. Bearbeitungszwecke und Rechtsgrundlagen

Erläutern Sie für jede Datenkategorie, warum Sie die Daten bearbeiten (Zweck) und gestützt auf welche Grundlage (Einwilligung, Vertragserfüllung, überwiegendes Interesse, gesetzliche Verpflichtung). Allgemeine Formulierungen wie "zur Verbesserung unserer Dienste" genügen nicht — konkrete Zwecke sind erforderlich.

3. Kategorien bearbeiteter Personendaten

Listen Sie auf, welche Datenkategorien Sie tatsächlich bearbeiten: Identifikationsdaten (Name, E-Mail), Nutzungsdaten (IP-Adresse, besuchte Seiten), Zahlungsdaten, Vertragsdaten und so weiter. Gruppieren Sie logisch, ohne in unnötige Details zu verfallen.

4. Empfänger und Auftragsbearbeiter

Nennen Sie die Kategorien von Empfängern (Hosting-Anbieter, CRM, E-Mail-Plattform, Zahlungsdienstleister) und, soweit möglich, konkrete Drittanbieter (z. B. Stripe für Zahlungen, ein Schweizer Rechenzentrum für das Hosting). Auftragsbearbeitungsverträge mit diesen Dienstleistern sind Pflicht.

5. Datenübermittlungen ins Ausland

Werden Daten ausserhalb der Schweiz bearbeitet — bei US-amerikanischen oder europäischen Cloud-Diensten oft der Fall — müssen Sie das offenlegen. Nennen Sie das Zielland und die Schutzgarantien: Standardvertragsklauseln, Angemessenheitsentscheid des EDÖB oder anderweitige Massnahmen. Die Schweiz führt eine eigene Liste angemessener Länder.

6. Aufbewahrungsfristen

Wie lange bewahren Sie welche Daten auf? Geben Sie konkrete Fristen an oder erläutern Sie die Kriterien, nach denen sich die Dauer richtet (z. B. "Rechnungsdaten gemäss Art. 958 OR zehn Jahre aufbewahrt", "Verbindungsprotokolle nach 90 Tagen gelöscht").

7. Rechte der betroffenen Personen

Das nDSG garantiert betroffenen Personen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Erklären Sie, wie diese Rechte geltend gemacht werden können, und nennen Sie eine Kontaktadresse sowie eine Bearbeitungsfrist (in der Regel 30 Tage).

8. Cookies und Tracking-Technologien

Widmen Sie Cookies einen eigenen Abschnitt. Unterscheiden Sie technisch notwendige Cookies (Session, CSRF, Sprachpräferenz) von Analyse-Cookies, Werbe-Cookies und Drittanbieter-Trackern. Erklären Sie, wie Ihre Einwilligungslösung funktioniert und wie Nutzer ihre Präferenzen ändern können.

9. Kontakt und Beschwerderecht

Schliessen Sie mit einer klaren Einladung, bei datenschutzbezogenen Fragen Kontakt aufzunehmen (dedizierte E-Mail-Adresse empfohlen: datenschutz@ihredomain.ch), und weisen Sie auf das Recht hin, beim EDÖB Beschwerde einzureichen.

Datenschutzerklärung vs. Impressum: der Unterschied

Viele KMU verwechseln diese beiden Dokumente oder führen sie in einer einzigen Seite zusammen. Das ist ein Fehler:

• Das Impressum identifiziert den Betreiber der Website (Firmenname, Adresse, Kontakt) und kann aus handelsrechtlichen oder berufsrechtlichen Gründen vorgeschrieben sein. Es enthält keine Informationen über die Datenbearbeitung.
• Die Datenschutzerklärung beschreibt, wie Personendaten erhoben, bearbeitet und geschützt werden. Sie ist durch das nDSG vorgeschrieben.

Beide Dokumente müssen separat und vom Footer jeder Seite verlinkt sein.

Häufige Fehler in Schweizer Datenschutzerklärungen

Eine Analyse zahlreicher Schweizer Unternehmenswebsites zeigt wiederkehrende Mängel:

1. DSGVO-Vorlage ohne Schweizer Anpassung. Viele Unternehmen übernehmen europäische Muster unverändert. nDSG und DSGVO unterscheiden sich jedoch in Terminologie, Rechtsgrundlagen und einzelnen Rechten. Eine reine DSGVO-Vorlage ist nicht ausreichend.

2. Drittanbieter-Cookies nicht erwähnt. Google Analytics, Meta Pixel, Hotjar oder LinkedIn-Tracker verarbeiten Nutzerdaten Ihrer Besucher. Diese Tools müssen in der Erklärung aufgeführt und durch Ihr Consent-Banner abgedeckt sein.

3. Fehlende Angaben zu Auslandstransfers. AWS, Google Cloud, Microsoft Azure und viele SaaS-Lösungen bearbeiten Daten in den USA oder anderen Ländern ausserhalb der Schweiz. Diese Transfers müssen deklariert werden.

4. Vage oder fehlende Aufbewahrungsfristen. "Wir speichern Ihre Daten so lange wie nötig" ist keine ausreichende Angabe. Das nDSG verlangt konkrete Fristen oder nachvollziehbare Kriterien.

5. Schlechte Auffindbarkeit. Die Datenschutzerklärung muss von jeder Seite aus per Klick erreichbar sein — typischerweise über einen Link im Footer. In den AGB oder auf einer Unterseite ohne direkte Verlinkung versteckt zu sein, genügt nicht.

6. Fehlende Aktualisierung nach Tool-Änderungen. Jedes neue Tool, jeder neue Tracking-Pixel und jeder neue Drittanbieter-Dienst muss in die Datenschutzerklärung aufgenommen werden. Veraltete Erklärungen sind ein häufiger Befund bei Prüfungen.

Wo die Datenschutzerklärung platziert werden muss

Das nDSG verlangt leichte Zugänglichkeit. In der Praxis bedeutet das:

• Footer jeder Seite Ihrer Website (permanenter Link, eindeutige Bezeichnung: "Datenschutzerklärung" oder "Datenschutz")
• Consent-Banner für Cookies — Nutzende müssen die Erklärung lesen können, bevor sie zustimmen oder ablehnen
• Alle Formulare, die Personendaten erheben (Kontaktformular, Newsletter-Anmeldung, Kontoeröffnung) — ein Hinweis mit aktivem Link genügt ("Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu")
• E-Mails — ein Link im Footer von Marketing- und Transaktions-E-Mails ist eine anerkannte Best Practice

Vorlage: Struktur für Ihre Datenschutzerklärung nach nDSG

Nachfolgend eine Gliederung, die Sie direkt an Ihre Situation anpassen können:

1. Verantwortlicher
   - Firmenname, Adresse, Datenschutz-E-Mail

2. Erhobene Daten und Bearbeitungszwecke
   2.1 Nutzungsdaten und Cookies
   2.2 Kontaktformulare und Anfragen
   2.3 Kundenkonto und Login
   2.4 Zahlungs- und Rechnungsdaten
   2.5 Newsletter und Marketing-Kommunikation

3. Rechtsgrundlagen der Bearbeitung

4. Empfänger und Auftragsbearbeiter
   - Hosting, Analyse-Tools, CRM, Zahlungsanbieter, E-Mail-Versand

5. Datenübermittlungen ins Ausland

6. Aufbewahrungsfristen

7. Ihre Rechte
   - Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch
   - Wie Sie Ihre Rechte geltend machen

8. Cookies und Tracking-Technologien
   - Notwendige Cookies
   - Analyse-Cookies (mit Einwilligung)
   - Werbe- und Drittanbieter-Cookies (mit Einwilligung)
   - Verwaltung der Einstellungen

9. Änderungen dieser Datenschutzerklärung

10. Kontakt und Beschwerderecht beim EDÖB

Diese Struktur deckt die Anforderungen von Art. 19 nDSG ab und lässt sich mit wenigen Ergänzungen auch DSGVO-konform gestalten.

Wann müssen Sie Ihre Datenschutzerklärung aktualisieren?

Eine Datenschutzerklärung ist kein einmaliges Dokument. Aktualisierungen sind in folgenden Situationen Pflicht:

• Bei der Einführung neuer Tools, die Personendaten bearbeiten (neues CRM, Live-Chat, Analyse-Tool, Zahlungsanbieter)
• Bei Wechsel eines Dienstleisters (neuer Hosting-Anbieter, Migration auf andere Cloud-Infrastruktur)
• Bei Änderung der Bearbeitungszwecke (Einstieg ins E-Mail-Marketing, Start von Retargeting-Kampagnen)
• Bei Gesetzesänderungen — Anpassungen der DSV, neue Angemessenheitsentscheide, relevante Bundesgerichtsentscheide
• Nach einer Datenpanne — die Erklärung sollte neue Sicherheitsmassnahmen widerspiegeln

Datieren Sie Ihre Datenschutzerklärung klar ("Stand: Mai 2026") und archivieren Sie frühere Versionen intern.

Datenschutzerklärung einfacher erstellen mit PrivaGuard

Eine nDSG-konforme Datenschutzerklärung zu erstellen, erfordert Rechtskenntnisse, Zeit und laufende Pflege. Genau deshalb bietet PrivaGuard ab dem Starter+-Tarif einen integrierten Datenschutzerklärungs-Generator.

Der Generator führt Sie Abschnitt für Abschnitt durch den Prozess, passt den Inhalt an Ihre Branche und Ihre eingesetzten Tools an, und erstellt ein dreisprachiges Dokument (Deutsch, Französisch, Englisch), das Sie direkt veröffentlichen können — auf nDSG-Konformität ausgelegt und gleichzeitig DSGVO-kompatibel für Ihre europäischen Nutzer.

Bevor Sie Ihre Datenschutzerklärung verfassen, sollten Sie wissen, welche Cookies und Tracker auf Ihrer Website tatsächlich aktiv sind. PrivaScan analysiert Ihre Website kostenlos, klassifiziert alle gefundenen Tracker und zeigt Ihnen genau, was in Ihrer Datenschutzerklärung abgedeckt sein muss.

Website jetzt kostenlos analysieren