Du hast eine Website, ein paar Tools eingebunden, vielleicht Google Analytics oder ein Kontaktformular. Aber was davon muss eigentlich in deine Datenschutzerklärung? Die Antwort: alles, was Personendaten bearbeitet. Und das ist mehr, als die meisten denken. In diesem Artikel erfährst du, welche Pflichtangaben das DSG vorschreibt und was eine konforme Datenschutzerklärung wirklich ausmacht.
Wer direkt loslegen möchte, kann mit PrivacyBee eine Datenschutzerklärung erstellen, die automatisch auf die eigene Website zugeschnitten ist.
Warum der Inhalt der Datenschutzerklärung individuell sein muss
Das revidierte Datenschutzgesetz (DSG) schreibt vor, über welche Datenbearbeitungen du informieren musst. Diese Pflicht gilt für jede Website, die Personendaten von Personen in der Schweiz bearbeitet. Das beginnt bereits beim Aufruf der Seite: Schon das Speichern von IP-Adressen im Server-Log gilt als Bearbeitung von Personendaten.
Ein generischer Mustertext deckt meist nur die häufigsten Fälle ab. Nutzt du Google Analytics, ein Kontaktformular, einen Newsletter-Dienst oder eingebettete YouTube-Videos, müssen all diese Tools einzeln in der Datenschutzerklärung erwähnt und erläutert werden. Fehlt ein Dienst, ist die Erklärung unvollständig und damit nicht DSG-konform. Eine Datenschutzerklärung Vorlage kann als Ausgangspunkt dienen, ersetzt aber keine individuelle Lösung.
Die Pflichtangaben nach DSG: Das gehört in jede Datenschutzerklärung
Folgende Angaben sind laut DSG für jede Website verpflichtend:
- Verantwortlicher: Name und Kontaktdaten der Person oder des Unternehmens, das für die Datenbearbeitung verantwortlich ist.
- Zweck der Bearbeitung: Für jeden Bearbeitungsvorgang muss klar sein, zu welchem Zweck die Personendaten bearbeitet werden.
- Empfänger der Daten: Werden Personendaten an Dritte oder externe Dienstleister weitergegeben, muss das transparent gemacht werden.
- Bekanntgabe ins Ausland: Werden Daten ins Ausland übermittelt (z. B. durch US-Dienste wie Google oder Meta), müssen das Zielland und die Schutzgarantien angegeben werden. Dieser Punkt hat im DSG einen höheren Stellenwert als in der DSGVO, weil die Schweiz als Nicht-EU-Land selbst als Drittland gilt.
- Speicherdauer: Wie lange werden die Personendaten aufbewahrt? Oder nach welchen Kriterien wird die Dauer bestimmt?
- Betroffenenrechte: Personen müssen über ihre Rechte informiert werden: Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung und Datenübertragbarkeit.
- Widerspruchsrecht: Bei automatisierten Einzelentscheidungen besteht ein Widerspruchsrecht, auf das hingewiesen werden muss.
- Beschwerderecht: Hinweis auf das Recht, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Beschwerde einzulegen.
Aufbau der Datenschutzerklärung: So strukturierst du sie richtig
Ein klar gegliederter Aufbau hilft Nutzer:innen beim Lesen und erleichtert die rechtliche Prüfung. Bewährt hat sich folgende Struktur:
- Allgemeine Hinweise und Pflichtinformationen (Verantwortlicher, Kontakt)
- Datenerfassung auf der Website (Hosting, Server-Logs, Cookies)
- Bekanntgabe von Personendaten ins Ausland
- Einzelne Tools und Dienste (Analytics, Werbung, Social Media, Newsletter)
- Kontaktformular und E-Mail-Kontakt
- Rechte der betroffenen Personen
- Aktualität und Änderungen der Datenschutzerklärung
Die Datenschutzerklärung muss jederzeit leicht zugänglich sein. In der Regel über einen gut sichtbaren Link im Footer der Website, zusammen mit dem Impressum. Sie darf nicht hinter einem Login oder einem Klickpfad versteckt sein.
Das häufigste Problem: Die Datenschutzerklärung wird nicht aktualisiert
Einmalig erstellt, danach vergessen. Das ist die häufigste Ursache für eine nicht konforme Datenschutzerklärung. Jedes neu eingebundene Tool, jede Änderung eines Dienstleisters und jede neue Rechtslage kann dazu führen, dass der Text veraltet ist.
PrivacyBee löst genau dieses Problem: Die Website wird kontinuierlich gescannt und die Datenschutzerklärung automatisch aktuell gehalten. Ohne manuellen Aufwand.
Was in der Schweiz spezifisch gilt
Seit dem 1. September 2023 ist das revidierte Datenschutzgesetz (DSG) in Kraft. Es bringt einige wichtige Neuerungen gegenüber dem alten DSG:
- Informationspflicht: Bei der Beschaffung von Personendaten müssen Betroffene aktiv informiert werden. Nicht nur bei besonders schützenswerten Daten, sondern generell.
- Datenschutz-Folgenabschätzung: Bei risikoreichen Bearbeitungen ist eine Datenschutz-Folgenabschätzung Pflicht.
- Verzeichnis der Bearbeitungstätigkeiten: Unternehmen mit mehr als 250 Mitarbeitenden oder risikoreichen Bearbeitungen müssen ein internes Verzeichnis führen.
- Meldepflicht bei Datenverletzungen: Sicherheitsverletzungen, die ein hohes Risiko für Betroffene darstellen, müssen dem EDÖB gemeldet werden.
- Aufsichtsbehörde: Einzige zuständige Behörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Auf ihn muss in der Datenschutzerklärung explizit verwiesen werden.
Lieferst du Produkte oder Dienstleistungen an Kund:innen in Deutschland oder Österreich? Dann kann zusätzlich die DSGVO anwendbar sein. In diesem Fall muss die Datenschutzerklärung beide Regelwerke abdecken. PrivacyBee erstellt deine Datenschutzerklärung so, dass beide Regelwerke berücksichtigt werden.
Ein Cookie-Banner ist auch in der Schweiz wichtig. Das DSG kennt zwar keine explizite Cookie-Einwilligungspflicht wie die EU. Trotzdem brauchst du einen Cookie-Banner, sobald du Tracking-Tools einsetzt, die Personendaten bearbeiten. Denn die Informationspflicht gilt auch hier.
DSG-konforme Datenschutzerklärung: Was das wirklich bedeutet
Eine DSG-konforme Datenschutzerklärung erfüllt drei Kernbedingungen: Sie ist vollständig, aktuell und verständlich. Vollständig heisst, dass alle Datenbearbeitungsvorgänge abgedeckt sind. Aktuell heisst, dass Änderungen an der Website oder der Rechtslage zeitnah eingearbeitet werden. Verständlich heisst, dass die Erklärung in klarer Sprache verfasst ist. Juristische Fachbegriffe müssen erklärt oder vermieden werden.
Generatoren, die einen einmaligen Standardtext ausgeben, erfüllen diese Anforderungen strukturell nicht. Neben der Datenschutzerklärung gehören auch ein korrektes Impressum und ein Cookie-Banner zur vollständig abgesicherten Website.
PrivacyBee auf WordPress, Wix und anderen CMS einrichten
PrivacyBee lässt sich direkt in dein CMS integrieren und übernimmt dort automatisch die Pflege von Datenschutzerklärung, Impressum und Cookie-Banner:
- WordPress: Das PrivacyBee WordPress-Plugin bindet Datenschutzerklärung, Impressum und Cookie-Banner direkt in deine WordPress-Website ein.
- Wix, Jimdo, Shopify, Squarespace, Webflow u. a.: Alle Integrationsmöglichkeiten findest du in der Übersicht aller Integrationen.
So bleibt deine Datenschutzerklärung dauerhaft DSG-konform
Der Inhalt einer Datenschutzerklärung ist kein einmaliges Dokument, sondern ein laufend zu pflegender Bestandteil jeder Website. Wer alle Pflichtangaben nach DSG vollständig abbildet und die Erklärung regelmässig aktualisiert, ist auf der sicheren Seite.
PrivacyBee übernimmt genau das automatisch. PrivacyBee scannt deine Website kontinuierlich, erkennt alle datenschutzrelevanten Dienste und hält Datenschutzerklärung, Impressum und Cookie-Banner ohne manuellen Aufwand aktuell.
Was muss eine Datenschutzerklärung nach DSG enthalten?
Eine Datenschutzerklärung muss gemäss DSG mindestens folgende Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, Zweck der Datenbearbeitung, Empfänger der Daten, allfällige Bekanntgabe ins Ausland, Speicherdauer sowie die Rechte der betroffenen Personen (Auskunft, Löschung, Berichtigung). Zusätzlich müssen alle auf der Website eingesetzten Tools und Dienste, die Personendaten bearbeiten, einzeln aufgeführt werden.
Wie oft muss die Datenschutzerklärung aktualisiert werden?
Die Datenschutzerklärung muss immer dann aktualisiert werden, wenn sich die Datenverarbeitungsprozesse auf der Website ändern – also bei jedem neu eingebundenen Tool, bei Änderungen bestehender Dienste oder bei neuen gesetzlichen Anforderungen.
Gilt in der Schweiz die DSGVO oder das DSG?
Primär gilt für Schweizer Websites das DSG. Zusätzlich kann die DSGVO der EU anwendbar sein, wenn die Website Nutzer:innen in der EU oder im EWR anspricht oder deren Verhalten beobachtet. In diesem Fall müssen beide Regelwerke in der Datenschutzerklärung berücksichtigt werden. PrivacyBee erstellt automatisch eine Erklärung, die dem jeweiligen rechtlichen Rahmen entspricht.
Was passiert, wenn die Datenschutzerklärung fehlt oder unvollständig ist?
Eine fehlende oder unvollständige Datenschutzerklärung kann in der Schweiz Sanktionen durch den EDÖB nach sich ziehen. Das DSG sieht bei vorsätzlichen Verstössen Bussen vor, die sich gegen die verantwortliche natürliche Person richten. Zusätzlich droht ein Reputationsschaden, wenn Nutzer:innen oder Geschäftspartner:innen eine mangelhafte Datenschutzpraxis bemerken. Das Risiko lässt sich einfach vermeiden: mit einer vollständigen, aktuellen Datenschutzerklärung.
LegalTech Experte
Datenschutz Anwalt
- Zuletzt aktualisisert: 16. April 2026
