nDSG-Checkliste: Ist Ihre Website konform? 7 Punkte zum Prüfen
Seit dem 1. September 2023 gilt in der Schweiz das neue Datenschutzgesetz (nDSG). Für Website-Betreiber bedeutet das: Sie müssen sicherstellen, dass Ihre Website konform ist – oder riskieren Bussen bis 250 000 CHF. In dieser praktischen Checkliste erfahren Sie, welche 7 Punkte Sie sofort prüfen sollten.
Punkt 1: Cookie-Banner und Einwilligungsverwaltung
Was das Gesetz verlangt: Besucher müssen vor dem Setzen von Cookies einwilligen. Das gilt nicht nur für Tracking-Cookies (Google Analytics, Facebook Pixel), sondern auch für funktionalen Cookies, die über das absolute Notwendigste hinausgehen.
Was Sie prüfen sollten:
- Haben Sie einen Cookie-Banner, der VOR dem Laden von Cookies angezeigt wird?
- Können Besucher alle nicht-essentiellen Cookies ablehnen?
- Ist die Ablehnung genauso einfach wie die Annahme (kein “versteckter” Ablehnen-Button)?
- Speichern Sie die Einwilligung in einen Cookie? (Ja, Ironie.)
- Wie lange gilt die Einwilligung? (Max. 12 Monate empfohlen)
Praktischer Tipp: Tools wie Cookiebot, Sourcepoint oder Axeptio automatisieren die Einwilligungsverwaltung und dokumentieren alles rechtssicher. Das erspart Ihnen Ärger mit der Datenschutzbehörde.
Punkt 2: Datenschutzerklärung (Verarbeitungsverzeichnis)
Was das Gesetz verlangt: Sie müssen transparent offenlegen, welche Daten Sie sammeln, wie Sie sie nutzen und wie lange Sie sie speichern. Das heisst: eine vollständige, schweizer-spezifische Datenschutzerklärung.
Was Sie prüfen sollten:
- Haben Sie eine Datenschutzerklärung auf Ihrer Website?
- Deckt sie alle Datenquellen ab (Kontaktformulare, Newsletter, Analytics, Cookies, Werbepartner)?
- Ist sie in einfacher Sprache geschrieben (kein Juristendeutsch)?
- Nennen Sie den Datenschutzbeauftragten oder eine Kontaktperson für Datenschutzanfragen?
- Erklären Sie, wie Besucher ihre Rechte ausüben können (Auskunftspflicht, Berichtigung, Löschung)?
Muss-Punkt für Schweizer Websites: Das nDSG kennt keine Ausnahmen für KMU – auch nicht für kleine Websites. Alle müssen eine schriftliche Datenschutzerklärung haben und ihre Datenverarbeitungen dokumentieren.
Punkt 3: Verzeichnis der Bearbeitungstätigkeiten (VBT)
Was das Gesetz verlangt: Sie müssen intern dokumentieren, welche Daten Sie verarbeiten. Das ist nicht öffentlich – es ist eine interne Liste für den Fall einer Kontrolle durch die Datenschutzbehörde.
Was Sie prüfen sollten:
- Haben Sie ein Verzeichnis aller Datenverarbeitungen erstellt?
- Dokumentiert es: Quelle (z. B. Kontaktformular), Datentypen (Name, E-Mail, IP), Zweck, Speicherdauer, Empfänger?
- Haben Sie externe Dienstleister aufgelistet (z. B. E-Mail-Provider, Hosting, Analytics)?
- Sind Auftragsverarbeitungsverträge (AV-Verträge) mit diesen Anbietern geschlossen?
Praktischer Tipp: Ein einfaches Google-Sheets-Dokument genügt. Beispiel:
| Datenquelle | Datentypen | Zweck | Speicherdauer |
|---|---|---|---|
| Kontaktformular | Name, E-Mail, Nachricht | Kontakt beantworten | 3 Jahre |
| Google Analytics | IP, Session-ID, Verhalten | Website-Optimierung | 14 Monate (Google) |
| Newsletter | E-Mail, Name | Newsletter-Versand | Bis zur Abmeldung |
Punkt 4: AV-Verträge (Auftragsverarbeitungsverträge)
Was das Gesetz verlangt: Wenn Sie externe Dienstleister nutzen (z. B. Mailchimp, Google, Hosting-Provider), müssen Sie schriftliche Verträge haben, die regeln, wie diese mit Ihren Kundendaten umgehen.
Was Sie prüfen sollten:
- Google Analytics: Haben Sie einen Auftragsverarbeitungsvertrag mit Google geschlossen? (Muss in den Google-Kontoeinstellungen bestätigt werden)
- E-Mail-Provider: Hat Ihr Provider (z. B. Mailchimp, Brevo, Adveris) einen AV-Vertrag verfügbar?
- Hosting: Hat Ihr Hosting-Anbieter (z. B. Infomaniak, Cyon, WP Engine) AV-Bedingungen?
- Datenübertragungen ins Ausland: Wenn Daten in die USA übertragen werden, brauchen Sie besondere Mechanismen (z. B. Standardvertragsklauseln). Google Analytics mit IP-Anonymisierung ist meist in Ordnung, aber überprüfen Sie die aktuellen Regelungen.
Schweizer Besonderheit: Das nDSG erlaubt Datenübertragungen in Länder mit “angemessenem Schutzniveau” (z. B. EU). Für andere Länder (z. B. USA) muss das Unternehmen aktiv Massnahmen treffen. Das ist komplizierter geworden.
Punkt 5: Sicherheitsmassnahmen & Zugriffskontrolle
Was das Gesetz verlangt: Sie müssen angemessene technische und organisatorische Massnahmen treffen, um Kundendaten vor Diebstahl, Verlust und Missbrauch zu schützen.
Was Sie prüfen sollten:
- HTTPS-Verschlüsselung: Nutzen Sie SSL/TLS auf der gesamten Website? (Grünes Schloss im Browser – Muss-Punkt)
- Starke Passwörter: Sind Ihre WordPress-Admin-Passwörter stark? (Mindestens 12 Zeichen, Ziffern, Sonderzeichen)
- Zwei-Faktor-Authentifizierung (2FA): Verwenden Sie 2FA für Admin-Zugriffe?
- Regelmässige Backups: Haben Sie tägliche automatische Backups? (Ja, das ist auch Datenschutz)
- Zugriffskontrolle: Wer hat Zugriff auf Kundendaten? Nur autorisierten Personen?
Praktischer Tipp: Tools wie Wordfence oder Sucuri für WordPress prüfen Ihre Website automatisch auf Sicherheitslücken.
Punkt 6: Datenschutzanfragen & Auskunftspflicht
Was das Gesetz verlangt: Wenn ein Besucher sich bei Ihnen abfragt (“Welche Daten hast du über mich?”), müssen Sie innerhalb von 30 Tagen antworten.
Was Sie prüfen sollten:
- Haben Sie einen Prozess, wie Datenschutzanfragen eingehen?
- Ist klar, an welche E-Mail-Adresse sich Besucher wenden können?
- Können Sie schnell prüfen, welche Daten Sie über eine Person haben?
- Haben Sie den Namen Ihres Datenschutzbeauftragten oder einer Kontaktperson veröffentlicht?
Empfehlung: Fügen Sie in Ihre Datenschutzerklärung eine klare Adresse ein, an die Anfragen gehen können, z. B.: “Datenschutzanfragen: [email protected]”
Punkt 7: Datenschutzfolgenabschätzung (DSFA) – nur falls nötig
Was das Gesetz verlangt: Für Hochrisiko-Verarbeitungen (z. B. Profiling, automatisierte Entscheidungen, systematische Überwachung) muss eine Datenschutzfolgenabschätzung durchgeführt werden.
Was Sie prüfen sollten:
- Sind Sie ein kleines KMU mit einer Standard-Website? → Meist keine DSFA nötig
- Tracken Sie Besucherverhalten für Retargeting (Pixel von Google, Facebook)? → DSFA kann sinnvoll sein
- Verwenden Sie Chatbots oder KI zur Automatisierung? → DSFA wahrscheinlich erforderlich
Praktischer Tipp: Die meisten KMU-Websites brauchen keine DSFA. Wenn Ihre Website bloss Standard-Kontaktformulare und Analytics hat, sind Sie wahrscheinlich in Ordnung.
nDSG-Konformität in der Praxis: Ein Leitfaden für KMU
Die nDSG klingt komplex, ist aber managebar. Hier ist ein realistischer Fahrplan für KMU:
- Woche 1: Datenschutzerklärung schreiben (oder überarbeiten)
- Woche 2: Cookie-Banner installieren
- Woche 3: Verzeichnis der Bearbeitungstätigkeiten erstellen
- Woche 4: AV-Verträge überprüfen und abschliessen
- Fortlaufend: Sicherheit und Backups gewährleisten
Kosten: 500–2000 CHF, je nachdem, ob Sie einen Juristen beauftragen oder es intern machen.
Häufige Fehler, die KMU machen
Fehler 1: “Wir haben ein Kontaktformular, brauchen aber keine Datenschutzerklärung”
Falsch. Auch eine E-Mail-Adresse ist personenbezogen. Sie brauchen eine Datenschutzerklärung.
Fehler 2: “Google Analytics ist anonym, also kein Problem”
Nicht ganz. Die IP-Adresse ist personenbezogen, auch wenn sie nicht unmittelbar identifizierbar ist. Sie brauchen eine Einwilligung (oder IP-Anonymisierung).
Fehler 3: “Ein Cookie-Banner reicht, ich muss nicht dokumentieren”
Nein. Das Banner ist bloss ein Teil. Sie brauchen ein Verzeichnis der Bearbeitungstätigkeiten.
Fehler 4: “Ich bin zu klein, die nDSG interessiert mich nicht”
Die nDSG kennt keine Grössenschwelle. Sie gilt für alle, vom Ein-Mann-Betrieb bis zur Konzern. Aber: KMU mit begrenzter Datenverarbeitung brauchen einfachere Dokumentation.
Wie kann Marcel helfen?
Ich helfe Schweizer KMU, ihre Websites nDSG-konform zu machen. Mit 29 Jahren Erfahrung seit 1995 und tiefem Verständnis der Schweizer Rechtslage (nDSG, MWST, Datenhoheit) kann ich Sie in diese komplexe Materie einführen und Ihre Website auf den Stand bringen.
Meine Leistungen:
- Audit: Ist Ihre aktuelle Website nDSG-konform?
- Datenschutzerklärung: schweizer-spezifisch, aktuell, verständlich
- Cookie-Banner-Setup: GDPR + nDSG + Einwilligungsverwaltung
- Verzeichnis der Bearbeitungstätigkeiten: interner Prozess
- AV-Verträge: Überprüfung und Dokumentation
- Technische Sicherheit: HTTPS, Backups, 2FA
Standort Biel/Seeland – lokal, zweisprachig DE/FR, nDSG-Spezialist.
FAQ zur nDSG
Seit wann gilt die nDSG?
Seit 1. September 2023. Es gibt keine Übergangsfristen – Sie hätten bereits entsprechen müssen.
Was kostet eine nDSG-Konformierung?
Für KMU mit Standard-Websites: 500–2000 CHF. Falls Sie nur eine Datenschutzerklärung updaten müssen, deutlich weniger.
Muss ich einen Datenschutzbeauftragten ernennen?
Nein, nicht automatisch. Sie müssen nur eine Kontaktperson benennen, falls Besucher Fragen haben. Diese kann auch Sie selbst sein.
Was sind die Bussen für Nicht-Konformität?
Bis zu 250 000 CHF für schwere Verstösse. Bei ersten Malen oft Verwarnungen, aber es lohnt sich nicht, das Risiko einzugehen.
Ist Google Analytics nDSG-konform?
Nur mit AV-Vertrag und IP-Anonymisierung. Oder Sie nutzen Privacy-respektierende Alternativen wie Plausible oder Fathom.
Wie lange muss ich Daten speichern?
Das hängt vom Zweck ab. Kontaktformular-Daten: 3–5 Jahre. Newsletter-Abos: bis zur Abmeldung. Backups: mindestens 30 Tage. Definieren Sie es in Ihrer Datenschutzerklärung.
Fazit: Die nDSG ist nicht optional. Eine konform Datenschutz-Website schützt Sie, Ihre Kunden und gibt Ihnen Sicherheit. Nehmen Sie die 7 Punkte dieser Checkliste ernst und gehen Sie systematisch vor.
Ist Ihre Website nDSG-konform?
Ich mache eine kostenlose Audit – und zeige Ihnen genau, wo es hapert und wie Sie es fixieren.