Symbolbild: ein sauberes modernes Schweizer Büro mit Laptop, der eine Datenschutzseite anzeigt, weiches Tageslicht.

Websites & SEO

Datenschutz Website: revDSG, EDÖB und Praxis-Tipps

mekyn Redaktion

Was das revidierte Schweizer Datenschutzgesetz und der EDÖB für Website-Betreiber bedeuten — Pflichten, Cookies, Google Fonts und pragmatische Umsetzung.

Datenschutz ist in der Schweiz seit September 2023 neu geregelt — und viele Website-Betreiber haben die Anpassung verschlafen. Das revidierte Datenschutzgesetz (revDSG) bringt neue Pflichten, verschärft die Informationsrechte und gibt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erweiterte Mittel an die Hand. Zeit, einen klaren Blick auf das zu werfen, was Website-Betreiber in der Schweiz heute wissen und tun müssen.

Was revDSG von der DSGVO unterscheidet

Die Schweiz ist nicht EU-Mitglied — entsprechend gilt hier nicht die DSGVO direkt, sondern das Bundesgesetz über den Datenschutz (DSG) in seiner revidierten Fassung. Die Revision von 2023 hat die Schweizer Regelung stark an die DSGVO angenähert, ohne sie 1:1 zu übernehmen.

Die wichtigsten Unterschiede für Website-Betreiber:

  • Keine Pflicht zur Datenschutz-Folgenabschätzung für die meisten Standardfälle — anders als in der EU ist sie nur in besonderen Risikofällen vorgeschrieben.
  • Keine Pflicht zum Datenschutzbeauftragten für die meisten KMU — erst ab einer bestimmten Risikoklasse verlangt das Gesetz eine solche Funktion.
  • Datenpannen-Meldung innert 72 Stunden an den EDÖB und an die betroffenen Personen — die Frist ist also identisch mit der DSGVO.
  • Privacy by Design und by Default sind neu explizit verankert.

Wer als Schweizer Anbieter Daten von EU-Bürgerinnen und -Bürgern verarbeitet — etwa über einen grenznahen Onlineshop oder ein grenzüberschreitendes Geschäftsmodell — muss zusätzlich die DSGVO einhalten. Beide Regime nebeneinander sind kein Problem, wenn die Website die strengeren Anforderungen beider Systeme erfüllt.

Rolle und Befugnisse des EDÖB

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die Aufsichtsbehörde des Bundes. Mit dem revDSG hat er deutlich erweiterte Befugnisse erhalten:

  • Untersuchungen auch ohne konkrete Beschwerde, wenn Anhaltspunkte für einen Verstoss bestehen
  • Anordnungen zur Wiederherstellung des rechtmässigen Zustands
  • Verwaltungsbussen bis 250 000 Franken bei vorsätzlichen Verstössen
  • Veröffentlichung von Entscheidungen und Untersuchungen

Wer also meint, eine kleine Schweizer Website falle nicht weiter auf, irrt: Der EDÖB hat in den letzten Jahren mehrfach aktiv gegen mangelhafte Datenschutzpraktiken auf Websites vorgegangen — darunter auch gegen grosse, bekannte Anbieter.

Datenschutzerklärung: Pflicht und Inhalt

Eine vollständige und aktuelle Datenschutzerklärung ist Pflicht. Sie muss verständlich formuliert sein und mindestens folgende Punkte abdecken:

  • Verantwortlicher: Name und Kontaktdaten des Unternehmens, in der Schweiz ergänzt um eine Kontaktstelle für Datenschutzanfragen
  • Erhobene Daten: welche personenbezogenen Daten werden erfasst, zu welchem Zweck, auf welcher Rechtsgrundlage
  • Empfänger: an wen werden Daten weitergegeben (Hosting-Anbieter, Zahlungsdienstleister, externe Tools)
  • Speicherdauer: wie lange werden Daten aufbewahrt
  • Rechte der betroffenen Personen: Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrecht, jeweils mit konkreter Kontaktadresse
  • Cookies und Tracking: Welche Cookies werden gesetzt, zu welchem Zweck, wie kann man sie ablehnen

Viele Anwaltskanzleien und spezialisierte Anbieter bieten in der Schweiz Generatoren an, die eine erste Vorlage liefern. Wichtig: Eine generische Vorlage ersetzt keine inhaltliche Auseinandersetzung mit dem konkreten Betrieb. Wer eine Adressänderung, ein neues Tool oder eine zusätzliche Datenverarbeitung einbaut, muss die Erklärung nachziehen.

Cookies, Tracking und der Google-Fonts-Fehler

Cookies sind nicht automatisch problematisch — sie brauchen aber eine saubere Behandlung. Für die Schweiz gilt eine pragmatische Linie:

  • Technisch notwendige Cookies (Spracheinstellung, Warenkorb, Login) dürfen ohne Einwilligung gesetzt werden.
  • Analyse- und Marketing-Cookies brauchen eine vorherige Einwilligung (Opt-in). Das gilt für Google Analytics, Meta Pixel, LinkedIn Insight und vergleichbare Tools.

Besonders häufig — und gut dokumentiert — ist der Google-Fonts-Fehler: Werden die Schriften direkt von fonts.googleapis.com geladen, überträgt die Website bei jedem Seitenaufruf die IP-Adresse der Besucherinnen und Besucher an Google. Der EDÖB hat gegen deutsche und österreichische Anbieter mehrfach Verstösse festgestellt; in der Schweiz ist die Behörde ebenfalls aktiv geworden.

Die Lösung ist technisch einfach: Schriften lokal hosten, also als Dateien auf dem eigenen Server ablegen. Viele moderne Website-Baukästen bieten das als Option; bei einer professionell gebauten Seite sollte das Standard sein.

Eingebettete Inhalte als Datenleck

Viele Schweizer Websites übertragen unbewusst Daten an Dritte:

  • YouTube-Videos laden beim ersten Aufruf Cookies von Google — auch wenn der Player erst nach Klick erscheint
  • Google Maps überträgt bereits beim Laden der Karte Daten an Google
  • Social-Media-Buttons senden Daten sofort beim Seitenaufruf, auch ohne Klick
  • Kontaktformulare mit externen Diensten (z. B. Formspree, Typeform) speichern Daten auf ausländischen Servern

Die Empfehlung: Regelmässig prüfen, welche externen Dienste die eigene Website einbindet — mit Browser-Entwicklertools oder spezialisierten Datenschutz-Scannern. Wo immer möglich, auf lokal gehostete Alternativen umstellen.

Datenverarbeitung in der Schweiz oder EU

Das revDSG verlangt keine zwingende Speicherung in der Schweiz, aber es macht die Regeln strenger: Wer Daten ins Ausland überträgt, muss sicherstellen, dass dort ein angemessenes Schutzniveau besteht. Die EU gilt als angemessen; bei Anbietern in den USA oder anderen Drittstaaten braucht es zusätzliche Garantien.

Für die meisten Schweizer KMU heisst das: Hosting in der Schweiz oder in der EU, Auftragsverarbeitungsverträge mit allen Dienstleistern, und eine kurze Notiz in der Datenschutzerklärung, wo welche Daten verarbeitet werden.

Bildrechte nicht vergessen

Ein Punkt, der häufig mit dem Datenschutz verwechselt wird, aber genauso wichtig ist: die Bildrechte. Wer auf der Website Fotos von Personen zeigt, braucht eine Einwilligung — insbesondere wenn die Person erkennbar ist und die Fotos in einem werblichen Kontext stehen. Stockfotos müssen lizenziert sein; «im Internet gefunden» ist keine ausreichende Rechtfertigung.

Pragmatischer Massnahmenkatalog

Für die meisten Schweizer KMU-Websites reichen sieben konkrete Schritte:

  1. Datenschutzerklärung inhaltlich prüfen und aktuell halten — nicht nur eine Vorlage kopieren.
  2. Schriften und Skripte lokal hosten statt von Google oder anderen Drittanbietern zu laden.
  3. Analyse- und Marketing-Cookies nur nach ausdrücklicher Einwilligung setzen.
  4. Eingebettete YouTube-Videos und Social-Widgets datenschutzfreundlich einbinden — etwa mit Click-to-Load-Lösungen.
  5. Auftragsverarbeitungsverträge mit allen Dienstleistern abschliessen, die personenbezogene Daten verarbeiten.
  6. Bildrechte klären — eigene Fotos bevorzugen, Stockfotos lizenzieren.
  7. Bei Datenpannen innert 72 Stunden an den EDÖB melden — am besten einen Prozess vorbereiten, nicht erst im Ernstfall reagieren.

Wer diese Punkte abhakt, hat den grössten Teil der Hausaufgaben erledigt. Datenschutz ist nie abgeschlossen — aber wer die Grundlagen sauber hat, kann neue Vorhaben schnell und sicher darauf aufbauen.

← Alle Artikel