Das revidierte Datenschutzgesetz (nDSG) ist seit dem 1. September 2023 in Kraft. Für Schweizer KMU kann die Umsetzung zunächst überwältigend wirken — doch die meisten Pflichten, die Ihre Website betreffen, lassen sich auf 15 konkrete Punkte reduzieren. Gehen Sie diese Checkliste durch, haken Sie ab, was bereits umgesetzt ist, und identifizieren Sie den Handlungsbedarf.
Warum Ihre Website im Mittelpunkt der nDSG-Konformität steht
Ihre Website ist oft der erste Berührungspunkt, an dem personenbezogene Daten erhoben werden: IP-Adressen, Cookies, Kontaktformulare, Tracking-Pixel. Hier üben Ihre Besucher auch ihre Rechte aus (Auskunft, Berichtigung, Löschung). Das nDSG — ergänzt durch die Datenschutzverordnung (DSV) — legt für jeden Schritt dieses Wegs präzise Pflichten fest.
Die Sanktionen sind persönlicher Natur: bis zu CHF 250 000 gegen die verantwortliche Person (Art. 60 nDSG). Es handelt sich nicht um eine abstrakte Unternehmensstrafe — es ist eine Verantwortung, die direkt auf der Geschäftsleitung lastet.
Die 15 Punkte der nDSG-Checkliste für Ihre Website
1. Datenschutzerklärung veröffentlicht und zugänglich
Was es ist: Ein Dokument, das beschreibt, welche Daten Sie erheben, zu welchem Zweck, wie lange, und wer Zugang hat.
nDSG-Artikel: Art. 19 nDSG — Informationspflicht zum Zeitpunkt der Datenerhebung.
Umsetzung: Veröffentlichen Sie eine dedizierte Seite (z. B. /datenschutzerklaerung). Verfassen Sie sie in verständlicher Sprache ohne übermässigen Rechtsjargon. Sie muss enthalten: Identität der verantwortlichen Person, Bearbeitungszwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Rechte der betroffenen Personen.
2. Cookie-Banner mit vorheriger Einwilligung (Opt-in)
Was es ist: Ein Mechanismus, der das Setzen nicht notwendiger Cookies verhindert, bis der Nutzer seine ausdrückliche Einwilligung gegeben hat.
nDSG-Artikel: Art. 45c FMG (Fernmeldegesetz) — Einwilligung für nicht notwendige Cookies erforderlich.
Umsetzung: Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Ein "Alle akzeptieren"-Button reicht aus, wenn die Ablehnung ebenso einfach möglich ist. Stillschweigen oder bloss das Weiterscrollen auf der Seite gilt nicht als gültige Einwilligung.
3. Cookie-Kategorisierung
Was es ist: Cookies nach Kategorien aufschlüsseln (notwendig, analytisch, Marketing, Präferenzen) mit einer Beschreibung jedes verwendeten Dienstes.
nDSG-Artikel: Art. 19 nDSG und Art. 45c FMG — Detailliertheit der Information und der Auswahlmöglichkeiten.
Umsetzung: Listen Sie in Ihrem Cookie-Banner oder Ihrer Cookie-Richtlinie jeden Drittanbieter auf (Google Analytics, Meta Pixel, Hotjar usw.) mit Kategorie, Lebensdauer und Land der Datenverarbeitung. Ermöglichen Sie dem Nutzer, pro Kategorie zuzustimmen oder abzulehnen.
4. Skripte bis zur Einwilligung blockiert
Was es ist: Drittanbieter-Tracker (Google Analytics, Facebook Pixel usw.) dürfen nicht geladen werden, bevor der Nutzer zugestimmt hat.
nDSG-Artikel: Art. 45c FMG — das Setzen von Cookies ohne Einwilligung ist rechtswidrig.
Umsetzung: Verwenden Sie ein Consent-Management-System (CMP), das Skripte bedingt lädt. Technisch bedeutet dies, dass <script>-Tags von Drittanbieterdiensten ihr type-Attribut auf text/plain gesetzt haben müssen, bis die Einwilligung erteilt wurde, um dann dynamisch aktiviert zu werden.
Gut zu wissen: PrivaScan überprüft die Punkte 1 bis 4 automatisch, indem es Ihre Website crawlt und Cookies erkennt, die vor der Einwilligung gesetzt werden, fehlende Skripte in Ihrer Datenschutzerklärung sowie ein fehlendes oder nicht konformes Banner.
5. Datenschutzerklärung auf jeder Seite verlinkt
Was es ist: Ein sichtbarer Link zur Datenschutzerklärung, der von jeder Seite der Website aus erreichbar ist.
nDSG-Artikel: Art. 19 nDSG — die Information muss leicht zugänglich sein.
Umsetzung: Integrieren Sie den Link in die Fusszeile (Footer) Ihrer Website. Verstecken Sie ihn nicht in einem tief verschachtelten Menü. Der Linktext sollte eindeutig sein: "Datenschutzerklärung" oder "Datenschutz".
6. Hinweise in Kontaktformularen
Was es ist: Nutzer direkt im Formular oder daneben darüber informieren, wie ihre Daten verwendet werden.
nDSG-Artikel: Art. 19 nDSG — Information zum Zeitpunkt der Erhebung.
Umsetzung: Fügen Sie unter jedem Formular (Kontakt, Offerte, Anmeldung) einen kurzen Hinweis hinzu, z. B.: "Ihre Daten werden ausschliesslich zur Beantwortung Ihrer Anfrage verwendet. Mehr erfahren." Ein Kontrollkästchen ist optional, wenn der Zweck offensichtlich ist, aber für kommerzielle Anmeldungen empfehlenswert.
7. Double Opt-in für Newsletter
Was es ist: Nach der Anmeldung erhält der Nutzer eine Bestätigungs-E-Mail, die er vor der Aufnahme in Ihre Liste validieren muss.
nDSG-Artikel: Art. 6 nDSG (Rechtmässigkeit der Bearbeitung) + UWG (Gesetz gegen unlauteren Wettbewerb) für Spam-Regelungen.
Umsetzung: Konfigurieren Sie Ihr E-Mail-Tool (Mailchimp, Brevo usw.) im Double-Opt-in-Modus. Bewahren Sie Einwilligungsnachweise auf (Datum, IP-Adresse, Formularversion). Im Streitfall müssen Sie beweisen, dass die Einwilligung eingeholt wurde.
8. Drittanbieterdienste in der Datenschutzerklärung aufgelistet
Was es ist: Jeder externe Dienst, der in Ihre Website eingebunden ist (Hosting, Analysetool, CRM, Support-Chat usw.), muss erwähnt werden.
nDSG-Artikel: Art. 19 Abs. 2 nDSG — Pflicht zur Nennung der Empfänger der Daten.
Umsetzung: Erstellen Sie ein Inventar aller von Ihnen genutzten Tools: Google Analytics, Stripe, Intercom, HubSpot, Cloudflare, Ihr Hosting-Anbieter usw. Geben Sie für jeden an: Name des Dienstes, Rolle, Land der Verarbeitung und Link zu seiner eigenen Datenschutzerklärung.
9. Auftragsverarbeitungsverträge (AVV) mit Dienstleistern
Was es ist: Ein Vertrag mit jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet (Ihr Hosting-Anbieter, Ihr CRM-Tool, Ihr E-Mail-Dienst usw.).
nDSG-Artikel: Art. 9 nDSG — Pflicht zum Abschluss eines schriftlichen Vertrags mit Auftragsverarbeitern.
Umsetzung: Die meisten grossen Anbieter (Google, AWS, Stripe, Brevo) bieten einen AVV (Data Processing Agreement) an, der in den Kontoeinstellungen unterzeichnet werden kann. Unterzeichnen Sie diese und archivieren Sie sie. Für kleinere Schweizer oder europäische Dienstleister reicht ein Vertragsanhang aus.
10. SSL/TLS-Verschlüsselung auf der gesamten Website aktiv
Was es ist: Ihre Website muss ausschliesslich über HTTPS mit einem gültigen SSL/TLS-Zertifikat erreichbar sein — auf allen Seiten ohne Ausnahme.
nDSG-Artikel: Art. 8 nDSG — Pflicht zu angemessenen technischen und organisatorischen Massnahmen (Datensicherheit).
Umsetzung: Prüfen Sie, ob Ihr Hosting-Anbieter ein SSL-Zertifikat bereitstellt (Let's Encrypt ist kostenlos). Konfigurieren Sie eine automatische Weiterleitung von HTTP auf HTTPS. Stellen Sie sicher, dass kein gemischter Inhalt vorliegt (Bilder oder Skripte, die über HTTP auf einer HTTPS-Seite geladen werden).
11. Aufbewahrungsfristen definiert und dokumentiert
Was es ist: Für jede Datenkategorie, die Sie erheben, müssen Sie festlegen, wie lange Sie diese aufbewahren, und sie danach löschen.
nDSG-Artikel: Art. 6 Abs. 4 nDSG — Grundsatz der Datensparsamkeit und Speicherbegrenzung.
Umsetzung: Erstellen Sie eine einfache Tabelle mit: Datenkategorie, Zweck, Aufbewahrungsfrist, Rechtsgrundlage. Beispiele: Kontaktdaten (3 Jahre nach letztem Kontakt), Bestelldaten (10 Jahre für Buchführungspflichten), Server-Logs (90 Tage). Automatisieren Sie die Löschung in Ihren Tools, wo möglich.
12. Verfahren zur Ausübung von Rechten (Auskunft, Berichtigung, Löschung)
Was es ist: Ihre Besucher haben das Recht zu erfahren, welche Daten Sie über sie speichern, diese berichtigen und löschen zu lassen.
nDSG-Artikel: Art. 25 (Auskunftsrecht), Art. 32 (Recht auf Berichtigung/Löschung) nDSG.
Umsetzung: Veröffentlichen Sie in Ihrer Datenschutzerklärung eine dedizierte E-Mail-Adresse (z. B. datenschutz@ihrunternehmen.ch) für Anfragen. Definieren Sie einen internen Prozess: Identitätsprüfung des Antragstellers, Antwortfrist (maximal 30 Tage), Löschverfahren in Ihren verschiedenen Tools.
13. Verarbeitungsverzeichnis
Was es ist: Ein internes Inventar, das alle Aktivitäten zur Verarbeitung personenbezogener Daten Ihrer Organisation dokumentiert.
nDSG-Artikel: Art. 12 nDSG — obligatorisch für Unternehmen, deren Verarbeitung ein hohes Risiko birgt; für alle KMU dringend empfohlen.
Umsetzung: Listen Sie jede Verarbeitung auf (Kundenverwaltung, Fakturierung, Marketing, HR, Support usw.) mit: Zweck, Datenkategorien, Empfänger, Verarbeitungsländer, Aufbewahrungsfristen, Sicherheitsmassnahmen. Eine Tabellenkalkulation reicht für den Anfang; dedizierte Tools wie PrivaGuard erleichtern die Verwaltung und Aktualisierung.
14. Garantien für Datentransfers ins Ausland
Was es ist: Wenn Sie Dienste nutzen, deren Server ausserhalb der Schweiz sind (USA, Indien usw.), müssen Sie sicherstellen, dass angemessene Garantien die übertragenen Daten schützen.
nDSG-Artikel: Art. 16-18 nDSG — Bekanntgabe von Personendaten ins Ausland.
Umsetzung: Prüfen Sie für jeden Anbieter, wo die Daten physisch gespeichert werden. Für Transfers in Länder ohne angemessenes Schutzniveau (die Liste ist auf edoeb.admin.ch verfügbar) müssen Sie sich auf Standardvertragsklauseln (SVK) oder verbindliche Unternehmensregeln stützen. Erwähnen Sie diese Garantien in Ihrer Datenschutzerklärung.
15. Regelmässiger Auditplan
Was es ist: Regelmässige Überprüfungen Ihrer Konformität planen, um Ihre Website bei rechtlichen und technischen Entwicklungen auf dem aktuellen Stand zu halten.
nDSG-Artikel: Allgemeines Verantwortlichkeitsprinzip (Art. 5 und 8 nDSG) — die verantwortliche Person muss jederzeit in der Lage sein, ihre Konformität nachzuweisen.
Umsetzung: Legen Sie mindestens ein jährliches Audit fest (oder nach jeder grösseren Änderung Ihrer Website oder Ihres Tech-Stacks). Prüfen Sie: die Liste der aktiven Cookies, die Auftragsverarbeitungsverträge, die angewandten Aufbewahrungsfristen, die Datenzugriffsrechte und die Datenschutzerklärung. Dokumentieren Sie jedes Audit.
Zusammenfassung
| # | Prüfpunkt | nDSG-Artikel | Priorität |
|---|---|---|---|
| 1 | Datenschutzerklärung veröffentlicht | Art. 19 | Kritisch |
| 2 | Cookie-Banner mit Opt-in | Art. 45c FMG | Kritisch |
| 3 | Cookie-Kategorisierung | Art. 19 + 45c FMG | Kritisch |
| 4 | Skripte vor Einwilligung blockiert | Art. 45c FMG | Kritisch |
| 5 | Link auf jeder Seite | Art. 19 | Hoch |
| 6 | Hinweise in Formularen | Art. 19 | Hoch |
| 7 | Double Opt-in Newsletter | Art. 6 + UWG | Hoch |
| 8 | Drittanbieterdienste aufgelistet | Art. 19 Abs. 2 | Hoch |
| 9 | AVV mit Dienstleistern | Art. 9 | Hoch |
| 10 | SSL/TLS auf gesamter Website | Art. 8 | Hoch |
| 11 | Aufbewahrungsfristen definiert | Art. 6 Abs. 4 | Mittel |
| 12 | Verfahren für Betroffenenrechte | Art. 25, 32 | Mittel |
| 13 | Verarbeitungsverzeichnis | Art. 12 | Mittel |
| 14 | Garantien für Auslandstransfers | Art. 16-18 | Mittel |
| 15 | Regelmässiger Auditplan | Art. 5, 8 | Laufend |
Wo anfangen?
Wenn Sie bei null beginnen, konzentrieren Sie sich zuerst auf die ersten 4 Punkte — sie bilden das rechtliche Minimum, das für Ihre Besucher und den EDÖB sichtbar ist. Die Punkte 5 bis 10 folgen natürlich, dann kommt die interne Dokumentation (11–15), die Ihre Gesamthaltung festigt.
Lassen Sie sich nicht von der Komplexität lähmen: Eine unvollkommene, aber sich entwickelnde Konformität ist besser als völlige Untätigkeit. Das nDSG berücksichtigt guten Glauben und nachgewiesene Bemühungen bei der Beurteilung von Sanktionen.
Starten Sie mit einer automatischen Diagnose: PrivaScan analysiert Ihre Website in wenigen Minuten und überprüft die Punkte 1 bis 4 dieser Checkliste — Erkennung von Cookies, die vor der Einwilligung gesetzt werden, nicht deklarierten Drittanbieter-Skripten und der Konformität Ihres Banners. Kostenlos, ohne Registrierung, mit einem detaillierten Bericht sofort.