DSGVO-Compliance-Check: Rechtssichere Website in 30 Schritten

Bonus: Mit einem vollständigen Online-Auftritt, inkl. sauberem Datenschutz, erhöhen Sie die Sichtbarkeit und Konversionen. Ein geprüfter Firmenauftritt auf einem starken Schweizer Verzeichnis wie firmafinden.ch unterstützt Sie zusätzlich – ohne aufdringliche Werbung, sondern als vertrauenswürdige Referenz.

DSGVO vs. Schweizer Datenschutzgesetz (nDSG): Was gilt für Schweizer KMU?

Seit 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (nDSG). Es schützt die Persönlichkeit und Grundrechte von Personen, deren Daten bearbeitet werden. Die DSGVO gilt zusätzlich, wenn Sie EU-/EWR-Personen gezielt ansprechen, Ihre Website auf EU-Märkte ausrichten oder EU-Dienste/Tracking bei EU-Besuchern einsetzen.

• Geltungsbereich: nDSG gilt für Bearbeitungen mit Wirkung in der Schweiz. DSGVO hat extraterritoriale Wirkung bei EU-Bezug.
• Rechtsgrundlagen: DSGVO verlangt eine Rechtsgrundlage (z. B. Einwilligung, Vertrag, berechtigtes Interesse). nDSG verlangt Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung und Transparenz; Einwilligung ist v. a. bei Profiling mit hohem Risiko oder besonders schützenswerten Daten zentral.
• Cookie-Einwilligung: Für EU-Besucher oft Einwilligung erforderlich (ePrivacy/DSGVO). In der Schweiz genügt i. d. R. transparente Information und Opt-out – aber gute Praxis ist ein differenziertes Consent-Management.
• Behördliche Meldungen: DSGVO verlangt Meldung von Verletzungen innert 72 Stunden an die Aufsichtsbehörde. nDSG verlangt Meldung an den EDÖB, wenn ein hohes Risiko besteht, so rasch wie möglich.
• Bussen: DSGVO bis 20 Mio. EUR oder 4 % des weltweiten Umsatzes. nDSG: bis CHF 250’000, primär gegen verantwortliche Personen; Unternehmen können in bestimmten Fällen bis CHF 50’000 gebüsst werden.

Schritte 1–4: Rechtslage klären und Geltungsbereich bestimmen

1. Schritt 1: Prüfen Sie, ob Ihre Website gezielt EU-/EWR-Kunden anspricht (Sprach- und Währungswahl, Lieferung in EU, EU-Marketingkampagnen). Wenn ja: DSGVO zusätzlich beachten. Zeit: 30–60 Min.
2. Schritt 2: Identifizieren Sie eingesetzte Dritttools (Analytics, Fonts, CDN, Chat, Maps, Zahlungsanbieter) und deren Datenflüsse. Nutzen Sie ein Inventar-Template. Zeit: 1–2 Std.
3. Schritt 3: Prüfen Sie Datenübermittlungen ins Ausland (inkl. EU/USA). Ermitteln Sie, ob Standardvertragsklauseln (SCC) und zusätzliche Garantien nötig sind. Zeit: 1–2 Std.
4. Schritt 4: Entscheiden Sie über Geo-Targeting beim Consent-Banner (EU-Consent, CH-Info-Banner). Zeit: 30 Min.

Hinweis: Dieser Artikel bietet praxisorientierte Information und ersetzt keine Rechtsberatung. Prüfen Sie kritische Punkte mit Ihrer Rechtsberatung oder Ihrem Datenschutzbeauftragten.

Cookie-Banner rechtssicher gestalten

Für Schweizer Besucher: Transparenz, Opt-out und einfache Deaktivierung sind zentral. Für EU-/EWR-Besucher: Einwilligung vor dem Setzen nicht notwendiger Cookies, granular (Statistik, Marketing, Komfort), dokumentiert und jederzeit widerrufbar.

Schritte 5–10: Consent-Management implementieren

5. Schritt 5: Wählen Sie ein Consent-Tool mit Geo-Targeting und Protokollierung. Optionen:
   • Consentmanager (Server EU/CH-Option): CHF 10–50/Monat. Pro: CH/EU-Fokus; Contra: UI anpassbar, aber technischer.
   • Cookiebot by Usercentrics: CHF 12–45/Monat. Pro: starke Scanner; Contra: Datenverarbeitung EU, prüfen.
   • Borlabs Cookie (WordPress-Plugin): Einmalig ca. CHF 70–120. Pro: volle WP-Integration; Contra: Eigenkonfiguration nötig.
6. Schritt 6: Klassifizieren Sie Cookies und Skripte: notwendig, Präferenzen, Statistik, Marketing. Nutzen Sie den Scanner und manuelle Prüfung. Zeit: 1–2 Std.
7. Schritt 7: Blockieren Sie alle nicht notwendigen Skripte bis zur Einwilligung (Prior Blocking). Testen Sie mit Inkognito-Browser und EU-VPN. Zeit: 1–2 Std.
8. Schritt 8: Gestalten Sie das Banner nutzerfreundlich: “Alle akzeptieren”, “Nur Notwendige” und “Einstellungen” gleichwertig. Kein Nudging. Zeit: 30–60 Min.
9. Schritt 9: Integrieren Sie eine jederzeit zugängliche Widerrufs-Option (z. B. “Cookie-Einstellungen” im Footer). Zeit: 15 Min.
10. Schritt 10: Protokollieren Sie Einwilligungen (Timestamp, Kategorien, Land) – wichtig für Nachweis. Zeit: 30 Min.

Praxis-Tipp

Mehrsprachigkeit: Bieten Sie Banner- und Policy-Texte in DE/FR/IT. Für Graubünden kann Rätoromanisch optional sinnvoll sein. Zeit für Übersetzungen: 1–2 Std. pro Sprache (CHF 100–250 durch Schweizer Übersetzer).

Datenschutzerklärung vollständig erstellen

Die Datenschutzerklärung ist das Herzstück Ihrer Transparenzpflichten. Sie muss leicht auffindbar (Footer), verständlich, mehrsprachig und aktuell sein. Für DSGVO-Zielgruppen ergänzen Sie die Rechtsgrundlagen und Rechte gemäss DSGVO.

Schritte 11–15: Inhalte der Privacy Policy

11. Schritt 11: Verantwortlicher und Kontakt: Firmenname, Adresse, E-Mail, Telefon. Bei Vertretung in der EU: EU-Vertreter nennen.
12. Schritt 12: Zwecke und Kategorien: Welche Daten, wofür (z. B. Terminbuchung in Zürich, Newsletter für Kunden in Bern), Rechtsgrundlagen (für DSGVO), berechtigte Interessen erläutern.
13. Schritt 13: Empfänger und Auftragsbearbeiter: Hosting (z. B. Infomaniak, Hostpoint, cyon), E-Mail-Marketing, Zahlungsdienste, Supportanbieter. Mit Links zu deren Policies.
14. Schritt 14: Auslandsübermittlungen: Zielländer, Garantien (SCC), Hinweise auf Risiko bei US-Transfers, sofern anwendbar.
15. Schritt 15: Rechte der Betroffenen und Opt-outs: Auskunft, Berichtigung, Löschung/ Einschränkung (DSGVO), Widerspruch, Widerruf, Datenportabilität (automatisierte Daten). Verfahren und Kontaktdaten.

Checkliste Textbausteine (Schweiz-fokussiert)

• Verantwortliche Stelle in der Schweiz inkl. Kantonsangabe
• Hosting in der Schweiz (falls zutreffend) als Vertrauensfaktor
• Hinweis auf EDÖB als Aufsichtsbehörde
• Sprachversionen DE/FR/IT verfügbar
• Letzte Aktualisierung mit Datum

Newsletter und E-Mail-Marketing compliant

Für die Schweiz gilt das UWG (Unlauterer Wettbewerb, Art. 3 Abs. 1 lit. o): Keine Massenwerbung ohne Einwilligung – Ausnahme bei bestehender Kundenbeziehung und Opt-out-Möglichkeit. Double Opt-in ist gute Praxis und hilft beim Nachweis. Für EU-Empfänger gilt zusätzlich DSGVO.

Schritte 16–18: Sauberer E-Mail-Prozess

16. Schritt 16: Einwilligung einholen: Double Opt-in mit Protokoll (Zeit, IP, Inhalt). Keine vorangekreuzten Boxen. Zeit: 1 Std.
17. Schritt 17: Pflichtangaben: Absender klar, Impressum verlinkt, jederzeitiges Abmelden mit 1 Klick, Datenschutzhinweise. Zeit: 30 Min.
18. Schritt 18: Anbieterwahl:
    • mailXpert (CH): ab ca. CHF 29/Monat. Pro: Schweizer Server; Contra: Funktionsumfang prüfen.
    • Brevo/Sendinblue (EU): ab CHF 25/Monat. Pro: EU-Hosting möglich; Contra: DPA prüfen.
    • Mailchimp (USA): ab CHF 20/Monat. Pro: Marktstandard; Contra: US-Transfer bewerten, SCC und TIA nötig.

Praxis-Tipp

Segmentieren Sie Kontakte nach Sprache und Region (DE/FR/IT, D-CH/Romandie/Tessin). Bessere Relevanz, weniger Abmeldungen. Zeit: 1–2 Std. Einmalig.

Social Media Plugins datenschutzkonform

Klassische Like-Buttons übertragen schon beim Seitenaufruf Daten an Plattformen. Setzen Sie auf 2-Klick-Lösungen oder datenschutzfreundliche Share-Links.

Schritte 19–21: Tracking reduzieren

19. Schritt 19: Ersetzen Sie direkte Einbettungen (Facebook, Instagram) durch 2-Klick-Plugins (Shariff) oder statische Links. Zeit: 1 Std.
20. Schritt 20: YouTube/Vimeo nur mit erweitertem Datenschutzmodus und nach Einwilligung laden. Zeit: 30–60 Min.
21. Schritt 21: Social Pixels (Meta, LinkedIn) erst nach Consent feuern; Conversions via Server-Side Tracking in CH/EU hosten. Zeit: 2 Std.

Auftragsverarbeitung mit Dienstleistern

Auftragsbearbeiter bearbeiten Daten in Ihrem Auftrag (Hosting, Newsletter, Support). Sie brauchen Verträge zur Auftragsbearbeitung (DPA/AVV) und, bei Auslandübermittlungen, geeignete Garantien (z. B. EU-Standardvertragsklauseln mit Anhängen und TIA).

Schritte 22–24: Verträge und Garantien

22. Schritt 22: DPA/AVV abschliessen: Pflichten, Unterauftragsbearbeiter, Sicherheit, Unterstützung bei Betroffenenrechten. Zeit: 1–2 Std.
23. Schritt 23: Auslands-Transfers prüfen: SCC 2021 der EU nutzen (vom EDÖB grundsätzlich anerkannt). TIA durchführen und dokumentieren. Zeit: 2–4 Std.
24. Schritt 24: Sicherheitsanforderungen prüfen: ISO 27001, Rechenzentrum Schweiz/EU, Verschlüsselung at rest/in transit, Zugriffskontrollen. Zeit: 1–2 Std.

Tool-Tipps (Schweiz/EU)

• Hosting: Infomaniak (GE), Hostpoint (SG), cyon (BS). CHF 10–40/Monat.
• Formulare: Gravity Forms + Swiss Hosting, Friendly Captcha (EU) statt reCAPTCHA.
• Helpdesk: Zendesk/EU-Data Residency prüfen, alternativ Zammad auf CH-Servern hosten.

Betroffenenrechte systematisch umsetzen

Rechte umfassen u. a. Auskunft, Berichtigung, Widerspruch/Widerruf und – je nach Rechtsrahmen – Löschung, Einschränkung und Datenportabilität. Entscheidend ist ein klarer Prozess mit Fristen, Identitätsprüfung und Dokumentation.

Schritte 25–27: Prozesse und Fristen

25. Schritt 25: Einheitliche Anlaufstelle definieren (privacy@ihrefirma.ch) und in der Datenschutzerklärung nennen. Zeit: 30 Min.
26. Schritt 26: Standard-Antworten und Identitätsprüfung (z. B. Rechnungskopie, ID-Check nach Verhältnismässigkeit). Fristen: möglichst rasch, DSGVO max. 1 Monat. Zeit: 2 Std.
27. Schritt 27: Lösch- und Aufbewahrungsregeln: Steuerrechtliche Aufbewahrung (typisch 10 Jahre in CH) vs. Marketingdaten (z. B. 24 Monate Inaktivität löschen). Zeit: 2–3 Std.

Dokumentationspflichten für KMU

Ein Verzeichnis der Bearbeitungstätigkeiten (VVT) schafft Überblick. Unter dem nDSG besteht grundsätzlich eine Pflicht; KMU mit geringem Risiko können Ausnahmen nutzen – bearbeiten Sie jedoch regelmässig besonders schützenswerte Daten oder umfangreiche Personendaten, brauchen Sie ein VVT.

Schritte 28–30: Nachweis und laufende Pflege

28. Schritt 28: VVT erstellen: Zwecke, Datenkategorien, Empfänger, Speicherfristen, Sicherheitsmassnahmen, Auslandübermittlungen. Zeit: 3–4 Std.
29. Schritt 29: Data Breach Plan: Meldewege, 24/7-Kontakt, Entscheidungsmatrix “melden/ nicht melden”, Vorlagen für EDÖB/Betroffene. Zeit: 2–3 Std.
30. Schritt 30: Jährlicher Review (z. B. im Januar): Policy-Update, Tool-Inventar, Tests (Consent, Formulare), Schulung des Teams. Zeit: 2–4 Std.

Checklisten: Sofort umsetzen

Quick-Win-Check (60 Minuten)

• Footer: Datenschutzerklärung und Cookie-Einstellungen verlinkt
• Kontaktformular: Pflichtfelder minimieren, Datenschutzhinweis hinzufügen
• Google Fonts lokal einbinden statt CDN
• YouTube nur mit Consent laden
• Newsletter: Double Opt-in aktivieren

Technik-Check für WordPress

• Security-Plugin (z. B. Wordfence) und automatische Updates
• Backups täglich auf Schweizer Servern
• Protokollierung Admin-Zugriffe (Audit Log)
• Staging-Umgebung ohne Tracking

Budget-Orientierung (pro Jahr)

• Consent-Tool: CHF 120–600
• Rechtstexte-Update (Template + Review): CHF 300–1’500
• Hosting Schweiz (KMU-Sites): CHF 120–480
• Schulung/Review: CHF 300–1’000

Case Studies aus der Schweiz

Fall 1: Bäckerei Ziegler, Zürich (Handwerk, 8 Mitarbeitende)

Ausgangslage: Website mit Online-Bestellformular, Google Maps, Instagram-Feed. Kein Cookie-Banner, Privacy Policy veraltet.

Massnahmen: Cookie-Tool mit Geo-Targeting, Google Fonts lokal, Instagram-Feed durch 2-Klick ersetzt, Privacy Policy DE/FR aktualisiert, Double Opt-in für Frühstücksnewsletter.

Ergebnisse (6 Wochen): 0 Supportanfragen zu Cookies (vorher 5/Monat), Newsletter-Opt-ins +18 %, Ladezeit -0.6s. Kosten: ca. CHF 650.

Lektionen: Kleine technische Anpassungen bringen sofortige Wirkung und Vertrauen im Quartier.

Fall 2: IT-Dienstleister BernTech, Bern (Dienstleistung, 22 Mitarbeitende)

Ausgangslage: B2B-Website mit Whitepaper-Downloads, LinkedIn Ads, US-Tooling.

Massnahmen: SCC + TIA für US-Tools, Server-Side Tracking in der Schweiz, Consent-Banner mit granularen Kategorien, VVT aufgebaut, Data Breach Plan erstellt.

Ergebnisse (3 Monate): Lead-to-MQL +12 %, LinkedIn-CPL -9 %, Audit durch Kunden bestanden (Bankensektor BE). Kosten: ca. CHF 3’800.

Lektionen: Dokumentation ist verkaufsrelevant – Ausschreibungen verlangen heute Datenschutz-Nachweise.

Fall 3: Physio Romandie SA, Lausanne (Gesundheit, 14 Mitarbeitende)

Ausgangslage: Online-Terminbuchung, sensiblere Daten, Formular via Standard-Plugin, Videos via YouTube.

Massnahmen: CH-Hosting, HTTPS-Hardening, Terminformulare mit Ende-zu-Ende-Verschlüsselung, YouTube erst nach Consent, Policy FR/DE/IT, Prozesse für Auskunftsbegehren.

Ergebnisse (2 Monate): No-Show-Rate -7 %, 2 Anfragen zum Auskunftsrecht sauber abgewickelt, keine Beanstandungen. Kosten: ca. CHF 2’200.

Lektionen: Im Gesundheitsbereich sind Sicherheit und klare Kommunikation matchentscheidend.

Aktuelle Hinweise und Quellen (Schweiz)

• EDÖB – Erläuterungen zum revidierten Datenschutzgesetz (nDSG): edoeb.admin.ch
• Standardvertragsklauseln (EU 2021) – vom EDÖB grundsätzlich anerkannt
• UWG Art. 3 Abs. 1 lit. o – Unzulässige Massenwerbung
• Praxisberichte Schweizer Hoster (Infomaniak, Hostpoint, cyon) zu Data Residency

Beachten Sie: Rechtsprechung und Marktpraktiken entwickeln sich weiter. Planen Sie einen jährlichen Review ein.

Mehr Sichtbarkeit mit sauberem Datenschutz

Transparenz und Compliance zahlen direkt auf Ihre Conversion ein – besonders im regionalen Umfeld. Ein konsistenter Auftritt über alle Touchpoints erhöht die Glaubwürdigkeit. Ein Branchenprofil auf firmafinden.ch unterstützt Sie, lokal besser gefunden zu werden und Ihre gepflegten Datenschutzangaben (z. B. Link zur Policy) zentral zu präsentieren.

• Vertrauen: Schweizer Plattform, Schweizer Publikum
• Reichweite: Auffindbar in Kanton/Stadt-Suchen
• Effizienz: Backlink zur Datenschutzerklärung und Website

Fazit: In 30 Schritten zur rechtssicheren Website – pragmatisch und machbar

DSGVO und nDSG sind kein Hindernis, sondern ein Qualitätsmerkmal. Mit einem vernünftigen Consent-Setup, klaren Rechtstexten, sauberen Newsletter-Prozessen, vorsichtig eingebundenen Social-Plugins, belastbaren Verträgen und einer schlanken Dokumentation sind Schweizer KMU sicher und effizient unterwegs. Starten Sie mit den Quick Wins, planen Sie die übrigen Punkte in Sprints und prüfen Sie jährlich nach.

Nächster Schritt: Führen Sie heute den 60-Minuten-Check durch, planen Sie die restlichen Massnahmen mit realistischen Budgets in CHF – und stärken Sie parallel Ihre lokale Sichtbarkeit.

Jetzt umsetzen und gefunden werden

• Kostenloses Firmenprofil bei firmafinden.ch erstellen
• Mehr Sichtbarkeit mit einem Eintrag bei firmafinden.ch
• Teil der firmafinden.ch-Community werden

Qualitätskontrolle vor Veröffentlichung

• Schweizer Bezug: Beispiele, Tools, Gesetze (nDSG, UWG, EDÖB)
• Meta-Informationen vollständig (Titel, Description, Keywords, Kategorie, Autor, Datum, Lesezeit)
• H-Tag-Hierarchie logisch (H1 → H2 → H3)
• Mindestens 3 sofort umsetzbare Tipps (Quick-Win-Check enthalten)
• 3 Case Studies mit Ergebnissen und Kosten in CHF
• Rechtschreibung und Grammatik geprüft
• firmafinden.ch mehrfach natürlich erwähnt
• CTA mit klarer Handlungsaufforderung vorhanden
• Lesezeit 12 Minuten, Umfang praxisorientiert
• Mehrwert auch ohne Nutzung von firmafinden.ch gegeben