Muss jede Schweizer KMU-Webseite DSG-konform sein?

Ja, sobald personenbezogene Daten verarbeitet werden, was bei praktisch jeder Webseite mit Kontaktformular, Analytics oder Newsletter der Fall ist. Das revDSG gilt seit September 2023 und ersetzt das alte DSG. Wer es nicht einhält, riskiert Bussen (bis CHF 250'000 für Verantwortliche bei vorsätzlichen Verstössen) und Reputationsschäden bei Kunden.

Was kostet eine DSG-konforme KMU-Webseite?

Eine DSG-konforme Standard-Webseite kostet nicht wesentlich mehr als eine normale Webseite. Cookie-Banner-Tool ab EUR 12 monatlich, professionelle Datenschutzerklärung ab CHF 280 (oder DIY mit Generator), Schweizer Hosting bei Infomaniak oder Hostpoint ab CHF 8 monatlich. Insgesamt erweitert sich das Budget um etwa 5 bis 15 Prozent gegenüber einer Webseite ohne Compliance-Fokus.

Reicht es, einen kostenlosen Datenschutz-Generator zu nutzen?

Für sehr einfache Webseiten (statische Visitenkarte ohne Tools) kann ein Generator reichen. Sobald Sie aber Google Analytics, Newsletter-Tool, Buchungs-System oder Bezahl-Dienste nutzen, sind die Generator-Texte oft unvollständig. Die Datenschutzerklärung muss konkret beschreiben, was wirklich passiert, nicht generische Vorlagen-Sätze. Im Zweifel kurz prüfen lassen.

Muss ein Schweizer KMU Daten nur in der Schweiz hosten?

Nein, das revDSG erlaubt Hosting im Ausland, wenn das Zielland ein angemessenes Datenschutzniveau hat (EU-Länder gelten als angemessen) oder geeignete Garantien vorliegen (z.B. Standard Contractual Clauses mit US-Anbietern). In der Praxis ist EU-Hosting für die meisten KMU völlig okay, Schweizer Hosting bei Infomaniak oder Hostpoint ist für sensitive Branchen (Anwalt, Arzt, Treuhand) trotzdem oft die bessere Wahl wegen Datenhoheit.

revDSG & Compliance

KMU-Webseite DSG-konform in 7 Schritten

Verständliche Anleitung für Schweizer KMU. Was praktisch zu tun ist, ohne Jurastudium und ohne Buzzword-Geschwafel.

Von AmuraDesign•4. Mai 2026•10 Min. Lesezeit

Seit September 2023 gilt das revidierte Datenschutzgesetz (revDSG) in der Schweiz. Ich höre seither immer wieder denselben Satz von KMU-Inhabern: «Ich weiss, ich sollte etwas machen, aber ich blicke nicht durch.» Das Gesetz ist nicht so einschüchternd wie das DSGVO, aber kompliziert genug, dass viele es einfach liegen lassen. Bis es dann doch jemanden ärgert.

Ich schreibe diesen Artikel als praktische Anleitung. Was Sie als KMU-Inhaber wirklich tun müssen, in einer sinnvollen Reihenfolge, ohne Anwalts-Sprache. Sieben Schritte. Wenn Sie alle gemacht haben, ist Ihre Webseite DSG-konform genug, dass Sie ruhig schlafen können.

Disclaimer vorab: ich bin kein Anwalt, das hier ersetzt keine Rechtsberatung. Aber ich habe in den letzten 18 Monaten über 40 Schweizer KMU-Webseiten auf DSG-Konformität gebracht und kann Ihnen sagen, was in der Praxis funktioniert.

Die 7 Schritte

Schritt 01

Datenfluss-Inventar erstellen

Bevor Sie irgendetwas anpassen, müssen Sie wissen, welche Daten Sie auf Ihrer Webseite überhaupt verarbeiten. Setzen Sie sich eine Stunde hin und notieren Sie:

• Welche Formulare gibt es? (Kontakt, Newsletter, Buchung, Anfrage)
• Welche Tools sind eingebunden? (Analytics, Pixel, Chat, Maps, YouTube)
• Welche externen Dienste verarbeiten Daten? (E-Mail-Marketing, CRM, Buchhaltung)
• Wo werden die Daten gespeichert? (eigener Server, Cloud, EU, USA)

Diese Liste ist die Grundlage für alles, was danach kommt. Ohne sie schreiben Sie Datenschutzerklärungen, die mit der Realität nichts zu tun haben.

Schritt 02

Datenschutzerklärung erstellen oder anpassen

Die Datenschutzerklärung muss erklären, was Sie tatsächlich tun. Nicht generische Vorlagen-Sätze, sondern konkret:

• Wer sind Sie (Firma, Adresse, Verantwortlicher)
• Welche Daten werden gesammelt (aus Schritt 1)
• Wozu (Newsletter-Versand, Anfrage-Bearbeitung, etc.)
• Wie lange (Aufbewahrungsfristen)
• Wer hat Zugriff (auch Drittanbieter wie Google, Hosting-Provider)
• Rechte der Besucher (Auskunft, Berichtigung, Löschung)

Generatoren wie der von Brunner-Schwer sind ein guter Start, müssen aber an Ihre konkrete Situation angepasst werden. Profi-Erstellung ab CHF 280, lohnt sich bei jeder Webseite mit Formularen oder Tools.

Schritt 03

Cookie-Banner einrichten, das echt blockiert

Wichtig: nicht jedes Cookie-Banner ist konform. Das Banner muss:

• Drei gleichwertige Optionen bieten (Akzeptieren, Ablehnen, Auswahl)
• Nicht-notwendige Cookies erst nach Einwilligung laden
• Eine Liste der konkreten Cookies und Anbieter zeigen
• Eine Möglichkeit zur späteren Änderung anbieten (Footer-Link)

Tools wie Cookiebot, Borlabs oder Usercentrics machen das richtig. Kostenlose Plugins sind oft Schein-Konformität: zeigen ein Banner, blockieren aber nichts. Test mit Browser-DevTools im Network-Tab. Mehr Details im Blog-Beitrag zu Cookie-Banner Schweiz.

Schritt 04

Hosting-Standort prüfen und ggf. anpassen

Das revDSG erlaubt EU-Hosting ohne Weiteres (EU-Länder haben angemessenes Datenschutzniveau). US-Hosting braucht zusätzliche Garantien wie Standard Contractual Clauses. Für sensitive Branchen ist Schweizer Hosting oft die einfachste Lösung.

• Standard-KMU: EU-Hosting bei Infomaniak, Hostpoint, Cyon, Hetzner ist okay
• Anwälte, Ärzte, Treuhänder, Therapeuten: Schweizer Hosting empfohlen
• US-Cloud (AWS, GCP, Azure): braucht AVV und ggf. SCC, machbar aber dokumentationspflichtig

Frage an Ihren Hoster: «Wo stehen die Server physisch?» Wenn die Antwort «in der EU» oder «in der Schweiz» ist, sind Sie in den meisten Fällen safe.

Schritt 05

Verschlüsselung & Sicherheit

Personenbezogene Daten müssen technisch geschützt sein. Konkret:

• SSL/TLS-Zertifikat aktiv (Schloss in der URL-Leiste), auf allen Seiten
• Formular-Daten verschlüsselt übertragen (per HTTPS, was bei SSL automatisch ist)
• Admin-Zugänge mit starken Passwörtern und 2FA
• Regelmässige Updates von CMS und Plugins
• Backups, im Idealfall verschlüsselt

Wer Bestellungen oder Bezahlungen abwickelt, muss zusätzlich Bezahl-Daten korrekt handhaben. Aber bei der reinen KMU-Webseite mit Kontaktformular und Newsletter sind diese Punkte schon der Hauptteil.

Schritt 06

Lösch- und Aufbewahrungs-Konzept

Das revDSG verlangt, dass Daten nur so lange aufbewahrt werden, wie sie wirklich gebraucht werden. Praktisch heisst das:

• Kontaktformular-Anfragen: typisch 1 bis 2 Jahre, danach löschen
• Newsletter-Abonnenten: solange das Abo aktiv ist + max. 3 Jahre nach Abmeldung
• Bestellungen: 10 Jahre wegen Buchhaltungs-Pflicht (OR)
• Analytics: 14 Monate Standard, oder kürzer einstellen

Schreiben Sie auf, was Sie wann löschen. Setzen Sie sich einmal pro Jahr einen Termin in den Kalender, um aufzuräumen. Das ist nichts Kompliziertes, muss aber tatsächlich gemacht werden.

Schritt 07

Auftragsverarbeitungs-Verträge mit Drittanbietern

Sobald ein Drittanbieter (Hosting, Newsletter-Tool, Analytics) personenbezogene Daten Ihrer Besucher verarbeitet, brauchen Sie einen Auftragsverarbeitungs-Vertrag (AVV). Das klingt komplizierter als es ist. Die meisten Anbieter haben Standard-AVVs, die Sie einfach akzeptieren:

• Google Analytics: AVV in der GA4-Verwaltung akzeptieren
• Mailchimp/Brevo: AVV im Account aktivieren
• Infomaniak/Hostpoint: AVV beim Hosting-Vertrag dabei oder downloadbar
• Cookiebot/Borlabs: in den Plattform-AGB enthalten

Sammeln Sie eine Liste, welche AVVs Sie wo akzeptiert haben. Wenn jemand fragt (EDÖB-Anfrage oder besorgter Kunde), können Sie schnell antworten.

Eine kurze Geschichte zum Schluss

Letztes Jahr hat eine Treuhand-Kanzlei aus Luzern mich kontaktiert. Sie wurden von einem Kunden auf den Datenschutz angesprochen, hatten aber nur eine alte Datenschutzerklärung von 2018 auf der Seite. Wir haben die sieben Schritte abgearbeitet, das brauchte insgesamt knapp 8 Stunden Arbeit verteilt über drei Wochen. Cookie-Banner umgestellt, Datenschutzerklärung neu mit konkreten Tools, Hosting bei Infomaniak bestätigt, AVVs gesammelt.

Aufwand: rund CHF 1'200. Effekt: nicht nur Compliance, sondern auch ein verbessertes Vertrauen bei den eigenen Kunden, die explizit nachgefragt hatten. Wenn Sie eine Branche haben, in der Datenschutz Vertrauensthema ist (Anwalt, Treuhand, Arzt, Therapeut), zahlt sich der Aufwand nicht nur rechtlich aus, sondern auch geschäftlich.

Wir machen Ihre Webseite DSG-konform

Komplettes Paket: Cookie-Banner-Setup, Datenschutzerklärung, Hosting-Audit, AVV-Übersicht, schriftliche Dokumentation. Für Schweizer KMU pauschal ab CHF 1'200.

DSG-Paket anfragen Kostenlose Erstberatung

Weiterlesen

DSG-konforme Webseite (Service)

Komplette DSG-Umsetzung für Ihre KMU-Webseite.

Datenschutzerklärung erstellen

Konkrete Datenschutzerklärung statt Vorlage.

Cookie-Banner Schweiz

Cookie-Banner, das wirklich blockiert.

Cookie-Banner: Was rein muss

Häufige Fehler und welche Tools taugen.