Datenschutz auf der Website: was das revDSG für KMU verlangt (2026)

Das revDSG stützt sich auf einige Grundprinzipien, die direkt auf Ihre Website durchschlagen. Zentral sind Transparenz (die Besucher müssen wissen, welche Daten Sie warum erheben), Zweckbindung (Daten dürfen nur für den angegebenen Zweck verwendet werden) und Datensicherheit (technische Massnahmen wie eine verschlüsselte Verbindung).

Konkret bedeutet das für eine typische KMU-Website:

• Eine erreichbare, verständliche Datenschutzerklärung (im Footer verlinkt).
• Eine Verschlüsselung der Verbindung über HTTPS - ohne gültiges SSL-Zertifikat geht heute nichts mehr.
• Klarheit darüber, an wen Daten weitergehen (z.B. Hosting-Anbieter, Newsletter-Tool, Analytics).
• Die Möglichkeit für Betroffene, Auskunft über ihre gespeicherten Daten zu verlangen.

Wichtig: Das revDSG gilt für jedes Unternehmen, das Personendaten bearbeitet - unabhängig von der Grösse. Ein Einzelunternehmen mit One-Pager fällt also genauso darunter wie ein Mittelständler mit 50 Mitarbeitenden. Die Anforderungen sind aber risikobasiert: Je sensibler die Daten und je grösser das Volumen, desto mehr müssen Sie dokumentieren.

Die Datenschutzerklärung ist das Herzstück Ihrer DSG-Konformität. Sie informiert die Besucher in einfacher, klarer Sprache darüber, was mit ihren Daten passiert. Folgende Punkte sollten enthalten sein:

• Verantwortliche Stelle: Name und Kontaktadresse Ihres Unternehmens.
• Welche Daten erhoben werden (z.B. Name, E-Mail über das Kontaktformular, IP-Adresse über das Hosting-Log).
• Zu welchem Zweck die Bearbeitung erfolgt (Anfragebeantwortung, Reichweitenmessung).
• An wen Daten weitergegeben werden - inklusive Übermittlung ins Ausland (etwa bei US-Tools wie Google Analytics).
• Speicherdauer und die Rechte der Betroffenen (Auskunft, Berichtigung, Löschung).

Vorsicht vor blind kopierten Vorlagen aus dem Netz: Eine Datenschutzerklärung, die Tools beschreibt, die Sie gar nicht einsetzen - oder umgekehrt eingesetzte Tools verschweigt - ist schlimmer als gar keine, weil sie die geforderte Transparenz aktiv verletzt.

Hier liegt der grösste Unterschied zur EU - und ein verbreitetes Missverständnis. In der Schweiz gibt es keine generelle Impressumspflicht wie in Deutschland. Eine Pflicht zur Anbieterkennzeichnung besteht nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) nur, wenn Sie über die Website Waren oder Dienstleistungen im elektronischen Geschäftsverkehr anbieten, also etwa einen Online-Shop oder eine Buchungsfunktion betreiben.

In diesem Fall müssen Sie Firmenname und eine Kontaktmöglichkeit (mindestens eine E-Mail-Adresse) klar angeben. Da praktisch jede Firmenwebsite ohnehin eine Kontaktseite hat, ist das schnell erfüllt. Unser Rat: Geben Sie aus Vertrauens- und Seriositätsgründen immer vollständige Kontaktdaten an - das ist gut für die Besucher und gut für Google. Eine eigene, juristisch ausformulierte Impressumsseite ist aber in den allermeisten Fällen unnötig.

Das nervige Cookie-Banner ist in der Schweiz seltener Pflicht, als viele denken. Das revDSG verlangt keine vorgängige Einwilligung (Opt-in) für technisch notwendige Cookies. Wer also nur einen schlanken Webauftritt ohne Tracking-Tools betreibt, braucht oft gar kein Banner - eine Erwähnung in der Datenschutzerklärung reicht.

Ein Banner mit echter Einwilligungsfunktion wird relevant, wenn Sie Tools einsetzen, die Daten zu Marketing- oder Profiling-Zwecken verarbeiten - oder wenn Sie auch EU-Bürger ansprechen und damit unter die strengere DSGVO fallen. In diesem Fall gilt: ein klares Opt-in, eine ablehnbare Option, kein vorausgewähltes Häkchen.

Das Kontaktformular ist auf den meisten KMU-Seiten der wichtigste Datenkanal - und damit ein klassischer Stolperstein. DSG-konform heisst hier:

• Datensparsamkeit: Fragen Sie nur ab, was Sie wirklich brauchen. Ein Pflichtfeld «Geburtsdatum» bei einer simplen Anfrage ist nicht zulässig.
• Hinweis auf die Datenschutzerklärung direkt beim Formular, idealerweise als kurzer Satz mit Link.
• Verschlüsselte Übertragung via HTTPS - selbstverständlich, aber erstaunlich oft vergessen.
• Sichere Speicherung und Löschung: Anfragen, die erledigt sind, sollten nicht ewig irgendwo herumliegen.

Bei Frascati ist DSG-Konformität in jeder Website standardmässig eingebaut - vom verschlüsselten Kontaktformular bis zur sauber strukturierten Datenschutzerklärung. Wer ein professionelles Webdesign beauftragt, sollte erwarten dürfen, dass diese Grundlagen ohne Aufpreis dabei sind.

Sobald Sie Google Analytics, Google Maps, eingebettete YouTube-Videos oder Google Fonts einbinden, verlassen Daten Ihrer Besucher die Schweiz und gehen in die USA. Das ist nicht verboten, muss aber transparent gemacht werden: In der Datenschutzerklärung gehört ein expliziter Hinweis auf diese Übermittlung ins Ausland.

Praktische Empfehlungen für KMU:

• IP-Anonymisierung in Analytics aktivieren, wo verfügbar.
• Google Fonts und Karten möglichst lokal einbinden oder erst nach Einwilligung laden.
• Datenschutzfreundliche Alternativen prüfen (z.B. cookielose Analytics-Lösungen).

Unsicher, was Ihre bestehende Website überhaupt alles lädt und an Dritte weitergibt? Unser kostenloser Website-Check deckt unter anderem auf, welche externen Skripte und Tracker auf Ihrer Seite aktiv sind - ein guter erster Schritt zur Bestandsaufnahme.

Aus der Praxis sehen wir immer wieder dieselben Stolpersteine:

1. Kopierte Datenschutzerklärung, die zur eingesetzten Technik nicht passt.
2. Kein HTTPS oder ein abgelaufenes SSL-Zertifikat.
3. Übertriebenes Cookie-Banner, das Besucher abschreckt, obwohl gar kein Tracking läuft.
4. Analytics ohne Hinweis in der Datenschutzerklärung.
5. Veraltete Kontaktangaben oder eine nicht erreichbare Datenschutz-Kontaktstelle.

Die gute Nachricht: Alle diese Punkte sind mit überschaubarem Aufwand lösbar - vor allem, wenn Datenschutz von Anfang an mitgedacht wird statt nachträglich aufgepfropft. Für Unternehmen aus der Region begleiten wir das gerne direkt vor Ort, etwa beim Webdesign in Basel und Umgebung.

Ist eine Datenschutzerklärung für jede KMU-Website Pflicht?

Ja. Sobald Ihre Website Personendaten bearbeitet - und das tut praktisch jede Seite, allein durch Server-Logs - verlangt das revDSG eine Informationspflicht. Eine erreichbare, verständliche Datenschutzerklärung ist deshalb für jede KMU-Website unverzichtbar.

Brauche ich in der Schweiz zwingend ein Impressum?

Nein, eine generelle Impressumspflicht wie in der EU gibt es nicht. Lediglich wer Waren oder Dienstleistungen online anbietet, muss nach UWG Firmenname und eine Kontaktmöglichkeit angeben. Vollständige Kontaktdaten anzugeben ist aber immer empfehlenswert.

Muss ich ein Cookie-Banner einbauen?

Nicht zwingend. Für technisch notwendige Cookies braucht es in der Schweiz keine vorgängige Einwilligung. Ein Banner mit Opt-in wird erst relevant, wenn Sie Tracking- oder Marketing-Tools einsetzen oder gezielt EU-Bürger ansprechen und damit unter die DSGVO fallen.

Was kostet eine DSG-konforme Website?

Bei einer seriösen Agentur sollte DSG-Konformität im Preis inbegriffen sein, nicht als Zusatzposten erscheinen. Bei Frascati sind verschlüsselte Formulare, eine passende Datenschutzerklärung und HTTPS in jedem Paket - vom One-Pager bis zur mehrsprachigen Seite - standardmässig enthalten.

Möchten Sie eine Website, die von Grund auf DSG-konform ist - ohne Fachchinesisch und mit Festpreis-Garantie? Buchen Sie ein kostenloses Erstgespräch oder nehmen Sie unverbindlich Kontakt mit uns auf.