CHF 250’000 Busse für eine fehlende Datenschutzerklärung? Das revidierte Datenschutzgesetz (revDSG) macht es möglich. Verantwortliche Privatpersonen haften persönlich. Die Anforderungen: Datenschutzerklärung, transparente Cookie-Information und sichere Datenübertragung. Klingt überschaubar, doch in der Umsetzung steckt der Teufel im Detail. Diese Checkliste führt Sie Punkt für Punkt durch alles, was Ihre Website braucht.

Hinweis: Diese Checkliste ersetzt keine rechtliche Beratung. Das EDÖB bietet auf seiner Website aktuelle Merkblätter und Leitfäden zur Umsetzung des revDSG. Für Ihre spezifische Situation konsultieren Sie einen auf Datenschutzrecht spezialisierten Juristen.

Datenschutzerklärung

Die Datenschutzerklärung ist das zentrale Dokument für die Transparenz Ihrer Datenbearbeitung.

  • Datenschutzerklärung ist auf der Website vorhanden und leicht auffindbar
  • Identität und Kontaktdaten des Verantwortlichen sind angegeben
  • Bearbeitungszwecke sind klar beschrieben
  • Empfänger oder Kategorien von Empfängern sind benannt
  • Bei Datenexport ins Ausland: Zielland und Garantien sind genannt
  • Aufbewahrungsdauer oder Kriterien dafür sind angegeben
  • Rechte der betroffenen Personen (Auskunft, Löschung, Berichtigung) sind beschrieben
  • Kontaktmöglichkeit für Datenschutzanfragen ist vorhanden
  • Datenschutzerklärung ist in der Sprache der Website verfügbar

Das revDSG verlangt keine explizite Cookie-Einwilligung wie die DSGVO, aber:

  • Informationspflicht über verwendete Cookies ist erfüllt
  • Tracking-Cookies von Drittanbietern sind in der Datenschutzerklärung aufgeführt
  • Bei Nutzern aus dem EU/EWR-Raum: DSGVO-konforme Einwilligung eingeholt (wenn relevant)
  • Cookie-Banner informiert mindestens über die Verwendung von Cookies
  • Technisch nicht notwendige Cookies können abgelehnt werden

Empfehlung

Auch wenn das revDSG weniger streng ist als die DSGVO: Implementieren Sie einen Cookie-Consent-Banner, der Nutzern eine echte Wahl gibt. Das schützt Sie auch bei EU-Nutzern und stärkt das Vertrauen.

Kontaktformulare und Datenerhebung

  • Nur notwendige Daten werden erhoben (Datensparsamkeit)
  • Zweck der Datenerhebung ist beim Formular erkennbar
  • Hinweis auf Datenschutzerklärung ist beim Formular vorhanden
  • Daten werden verschlüsselt übertragen (HTTPS)
  • Automatische Löschung nach Ablauf der Aufbewahrungsfrist ist eingerichtet

Newsletter und E-Mail-Marketing

  • Anmeldung erfolgt über Double-Opt-in-Verfahren
  • Abmeldemöglichkeit ist in jeder E-Mail vorhanden
  • Zweck und Häufigkeit sind bei der Anmeldung transparent
  • Einwilligungen werden dokumentiert und nachweisbar gespeichert
  • Newsletter-Tool ist datenschutzkonform (Serverstandort beachten)

Webanalyse und Tracking

  • Webanalyse-Tools sind in der Datenschutzerklärung aufgeführt
  • IP-Anonymisierung ist aktiviert (wo verfügbar)
  • Datenweitergabe an Dritte ist dokumentiert
  • Serverstandort des Analytics-Tools ist bekannt und dokumentiert
  • Auftragsbearbeitungsvertrag mit dem Analytics-Anbieter liegt vor

Empfehlung zur Toolwahl

Für Schweizer Unternehmen bieten sich datenschutzfreundliche Alternativen an:

  • Plausible Analytics: Keine Cookies, EU-Server
  • Matomo (selbst gehostet): Volle Datenkontrolle
  • Simple Analytics: Keine personenbezogenen Daten

Technische Sicherheitsmassnahmen

  • Website läuft über HTTPS (SSL/TLS-Zertifikat)
  • Formulardaten werden verschlüsselt übertragen
  • CMS und Plugins sind auf dem neusten Stand
  • Zugangsdaten zum Backend sind sicher (starke Passwörter, MFA)
  • Regelmässige Backups der Website-Daten

Auftragsbearbeitung (bei Drittanbietern)

Wenn Sie Dienstleister einsetzen, die Personendaten bearbeiten:

  • Auftragsbearbeitungsverträge (ABV) mit allen relevanten Dienstleistern sind vorhanden
  • Hosting-Anbieter: ABV und Standortprüfung
  • E-Mail-Marketing-Tool: ABV und Datenexport-Prüfung
  • CRM-System: ABV und Standortprüfung
  • Cloud-Dienste: ABV und angemessene Garantien bei Auslandstransfer

Bearbeitungsverzeichnis

Das revDSG verlangt ein Verzeichnis der Bearbeitungstätigkeiten für Unternehmen mit mehr als 250 Mitarbeitenden oder bei Hochrisiko-Bearbeitungen:

  • Verzeichnis ist erstellt und dokumentiert
  • Bearbeitungszwecke sind pro Tätigkeit erfasst
  • Kategorien betroffener Personen und Daten sind dokumentiert
  • Aufbewahrungsfristen sind definiert
  • Technische und organisatorische Massnahmen sind beschrieben

Meldepflicht bei Datenschutzverletzungen

Gemäss Art. 24 revDSG müssen Verletzungen der Datensicherheit dem EDÖB so rasch wie möglich gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen.

  • Prozess für die Meldung von Datenschutzverletzungen ist definiert
  • Meldung an den EDÖB so rasch wie möglich ist organisatorisch sichergestellt
  • Verantwortliche Person für Datenschutzvorfälle ist bestimmt
  • Kommunikationsplan für betroffene Personen ist vorhanden

Nächste Schritte

Laut BFS verfügen über 90% der Schweizer Unternehmen über eine Internetpräsenz. Viele haben die revDSG-Anforderungen trotzdem noch nicht vollständig umgesetzt. So gehen Sie systematisch vor:

  1. Gehen Sie diese Checkliste Punkt für Punkt durch
  2. Markieren Sie offene Punkte
  3. Priorisieren Sie: Datenschutzerklärung und Cookie-Consent zuerst
  4. Beauftragen Sie bei Bedarf einen Datenschutzjuristen für Ihre spezifische Situation
  5. Planen Sie eine jährliche Überprüfung ein

Haftungsausschluss

Dieser Ratgeber dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Die Inhalte wurden sorgfältig recherchiert, eine Gewähr für Vollständigkeit und Aktualität kann jedoch nicht übernommen werden. Für rechtsverbindliche Auskünfte wenden Sie sich an einen spezialisierten Juristen.