Wissen
Updates
Kontakt
Projekt starten
Wissen
Updates
Kontakt

DSG: Das solltest du unserer Meinung nach dazu wissen.

Datenschutz
Cookies
Tracking

Das totalrevidierte Datenschutzgesetz (DSG) geht weit über einen Cookie-Banner hinaus. Es betrifft jede Website, jeden Kundenkontakt und jeden Umgang mit personenbezogenen Daten. Wir haben die sieben wichtigsten Punkte zusammengetragen und erklären, was das konkret für dich und deine Website bedeutet.

Wir sind keine Juristen. Wir haben die folgenden Ausführungen nach bestem Wissen und Gewissen zusammengestellt. Wir können jedoch keine Haftung für die Richtigkeit der Inhalte übernehmen.

Zuletzt aktualisiert: 26. Mai 2026

Das wichtigste in Kürze

Was ist das DSG?

Das revidierte Datenschutzgesetz gilt seit September 2023 und orientiert sich an der europäischen DSGVO. Es stärkt die Rechte von Personen im Umgang mit ihren Daten und führt Privacy by Design sowie verschärfte Strafen ein.

Jedes Unternehmen ist betroffen

Wer Kundendaten verwaltet, Newsletter verschickt oder Website-Besuche auswertet, verarbeitet Personendaten und fällt unter das DSG. Ohne Vertrag, gesetzliche Pflicht oder berechtigtes Interesse braucht es die Einwilligung der betroffenen Person.

Transparenz- und Informationspflichten

Unternehmen müssen offen kommunizieren, welche Daten sie zu welchem Zweck erheben. Eine Datenschutzerklärung ist faktisch Pflicht und muss auf der Website jederzeit zugänglich sein.

Externe Dienste und Datenschutz

Wer externe Dienste wie Google Analytics oder YouTube einbindet, überträgt Personendaten an Dritte – das muss in der Datenschutzerklärung aufgeführt werden. Selbst gehostete Ressourcen und einmalige Lizenzmodelle sind datenschutzrechtlich klar im Vorteil.

Cookie-Banner

Ein Cookie-Banner-Obligatorium gibt es im Schweizer DSG nicht. Wer jedoch einen einsetzt, muss diesen seit den EDÖB-Leitlinien von Januar 2025 korrekt und gleichwertig gestalten.

Unsere Handlungsempfehlung

Dokumentiere deine Datenverarbeitungsprozesse, prüfe externe Dienste auf deiner Website und lass deine Datenschutzerklärung von einer Fachperson erstellen.

Was ist das DSG?

Das neue Datenschutzgesetz (auch nDSG oder revDSG genannt) soll die Bearbeitung persönlicher Daten verbessern und der Schweizer Bevölkerung neue Rechte ermöglichen. Die vorherige Version des Gesetzes aus dem Jahr 1992 stammt aus einer Zeit, in der das Internet noch nicht allgegenwärtig war. Darum wurde diese Anpassung fällig. Auch wollte die Schweiz ihr Datenschutzgesetz an das der EU anpassen.

Das DSG verfolgt konkret folgende Ziele:

  1. Generelle Verbesserung der Transparenz

  2. Stärkung der Aufsichtskompetenzen und der Unabhängigkeit des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

  3. Verschärfung der Strafbestimmungen – bei Verstössen sind Bussen bis zu CHF 250'000 möglich

  4. Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung («privacy by design») und durch datenschutzfreundliche Voreinstellungen («privacy by default»)

  5. Pflicht, Datenschutz-Folgenabschätzungen durchzuführen

  6. Das Recht auf Datenherausgabe und -übertragung

  7. Förderung der Datensicherheit und Meldung der Verletzungen der Datensicherheit

Was bedeutet das nun konkret für dich? Dazu zunächst ein paar Erklärungen, warum Unternehmen überhaupt Personendaten bearbeiten.

Dein Unternehmen als Datenverarbeiter

Kundendaten im CRM verwalten, Newsletter verschicken, Google Ads schalten, Websitebesuche auswerten – all das gehört heute zum normalen Geschäftsalltag. Und all das bedeutet: Du verarbeitest Personendaten.

Im Rahmen von Geschäftsbeziehungen fallen unweigerlich Daten an: Vorname, Name, Adresse, E-Mail, Geburtstag, Standortdaten, IP-Adressen und vieles mehr. Das DSG regelt, unter welchen Voraussetzungen du diese Daten bearbeiten darfst. Grundsätzlich gilt: Besteht bereits ein Vertrag (z.B. eine Bestellung, ein Dienstleistungsauftrag oder ein Arbeitsvertrag), eine gesetzliche Verpflichtung oder ein berechtigtes Interesse deines Unternehmens (z.B. Direktwerbung), ist keine zusätzliche Einwilligung nötig. In allen anderen Fällen brauchst du die ausdrückliche Zustimmung der betroffenen Person.

Das DSG betrifft jedes Unternehmen – denn jedes Unternehmen verarbeitet auf irgendeine Weise Personendaten.

Was ändert sich beim neuen DSG?

Datenbearbeitung im Unternehmen

Personendaten dürfen grundsätzlich wie bisher bearbeitet werden. Drei Grundsätze sind dabei zentral:

  1. Transparenz – Unternehmen müssen offen kommunizieren, weshalb sie Personendaten erheben und wie sie diese verwenden.

  2. Zweckbindung – Personendaten dürfen nur für den ursprünglich definierten Zweck genutzt werden.

  3. Need-to-know – Mitarbeitende dürfen nur auf jene Daten zugreifen, die sie für ihre Aufgaben tatsächlich benötigen.

Neu hinzu kommen zwei Prinzipien, die von Anfang an mitgedacht werden müssen: Privacy by Design bedeutet, dass der Datenschutz bereits in der Konzeptionsphase neuer Produkte und Dienstleistungen berücksichtigt wird – nicht erst nachträglich. Privacy by Default verlangt, dass bei konkreten Anwendungen immer die datenschutzfreundlichste Variante voreingestellt ist.

Dazu werden die Informationspflichten rund um die Datenbearbeitung deutlich strenger. Eine Datenschutzerklärung ist damit faktisch Pflicht. Was das konkret bedeutet, erklären wir im nächsten Abschnitt.

Informationspflichten

Wer Personendaten sammelt, muss die betroffenen Personen darüber informieren, welche Daten erhoben werden, zu welchem Zweck und wie sie verarbeitet werden. All das gehört in eine Datenschutzerklärung, die auf deiner Website veröffentlicht wird.

Am besten dauerhaft zugänglich, zum Beispiel als Link im Footer. So ist sie auf jeder Seite erreichbar und kann überall dort verlinkt werden, wo Personendaten erfasst werden: im Kontaktformular, bei der Newsletter-Anmeldung oder im Checkout eines Shops.

Auskunftsrecht

Personen haben das Recht zu wissen, welche Daten ein Unternehmen über sie gespeichert hat und können jederzeit Auskunft verlangen. Dazu kommt das Recht auf Löschung: Werden Daten nicht mehr benötigt, müssen sie auf Anfrage gelöscht werden (Recht auf Vergessenwerden). Neu hinzu kommt ausserdem das Recht auf Datenherausgabe: Personen können verlangen, dass ihre Daten in einem gängigen Format an sie oder an ein anderes Unternehmen übertragen werden (Datenportabilität).

All diese Rechte sollten in der Datenschutzerklärung beschrieben sein inklusive eines Kontaktwegs, über den Betroffene ihre Anfragen stellen können.

Aber was bedeutet das nun konkret für deine Website?

Was muss ich als Website-Inhaber machen?

Deine Website ist oft der erste digitale Kontaktpunkt für potenzielle Kunden, Bewerbende und viele andere. Dabei werden häufig Personendaten erhoben, manchmal offensichtlich, manchmal im Hintergrund.

In der folgenden Übersicht findest du typische Fälle, bei denen auf einer Website Daten erfasst werden. Sie helfen dir, die relevanten Prozesse für deine Datenschutzerklärung zu identifizieren:

  • Kontaktformulare und E-Mail

  • Bewerbungen

  • Bestellungen im Shop

  • Kommentarfunktionen

  • Anmeldedaten für geschützte Bereiche (Benutzerverwaltung)

Alle diese Prozesse solltest du dokumentieren: welche Daten, zu welchem Zweck und wie lange sie gespeichert werden. Nicht mehr benötigte Daten sollten nach einer vordefinierten Frist gelöscht werden.

Datenweitergabe an Drittunternehmen

Daneben gibt es die Datenweitergabe an Drittunternehmen. Das passiert immer dann, wenn externe Online-Dienste in die Website eingebunden sind zum Beispiel:

  • Google Maps

  • YouTube- oder Vimeo-Videos

  • Social-Share-Widgets (Facebook, Instagram und Co.)

  • Web-Schriftarten von externen Anbietern

  • Newsletter-Tools wie Mailchimp

  • Website-Analyse mit Google Analytics oder ähnlichen Tools

  • Conversion-Tracking mit Google Ads oder Meta Pixel

In all diesen Fällen werden Personendaten, je nach Dienst IP-Adresse, E-Mail, Standort oder andere Angaben, an ein Drittunternehmen übertragen und dort verarbeitet.

Es liegt in deiner Verantwortung, die Konformität mit dem DSG sicherzustellen und die Besuchenden deiner Website darüber zu informieren.

Welche externen Dienste standardmässig in einer cmsbox-Website integriert sind, erklären wir im nächsten Abschnitt.

Welche Daten sammelt cmsbox?

cmsbox ist für den Betrieb und das Hosting deiner Website zuständig. Um unsere Dienstleistungen bereitzustellen, zu überprüfen und zu verbessern, erheben auch wir Personendaten.

Server-Aufzeichnungen

Bei jedem Aufruf deiner Website erfasst unsere Server-Infrastruktur automatisch eine Reihe von allgemeinen Zugriffsdaten, die in sogenannten Logfiles gespeichert werden:

  • Name der abgerufenen Seite und URL

  • Datum und Uhrzeit des Abrufs

  • Übertragene Datenmenge

  • Meldung über erfolgreichen Abruf

  • Browsertyp und Version

  • Betriebssystem des Nutzers

  • Referrer-URL (zuvor besuchte Seite)

  • IP-Adresse des Nutzers

Diese Daten werden ausschliesslich zur Sicherstellung der Funktionsfähigkeit und Sicherheit unserer Systeme verwendet.

Matomo

Auf allen cmsbox-Websites setzen wir Matomo zur Auswertung von Besucherzahlen ein. Matomo läuft auf unseren eigenen Servern, die Daten verlassen die Schweiz nicht. Die Erfassung erfolgt pseudonymisiert, sodass kein Rückschluss auf einzelne Besuchende möglich ist. Die Rohdaten werden nach 180 Tagen automatisch gelöscht. Auf expliziten Wunsch kann das Tracking deaktiviert werden.

Ein Opt-out für Besucher:innen deiner Website ist über diesen Link verfügbar: https://tracker.cmsbox.com/index.php?module=CoreAdminHome&action=optOut&language=de

Spam-Schutz für Formulare

Alle cmsbox-Formulare sind mit Google reCaptcha v3 gegen Bot-Versand geschützt. reCaptcha v3 arbeitet unsichtbar im Hintergrund, Besuchende müssen keine Aufgaben lösen oder Checkboxen anklicken. Der Dienst analysiert das Nutzerverhalten und vergibt einen Score, der einschätzt, ob es sich um einen Menschen oder einen Bot handelt.

Da dabei personenbezogene Daten an Google übertragen werden, ist bei jedem Formular ein entsprechender Hinweis («protected by reCaptcha») mit einem Link zur Datenschutzerklärung von Google platziert. Die Nutzung von reCaptcha muss zudem in der Datenschutzerklärung deiner Website aufgeführt werden.

Was ist mit dem Cookie-Banner?

Ein generelles Obligatorium für einen Cookie-Banner gibt es im Schweizer DSG nicht. Im Vordergrund steht die Information der betroffenen Personen: welche Daten werden zu welchem Zweck erhoben und ob dies mit oder ohne Einwilligung geschieht.

Trotzdem lohnt es sich, die Situation im Blick zu behalten. Der EDÖB hat im Januar 2025 einen Leitfaden veröffentlicht, der die datenschutzrechtlichen Anforderungen beim Einsatz von Cookies präzisiert. Wer einen Cookie-Banner einsetzt, muss diesen korrekt umsetzen: «Akzeptieren» und «Ablehnen» müssen gleichwertig und gleich auffällig gestaltet sein, und Besuchende müssen ihre Einwilligung jederzeit widerrufen können.

Sofern du auf deiner Website ausschliesslich Daten im Rahmen des berechtigten Interesses erhebst, ist ein Cookie-Banner weiterhin keine Pflicht.

Falls du einen Cookie-Banner möchtest oder brauchst, melde dich bei uns. Unsere Lösung entspricht dem «Privacy by Default»-Grundsatzund ist für dich kostenlos.

Unsere Handlungsempfehlungen

Die Erstellung einer vollständigen Datenschutzerklärung können wir nicht für dich übernehmen. Das ist Aufgabe einer Fachperson oder eines spezialisierten Anbieters. Wir empfehlen dir folgende Schritte:

  1. Sensibilisierung: Setze dich mit den Bestimmungen des DSG auseinander und sensibilisiere dein Team im Umgang mit Personendaten.

  2. Dokumentation und Datenschutzerklärung: Dokumentiere deine Datenverarbeitungsprozesse und prüfe, ob du die Anforderungen des DSG erfüllst. Eine Datenschutzerklärung lässt sich mit einem Online-Generator als Grundlage erstellen, sollte dann aber von einer Fachperson auf deine spezifischen Prozesse angepasst werden.

  3. Externe Dienste prüfen – Überprüfe deine Website auf eingebundene externe Online-Dienste und dokumentiere, welche Personendaten dabei übertragen werden. Eine Übersicht, welche Dienste standardmässig in deiner cmsbox-Website integriert sind, findest du im Abschnitt «Was macht cmsbox?». Nicht sicher, welche externen Dienste sonst noch auf deiner Website laufen? Melde dich, wir schauen gemeinsam drüber.

Grundsätzlich ist es nicht so kompliziert, wie es auf den ersten Blick wirkt. Bei Fragen helfen wir dir gerne weiter, soweit wir können.

Kontaktiere eine Datenschutzfachperson

Wir hoffen, mit diesen Informationen mehr Klarheit zum DSG und dessen Folgen für dein Unternehmen und deine Website zu schaffen. Wir möchten dich aber nochmals daran erinnern: Wir sind eine Webagentur und keine Juristen. Unsere Einschätzung ist keine Rechtsberatung und ersetzt diese nicht. Wende dich für Detailfragen zum DSG und dessen Umsetzung bitte an deinen Rechtsbeistand.

Kontaktiere uns

Hilfe! Ich verstehe nur Bahnhof.

FAQ

Häufig gestellte Fragen zur DSG

Was ist das DSG und wen betrifft es?

Das revidierte Datenschutzgesetz (DSG) gilt seit September 2023 und regelt, wie Unternehmen mit Personendaten umgehen dürfen. Es betrifft jedes Unternehmen, denn jedes verarbeitet auf irgendeine Weise Personendaten, sei es über ein CRM, ein Kontaktformular oder Google Analytics.

Was unternimmt cmsbox in Sachen Datenschutz?

Wir hosten alle Websites auf eigenen Servern in der Schweiz. Personendaten verlassen die Schweiz nicht. Formulare sind mit einem Spam-Schutz ausgestattet, über den wir in der Datenschutzerklärung informieren. Die Erstellung deiner Datenschutzerklärung können wir nicht übernehmen, helfen dir aber dabei, die relevanten Datenverarbeitungsprozesse auf deiner cmsbox-Website zu identifizieren.

Was sind Personendaten?

Personendaten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dazu gehören Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Standortdaten und vieles mehr. Bereits ein ausgefülltes Kontaktformular enthält Personendaten.

Brauche ich eine Datenschutzerklärung?

Ja – eine Datenschutzerklärung ist unter dem DSG faktisch Pflicht. Sie muss beschreiben, welche Daten du zu welchem Zweck erhebst, und auf der Website jederzeit zugänglich sein. Am besten als Link im Footer.

Muss ich einen Cookie-Banner einsetzen?

Ein generelles Cookie-Banner-Obligatorium gibt es im Schweizer DSG nicht. Wer jedoch einen Banner einsetzt, muss seit den EDÖB-Leitlinien von Januar 2025 «Akzeptieren» und «Ablehnen» gleichwertig anbieten und den Widerruf jederzeit ermöglichen.

Was gilt bei externen Diensten wie Google Analytics oder YouTube?

Wer externe Dienste einbindet, überträgt dabei Personendaten an Dritte. Das muss in der Datenschutzerklärung aufgeführt werden. Prüfe für jeden Dienst, ob die Datenübertragung DSG-konform ist und ob eine Einwilligung der Besuchenden nötig ist.

Was bedeutet Privacy by Design und Privacy by Default?

Privacy by Design bedeutet, dass Datenschutz bereits bei der Planung neuer Produkte oder Dienstleistungen mitgedacht wird, nicht erst nachträglich. Privacy by Default verlangt, dass bei konkreten Anwendungen immer die datenschutzfreundlichste Variante voreingestellt ist.

Was ist der EDÖB?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die unabhängige Aufsichtsbehörde für Datenschutz in der Schweiz. Das DSG stärkt seine Kompetenzen er kann Unternehmen untersuchen, Empfehlungen aussprechen und bei Verstössen Massnahmen einleiten.

Was droht bei Verstössen gegen das DSG?

Bei Verstössen gegen das DSG sind Bussen von bis zu CHF 250'000 möglich. Die Bussen richten sich dabei gegen verantwortliche Personen im Unternehmen, nicht gegen das Unternehmen selbst.

Wie gehe ich am besten vor?

Starte mit einer Bestandsaufnahme: Welche Personendaten erhebst du, zu welchem Zweck und wie lange speicherst du sie? Lass danach eine Datenschutzerklärung von einer Fachperson erstellen und prüfe, welche externen Dienste auf deiner Website laufen. Bei Fragen helfen wir dir gerne weiter, soweit wir können.

Fragen zum DSG oder zum Datenschutz auf deiner Website?

Kontakt aufnehmen
Projekt starten
Projekt starten