Datenschutz-Einwilligungserklärung Schweiz (DSG)

Die Datenschutz-Einwilligungserklärung ist ein in der Schweiz nach DSG (SR 235.1) Art. 6 Abs. 6-7, DSV (revDSG seit 1.9.2023), EDÖB geregeltes rechtsverbindliches schriftliches Dokument. Er verfügt die Verteilung des Nachlasses an die im Testament benannten Begünstigten nach dem Tod.

Das revidierte DSG (revDSG) hat den Begriff und die Anforderungen an eine gültige Einwilligung erheblich geschärft. Art. 6 Abs. 6 DSG definiert die Einwilligung als Handlung, durch die die betroffene Person zum Ausdruck bringt, dass sie mit der Bearbeitung ihrer Personendaten einverstanden ist. Damit eine Einwilligung datenschutzrechtlich wirksam ist, müssen kumulativ vier Voraussetzungen erfüllt sein: Die Einwilligung muss freiwillig (ohne Druck oder Zwang erteilt) sein; sie muss informiert erfolgen (die betroffene Person muss vor der Einwilligung über alle relevanten Bearbeitungsmodalitäten aufgeklärt worden sein); sie muss ausdrücklich erklärt werden (bei besonders schützenswerten Daten nach Art. 5 lit. c DSG zwingend, für andere Zwecke auch durch schlüssiges Verhalten möglich); sie muss spezifisch sein (nicht für unbestimmte Zwecke).

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist gemäss Art. 43 DSG die unabhängige Aufsichtsbehörde in der Schweiz. Der EDÖB überwacht die Einhaltung des DSG, führt Untersuchungen durch und kann Verfügungen erlassen. Gemäss Art. 60 DSG können natürliche Personen, die vorsätzlich gegen bestimmte Pflichten des DSG verstossen — darunter die Informationspflicht (Art. 19 DSG) und die Pflichten bei der Bearbeitung besonders schützenswerter Daten — mit Bussen bis zu CHF 250'000 bestraft werden. Die Sanktion richtet sich gegen die verantwortliche natürliche Person (Mitarbeitende, Geschäftsleitung), nicht gegen die Organisation.

Besonders schützenswerte Personendaten nach Art. 5 lit. c DSG umfassen Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie; genetische Daten; biometrische Daten, die eine natürliche Person eindeutig identifizieren; Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen; sowie Sozialhilfedaten. Für die Bearbeitung dieser Datenkategorien ist nach Art. 31 Abs. 2 lit. a DSG eine ausdrückliche Einwilligung erforderlich — bei anderen Personendaten kann die Einwilligung auch stillschweigend durch konkludentes Verhalten erfolgen.

Das Widerrufsrecht ist ein fundamentales Recht der betroffenen Person: Gemäss Art. 6 Abs. 7 DSG kann die Einwilligung jederzeit und ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden. Ein Widerruf lässt die Rechtmässigkeit der bis dahin erfolgten Datenbearbeitungen unberührt. Der Verantwortliche muss die Bearbeitung nach dem Widerruf einstellen, soweit sie ausschliesslich auf der Einwilligung basiert. Beachte: Falls die Datenbearbeitung auch auf andere Rechtsgrundlagen gestützt wird (z. B. gesetzliche Aufbewahrungspflichten nach OR Art. 958f: 10 Jahre für Geschäftsunterlagen), darf der Verantwortliche die Daten trotz Widerruf weiterhin aufbewahren.

Eine Datenschutz-Einwilligungserklärung nach revDSG wird in der Schweiz in all jenen Situationen benötigt, in denen die Datenbearbeitung weder auf Vertragserfüllung, gesetzliche Pflicht, lebenswichtige Interessen, öffentlich zugängliche Daten noch auf überwiegende Interessen des Verantwortlichen gestützt werden kann — und die betroffene Person daher ausdrücklich zustimmen muss.

Marketing und Newsletter sind der häufigste Anwendungsfall: Der Versand von Werbemitteilungen per E-Mail an Privatpersonen setzt nach dem Bundesgesetz gegen den unlauteren Wettbewerb (UWG, SR 241) Art. 3 Abs. 1 lit. o eine vorgängige ausdrückliche Einwilligung voraus. Ohne Einwilligung gilt das Versenden kommerzieller E-Mails an Schweizer Empfänger als unlauteres Spamming und kann zur Anzeige bei der Wettbewerbskommission (WEKO) oder zu zivilrechtlichen Unterlassungsklagen führen. Die DSG-Einwilligung deckt gleichzeitig die datenschutzrechtliche Grundlage für die Speicherung und Auswertung der E-Mail-Adresse, des Empfängernamens und der Nutzungsdaten (Öffnungsrate, Klickverhalten, Abmeldungen) ab — sofern diese Daten über den reinen Versand hinaus ausgewertet werden.

Bearbeitung besonders schützenswerter Personendaten nach Art. 5 lit. c DSG: Für Gesundheitsdaten (Diagnosen, Therapiepläne, Rezepte), biometrische Daten (Fingerabdrücke, Gesichtserkennung, Iris-Scan), genetische Daten, Daten über strafrechtliche Verurteilungen und Verfolgungen sowie Sozialhilfedaten ist eine ausdrückliche Einwilligung nach Art. 31 Abs. 2 lit. a DSG zwingend, sofern keine andere Rechtfertigungsgrundlage (gesetzliche Pflicht, Vertragserfüllung) besteht. Typische Anwender: Ärzte, Spitäler und Kliniken, Fitnesscenter (Gesundheitsdaten), Personalvermittler (strafrechtliche Prüfungen), Arbeitgeber (Gesundheitsabfragen), Biometriedienstleister (Zugangskontrollen).

Cookies und Website-Tracking nach FMG Art. 45c: Nicht-notwendige Cookies und Tracking-Massnahmen (Drittanbieter-Cookies, Pixel) erfordern eine informierte Einwilligung. Der EDÖB empfiehlt ein Cookie-Consent-Banner mit separaten Kategorien (notwendig / analytisch / marketing). Für Schweizer Websites mit EU-Besuchern gilt zusätzlich die DSGVO (EU-Verordnung 2016/679), die ein aktives Opt-In verlangt. Notwendige Cookies (Session, Login, Warenkorb) benötigen keine Einwilligung.

Auslandsübermittlungen in Länder ohne angemessenes Datenschutzniveau: Die Übermittlung von Personendaten in Länder, die nicht auf der Staatenliste des Bundesrats (DSV, Anhang 1) aufgeführt sind — darunter die USA, China und viele Schwellenländer — setzt nach Art. 17 Abs. 1 DSG eine geeignete Garantie voraus. Als Alternative zu Standarddatenschutzklauseln des EDÖB kann die ausdrückliche Einwilligung der betroffenen Person dienen, sofern diese über die konkreten Risiken (z. B. möglicher Zugriff durch US-Behörden nach dem CLOUD Act) informiert wurde. Beispiele: Nutzung von US-Cloud-Diensten (AWS, Google Cloud, Microsoft Azure), Versand von Kundendaten an US-CRM-Systeme (Salesforce, HubSpot).

Personalisierte Angebote und Profilbildung: Wenn ein Unternehmen Personendaten nicht nur zur Vertragserfüllung, sondern zur Erstellung individueller Profile für Werbung, Versicherungsrisikobewertung oder Kreditwürdigkeitsprüfung nutzt, besteht für den darüber hinausgehenden Teil der Datenbearbeitung Einwilligungsbedarf. Das DSG erlaubt zwar die Profilbildung auf Basis berechtigter Interessen, schreibt aber erhöhte Transparenz (Datenschutzerklärung) und ein Widerspruchsrecht vor.

Eine gültige Datenschutz-Einwilligungserklärung Schweiz nach DSG Art. 6 Abs. 6 und der EDÖB-Praxis muss folgende wesentliche Elemente enthalten.

Identifikation des Verantwortlichen: Vollständige Angaben zur verantwortlichen Stelle — Firma, Adresse, UID-Nummer (CHE-XXX.XXX.XXX) und Datenschutz-Kontakt-E-Mail. Für grenzüberschreitende Datenbearbeitungen: Angabe einer allfälligen Vertretung in der Schweiz (Art. 14 DSG) oder im Ausland.

Identifikation der betroffenen Person: Name, Adresse und E-Mail der einwilligenden Person. Bei Minderjährigen (unter 18 Jahren): Einwilligung muss durch die gesetzliche Vertretung (Elternteil oder Vormund) erteilt werden.

Freiwilligkeit: Die Einwilligung darf nicht als Bedingung für eine Leistung verknüpft sein, die ohne die Einwilligung nicht erbracht werden würde, wenn die Datenbearbeitung für die Leistungserbringung nicht notwendig ist (Koppelungsverbot). Eine Einwilligung unter Zwang oder wirtschaftlichem Druck ist nach Art. 6 Abs. 6 DSG unwirksam.

Bestimmtheit und Spezifität: Die Einwilligung muss für einen bestimmten Zweck erteilt werden. Eine Sammeleinwilligung («ich willige in alle künftigen Bearbeitungen ein») ist unwirksam. Jeder Bearbeitungszweck sollte klar benannt sein.

Besonders schützenswerte Daten: Falls die Bearbeitung besonders schützenswerte Personendaten (Art. 5 lit. c DSG) umfasst — Gesundheitsdaten, biometrische Daten, strafrechtliche Urteile — muss die Einwilligung ausdrücklich und spezifisch auf diese Datenkategorien Bezug nehmen. Verstärkte Aufklärung ist erforderlich.

Auslandsübermittlungen: Bei Bekanntgabe von Personendaten ins Ausland gemäss Art. 19 Abs. 4 DSG: Zielland, Angemessenheitsstatus (Staatenliste DSV Anhang 1) und Garantien (Standarddatenschutzklauseln des EDÖB, verbindliche Unternehmensregeln) offenlegen.

Rechte der betroffenen Person: Verweis auf Auskunftsrecht (Art. 25 DSG), Berichtigungsrecht, Recht auf Datenherausgabe (Art. 28 DSG) und Beschwerderecht beim EDÖB (www.edoeb.admin.ch). Kontaktdaten für Rechteausübung und Widerruf.

Widerrufsmöglichkeit: Klare und einfache Widerrufsmöglichkeit ohne Hürden — gemäss Art. 6 Abs. 7 DSG. Widerruf muss so einfach wie die Einwilligungserteilung sein.

forms-legal.com bietet eine vollständige DSG-konforme Einwilligungserklärung-Vorlage, die alle EDÖB-Anforderungen und die revDSG-Kriterien seit dem 1. September 2023 erfüllt.

Aufbewahrungsfrist und Nachweis: Da der Verantwortliche im Fall einer EDÖB-Untersuchung oder eines Gerichtsverfahrens die Gültigkeit der Einwilligung nachweisen muss, ist eine systematische Aufbewahrung aller Einwilligungserklärungen unerlässlich. Bei digitalen Einwilligungen (Webformulare, App) sind Zeitstempel, IP-Adresse und Session-ID der Einwilligung zu protokollieren. Bei papiergestützten Einwilligungen empfiehlt sich die Digitalisierung und archivgerechte Aufbewahrung für mindestens die Dauer der Datenbearbeitung zuzüglich der handelsrechtlichen Aufbewahrungsfrist nach OR Art. 958f (10 Jahre). Bei einem Widerruf muss auch dieser dokumentiert werden — Datum, Zeitpunkt und Kanal des Widerrufs. Das Aufbewahrungskonzept sollte Teil des unternehmensweiten Datenschutz-Management-Systems (DSMS) sein, das der EDÖB bei einer Sachverhaltsabklärung anhand des Accountability-Prinzips (DSG Art. 8 i.V.m. Art. 5 lit. j DSG) prüft.

Weitere Pflichtangaben und Best Practices: Praxisempfehlungen aus der Schweizer Rechtsprechung weisen darauf hin, dass Klarheit und Vollständigkeit der wesentlichen Vertragsbestandteile direkt die Durchsetzbarkeit beeinflussen. Bei Unsicherheiten lohnt sich eine Beratung beim zuständigen Kantonsamt oder durch einen Fachanwalt der Schweizerischen Anwaltskammer (SAV). Die kantonalen Schlichtungsbehörden für arbeitsrechtliche Streitigkeiten erleichtern aussergerichtliche Lösungen vor einem allfälligen Gang ans Gericht. Die Eidgenössische Schiedskommission und Bundesgerichtsentscheide BGE 138 III 67 sowie BGE 142 III 626 liefern Orientierung zur Vertragsauslegung nach Art. 18 OR (Vertrauensprinzip). Zudem helfen Mustervorlagen wie auf forms-legal.com bei der Wahrung der Schriftform und Vermeidung von Formmängeln nach OR Art. 11 ff. Obligatorisch ist die korrekte Bezeichnung der Parteien mit Wohnsitz bzw. Sitz, das Datum nach Schweizer Format DD.MM.YYYY sowie eine eigenhändige oder qualifiziert elektronische Unterschrift nach ZertES (SR 943.03).

Beim Ausfüllen der Datenschutz-Einwilligungserklärung Schweiz nach DSG Art. 6 Abs. 6 und revDSG (seit 1. September 2023) sind folgende Schritte einzuhalten.

Abschnitt Verantwortlicher: Vollständige Firmenbezeichnung, Adresse und UID-Nummer (CHE-XXX.XXX.XXX) des datenbearbeitenden Unternehmens eintragen. Eine dedizierte Datenschutz-Kontakt-E-Mail ist anzugeben — entweder der Datenschutzbeauftragte (falls vorhanden) oder eine allgemeine Datenschutz-Adresse (z. B. [email protected]).

Bearbeitungszweck: Zweck klar und spezifisch formulieren — z. B. «Versand des monatlichen Produkt-Newsletters und Auswertung von Öffnungs- und Klickraten» statt «Marketingzwecke». Jeder separate Zweck muss separat beschrieben und separat eingewilligt werden (Spezifitätsgebot).

Dateikategorien: Alle bearbeiteten Datenkategorien auflisten (z. B. Name, E-Mail-Adresse, Kaufhistorie, IP-Adresse, Standortdaten). Bei besonders schützenswerten Daten (Art. 5 lit. c DSG) JA wählen und die konkreten Datenkategorien beschreiben.

Empfänger und Auslandsübermittlung: Alle Empfänger der Daten nennen (interne Stellen, Auftragsverarbeiter, Drittunternehmen). Bei Übermittlung in Länder ohne angemessenes Datenschutzniveau (USA, China): JA wählen, Zielland und Garantien (Standarddatenschutzklauseln des EDÖB, BCR) angeben.

Widerrufskontakt: Vollständige Kontaktdaten für den Widerruf — E-Mail-Adresse oder Postadresse. Der Widerruf muss so einfach möglich sein wie die Einwilligungserteilung.

Unterzeichnung: Die Einwilligungserklärung muss von der betroffenen Person (oder ihrer gesetzlichen Vertretung bei Minderjährigen unter 18) eigenhändig unterzeichnet werden. Bei digitalen Einwilligungen: Zeitstempel, IP-Adresse und eindeutige Benutzer-ID dokumentieren.

Schritt 7 — Aufbewahrung und Auditspur: Nach Unterzeichnung erstellt der Verantwortliche eine interne Aufzeichnung der Einwilligung: Datum, Betroffene Person, Zweck, Datenkategorie, Widerrufskontakt. Digitale Einwilligungen (Webformular, App): Zeitstempel, IP-Adresse und Session-ID protokollieren. Papierformulare: digitalisieren und archivieren (Aufbewahrung mindestens 10 Jahre, analog OR Art. 958f). Alle Einwilligungsdokumente sind in einem Einwilligungsregister zu erfassen, das der EDÖB im Rahmen einer Sachverhaltsabklärung einsehen kann. Widerrufe sind ebenso zu dokumentieren (Datum, Kanal, Bestätigung an die betroffene Person).

Schritt-für-Schritt-Anleitung mit Validierungsprüfung: Nach Erstellung des Dokuments empfiehlt sich eine Endkontrolle durch eine zweite Person — bei Unternehmen idealerweise durch die Personalabteilung, die Treuhandstelle oder den HR-Verantwortlichen, bei Privatpersonen durch einen Notar des Kantons oder einen Rechtsbeistand. Die zentralen Schritte umfassen: Identifikation der Vertragsparteien mit vollständigen Adressen und gegebenenfalls Handelsregisternummer (Zefix-Nummer abrufbar unter www.zefix.ch), präzise Beschreibung der Leistung mit messbaren Kriterien, klare Regelung von Vergütung in Schweizer Franken (CHF) mit Mehrwertsteuer (MWST 8.1% gemäss MWSTG seit 1.1.2024), Vereinbarung von Fristen nach DD.MM.YYYY-Format, sowie Kündigungs- und Streitbeilegungsmechanismen. Vor der Unterschrift sollten beide Parteien den finalen Wortlaut sorgfältig durchlesen und gegebenenfalls Anpassungen vornehmen. Die elektronische Signatur nach ZertES (SR 943.03) ist der handschriftlichen Unterschrift gleichgestellt, sofern sie qualifizierte elektronische Signatur (QES) ist.

Die Datenschutz-Einwilligung Schweiz richtet sich nach folgenden Normen des Bundesrechts, die seit dem 1. September 2023 vollständig in Kraft sind.

DSG Art. 6 Abs. 6 (SR 235.1) — Voraussetzungen der Einwilligung: Freiwillig (kein Zwang, kein wirtschaftlicher Druck, kein Koppelungsverbot); informiert (vollständige Aufklärung vor Einwilligung); ausdrücklich bei besonders schützenswerten Daten; spezifisch (für bestimmte Zwecke, nicht für unbestimmte künftige Bearbeitungen).

DSG Art. 6 Abs. 7 — Widerrufsrecht: Jederzeit, ohne Begründung, mit Wirkung ex nunc (für die Zukunft). Widerruf muss gleich einfach möglich sein wie Einwilligungserteilung.

DSG Art. 5 lit. c — Besonders schützenswerte Personendaten: Abschliessende Auflistung (Gesundheit, Biometrie, Genetik, strafrechtliche Urteile, Ethnie, Religion, Sozialhilfe). Ausdrückliche Einwilligung nach Art. 31 Abs. 2 lit. a DSG für Bearbeitung dieser Daten erforderlich.

DSG Art. 22-23 — Datenschutz-Folgenabschätzung (DSFA): Pflichtmässig bei hohem Risiko für die Persönlichkeit der betroffenen Person — insbesondere bei automatisierter Bearbeitung besonders schützenswerter Daten, Profilbildung oder biometrischen Daten. Bei unauflösbaren Restrisiken: Konsultation des EDÖB (Art. 23 DSG).

DSG Art. 17 Abs. 1 — Auslandsübermittlung: Erfordert angemessenen Schutz im Zielland (Staatenliste DSV Anhang 1) oder geeignete Garantien (EDÖB-Standarddatenschutzklauseln, BCR). Alternativ: ausdrückliche Einwilligung der betroffenen Person nach Aufklärung über Risiken.

DSG Art. 60 — Strafbestimmungen: Bussen bis CHF 250'000 gegen verantwortliche natürliche Personen bei vorsätzlicher Verletzung der Informationspflicht (Art. 19 DSG), Verletzung der Auskunftspflicht (Art. 25 DSG) und Verletzung der Datensicherheitsanforderungen.

FMG Art. 45c (SR 784.10) — Tracking: Pflicht zur Information und zur Einwilligung bei nicht-notwendigen Tracking-Massnahmen.

UWG Art. 3 Abs. 1 lit. o (SR 241) — Spam-Verbot: Unerbetene Werbe-E-Mails an Privatpersonen ohne Einwilligung verboten.

DSG Art. 43-53 — EDÖB: Unabhängige Aufsichtsbehörde mit Untersuchungs-, Empfehlungs- und Verfügungsbefugnis.

Die rechtlichen Anforderungen ergeben sich primär aus dem Schweizer Obligationenrecht (OR, SR 220) sowie aus spezialgesetzlichen Vorschriften wie dem Bundesgesetz über den Datenschutz (DSG, SR 235.1) in der Fassung vom 1.9.2023, dem Bundesgesetz über die Information und Mitsprache der Arbeitnehmer (MitwG) und gegebenenfalls dem Arbeitsgesetz (ArG, SR 822.11). Die Beweislast für die Einhaltung richtet sich nach Art. 8 ZGB (Beweislastverteilung). Die Schriftform ist nach Art. 11 ff. OR zu wahren, wobei einfache Schriftform die Unterschrift aller Verpflichteten verlangt. Für bestimmte Geschäfte (Grundstückkauf, Erbvertrag, Ehegütervertrag) gilt nach Art. 657 ZGB bzw. Art. 512 ZGB die öffentliche Beurkundung als Gültigkeitsvoraussetzung. Forms-legal.com weist darauf hin, dass diese Vorlage als Ausgangspunkt dient und im Einzelfall durch einen zugelassenen Schweizer Notar oder Rechtsanwalt zu prüfen ist.

Häufige Fehler bei der Datenschutz-Einwilligungserklärung Schweiz können zur Unwirksamkeit der Einwilligung oder zu Sanktionen durch den EDÖB und die Strafverfolgungsbehörden führen.

Sammeleinwilligung: Eine undifferenzierte Einwilligung «ich willige in alle künftigen Datenbearbeitungen ein» ist nach Art. 6 Abs. 6 DSG unwirksam, weil sie nicht spezifisch für bestimmte Zwecke ist. Jeder Bearbeitungszweck — Newsletter, Profilbildung, Datenweitergabe an Dritte — muss separat beschrieben und separat eingewilligt werden.

Fehlende Aufklärung über besonders schützenswerte Daten: Wer besonders schützenswerte Personendaten (Art. 5 lit. c DSG) bearbeitet, ohne die betroffene Person ausdrücklich und vor der Einwilligung darüber aufzuklären, handelt rechtswidrig. Die Einwilligung muss ausdrücklich auf die betreffenden Datenkategorien Bezug nehmen.

Widerruf zu kompliziert gestaltet: Eine Einwilligung, deren Widerruf ausschliesslich per Einschreiben, mit schriftlicher Begründung oder nach einer Wartefrist möglich ist, verstösst gegen Art. 6 Abs. 7 DSG. Der Widerruf muss mit denselben Mitteln und mit demselben Aufwand möglich sein wie die Einwilligung selbst.

Koppelungsverbot verletzt: Die Erteilung einer Einwilligung darf nicht als Bedingung für die Erbringung einer Leistung verknüpft sein, wenn die Datenbearbeitung für diese Leistung nicht notwendig ist. Ein klassisches Beispiel: «Zugangsberechtigung zum Netzwerk nur mit Einwilligung in Werbe-E-Mails» — sofern die Newsletter-Einwilligung nicht für den Netzwerkzugang notwendig ist.

Auslandsübermittlung nicht offengelegt: Viele Unternehmen benutzen US-Cloud-Dienste (AWS, Google Cloud, Microsoft Azure), US-CRM-Tools (Salesforce, HubSpot) oder US-Analytics (Google Analytics 4) ohne die betroffenen Personen darüber zu informieren. Nach Art. 19 Abs. 4 DSG muss die Auslandsübermittlung mit Zielland und Garantien offengelegt werden.

Kein Hinweis auf EDÖB: Die Einwilligungserklärung muss auf das Beschwerderecht der betroffenen Person beim EDÖB (www.edoeb.admin.ch) hinweisen — fehlt dieser Hinweis, ist die Informationspflicht nach Art. 19 DSG verletzt.

Einwilligung Minderjähriger ohne Vertretungszustimmung: Eine Einwilligung in die Bearbeitung besonders schützenswerter Daten eines Minderjährigen (unter 18 Jahren) durch das Kind allein ohne Zustimmung des gesetzlichen Vertreters (Elternteil, Vormund) ist unwirksam.