Das neue Schweizer Datenschutzgesetz (nDSG) ist seit dem 1. September 2023 verbindlich in Kraft. Viele Schweizer KMU glauben noch immer, das Thema betreffe nur Grossunternehmen oder sei «irgendwie wie die DSGVO». Beides ist falsch.
Wenn Sie eine Website betreiben – ob kleiner Online-Shop, Unternehmensseite oder Dienstleistungsportal – stehen Sie direkt in der Pflicht. Und die Konsequenzen bei Verstössen sind real: Bis zu 250.000 Franken Busse können verhängt werden, und zwar gegen natürliche Personen – also gegen Sie persönlich als Inhaber oder Geschäftsführer.
Hier ist die gute Nachricht: Mit der richtigen Struktur lässt sich Compliance ohne grossen Aufwand und ohne Mehrkosten umsetzen. Dieser Leitfaden zeigt Ihnen genau, was sich geändert hat, was Ihre Website jetzt braucht – und wie Sie das Thema ein für alle Mal abhaken können.
Was ist das nDSG – und warum betrifft es Ihre Website direkt?
Suchen Sie das BESTE Schweizer Hosting für Ihre Website?
Wir haben die Antwort (und die Preise werden Sie überraschen!)
- Infomaniak: Leistung, Sicherheit & Expertise für anspruchsvolle Projekte[Website besuchen].
- Cyon: Einfach, günstig & nachhaltig – ideal für kleine Websites und Blogs [Website besuchen].
Das neue Datenschutzgesetz der Schweiz (nDSG) ersetzt das über 30 Jahre alte Datenschutzgesetz von 1992. Es bringt die Schweizer Gesetzgebung auf den Stand der europäischen DSGVO – mit einigen wichtigen nationalen Besonderheiten.
Kern des Gesetzes ist der Schutz der Persönlichkeitsrechte und Grundrechte natürlicher Personen bei der Bearbeitung ihrer Daten. Jede Schweizer Website, die Personendaten verarbeitet – also Namen, E-Mail-Adressen, IP-Adressen oder Verhaltensprofile – fällt unter das Gesetz.
Das betrifft Sie konkret, wenn Ihre Website:
- ein Kontaktformular enthält
- Google Analytics oder vergleichbare Tracking-Tools verwendet
- Newsletter-Anmeldungen ermöglicht
- Bestellungen oder Buchungen entgegennimmt
- Cookies setzt, die Nutzer identifizieren oder tracken
Kurz gesagt: Praktisch jede professionelle Website in der Schweiz ist betroffen. Wie eine rechtssichere Website von Grund auf aufgebaut werden sollte, erklären wir ausführlich in unserem Artikel über Wachstum durch Webdesign – dort sehen Sie, warum Datenschutz und Performance keine Gegensätze sind.
Die wichtigsten Änderungen gegenüber dem alten DSG
Das alte DSG aus dem Jahr 1992 war für das digitale Zeitalter schlicht nicht ausgelegt. Das nDSG bringt folgende wesentliche Neuerungen:
- Erweiterter Datenbegriff: Genetische und biometrische Daten gelten neu als besonders schützenswerte Daten
- Privacy by Design & by Default: Datenschutz muss von Anfang an in Systeme eingebaut werden – nicht nachträglich
- Informationspflicht: Betroffene Personen müssen aktiv über die Datenbearbeitung informiert werden
- Stärkere Betroffenenrechte: Recht auf Auskunft, Löschung, Datenübertragbarkeit und Widerspruch
- Meldepflicht bei Datenpannen: Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden
- Bussenrahmen: Bis zu 250.000 CHF – und zwar gegen natürliche Personen
- Verzeichnis der Bearbeitungstätigkeiten ist unter bestimmten Voraussetzungen Pflicht
Der entscheidende Unterschied zur DSGVO: Im Schweizer Recht liegt die Verantwortung bei der natürlichen Person, nicht beim Unternehmen als juristischer Person. Das erhöht den persönlichen Druck auf Geschäftsführer und Inhaber erheblich.
Pflicht 1: Datenschutzerklärung – aktuell und vollständig
Die Datenschutzerklärung ist das Herzstück Ihrer nDSG-Compliance. Sie muss leicht auffindbar sein – in der Regel im Footer jeder Seite – und folgende Informationen enthalten:
- Wer ist verantwortlich für die Datenbearbeitung (Name, Adresse, Kontakt)?
- Welche Daten werden gesammelt und zu welchem Zweck?
- An wen werden Daten weitergegeben (z.B. Google, Mailchimp, Stripe)?
- Wie lange werden Daten gespeichert?
- Welche Rechte haben Nutzer?
- Gibt es Drittland-Übermittlungen (z.B. Server in den USA)?
Hier scheitern viele: Templates aus dem Internet sind häufig unvollständig oder auf die DSGVO ausgelegt, nicht auf das nDSG. Wie eine rechtskonforme Datenschutzrichtlinie aussehen kann, sehen Sie beispielhaft in unserer eigenen Datenschutzrichtlinie – diese dient als Orientierung, muss aber für Ihre spezifischen Tools und Prozesse individuell erstellt werden.
Wichtig: Jedes eingebundene Tool – jedes Cookie, jedes Analytics-Script, jeder externe Dienst – muss in der Erklärung abgedeckt sein.
Pflicht 2: Cookie-Banner – nicht nur eine Formalität
Cookie-Banner sind das sichtbarste Datenschutzelement – und gleichzeitig das am häufigsten falsch umgesetzte.
Das nDSG verlangt, dass Nutzer informiert zustimmen, bevor nicht notwendige Cookies gesetzt werden. Das bedeutet:
- Der Banner muss vor der Datenspeicherung erscheinen
- Ablehnen muss genauso einfach sein wie Zustimmen
- Vorausgewählte Häkchen («pre-checked boxes») sind nicht zulässig
- Kategorien müssen klar erklärt werden (Notwendig / Statistik / Marketing)
Häufige Fehler, die Websiteinhaber machen:
- Banner der ersten Generation, die nur informieren statt zu fragen
- Kein funktionierendes «Nur notwendige Cookies»-Feld
- Google Analytics lädt bereits vor der Zustimmung
- Kein Protokoll der erteilten Einwilligungen
Ein rechtskonformer Cookie-Banner ist technisch komplex – er muss mit Ihrem CMS, Ihren Tracking-Scripts und Ihrer Datenschutzerklärung synchronisiert sein.
Pflicht 3: Kontaktformulare rechtssicher gestalten
Jedes Kontaktformular ist ein Dateneingabepunkt. Hier sind folgende Anforderungen zu erfüllen:
- Hinweis auf die Datenschutzerklärung direkt beim Formular – nicht versteckt im Footer
- Nur notwendige Felder abfragen – kein Geburtsdatum, wenn Sie es nicht brauchen
- Sichere Übertragung via HTTPS (SSL-Zertifikat ist Pflicht)
- Kein ungeschütztes Speichern sensibler Daten in einfachen E-Mail-Posteingängen
- Bei Newsletter-Anmeldungen: Double-Opt-in-Verfahren und dokumentierte Einwilligung
Besondere Vorsicht gilt bei Formularen, die an US-amerikanische Dienste weitergeleitet werden (z.B. HubSpot, Mailchimp, Salesforce). Diese Drittlandübermittlungen müssen in der Datenschutzerklärung explizit ausgewiesen und mit geeigneten Garantien abgesichert sein.
Pflicht 4: Hosting & Serverstandort
Der Serverstandort Ihrer Website ist ein oft unterschätzter Datenschutzfaktor. Wenn Ihre Website auf einem Server in den USA gehostet wird, unterliegen die Daten potenziell dem US-amerikanischen Recht – inklusive staatlicher Zugriffsmöglichkeiten wie dem CLOUD Act.
Das nDSG verlangt bei Datenübermittlungen ins Ausland entweder:
- Einen gleichwertigen Datenschutz im Empfängerland (Schweizer Staatenliste des EDÖB), oder
- Geeignete Garantien wie Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln
Hosting in der Schweiz oder der EU (Deutschland, Österreich) ist die einfachste und rechtssicherste Lösung. Anbieter wie Infomaniak (CH), Hosttech (CH) oder Hetzner (DE) bieten nDSG-kompatible Infrastruktur an. Alles, was Sie über technisch saubere und rechtssichere Website-Infrastruktur wissen müssen, finden Sie in unserem Leitfaden zu professionellem Webdesign Zürich.
Prüfen Sie auch alle eingebundenen Dienste: Google Fonts, Google Analytics, reCAPTCHA, YouTube-Embeds, Stripe – all diese Dienste übertragen Nutzerdaten in die USA.
nDSG Zeitstrahl: Von der Verabschiedung bis heute
Pflicht 5: Verzeichnis der Bearbeitungstätigkeiten (VVT)
Das VVT ist das interne Dokumentationswerk Ihrer Datenprozesse. Gemäss nDSG Art. 12 sind Unternehmen verpflichtet, ein solches Verzeichnis zu führen, wenn sie regelmässig besonders schützenswerte Personendaten bearbeiten oder eine Datenschutz-Folgeabschätzung durchführen müssen.
Für die meisten KMU mit einer Standard-Website gilt eine Ausnahme: Unternehmen mit weniger als 250 Mitarbeitenden ohne risikoreiche Datenbearbeitung können vom VVT befreit sein. Der EDÖB empfiehlt dennoch die Erstellung – es dient im Streitfall als wichtiges Nachweisdokument.
Das VVT sollte festhalten:
- Name und Kontaktdaten des Verantwortlichen
- Zweck der Datenbearbeitung
- Kategorien der bearbeiteten Personendaten
- Kategorien der Empfänger
- Aufbewahrungsfristen
- Technische und organisatorische Schutzmassnahmen
Pflicht 6: Datenschutz-Folgeabschätzung (DSFA)
Eine DSFA ist notwendig, wenn eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt (nDSG Art. 22).
Typische Szenarien für KMU-Websites:
- Einsatz von Profiling-Tools (detaillierte Nutzerprofile über mehrere Seiten)
- Automatisierte Entscheidungsfindung mit rechtlichen Folgen
- Grossmassstäbliche Verarbeitung besonders schützenswerter Daten (z.B. Gesundheitsplattformen, Patientendaten)
Für eine einfache Unternehmenswebsite mit Kontaktformular und Standard-Analytics ist in der Regel keine DSFA erforderlich. Bei E-Commerce-Plattformen, Mitgliederportalen oder Gesundheitswebsites sollten Sie jedoch einen Datenschutzexperten beiziehen.
Pflicht 7: Meldepflicht bei Datenverletzungen
Neu gilt: Wenn Ihre Website gehackt wird, Daten verloren gehen oder unbefugt zugegriffen wird, müssen Sie dies dem EDÖB melden – und zwar so schnell wie möglich, wenn das Risiko für die betroffenen Personen erheblich ist.
Das bedeutet konkret:
- Sie brauchen ein Monitoring-System, das Sicherheitsvorfälle erkennt
- Sie brauchen einen Eskalationsplan – wer informiert wen, wann und wie?
- Regelmässige Sicherheitsupdates (CMS, Plugins, Server) sind nicht optional, sondern rechtlich erforderlich
Für WordPress-Websites bedeutet das: Themes und Plugins müssen aktuell gehalten werden. Veraltete Software ist eines der häufigsten Einfallstore für Datenpannen.
Was droht bei Nichteinhaltung?
Das nDSG sieht Bussen von bis zu 250.000 Franken vor – gegen natürliche Personen, also gegen Sie als Inhaber oder Geschäftsführer. Betroffen sind insbesondere:
- Vorsätzliche Verletzung der Informationspflichten
- Weigerung, Auskunft zu erteilen
- Verletzung der Meldepflicht bei Datenpannen
- Missachtung von Verfügungen des EDÖB
Neben rechtlichen Folgen drohen Reputationsschäden: Ein datenschutzrechtlicher Vorfall kann das Vertrauen Ihrer Kunden nachhaltig beschädigen. Laut einer Studie des Bundesamts für Statistik (BFS, 2024) gaben 61% der Schweizer Internetnutzer an, sich «stark» oder «sehr stark» um ihre Online-Privatsphäre zu sorgen. Datenschutz ist also nicht nur eine rechtliche, sondern auch eine strategische Vertrauensfrage.
nDSG vs. DSGVO – der direkte Vergleich
Viele verwechseln nDSG und DSGVO. Hier sind die entscheidenden Unterschiede:
| Kriterium | nDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Schweizer Unternehmen | EU-Unternehmen + Marktortprinzip |
| Bussenhöhe | Bis 250.000 CHF (natürl. Person) | Bis 20 Mio. EUR / 4% Jahresumsatz |
| Verantwortung | Natürliche Person | Juristische Person |
| VVT-Pflicht | Bei bestimmten Kriterien | Ab 250 MA oder risikoreicher Bearbeitung |
| DSB-Pflicht | Nicht zwingend | Pflicht bei bestimmten Bearbeitungen |
| Drittlandübermittlung | EDÖB-Staatenliste oder Garantien | Standardvertragsklauseln / Angemessenheitsbeschluss |
Wichtig: Wenn Ihre Website auch EU-Bürger anspricht oder Sie Kunden in der EU haben, müssen Sie beide Regelwerke einhalten. In diesem Fall gilt die DSGVO als strengerer Standard.
nDSG Website-Check
Ihre nDSG-Checkliste auf einen Blick
Bevor Sie weiter scrollen: Hier ist, was Ihre Website heute braucht.
- ✅ Aktuelle, vollständige Datenschutzerklärung (nDSG-konform, individuell erstellt)
- ✅ Rechtssicherer Cookie-Banner mit echtem Opt-in und Ablehnungsmöglichkeit
- ✅ Kontaktformular mit DSE-Link und HTTPS-Verschlüsselung
- ✅ Hosting in der Schweiz oder der EU
- ✅ Google Fonts lokal gehostet – kein externer Google-Aufruf
- ✅ Alle Drittdienste (Analytics, Stripe, YouTube, Mailchimp) dokumentiert und rechtlich abgesichert
- ✅ Double-Opt-in für Newsletter-Anmeldungen
- ✅ Regelmässige CMS- und Plugin-Updates
- ✅ VVT erstellt (auch ohne gesetzliche Pflicht empfohlen)
- ✅ Interner Prozess für Datenpannen definiert
- ✅ Datenschutzerklärung im Footer jeder Seite verlinkt
Wie Websharks Ihre Website standardmässig nDSG-konform macht
Hier ist der entscheidende Punkt: nDSG-Compliance ist bei uns kein Add-on. Es ist unser Standard.
Bei Websharks bauen wir keine Website, die Sie nachträglich datenschutzrechtlich nachrüsten müssen. Jede Website, die wir entwickeln, kommt standardmässig mit:
- Hosting in der Schweiz oder Deutschland – keine Daten auf US-Servern ohne explizite Absicherung
- Konfiguriertem, rechtskonformem Cookie-Banner – getestet und auf Ihr spezifisches Tool-Set abgestimmt
- Individuell erstellter Datenschutzerklärung – kein generisches Template, sondern auf Ihre Website zugeschnitten
- SSL-Zertifikat und HTTPS – standardmässig aktiv, kein Aufpreis
- Datenschutz-optimierten Formularlösungen – mit DSE-Link und Double-Opt-in wo nötig
- Lokal eingebundenen Drittdiensten – Google Fonts, Analytics und Co. datenschutzkonform konfiguriert
- Laufenden Updates – CMS, Plugins und Themes werden regelmässig gewartet
Das ist kein Aufpreis. Das ist unser Standard – weil eine Website, die Sie in rechtliche Probleme bringt, keine gute Website ist. Lesen Sie mehr darüber, wie wir rechtssichere Websites für Schweizer KMU erstellen.
Möchten Sie wissen, ob Ihre bestehende Website nDSG-konform ist? Jetzt kostenlose Website-Prüfung anfragen →
Häufige Fragen zum nDSG (FAQ)
Ab wann gilt das nDSG für meine Website?
Das nDSG ist seit dem 1. September 2023 verbindlich in Kraft. Für Websites gilt es sofort – eine Übergangsfrist gibt es nicht mehr.
Brauche ich als Einzelunternehmer auch einen Cookie-Banner?
Ja. Sobald Ihre Website Tracking-Tools (z.B. Google Analytics) oder nicht-notwendige Cookies verwendet, ist ein rechtskonformer Cookie-Banner mit Opt-in-Möglichkeit Pflicht.
Was ist der Unterschied zwischen nDSG und DSGVO?
Das nDSG gilt für Schweizer Unternehmen und bestraft natürliche Personen (bis 250.000 CHF). Die DSGVO gilt für EU-Unternehmen und belastet juristische Personen (bis 20 Mio. EUR). Wer EU-Kunden hat, muss beide Regelwerke einhalten.
Muss ich meine Website zwingend in der Schweiz hosten?
Nein. Daten dürfen ins Ausland übertragen werden, sofern das Empfängerland einen vergleichbaren Datenschutz bietet (z.B. EU) oder geeignete Garantien vorliegen. Schweizer Hosting ist aber die einfachste Lösung.
Was passiert, wenn ich gegen das nDSG verstosse?
Der EDÖB kann Empfehlungen und Verfügungen erlassen. Bei vorsätzlichen Verstössen gegen bestimmte Pflichten drohen Bussen bis zu 250.000 CHF gegen natürliche Personen.
Kann ich eine DSGVO-Vorlage für meine Datenschutzerklärung verwenden?
Nur bedingt. DSGVO-Vorlagen decken viele Punkte ab, sind aber nicht vollständig nDSG-kompatibel. Insbesondere bei Meldepflichten, Auskunftsrecht und Terminologie sind Anpassungen notwendig.
