Pflichten

Datenschutzerklärung nach revDSG: Was muss rein und wie erstelle ich sie?

ComplianceCore Redaktion·Veröffentlicht: 23. April 2026·8 Min. Lesezeit

Jedes Schweizer Unternehmen, das Personendaten bearbeitet, muss die betroffenen Personen vorgängig informieren — und zwar bei jeder Datenbeschaffung, auch wenn die Daten nicht direkt bei der Person erhoben werden (Art. 19 DSG). Die Datenschutzerklärung (DSE) ist das wichtigste Instrument dafür. Mindestinhalt: Identität des Verantwortlichen, Bearbeitungszwecke, Empfänger und Auslandtransfers. Wer zusätzlich der DSGVO unterliegt, muss weitere Angaben ergänzen.

Art. 19

DSG — Informationspflicht

3 Typen

Website, Kunden, Mitarbeitende

Kein

Cookie-Banner-Zwang in CH

Was verlangt Art. 19 DSG?

Die Informationspflicht nach Art. 19–21 DSG ist eine der zentralen Neuerungen des revDSG. Sie gilt bei jeder Beschaffung von Personendaten — nicht nur bei Webformularen oder Vertragsabschlüssen, sondern auch wenn Daten indirekt erhoben werden (z.B. durch Tracking, aus öffentlichen Quellen oder von Dritten).

Die Information muss vorgängig erfolgen — also bevor die Daten erhoben werden, nicht nachträglich. Sie muss ausserdem angemessen sein: nicht zwingend in legalem Kleinstschriftzug, aber klar, vollständig und für die Zielgruppe verständlich.

ℹ️

Verhältnis zum VVT: Das Verzeichnis der Bearbeitungstätigkeiten (VVT) und die Datenschutzerklärung ergänzen sich. Das VVT ist das interne Navigationsdokument — die DSE ist die externe Kommunikation davon. Wer zuerst ein vollständiges VVT erstellt, hat die Grundlage für alle DSE-Typen bereits erarbeitet.

Die drei DSE-Typen: Website, Kunden, Mitarbeitende

Eine einzige Datenschutzerklärung für alle Situationen ist rechtlich möglich, in der Praxis aber unübersichtlich und fehleranfällig. Die meisten Unternehmen brauchen mindestens drei unterschiedliche DSE — je nach Zielgruppe und Bearbeitungskontext.

Typ 1

Website-DSE

Für alle Besucherinnen und Besucher der Website. Deckt Tracking, Cookies, Kontaktformulare, Newsletter-Anmeldung und Webanalyse ab.

Im Footer verlinkt — immer sichtbar

Typ 2

Kunden-DSE

Für Käufer, Auftraggeber, Mandanten. Deckt Vertragsbeziehung, Rechnungsstellung, Zahlungsabwicklung, Kundenkommunikation und CRM ab.

In AGB, Auftragsbestätigung oder Onboarding

Typ 3

Mitarbeiter-DSE

Für Angestellte und Bewerbende. Deckt Lohnbuchhaltung, Sozialversicherungen, Zeiterfassung, Leistungsbewertung und ggf. Überwachung ab.

Bei Arbeitsvertrag oder Onboarding aushändigen

Pflichtinhalt: CH vs. EU im Vergleich

Wer nur dem revDSG unterliegt, muss vier Mindestangaben machen. Wer zusätzlich der DSGVO unterliegt, muss die DSE um weitere Pflichtfelder erweitern. Die folgende Tabelle zeigt was wo gilt.

Angabe	revDSG (Art. 19)	DSGVO (Art. 13–14)
Identität und Kontakt des Verantwortlichen	Pflicht	Pflicht
Bearbeitungszwecke	Pflicht	Pflicht
Empfänger / Empfängerkategorien	Pflicht	Pflicht
Auslandtransfers (Land + Garantien)	Pflicht wenn Transfer	Pflicht wenn Transfer
Rechtsgrundlage der Bearbeitung	Nicht vorgeschrieben	Pflicht
Speicherdauer	Empfohlen, nicht Pflicht	Pflicht
Betroffenenrechte (Auskunft, Löschung, etc.)	Empfohlen, nicht Pflicht	Pflicht
Recht auf Beschwerde bei Aufsichtsbehörde	Nicht vorgeschrieben	Pflicht
Kontaktdaten Datenschutzbeauftragter (DPO)	Nur wenn DPO bestellt	Pflicht wenn DPO-Pflicht

⚠️

Empfehlung: Auch wenn das revDSG nur vier Mindestangaben verlangt, lohnt es sich, die DSGVO-Anforderungen von Anfang an zu erfüllen. Erstens unterliegen die meisten Schweizer Unternehmen mit EU-Kunden ohnehin der DSGVO. Zweitens ist eine vollständigere DSE glaubwürdiger und reduziert Rückfragen von Betroffenen.

Muster-Textbausteine für die wichtigsten Abschnitte

Die folgenden Bausteine können als Vorlage dienen — sie müssen auf Ihr Unternehmen angepasst werden. Felder in eckigen Klammern sind Platzhalter.

Baustein 1 — Verantwortlicher

Wer ist für die Bearbeitung verantwortlich?

«Verantwortlich für die Bearbeitung Ihrer Personendaten ist [Firmenname], [Adresse], [PLZ Ort], Schweiz. Bei Fragen zum Datenschutz erreichen Sie uns unter [E-Mail-Adresse].»

Art. 19 Abs. 2 lit. a DSG — Pflichtangabe

Baustein 2 — Auslandtransfer (US-Cloud)

Bearbeitung durch US-Dienstleister

«Für [Zweck, z.B. E-Mail-Marketing] setzen wir [Dienstleistername, z.B. Mailchimp / Intuit Inc.] ein, mit Sitz in den USA. Die Übermittlung Ihrer Daten in die USA erfolgt auf Basis des Swiss-U.S. Data Privacy Framework. [Dienstleistername] ist unter diesem Framework zertifiziert.»

Art. 19 Abs. 2 lit. d DSG — Pflicht bei Auslandtransfer

Baustein 3 — Webanalyse / Tracking

Google Analytics / Webanalyse

«Diese Website verwendet [Google Analytics / Matomo / ...] zur Analyse des Nutzungsverhaltens. Dabei werden [technische Daten, z.B. IP-Adresse anonymisiert, Browsertyp, Besuchsdauer] erhoben. Zweck: Verbesserung des Website-Angebots. Empfänger: [Anbieter, z.B. Google Ireland Ltd., Dublin, Irland / Google LLC, USA].»

Art. 19 DSG — Informationspflicht über Tracking

Baustein 4 — Betroffenenrechte (empfohlen)

Ihre Rechte

«Sie haben das Recht, Auskunft über die bei uns gespeicherten Personendaten zu erhalten (Art. 25 DSG), unrichtige Daten berichtigen zu lassen sowie unter bestimmten Voraussetzungen die Löschung Ihrer Daten zu verlangen. Richten Sie Ihr Begehren schriftlich an [E-Mail-Adresse]. Wir antworten innert 30 Tagen.»

Empfohlen — Pflicht bei DSGVO-Anwendbarkeit

Einer der häufigsten Irrtümer: «Ich brauche keinen Cookie-Banner, weil meine Firma in der Schweiz sitzt.» Das stimmt — aber nur wenn ausschliesslich Schweizer Nutzende die Website besuchen. Sobald EU-Traffic vorhanden ist und nicht-essentielle Cookies gesetzt werden, greift die DSGVO.

ℹ️

Pragmatische Lösung für die meisten KMU: Ein einfaches Cookie-Banner für alle Besucher (CH + EU) mit Opt-in für Tracking. So sind beide Rechtsordnungen abgedeckt, ohne zwei separate Banner-Logiken zu pflegen. Essentielle Cookies (Session, Login) benötigen keine Einwilligung — weder in CH noch in der EU.

DSE erstellen: Schritt-für-Schritt

VVT als Grundlage nehmen

Voraussetzung: VVT vorhanden

Das VVT enthält alle Bearbeitungsprozesse, Zwecke, Empfänger und Auslandtransfers — alles was in die DSE muss. Wer kein VVT hat, kann keine vollständige DSE schreiben. Deshalb: VVT zuerst.

DSE-Typen bestimmen

ca. 15 Minuten

Entscheiden welche DSE-Typen Ihr Unternehmen braucht: Website-DSE (immer), Kunden-DSE (bei Vertragsbeziehungen), Mitarbeiter-DSE (bei Angestellten). Für jeden Typ eine separate Datei anlegen.

Pflichtinhalte nach Art. 19 DSG ausfüllen

ca. 45 Minuten pro DSE-Typ

Die vier Mindestangaben aus dem VVT übertragen. Wenn DSGVO anwendbar: zusätzlich Rechtsgrundlage, Speicherdauer, Betroffenenrechte ergänzen. Klare, verständliche Sprache verwenden — kein Juristen-Deutsch.

Cookie-Abschnitt und Tracking dokumentieren

ca. 20 Minuten

Alle auf der Website eingesetzten Tools mit Tracking-Funktion auflisten (Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar etc.). Für jedes Tool: Zweck, Anbieter, Datenübermittlung, Opt-out-Möglichkeit angeben.

Veröffentlichen und aktuell halten

Laufend

Website-DSE im Footer gut sichtbar verlinken. Kunden-DSE in AGB oder Auftragsbestätigung. Mitarbeiter-DSE bei Vertragsunterzeichnung aushändigen (Empfangsbestätigung einholen). Bei jeder Änderung der Bearbeitungsprozesse: DSE sofort aktualisieren.

5 typische Fehler und wie man sie vermeidet

Auslandtransfers fehlen

US-Cloud-Dienste (Google, Microsoft, Mailchimp, Salesforce) werden genutzt, aber in der DSE nicht erwähnt. Fix: Alle Tools im VVT auf Serverstandort prüfen und in der DSE aufführen.

Standardtext statt tatsächlicher Bearbeitung

DSE aus dem Internet kopiert und nicht angepasst — enthält Bearbeitungen die gar nicht stattfinden, und fehlt für tatsächlich genutzte Tools. Fix: DSE aus VVT ableiten, nicht aus fremden Vorlagen.

Tracking-Tools nicht aufgeführt

Google Analytics, Meta Pixel oder Hotjar laufen, tauchen aber in der DSE nicht auf. Fix: Website auf alle aktiven Tags und Skripte prüfen (z.B. mit Google Tag Assistant oder Browser-Entwicklertools).

Kontaktadresse falsch oder fehlend

Kein Kontakt für Datenschutzanfragen angegeben, oder die angegebene E-Mail-Adresse wird nicht regelmässig gelesen. Fix: Dedizierte Datenschutz-E-Mail einrichten (z.B. datenschutz@firma.ch) und täglich prüfen.

DSE nicht aktualisiert nach neuen Tools

Neues CRM eingeführt, neuer Newsletter-Anbieter gewechselt — DSE zeigt noch alte Informationen. Fix: DSE-Update als festen Schritt beim Einführen jedes neuen digitalen Tools einplanen.

Was muss eine Datenschutzerklärung in der Schweiz enthalten?+

Nach Art. 19 DSG mindestens: Identität und Kontakt des Verantwortlichen, Bearbeitungszwecke, Empfänger oder Empfängerkategorien, sowie bei Auslandtransfers das Empfängerland und die angewandten Schutzgarantien. Für Unternehmen die auch der DSGVO unterliegen, kommen Rechtsgrundlage, Speicherdauer und Betroffenenrechte hinzu.

Braucht meine Schweizer Website einen Cookie-Banner?+

Nach Schweizer Recht (revDSG) gibt es keinen gesetzlichen Zwang. Wenn Ihre Website aber EU-Nutzende besuchen und Sie nicht-essentielle Cookies setzen (z.B. Google Analytics, Meta Pixel), greift die DSGVO — und damit die Opt-in-Pflicht. Empfehlung: Banner für alle Besucher mit Opt-in für Tracking.

Brauche ich separate Datenschutzerklärungen für Mitarbeitende und Kunden?+

In der Regel ja. Die Website-DSE richtet sich an Besucher, die Mitarbeiter-DSE informiert über HR-Bearbeitungen (Lohn, Sozialversicherung), die Kunden-DSE deckt Vertragsbeziehungen ab. Eine einzige allgemeine DSE ist rechtlich möglich, aber unübersichtlich und fehleranfällig.

Wie oft muss ich meine Datenschutzerklärung aktualisieren?+

Immer wenn sich etwas an Ihren Bearbeitungsprozessen ändert: neues Tool eingeführt, neuer Dienstleister beauftragt, neuer Bearbeitungszweck. Die DSE muss die tatsächliche Realität widerspiegeln — eine veraltete DSE ist schlimmer als keine, weil sie aktiv falsch informiert.

Was sind die häufigsten Fehler in Datenschutzerklärungen?+

Die fünf häufigsten: (1) Auslandtransfers nicht erwähnt obwohl US-Cloud-Dienste im Einsatz. (2) Tracking-Tools nicht aufgeführt. (3) Standardtext der nicht zur tatsächlichen Bearbeitung passt. (4) Keine Unterscheidung zwischen Website-, Kunden- und Mitarbeiter-DSE. (5) Kontaktadresse fehlt oder wird nicht gelesen.

DSE automatisch aus Ihrem VVT generieren

ComplianceCore liest Ihr Verzeichnis der Bearbeitungstätigkeiten und generiert daraus automatisch eine konforme Datenschutzerklärung — in den Varianten Website, Kunden und Mitarbeitende, auf Deutsch, Französisch und Englisch.

DSE-Generator starten

Diese Inhalte dienen zu Informationszwecken und stellen keine Rechtsberatung dar.