Erfüllt Ihre Website die rechtlichen Anforderungen des revDSG? Jede Schweizer Website braucht fünf Pflicht-Elemente: Impressum, Datenschutzerklärung, Cookie-Consent (bei Tracking), SSL-Verschlüsselung und korrekte Einbindung externer Dienste. Bei Verstössen gegen das revDSG drohen Bussen bis CHF 250’000 für verantwortliche Personen.

Disclaimer: Dies ist keine Rechtsberatung. Das EDÖB stellt auf edoeb.admin.ch aktuelle Informationen und Merkblätter bereit. Konsultieren Sie bei Unsicherheiten einen Anwalt.

Die 5 Pflicht-Elemente jeder Schweizer Website

1. Impressum

Was muss rein:

  • Vollständiger Firmenname
  • Rechtsform
  • Handelsregisternummer (falls eingetragen)
  • UID-Nummer (bei MWST-Pflicht)
  • Postadresse (kein Postfach)
  • E-Mail-Adresse
  • Vertretungsberechtigte Person(en)

Wo platzieren:

  • Direkt im Footer verlinkt (“Impressum”)
  • Maximal 2 Klicks von jeder Seite entfernt
  • Klar bezeichnet

Fehlt das Impressum:

  • Bussen gemäss UWG (Bundesgesetz gegen den unlauteren Wettbewerb) möglich
  • Vertrauensverlust bei Kunden

2. Datenschutzerklärung

Pflicht seit revDSG: Jede Website, die Personendaten bearbeitet, braucht eine Datenschutzerklärung.

Mindestinhalt:

  • Welche Daten werden erhoben? (Name, E-Mail, IP-Adresse, etc.)
  • Zu welchem Zweck? (Kontaktanfrage, Newsletter, Analyse)
  • Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag)
  • An wen werden Daten weitergegeben? (z.B. Hosting-Provider, Newsletter-Tool)
  • Wie lange werden Daten gespeichert?
  • Welche Rechte haben Besucher? (Auskunft, Berichtigung, Löschung)
  • Kontaktstelle für Datenschutzfragen

Wo platzieren:

  • Footer-Link (“Datenschutz” oder “Privacy”)
  • Vor Einwilligungen (z.B. Kontaktformular, Newsletter)

Tools für Datenschutzerklärung:

  • Datenschutzgenerator (kostenlos, Basis-Abdeckung)
  • Anwalt (für komplexe Websites, E-Commerce)

3. Cookie-Banner / Consent

Wann nötig: Wenn die Website Cookies oder ähnliche Technologien nutzt, die nicht technisch zwingend notwendig sind.

Technisch notwendig:

  • Session-Cookies (Login)
  • Warenkorb
  • Sicherheits-Cookies

Nicht technisch notwendig (= Einwilligung nötig):

  • Google Analytics
  • Facebook Pixel
  • Marketing-Cookies
  • Social Media Embeds mit Tracking

Was der Banner enthalten muss:

  • Information über Cookie-Nutzung
  • Link zur Datenschutzerklärung
  • Möglichkeit, Cookies abzulehnen
  • Granulare Auswahl (nicht nur “Alle akzeptieren”)

Wichtig: “Opt-in”, nicht “Opt-out”. Cookies dürfen erst nach Einwilligung gesetzt werden.

Tools:

  • Cookiebot
  • Usercentrics
  • OneTrust
  • Complianz (WordPress-Plugin)

4. Kontaktformulare und Newsletter

Pflichten:

  • Datenschutzhinweis direkt beim Formular
  • Checkbox für Einwilligung (nicht vorausgew

ählt!)

  • Double-Opt-In bei Newsletter
  • Abmelde-Link in jedem Newsletter

Beispiel-Text:

“Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen gespeichert werden. [Link zur Datenschutzerklärung]“

5. Externe Einbindungen (Google Fonts, YouTube, etc.)

Problem: Viele externe Dienste übertragen Daten in Drittländer (z.B. USA) und erfordern Einwilligung.

Kritische Dienste:

  • Google Fonts (wenn von Google-Servern geladen)
  • Google Maps
  • YouTube-Videos
  • Social Media Embeds

Lösungen:

  • Lokal hosten: Google Fonts lokal einbinden
  • 2-Click-Lösung: Erst nach Einwilligung laden
  • Privacy-Modus: YouTube “youtube-nocookie.com”
  • Datenschutzfreundliche Alternativen: OpenStreetMap statt Google Maps

Spezielle Anforderungen

E-Commerce

Zusätzlich nötig:

  • AGB (Allgemeine Geschäftsbedingungen)
  • Widerrufsbelehrung
  • Versand- und Zahlungsinformationen
  • SSL-Verschlüsselung (Pflicht!)

Internationale Zielgruppen

Wenn Sie EU-Kunden haben:

  • DSGVO-Anforderungen zusätzlich zu revDSG
  • Oft höhere Anforderungen als revDSG
  • Cookie-Banner noch kritischer

Auftragsbearbeitung

Wenn Sie externe Dienste nutzen (Hosting, Newsletter, CRM):

  • Auftragsbearbeitungsvertrag (AVV) mit Dienstleistern abschliessen
  • Sicherstellen, dass Dienstleister DSGVO/revDSG-compliant sind

Typische AVV-Partner:

  • Hosting-Anbieter
  • Newsletter-Tool (Mailchimp, Brevo, etc.)
  • CRM-System
  • Analytics-Tool

Checkliste: Ist Ihre Website compliant?

  • Impressum vollständig und leicht auffindbar
  • Datenschutzerklärung vorhanden und aktuell
  • Cookie-Banner (falls Tracking-Cookies genutzt)
  • SSL-Zertifikat aktiv (https://)
  • Kontaktformulare mit Datenschutzhinweis
  • Newsletter mit Double-Opt-In
  • Externe Dienste geprüft (Fonts, Maps, Videos)
  • AVV mit allen Dienstleistern abgeschlossen
  • AGB/Widerrufsrecht (bei E-Commerce)

Häufige Fehler

Fehler 1: Kein Impressum

Problem: Viele Websites (besonders kleine) haben kein vollständiges Impressum.

Risiko: Bussen, Vertrauensverlust

Fehler 2: Generische Datenschutzerklärung

Problem: Vorlage kopiert, aber nicht angepasst.

Risiko: Falsche Angaben, nicht compliant

Fehler 3: Google Analytics ohne Einwilligung

Problem: Analytics läuft ohne Cookie-Banner.

Risiko: Rechtswidrig, Bussen möglich

Fehler 4: Google Fonts von Google-Servern

Problem: IP-Adresse wird an Google übertragen.

Lösung: Lokal hosten

Fehler 5: Keine AVV mit Dienstleistern

Problem: Hoster, Newsletter-Tool etc. ohne Vertrag.

Risiko: revDSG-Verstoss

Was tun bei Verstössen?

Bei Mängeln:

  1. Sofort beheben (Impressum ergänzen, Datenschutzerklärung aktualisieren)
  2. Cookie-Banner nachträglich einbauen
  3. AVV mit Dienstleistern abschliessen

Bei Abmahnung:

  1. Rechtsberatung einholen
  2. Mangel umgehend beheben
  3. Schriftlich bestätigen

Kosten für Compliance

Typische Kosten:

  • Datenschutzerklärung (Anwalt): CHF 800–2’000
  • Cookie-Banner-Tool: CHF 0–50 pro Monat
  • SSL-Zertifikat: CHF 0–300 pro Jahr (oft gratis bei Hoster)
  • Anpassungen durch Webentwickler: CHF 500–2’000

Einmalige Investition, die sich lohnt.

Tools und Ressourcen

Datenschutzgeneratoren:

  • SwissAnwalt.ch
  • Datenschutzpartner.ch

Cookie-Banner:

  • Cookiebot
  • Complianz (WordPress)

Compliance-Check:

  • Website-Check-Tools (verschiedene Anbieter)

Beratung:

  • Anwalt für Datenschutz/IT-Recht
  • Datenschutzbeauftragte (für grössere Firmen)

Zusammengefasst

Rechtlich compliant zu sein ist keine Option, sondern Pflicht. Gemäss EDÖB können Unternehmen, die Personendaten ins Ausland übermitteln, besonders strenge Anforderungen treffen. Die Anforderungen sind aber überschaubar:

  1. Impressum – vollständig und sichtbar
  2. Datenschutzerklärung – angepasst und aktuell
  3. Cookie-Banner – bei Tracking/Marketing-Cookies
  4. SSL – Standard heute
  5. AVV – mit allen Dienstleistern

Die Investition (Zeit und Geld) ist gering im Vergleich zu den Risiken (Bussen, Vertrauensverlust, Reputationsschaden).

Lassen Sie Ihre Website prüfen und Mängel beheben. Compliance ist Vertrauenssache.