Was sind die wichtigsten Änderungen durch das revidierte DSG für Datenschutzerklärungen von Schweizer Websites?

Das revidierte Bundesgesetz über den Datenschutz (DSG, SR 235.1), das seit 1. September 2023 gilt, bringt für Datenschutzerklärungen von Schweizer Websites folgende wichtigen Neuerungen: Erstens: Erweiterte Informationspflicht (DSG Art. 19-21) — Pflicht zur Information auch bei Profiling (DSG Art. 20) und automatisierten Einzelentscheidungen (DSG Art. 21). Zweitens: Transparenzpflicht bei Drittlandtransfers — bei Übermittlung von Daten in Länder ohne angemessenes Schutzniveau (z.B. USA) muss das Zielland und die Schutzgarantien explizit angegeben werden (DSG Art. 16 und Art. 19 Abs. 2 lit. d). Drittens: Meldepflicht bei Datenpannen (DSG Art. 24) — Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden. Viertens: Strafbestimmungen (DSG Art. 51) — Bussen bis CHF 250'000 gegen natürliche Personen bei Vorsatz. Fünftens: Datenschutzfolgenabschätzung (DSG Art. 22) — Pflicht bei risikoreichen Datenbearbeitungen. Das revDSG orientiert sich an der EU-DSGVO, ist aber weniger streng (z.B. kein zwingender Datenschutzbeauftragter, keine formelle Einwilligungspflicht als Standardrechtsgrundlage).

Welche Drittlandtransfer-Regelungen gelten für Schweizer Websites nach revDSG?

Die Bekanntgabe von Personendaten ins Ausland ist nach DSG Art. 16 (SR 235.1) ein zentrales Thema für Schweizer Websites. Der EDÖB führt eine Liste der Länder mit angemessenem Schutzniveau: Alle EU/EWR-Länder (basierend auf DSGVO-Adequacy-Entscheidungen der EU-Kommission), Andorra, Argentinien, Canada, Schweiz (für Transfers aus der EU). Die USA stehen NICHT auf der EDÖB-Liste — für Transfers in die USA sind Schutzgarantien erforderlich: EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder EU-US Data Privacy Framework (DPF, nach dem Schrems II-Urteil des EuGH 2020 und dem DPF-Nachfolgeabkommen 2023). In der Datenschutzerklärung müssen alle US-Dienste (Google Analytics, Meta Pixel, Mailchimp, Stripe, HubSpot, AWS) mit den entsprechenden Schutzgarantien aufgeführt werden. Prüfen Sie, ob die jeweiligen Anbieter unter dem DPF zertifiziert sind (Zertifizierungsliste: www.dataprivacyframework.gov). Die DSV (Datenschutzverordnung, SR 235.11) Art. 16-19 präzisiert die zulässigen Schutzgarantien.

Was sind die Betroffenenrechte nach revDSG und wie müssen sie in der Datenschutzerklärung erklärt werden?

Das revidierte DSG (SR 235.1) räumt betroffenen Personen folgende Rechte ein, die in der Datenschutzerklärung erklärt werden müssen: Auskunftsrecht (DSG Art. 25): Betroffene können jederzeit Auskunft verlangen, ob und welche Personendaten über sie bearbeitet werden. Beantwortungsfrist: 30 Tage (DSG Art. 25 Abs. 6). Auskunft ist kostenlos zu erteilen; bei offensichtlich unbegründeten oder missbräuchlichen Anfragen kann eine Gebühr verlangt werden (DSV Art. 25). Berichtigungsrecht: Unrichtige Daten müssen auf Antrag berichtigt werden (DSG Art. 6 Abs. 5 — Richtigkeit als Grundsatz). Löschungsrecht: Betroffene können Löschung verlangen, wenn die Daten nicht mehr benötigt werden oder ohne ausreichende Rechtsgrundlage bearbeitet wurden. Einschränkungsrecht: Betroffene können verlangen, dass die Bearbeitung ihrer Daten eingeschränkt wird (z.B. während einer Richtigkeitsstreitigkeit). Widerspruchsrecht: Gegen Bearbeitungen aufgrund berechtigter Interessen kann Widerspruch eingelegt werden. Beschwerderecht beim EDÖB (www.edoeb.admin.ch): Falls der Verantwortliche Datenschutzanfragen nicht oder ungenügend beantwortet. In der Datenschutzerklärung muss die konkrete Kontaktadresse für Datenschutzanfragen und die Beantwortungsfrist angegeben werden.

Müssen Schweizer Websites eine Cookie-Einwilligung einholen?

Das Schweizer Recht kennt keine ausdrückliche Cookie-Einwilligungspflicht — anders als die EU-Cookie-Richtlinie 2002/58/EG (ePrivacy) und die Leitlinien nationaler Datenschutzbehörden in der EU. Trotzdem empfiehlt der EDÖB und entspricht es dem Transparenzgrundsatz des revDSG (DSG Art. 6 Abs. 2 lit. a), dass für nicht-technisch-notwendige Cookies (Analytics, Marketing, Personalisierung) eine Einwilligung eingeholt wird: Technisch notwendige Cookies (Session-Cookies, Sprachpräferenzen, Warenkorb): Keine Einwilligung erforderlich. Analytics-Cookies (Google Analytics, Matomo mit externem Hosting): Einwilligung empfohlen nach revDSG. Marketing-Cookies (Facebook Pixel, LinkedIn Insight Tag, Remarketing): Einwilligung erforderlich. Für Websites, die EU-Kunden bedienen, ist die Cookie-Einwilligung nach EU-ePrivacy-Richtlinie zwingend — ein Cookie-Banner mit Opt-in ist dann für EU-Kunden Pflicht. Praktische Empfehlung: Implementieren Sie einen Cookie-Banner mit echter Opt-out-Möglichkeit, um sowohl revDSG- als auch DSGVO-Anforderungen zu erfüllen.

Was passiert, wenn eine Schweizer Website keine oder eine mangelhafte Datenschutzerklärung hat?

Das Fehlen oder der mangelhafte Inhalt einer Datenschutzerklärung kann für Schweizer Websites verschiedene Konsequenzen haben: EDÖB-Intervention: Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist die Aufsichtsbehörde nach revDSG. Er kann von Amtes wegen oder auf Beschwerde hin Untersuchungen einleiten (DSG Art. 49), Empfehlungen aussprechen und bei Nichtbefolgung eine Verfügung erlassen. Bussen: Bei vorsätzlichem Verstoss gegen die Informationspflicht (DSG Art. 19-21), Drittlandtransfer-Pflichten (DSG Art. 16) oder Meldepflicht bei Datenpannen (DSG Art. 24) drohen natürlichen Personen Bussen bis CHF 250'000.- (DSG Art. 51). Zivilrechtliche Ansprüche: Betroffene Personen können nach DSG Art. 32 auf Unterlassung, Beseitigung oder Feststellung klagen, wenn ihre Datenschutzrechte verletzt werden. Reputationsschäden: Datenschutzverletzungen werden medial wahrgenommen und können das Vertrauen von Kunden erheblich schädigen. Praxis-Tipp: Überprüfen Sie regelmässig Ihre Datenschutzerklärung und stellen Sie sicher, dass sie alle revDSG-Anforderungen erfüllt. Der EDÖB bietet unter www.edoeb.admin.ch Leitfäden und Checklisten an.

Wie müssen Schweizer Websites mit der Google Analytics 4 und dem Datenschutz umgehen?

Google Analytics 4 (GA4) ist das am weitesten verbreitete Web-Analytics-Tool in der Schweiz und stellt aus Datenschutzsicht eine besondere Herausforderung dar: Datentransfer in die USA: GA4 überträgt Nutzerdaten an Google-Server in den USA. Die USA stehen nicht auf der EDÖB-Länderliste; Schutzgarantien sind erforderlich. Google LLC ist unter dem EU-US Data Privacy Framework (DPF, ab Juli 2023) zertifiziert; dieses bietet nach Ansicht des EDÖB ausreichende Garantien nach DSG Art. 16 Abs. 2 lit. a. In der Datenschutzerklärung müssen folgende Angaben zu GA4 enthalten sein: Verwendung von GA4, Verarbeitungszweck (Seitenanalyse, Nutzerverhalten), Datentransfer in die USA, Schutzgarantie (Google DPF), Opt-out-Möglichkeit (z.B. Google Analytics Opt-out Browser-Add-on, GA4-Consent Mode). IP-Anonymisierung: In GA4 werden IP-Adressen standardmässig nicht vollständig gespeichert — prüfen Sie die GA4-Konfiguration. Alternativen zu GA4: Matomo (Open Source, Selbst-Hosting in der Schweiz, kein Drittlandtransfer), Plausible Analytics (cookie-freie Alternative).

Ist eine Datenschutzerklärung nach revDSG auch DSGVO-konform?

Eine revDSG-konforme Datenschutzerklärung ist nicht automatisch auch DSGVO-konform — die beiden Rechtssysteme überschneiden sich weitgehend, haben aber Unterschiede. Gemeinsamkeiten (revDSG und DSGVO): Informationspflicht, Betroffenenrechte (Auskunft, Berichtigung, Löschung), Grundsätze der Datenminimierung und Zweckbindung, Meldepflicht bei Datenpannen. Wichtigste Unterschiede: (1) Rechtsgrundlagen: Die DSGVO Art. 6 listet explizit sechs Rechtsgrundlagen auf; das revDSG kennt keine entsprechende formelle Liste — die Bearbeitung ist zulässig, wenn kein überwiegendes Gegeninteresse besteht (Interessenabwägung). (2) Datenschutzbeauftragter: Nach DSGVO ist ein DSB für viele Unternehmen Pflicht; nach revDSG ist er freiwillig. (3) Bussrahmen: DSGVO: bis EUR 20 Mio. oder 4% Jahresumsatz (gegen Unternehmen). revDSG: bis CHF 250'000.- (gegen natürliche Personen). Für Schweizer Unternehmen, die EU-Kunden bedienen, empfiehlt sich eine Datenschutzerklärung, die beide Systeme abdeckt: revDSG für Schweizer Kunden, DSGVO für EU-Kunden.

Wie lange müssen Personendaten nach revDSG aufbewahrt werden?

Das revidierte DSG (SR 235.1) kennt keine allgemeine gesetzliche Aufbewahrungsfrist für Personendaten — vielmehr gilt der Grundsatz der Datensparsamkeit und Zweckbindung: Personendaten dürfen nur so lange aufbewahrt werden, wie es für den Bearbeitungszweck erforderlich ist (DSG Art. 6 Abs. 4). Für spezifische Datenkategorien gibt es jedoch gesetzliche Aufbewahrungspflichten, die über die revDSG-Minimalfrist hinausgehen: Geschäftsbriefe und Belege: 10 Jahre nach OR Art. 958f (Aufbewahrungspflicht für Buchungsbelege und Geschäftsbücher). Personalakten: nach Beendigung des Arbeitsverhältnisses typisch 5-10 Jahre (für Sozialversicherungsansprüche und HR-Dokumentation). Rechnungen und Finanzdaten: 10 Jahre nach OR Art. 958f. Web-Logs und IP-Adressen: Keine gesetzliche Mindestrauffbewahrungsfrist; Empfehlung: 30-90 Tage (nach EDÖB-Praxis), Löschung oder Anonymisierung danach. E-Mails und Korrespondenz: Keine Pflicht, aber Aufbewahrung bis 10 Jahre empfohlen für Beweiszwecke. In der Datenschutzerklärung müssen die Aufbewahrungsfristen für jede Datenkategorie angegeben werden. Nach Ablauf der Fristen müssen Daten gelöscht oder anonymisiert werden.

Datenschutzerklärung Website Schweiz

Datenschutzerklärung Website Schweiz (revDSG SR 235.1, DSV)

Datenschutzerklärung

DATENSCHUTZERKLÄRUNG

Verantwortlicher: [Firma Name] [Firma Adresse] E-Mail: [Datenschutz Email] Website: [Website U R L] Letzte Aktualisierung: [Letztes Update]

Rechtsgrundlagen und Bearbeitung

1. Rechtsgrundlagen Diese Datenschutzerklärung gilt für die Website [Website U R L] und beschreibt, welche Personendaten wir ([Firma Name]) bearbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Wir beachten die Anforderungen des revidierten Bundesgesetzes über den Datenschutz (DSG, SR 235.1), der Datenschutzverordnung (DSV, SR 235.11) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679). Datenschutzbeauftragter: [Dsb]. 2. Welche Daten wir bearbeiten A) Server-Log-Daten: Beim Besuch unserer Website erfassen unsere Server automatisch technische Daten: IP-Adresse (anonymisiert nach 24 Stunden), Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Referrer-URL, Browser und Betriebssystem. Rechtsgrundlage: berechtigtes Interesse nach DSG Art. 31 (Betrieb, Sicherheit und Optimierung der Website). B) Kontaktformular: [Kontaktformular]. Bei Verwendung des Kontaktformulars werden Name und E-Mail-Adresse sowie die Nachricht verarbeitet. Zweck: Beantwortung Ihrer Anfrage. Rechtsgrundlage: Einwilligung (DSG Art. 6 Abs. 7) resp. Vertragserfüllung.

2. Cookies Cookie-Kategorien: [Cookies]. Technisch notwendige Cookies sind ohne Einwilligung zulässig (z.B. Session-Cookies, Warenkorb-Cookies). Analytics- und Marketing-Cookies setzen wir nur mit Ihrer Einwilligung ein (Cookie-Banner). Sie können Cookies in den Einstellungen Ihres Browsers deaktivieren; einige Funktionen unserer Website stehen dann ggf. nicht zur Verfügung. 4. Web-Analytics Web-Analytics-Tool: [Web Analytics]. Bei Google Analytics 4: IP-Adressen werden anonymisiert, bevor sie Google übermittelt werden; Google ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zum Datenschutz bei Google Analytics finden Sie unter https://policies.google.com/privacy. Bei Matomo: Daten bleiben auf unserem Server; ein Opt-out ist auf unserer Website möglich. 5. Newsletter Newsletter: [Newsletter]. Bei Anmeldung zum Newsletter erheben wir Ihre E-Mail-Adresse und ggf. Ihren Namen. Anmeldung nur via Double-Opt-in-Verfahren. Abmeldung jederzeit über den Abmelde-Link im Newsletter.

Drittlandtransfer und Betroffenenrechte

3. Datenübermittlung ins Ausland Datenübermittlung in Drittländer: [Drittland Transfer]. Bei Übermittlung von Personendaten in Länder ohne angemessenes Schutzniveau (z.B. USA) stützen wir uns auf geeignete Garantien nach DSG Art. 16 Abs. 2, insbesondere Standarddatenschutzklauseln der EU-Kommission oder das EU-US Data Privacy Framework. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt eine Liste von Ländern mit angemessenem Schutzniveau nach DSG Art. 16 Abs. 1. 7. Datenspeicherung Personendaten werden nur so lange aufbewahrt, wie es für die jeweiligen Zwecke erforderlich ist: [Speicherdauer]. Für Buchhaltungsdaten gilt die gesetzliche Aufbewahrungspflicht von 10 Jahren nach OR Art. 958f.

4. Ihre Rechte Sie haben folgende Rechte gegenüber [Firma Name] nach DSG Art. 25 ff.: - Recht auf Auskunft: Sie können Auskunft über Ihre bei uns gespeicherten Personendaten verlangen. - Recht auf Berichtigung: Unrichtige Daten werden auf Antrag berichtigt. - Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. - Recht auf Einschränkung der Bearbeitung: Sie können verlangen, dass wir die Bearbeitung einschränken. - Recht auf Datenherausgabe (Datenübertragbarkeit): Sie können verlangen, dass wir Ihre Daten in einem gängigen Format herausgeben. - Recht auf Widerspruch: Sie können der Bearbeitung Ihrer Daten auf Grundlage berechtigter Interessen widersprechen. Anfragen richten Sie an: [Datenschutz Email]. Beantwortung innert 30 Tagen (DSG Art. 25 Abs. 6). Bei Nichtbefolgung können Sie sich beim EDÖB (www.edoeb.admin.ch, Feldeggweg 1, 3003 Bern) beschweren. Der EDÖB kann bei schwerwiegenden Datenschutzverstössen nach DSG Art. 51 Bussen bis CHF 250'000.- verhängen.

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Datenschutzerklärung Website Schweiz?

Die Datenschutzerklärung Website ist ein in der Schweiz nach Revidiertes Bundesgesetz über den Datenschutz (DSG, SR 235.1) Art. 19-21 (Informationspflichten), Art. 22 (Datenschutzfolgenabschätzung), Art. 24 (Meldepflicht bei Datenpannen), Art. 25 (Auskunftsrecht), Art. 51 (Bussen bis CHF 250'000) geregeltes rechtsverbindliches schriftliches Dokument. Das revidierte DSG (revDSG) gilt für alle Unternehmen und Privatpersonen, die in der Schweiz ansässig sind und Personendaten von Schweizer Einwohnern bearbeiten. Es gilt auch für ausländische Unternehmen, wenn sie Personendaten von Personen in der Schweiz bearbeiten und ihre Tätigkeit erhebliche Auswirkungen in der Schweiz hat (Marktortprinzip nach DSG Art. 3 Abs. 1). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch) ist die Aufsichtsbehörde, die das revDSG durchsetzt.

Die Informationspflicht nach DSG Art. 19-21 ist das Herzstück der Datenschutzerklärung für eine Website in der Schweiz: Beim Erheben von Personendaten müssen die betroffenen Personen informiert werden über den Verantwortlichen (DSG Art. 19 Abs. 2 lit. a), die Bearbeitungszwecke (DSG Art. 19 Abs. 2 lit. b), ggf. die Empfänger der Daten (DSG Art. 19 Abs. 2 lit. c), und — bei Bekanntgabe ins Ausland — das Zielland und die dort geltenden Schutzgarantien (DSG Art. 19 Abs. 2 lit. d). Neu gegenüber dem alten DSG: Die Informationspflicht gilt auch bei automatisierter Einzelentscheidung (DSG Art. 21) und bei Profiling (DSG Art. 20).

Die Anforderungen des revDSG an die Datenschutzerklärung für eine Website in der Schweiz sind inhaltlich mit der EU-DSGVO vergleichbar, aber nicht identisch: Gemeinsamkeiten: Informationspflicht, Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, Meldepflicht bei Datenpannen. Unterschiede: Das revDSG kennt keinen Datenschutzbeauftragten als Pflicht (nur optional nach DSG Art. 10); das revDSG sieht keine formelle Einwilligungspflicht als Standardrechtsgrundlage vor; die Bussen nach DSG Art. 51 richten sich gegen natürliche Personen (nicht Unternehmen), maximal CHF 250'000. Bei Unternehmen, die sowohl Schweizer Kunden als auch EU-Kunden bedienen, müssen die Anforderungen beider Rechtssysteme (revDSG und DSGVO) erfüllt werden.

Die Datenschutzerklärung für eine Website in der Schweiz muss auf jeder Seite der Website leicht zugänglich sein — typischerweise in der Fusszeile unter dem Link «Datenschutz» oder «Datenschutzerklärung». Veraltete, unvollständige oder inhaltlich falsche Datenschutzerklärungen sind eine häufige Beanstandung des EDÖB bei Prüfungen. Der EDÖB kann von sich aus Untersuchungen einleiten (DSG Art. 49) und bei schwerwiegenden Verstössen Sachverfügungen erlassen. Die Datenschutzerklärung für eine Website in der Schweiz ist damit nicht nur eine gesetzliche Pflicht, sondern auch ein Vertrauenssignal gegenüber Nutzern und Geschäftspartnern.

Wann brauchen Sie Datenschutzerklärung Website Schweiz?

Eine Datenschutzerklärung für eine Website in der Schweiz ist in folgenden Situationen gesetzlich vorgeschrieben oder dringend notwendig.

Erste Situation: Jede kommerzielle Website oder App. Jede Website, die Personendaten erhebt — sei es durch Kontaktformulare, Newsletter-Anmeldungen, Online-Bestellungen, Nutzerkonten oder Web-Analytics — muss eine revDSG-konforme Datenschutzerklärung aufweisen. Auch eine einfache Unternehmenswebsite erhebt durch Server-Logs automatisch IP-Adressen, was nach revDSG Art. 19 eine Informationspflicht auslöst.

Zweite Situation: Online-Shops und E-Commerce. Online-Shops erheben systematisch Personendaten: Name, Adresse, E-Mail, Telefon für die Bestellabwicklung, Zahlungsdaten (über Zahlungsanbieter wie Datatrans, TWINT, Stripe), Kaufhistorie und Präferenzen für personalisierte Angebote. Die Datenschutzerklärung muss alle diese Bearbeitungstätigkeiten transparent beschreiben. Seit dem revDSG ist auch das Profiling (Erstellung von Nutzerprofilen für personalisierte Angebote) ausdrücklich zu deklarieren (DSG Art. 20).

Dritte Situation: Websites mit Cookies und Web-Analytics. Google Analytics 4 (GA4), Matomo, Plausible, Facebook Pixel und andere Analytics-Tools setzen Cookies oder verarbeiten Nutzerdaten. Nach revDSG Art. 19 muss die Datenschutzerklärung erklären, welche Cookies gesetzt werden, zu welchem Zweck und ob Daten an Dritte (insbesondere in die USA) übermittelt werden. Google Analytics 4 mit US-Datentransfer: Die Datenschutzerklärung muss das Drittlandtransfer-Problem adressieren (DSG Art. 16).

Vierte Situation: Newsletter und E-Mail-Marketing. Websites, die Newsletter oder E-Mail-Marketing-Kampagnen versenden, erheben E-Mail-Adressen und Verhaltensdaten (Öffnungsraten, Klickverhalten). Der Einsatz von Mailchimp, Campaign Monitor oder Klaviyo bedeutet einen Datentransfer in die USA oder andere Drittländer, der in der Datenschutzerklärung ausgewiesen werden muss.

Fünfte Situation: Websites mit Nutzerkonten und Registrierung. Websites, die Nutzerkonten anbieten (Mitgliederbereiche, Kundenportale, SaaS-Plattformen), erheben besonders sensible Personendaten. Die Datenschutzerklärung muss erklären, welche Daten bei der Registrierung erhoben werden, wie lange diese gespeichert werden und welche Rechte der Nutzer bei der Löschung seines Kontos hat.

Sechste Situation: Anpassung nach Änderungen im Datenschutzrecht. Das revDSG gilt seit dem 1. September 2023. Alle Websites, die ihre Datenschutzerklärung noch nicht auf die neuen Anforderungen angepasst haben, handeln gesetzeswidrig. Updates sind auch erforderlich, wenn neue Datenverarbeitungstätigkeiten aufgenommen oder neue Drittanbieter eingesetzt werden.

Was gehört in Ihr Datenschutzerklärung Website Schweiz?

Eine revDSG-konforme Datenschutzerklärung für eine Website in der Schweiz muss folgende Pflichtinhalte aufweisen.

Identifikation des Verantwortlichen (DSG Art. 19 Abs. 2 lit. a): Name/Firma, vollständige Adresse, Kontakt-E-Mail für Datenschutzanfragen. Falls ein Datenschutzbeauftragter (DSB) ernannt wurde: Name und Kontakt des DSB (nach revDSG Art. 10 freiwillig für Private, aber empfohlen). Für grenzüberschreitende Verarbeitungen: ggf. Vertreter in der Schweiz (wenn ausländisches Unternehmen Schweizer Kunden bedient).

Bearbeitungszwecke und Rechtsgrundlagen (DSG Art. 19 Abs. 2 lit. b): Für jede Datenbearbeitungstätigkeit muss der Zweck angegeben werden. Typische Zwecke für Websites: Betrieb und Optimierung der Website (berechtigtes Interesse), Kommunikation (Kontaktanfragen, E-Mails), Vertragsabwicklung (Online-Shop), Marketing (Newsletter, Retargeting). Das revDSG kennt keine expliziten Rechtsgrundlagen wie die DSGVO Art. 6 — die Bearbeitungsgrundlagen sind aber das berechtigte Interesse, die Einwilligung und die Vertragserfüllung.

Datenkategorien und Empfänger (DSG Art. 19 Abs. 2 lit. c): Auflistung der Datenkategorien (Kontaktdaten, technische Daten, Kaufdaten, Verhaltensdaten). Bei Weitergabe an Dritte: Kategorien der Empfänger angeben (z.B. Zahlungsabwickler, Newsletter-Tool, Cloud-Hosting, Analytics-Anbieter).

Drittlandtransfer (DSG Art. 16 und Art. 19 Abs. 2 lit. d): Bei Bekanntgabe von Personendaten in Länder ohne angemessenes Schutzniveau (z.B. USA): Das Zielland und die Schutzgarantien (EU-Standardvertragsklauseln, EU-US Data Privacy Framework) müssen angegeben werden. Der EDÖB führt eine Liste von Ländern mit angemessenem Schutzniveau. Wichtig: Die Schweiz hat die USA (und viele andere Länder) nicht in ihrer Liste der Länder mit angemessenem Schutzniveau aufgeführt.

Cookies und Tracking: Art der Cookies (technisch notwendig, Analytics, Marketing), Opt-out-Möglichkeiten, eingesetzte Drittanbieter (Google Analytics, Facebook Pixel, HubSpot). forms-legal.com stellt revDSG-konforme Datenschutzerklärungsvorlagen für alle gängigen Website-Setups bereit.

Betroffenenrechte (DSG Art. 25-29): Auskunftsrecht (DSG Art. 25), Berichtigungsrecht, Löschungsrecht, Einschränkungsrecht, Datenübertragbarkeit, Widerspruchsrecht. Kontaktadresse für Datenschutzanfragen und Beschwerdeweg beim EDÖB angeben. Beantwortungsfrist nach revDSG: 30 Tage (DSG Art. 25 Abs. 6).

Datenpannen-Meldepflicht (DSG Art. 24): Erwähnung der internen Prozesse für die Erkennung und Meldung von Datenpannen an den EDÖB (DSG Art. 24 Abs. 1: Meldung «so rasch wie möglich» bei erheblichem Risiko). Betroffene Personen informieren, falls hohes Risiko (DSG Art. 24 Abs. 4).

Speicherdauer und Löschkonzept (DSG Art. 6 Abs. 4): Die Datenschutzerklärung muss angeben, wie lange die verschiedenen Datenkategorien gespeichert werden. Typische Aufbewahrungsfristen: Server-Logs 30-90 Tage, Kontaktformular-Anfragen 2 Jahre, Buchhaltungsunterlagen 10 Jahre (OR Art. 958f Abs. 1), Kundenkonten bis zur Löschung plus 2 Jahre Archiv. Das Löschkonzept stellt sicher, dass Daten nach Ablauf der Aufbewahrungsfrist sicher und vollständig vernichtet werden.

Automatisierte Einzelentscheidungen (DSG Art. 21): Falls die Website algorithmische Entscheidungen trifft, die sich erheblich auf betroffene Personen auswirken (z.B. Kreditscore-Berechnung, personalisierte Preisgestaltung, automatisierter Ablehnungsbescheid), muss die Datenschutzerklärung darauf hinweisen. Betroffene können verlangen, dass die Entscheidung von einer Person überprüft wird. Diese Pflicht ist neu im revDSG und hat besondere Relevanz für Fintech-, InsurTech- und E-Commerce-Websites.

Datenschutzfolgenabschätzung (DSFA, DSG Art. 22): Bei Bearbeitungen mit voraussichtlich hohem Risiko für betroffene Personen muss eine DSFA durchgeführt werden. Die DSFA selbst ist nicht in der Datenschutzerklärung zu veröffentlichen, aber ein Hinweis auf die durchgeführte DSFA kann das Vertrauen der Nutzer stärken. Kriterien für hohes Risiko nach DSG Art. 22 Abs. 2: grossflächige Bearbeitung besonderer Datenkategorien, systematische Überwachung öffentlicher Bereiche, Profiling.

Grundlegende Gestaltungsprinzipien: Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) nach DSG Art. 7. Diese Prinzipien müssen nicht in der Datenschutzerklärung beschrieben werden, aber ihre Umsetzung zeigt einen proaktiven Datenschutzansatz. forms-legal.com stellt vollständige revDSG-konforme Datenschutzerklärungsvorlagen für Schweizer Websites bereit — aktualisiert auf den Stand 2026.

So füllen Sie Ihr Datenschutzerklärung Website Schweiz aus

Das Erstellen einer revDSG-konformen Datenschutzerklärung für eine Website in der Schweiz erfordert eine systematische Analyse der Datenbearbeitungstätigkeiten.

Schritt 1 — Inventar der Datenbearbeitungstätigkeiten erstellen: Erstellen Sie eine vollständige Liste aller Daten, die Ihre Website erhebt oder verarbeitet: Server-Log-Daten (IP-Adressen, Seitenaufrufe, Browser, OS), Kontaktformular-Daten (Name, E-Mail, Nachricht), Newsletter-Daten (E-Mail, Öffnungsverhalten), Online-Shop-Daten (Bestell- und Zahlungsdaten), Nutzerkonto-Daten, Analytics-Daten (Google Analytics 4, Matomo), Marketing-Daten (Facebook Pixel, LinkedIn Insight Tag), Cookies (technisch notwendig, Analytics, Marketing). Jede Datenkategorie erfordert einen eigenen Abschnitt in der Datenschutzerklärung.

Schritt 2 — Drittanbieter identifizieren und Drittlandtransfer klären: Identifizieren Sie alle eingesetzten Drittanbieter, die auf Ihrer Website Daten erheben oder verarbeiten: Google (Analytics, Maps, Fonts, Captcha), Meta/Facebook (Pixel, Kommentare), Microsoft (Clarity, Teams-Integration), Mailchimp oder Sendinblue (Newsletter), Stripe oder Datatrans (Zahlungsabwicklung), AWS, Azure oder Google Cloud (Hosting). Prüfen Sie für jeden Drittanbieter: Wo sind die Server? Welche Schutzgarantien (EU-US DPF, Standardvertragsklauseln) bestehen? Sind die Anbieter in der EDÖB-Liste der Länder mit angemessenem Schutzniveau? Dokumentieren Sie Drittlandtransfers sorgfältig.

Schritt 3 — Cookie-Einwilligungsmanagement einrichten: Cookies, die keine technische Funktion haben (Analytics, Marketing, Personalisierung), sollten nach revDSG-Praxis nur mit Einwilligung gesetzt werden. Implementieren Sie einen Cookie-Banner (Consent Management Platform, CMP): Klare Kategorisierung (notwendig / Analytics / Marketing), Opt-out ohne Qualitätsverlust, Speicherung der Einwilligung. Empfohlene Schweizer CMP-Lösungen: Cookiebot, Usercentrics, Borlabs Cookie.

Schritt 4 — Datenschutzerklärung revDSG-konform formulieren: Schreiben Sie die Datenschutzerklärung in klarer, verständlicher Sprache (DSG Art. 19 Abs. 1: Transparenzgrundsatz). Vermeiden Sie juristische Fachsprache, wo sie durch Alltagssprache ersetzt werden kann. Strukturieren Sie die Datenschutzerklärung mit klaren Überschriften und Abschnitten.

Schritt 5 — Datenschutzerklärung auf Website platzieren: Platzieren Sie die Datenschutzerklärung gut sichtbar: Link in der Fusszeile («Datenschutz» oder «Datenschutzerklärung»), Verlinkung im Cookie-Banner, Verlinkung in Formularen (Kontaktformular, Newsletter-Anmeldung, Checkout). Stellen Sie sicher, dass die Datenschutzerklärung mobil lesbar und barrierefrei ist.

Schritt 6 — Regelmässige Überprüfung und Aktualisierung: Datenschutzerklärungen müssen bei jeder Änderung der Datenbearbeitungspraxis (neuer Drittanbieter, neues Feature, neue Marketingstrategie) aktualisiert werden. Mindestens jährliche Überprüfung empfohlen. Das Datum der letzten Aktualisierung sollte in der Datenschutzerklärung angegeben werden. Änderungen aktiv kommunizieren (z.B. Hinweis an registrierte Nutzer per E-Mail). Schritt 7 — Verzeichnis der Bearbeitungstätigkeiten (VVT) anlegen: Parallel zur Datenschutzerklärung sollten Unternehmen ab 250 Mitarbeitenden (und alle Unternehmen, die besondere Datenkategorien bearbeiten) ein internes Verzeichnis der Bearbeitungstätigkeiten gemäss DSG Art. 12 führen. Das VVT ist nicht zu veröffentlichen, aber bei EDÖB-Prüfungen vorzulegen.

Rechtliche Anforderungen für Datenschutzerklärung Website Schweiz

Die Datenschutzerklärung für eine Website in der Schweiz unterliegt primär dem revidierten DSG und subsidiär der DSGVO für EU-Kunden.

DSG Art. 19-21 — Informationspflichten: Das revDSG schreibt vor, dass Verantwortliche betroffene Personen bei der Ersterhebung ihrer Daten informieren müssen (Transparenzprinzip nach DSG Art. 6 Abs. 2 lit. a). Die Informationspflicht umfasst nach DSG Art. 19: Identität und Kontaktdaten des Verantwortlichen (Abs. 2 lit. a), Bearbeitungszwecke (Abs. 2 lit. b), Empfängerkategorien (Abs. 2 lit. c), bei Auslandtransfer: Zielland und Garantien (Abs. 2 lit. d). Zusätzliche Informationspflicht nach DSG Art. 20 bei Profiling mit hohem Risiko und nach DSG Art. 21 bei automatisierten Einzelentscheidungen.

DSG Art. 16 — Bekanntgabe ins Ausland: Die Bekanntgabe von Personendaten ins Ausland ist nach DSG Art. 16 nur zulässig, wenn das betreffende Land ein angemessenes Schutzniveau bietet (der EDÖB führt eine Länderliste) oder wenn geeignete Garantien vorhanden sind (Standardvertragsklauseln nach DSV Art. 16-19, verbindliche unternehmensweite Datenschutzvorschriften, anerkannte Zertifizierungen). Die USA stehen nicht auf der EDÖB-Liste der Länder mit angemessenem Schutzniveau — für US-Transfers sind Standardvertragsklauseln oder das EU-US Data Privacy Framework erforderlich.

DSG Art. 24 — Meldepflicht bei Datenpannen: Verletzungen der Datensicherheit (Data Breaches), die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen, müssen dem EDÖB «so rasch wie möglich» gemeldet werden (DSG Art. 24 Abs. 1). Die Meldung muss Angaben zur Art der Verletzung, zur Anzahl betroffener Personen, zu möglichen Folgen und zu den ergriffenen Massnahmen enthalten. Falls das Risiko für Betroffene hoch ist, müssen auch diese informiert werden (DSG Art. 24 Abs. 4).

DSG Art. 51 — Strafbestimmungen: Verletzungen des DSG können mit Bussen bis CHF 250'000.- bestraft werden. Nach revDSG richten sich die Bussen gegen natürliche Personen (nicht Unternehmen) — gegen Geschäftsführer, Datenschutzbeauftragte oder andere Verantwortliche, die vorsätzlich gegen DSG-Pflichten verstossen. Besonders strafbewehrt sind: Verletzung der Informationspflicht (DSG Art. 19-21), Bekanntgabe ins Ausland ohne ausreichende Garantien (DSG Art. 16), Verletzung der Meldepflicht bei Datenpannen (DSG Art. 24).

EU-DSGVO — Anwendbarkeit für EU-Kunden: Unternehmen mit Sitz in der Schweiz, die Dienstleistungen oder Waren an Personen in der EU anbieten oder deren Verhalten beobachten, unterliegen zusätzlich der EU-DSGVO (Marktortprinzip nach DSGVO Art. 3 Abs. 2). Dies bedeutet: Bei EU-Kunden gelten DSGVO-Rechtsgrundlagen (Art. 6 DSGVO), DSGVO-Betroffenenrechte und DSGVO-Bussrahmen (bis EUR 20 Mio. oder 4% Jahresumsatz). Eine Datenschutzerklärung, die sowohl revDSG als auch DSGVO abdeckt, ist für Schweizer Websites mit EU-Kunden erforderlich.

Häufige Fehler bei Ihrem Datenschutzerklärung Website Schweiz

Bei der Datenschutzerklärung für Websites in der Schweiz treten nach dem revDSG häufig folgende Fehler auf.

Fehler 1 — Alte Datenschutzerklärung nicht auf revDSG angepasst: Das revDSG gilt seit 1. September 2023. Viele Schweizer Websites haben ihre Datenschutzerklärung noch nicht angepasst: fehlendes Datum der letzten Aktualisierung, keine Angaben zu Profiling (DSG Art. 20), fehlende EDÖB-Kontaktinformationen. Überprüfen Sie Ihre Datenschutzerklärung jetzt und aktualisieren Sie sie auf revDSG-Standard.

Fehler 2 — Google Analytics ohne korrekte Drittlandtransfer-Regelung: Google Analytics 4 übermittelt Daten an Google Server in den USA. Die USA stehen nicht auf der EDÖB-Länderliste. Ohne Erwähnung des Drittlandtransfers und der Schutzgarantien (Google Ads Data Processing Terms, EU-US Data Privacy Framework) in der Datenschutzerklärung verstossen Schweizer Websites gegen DSG Art. 16 und Art. 19 Abs. 2 lit. d. Lösung: Drittlandtransfer explizit erwähnen, Google DPF-Zertifizierung referenzieren oder auf datenschutzfreundliche Alternativen (Matomo mit Selbst-Hosting) wechseln.

Fehler 3 — Cookie-Banner ohne Opt-out-Möglichkeit: Viele Schweizer Websites setzen Analytics- und Marketing-Cookies, ohne eine echte Opt-out-Möglichkeit anzubieten. Nur-technisch-notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Analytics- und Marketing-Cookies erfordern nach revDSG-Praxis und EDÖB-Empfehlungen eine vorgängige Einwilligung (Opt-in). Ein Cookie-Banner ohne funktionierendem «Ablehnen»-Button genügt nicht.

Fehler 4 — Fehlende Angaben zur Datenpannen-Meldepflicht: Die Meldepflicht bei Datenpannen (DSG Art. 24) ist neu im revDSG. Viele Datenschutzerklärungen erwähnen interne Prozesse für Datenpannen nicht. Fügen Sie einen Abschnitt hinzu, der erklärt, wie die Meldepflicht gehandhabt wird und wie Betroffene bei einem schwerwiegenden Breach informiert werden.

Fehler 5 — Datenschutzerklärung nicht mobil optimiert: Eine Datenschutzerklärung, die auf Mobilgeräten unleserlich oder schwer zugänglich ist, verletzt das Transparenzgebot nach DSG Art. 6 Abs. 2 lit. a. Prüfen Sie die mobile Ansicht Ihrer Datenschutzerklärung regelmässig.

Fehler 6 — DSGVO-Anforderungen für EU-Kunden vergessen: Schweizer Websites, die EU-Kunden bedienen, müssen sowohl revDSG als auch DSGVO-Anforderungen erfüllen. Häufig wird die DSGVO-Rechtsgrundlage nach Art. 6 DSGVO nicht angegeben. EU-Kunden haben nach DSGVO zusätzliche Rechte (z.B. Recht auf Datenübertragbarkeit nach DSGVO Art. 20, das im revDSG inhaltlich vergleichbar geregelt ist). Eine vollständige Datenschutzerklärung für beide Rechtssysteme ist erforderlich.

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

OR Art. 958fCH official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Datenschutzerklärung Website Schweiz (Schweiz) [Legal document template]. Forms Legal. https://forms-legal.com/de/switzerland/business/contracts/datenschutzerklaerung-website-schweiz

MLA

"Datenschutzerklärung Website Schweiz (Schweiz)." Forms Legal, 2026, https://forms-legal.com/de/switzerland/business/contracts/datenschutzerklaerung-website-schweiz.

BibTeX

@misc{formslegal-datenschutzerklaerung-website-schweiz,
  author       = {{Forms Legal}},
  title        = {Datenschutzerklärung Website Schweiz (Schweiz)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/switzerland/business/contracts/datenschutzerklaerung-website-schweiz}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid