Braucht wirklich jede Website in der Schweiz eine Datenschutzerklärung?

Ja, sobald auch nur minimale Personendaten bearbeitet werden — und das ist bei nahezu jeder Website der Fall (Server-Logfiles mit IP-Adresse, Cookies, Kontaktformulare). Die Pflicht gilt für Einzelunternehmer, Vereine, Stiftungen und alle Gesellschaftsformen. Auch rein informative Websites ohne Shop-Funktion müssen eine Datenschutzerklärung vorhalten, denn bereits das Hosting generiert Logdaten.

Muss ich als KMU einen Datenschutzberater (DSB) ernennen?

Für private Unternehmen ist die Ernennung eines DSB freiwillig (nDSG Art. 10). Sie ist empfehlenswert bei umfangreicher oder risikoreicher Datenbearbeitung (Profiling, Gesundheitsdaten, grosse Datenmengen). Wird ein DSB ernannt und dem EDÖB gemeldet, entfällt die Pflicht zur vorgängigen Konsultation des EDÖB bei hochriskanten Datenbearbeitungen (nDSG Art. 23 Abs. 4). Für Bundesorgane ist die Ernennung zwingend.

Welche Cookies erfordern eine Einwilligung?

Das nDSG folgt einem Transparenz-, nicht einem Einwilligungsprinzip: Es gibt keine Pflicht zum Cookie-Banner im Stil der DSGVO. Technisch notwendige Cookies (Session, Warenkorb) dürfen ohne Einwilligung gesetzt werden. Für Analyse- und Marketing-Cookies empfiehlt sich aus Transparenzgründen sowie zur DSGVO-Compliance (bei EU-Besuchern Pflicht) ein Consent-Banner. Setzen Sie Google Analytics, Meta Pixel oder vergleichbare Tools ein, sollten Sie Ihre Nutzer über die Datenbearbeitung informieren und Opt-out-Möglichkeiten bieten.

Muss ich Google Analytics oder Meta Pixel ausdrücklich nennen?

Ja. nDSG Art. 19 Abs. 2 verlangt die Angabe der Empfänger oder Kategorien von Empfängern. Das schliesst Drittanbieter-Tools wie Google Analytics (Google LLC/Ireland), Google Tag Manager, Meta Pixel (Meta Platforms Ireland), Hotjar und LinkedIn Insight Tag ein. Geben Sie jeweils Anbieter, Zweck des Tools, Datenarten und das Zielland (USA mit Standardvertragsklauseln) an. Die Doxuno-Vorlage enthält vorformulierte Abschnitte für die wichtigsten Tools.

Wie lange muss ich Daten aufbewahren?

Personendaten werden nur so lange aufbewahrt, wie der Zweck es erfordert (nDSG Art. 6 Abs. 4 — Datenminimierung). Ausnahmen gelten für gesetzliche Aufbewahrungspflichten: OR Art. 958f verlangt 10 Jahre für Geschäftsbücher und Buchungsbelege; die MwSt. verlangt 10 Jahre; das Archivgesetz kann länger. Bestellungen und Rechnungen sollten daher 10 Jahre aufbewahrt werden, Newsletter-Anmeldungen nur bis zur Abmeldung, Bewerbungsunterlagen bei Nichteinstellung typischerweise 3–6 Monate.

Was passiert bei einer Verletzung der Datensicherheit?

Der Verantwortliche meldet dem EDÖB "raschmöglich" bei hohem Risiko für die betroffenen Personen (nDSG Art. 24). Die Betroffenen werden informiert, wenn dies für ihren Schutz nötig ist oder der EDÖB es verlangt. Dokumentieren Sie jede Datenverletzung intern (Datum, Art, Umfang, betroffene Personen, getroffene Massnahmen) — auch wenn keine Meldepflicht besteht. Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250’000 für natürliche Personen (nDSG Art. 60 ff.).

Gilt das nDSG auch für Unternehmen ausserhalb der Schweiz?

Ja. nDSG Art. 3 Abs. 1 erklärt das Gesetz auch auf Sachverhalte für anwendbar, die sich in der Schweiz auswirken. Ein deutsches oder US-amerikanisches Unternehmen, das Waren/Dienste an Schweizer Konsumenten anbietet, muss die Informationspflichten gegenüber Schweizer Betroffenen erfüllen. Umgekehrt: ein Schweizer Unternehmen, das EU-Kunden hat, unterliegt parallel der DSGVO (Art. 3 Abs. 2). Die Datenschutzerklärung sollte entsprechend beide Regelwerke adressieren.

Muss ich die Datenschutzerklärung regelmässig aktualisieren?

Ja. Aktualisieren Sie die Datenschutzerklärung, sobald sich Bearbeitungszwecke, Empfänger, Rechtsgrundlagen oder Drittlandtransfers ändern — mindestens aber jährlich im Rahmen einer Routine-Prüfung. Das Änderungsdatum sollte klar ausgewiesen sein ("Stand: ...") und bei wesentlichen Änderungen sollten die Betroffenen aktiv informiert werden (z. B. per E-Mail bei Newsletter-Abonnenten). Die Doxuno-Vorlage enthält ein dediziertes "Stand"-Feld.

Recht & UnternehmenCH

Kostenlose Vorlage: Datenschutzerklärung nach nDSG

Das revidierte Schweizer Datenschutzgesetz (nDSG) ist seit dem 1. September 2023 in Kraft und verpflichtet jedes Unternehmen, das Personendaten bearbeitet, zu einer transparenten Information der Betroffenen. Die Doxuno-Vorlage führt Sie durch alle Pflichtangaben nach nDSG Art. 19: Datenarten, Bearbeitungszwecke, Rechtsgrundlagen, Empfänger, Aufbewahrung, Drittlandtransfers, Cookies und Tools — inkl. Hinweisen auf Google Analytics, Meta Pixel und Einwilligungs-Banner.

Datenschutzerklärung (nDSG) erstellen

Kostenlos nutzbarSofort als PDFKein Konto erforderlich

DATENSCHUTZERKLÄRUNG

Gemäss Schweizer Datenschutzgesetz (Ndsg), In Kraft Seit 1. September 2023

Verantwortlicher: Muster AG

Kontakt: datenschutz@muster.ch

Diese Datenschutzerklärung informiert über die Bearbeitung von Personendaten durch Muster AG im Rahmen seiner Geschäftstätigkeit und im Zusammenhang mit dem Besuch der Webseite, der Inanspruchnahme von Dienstleistungen sowie der Kommunikation per E-Mail oder anderen Kanälen. Die Bearbeitung erfolgt unter Beachtung der Grundsätze von Treu und Glauben, der Zweckbindung, der Verhältnismässigkeit sowie der Datenminimierung (nDSG Art. 6). Soweit im Einzelfall die EU-Datenschutz-Grundverordnung (DSGVO, VO 2016/679) anwendbar ist, gelten die einschlägigen Bestimmungen ergänzend.

VERANTWORTLICHER IM SINNE DES NDSG

Verantwortlich für die Bearbeitung von Personendaten im Sinne des Schweizer Datenschutzgesetzes (nDSG Art. 5 lit. j) ist die nachfolgend bezeichnete Stelle. Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder für sonstige datenschutzrechtliche Anliegen können Sie sich jederzeit an die angegebenen Kontaktadressen wenden.

Verantwortlicher	Muster AG
Adresse	Bahnhofstrasse 10, 8001 Zürich
E-Mail	datenschutz@muster.ch
Telefon	+41 44 123 45 67
Webseite	https://www.muster.ch

ART UND KATEGORIEN DER BEARBEITETEN PERSONENDATEN

Wir bearbeiten folgende Kategorien von Personendaten im Sinne von nDSG Art. 5 lit. a:
• Name und Vorname
• E-Mail-Adresse
• Telefonnummer
• Postadresse
• Zahlungsinformationen (IBAN, Kreditkarte)
• IP-Adresse und Logdaten
• Cookies und Tracking-Daten

Die Datenerhebung erfolgt transparent im Sinne der Informationspflicht nach nDSG Art. 19 — in der Regel durch direkte Angabe der betroffenen Person, durch Nutzung unserer Dienste oder automatisiert beim Besuch der Webseite. Besonders schützenswerte Personendaten (nDSG Art. 5 lit. c) werden nur bearbeitet, soweit dies ausdrücklich vorgesehen oder gesetzlich zulässig ist.

ZWECKE DER DATENBEARBEITUNG

Die Personendaten werden ausschliesslich zu den nachfolgend genannten, festgelegten und rechtmässigen Zwecken bearbeitet (Grundsatz der Zweckbindung, nDSG Art. 6 Abs. 3):
• Vertragsabwicklung und Kundenbetreuung
• Newsletter- und Marketingkommunikation
• Webseitenanalyse und Verbesserung der Dienste
• Gewährleistung der IT-Sicherheit und Missbrauchsvermeidung
• Erfüllung gesetzlicher Aufbewahrungs- und Meldepflichten
• Kundensupport und Bearbeitung von Anfragen

Eine Bearbeitung zu anderen als den angegebenen Zwecken erfolgt nur, sofern dies mit dem ursprünglichen Zweck vereinbar ist, eine neue Einwilligung eingeholt wurde oder eine gesetzliche Grundlage besteht.

RECHTMÄSSIGKEIT UND RECHTSGRUNDLAGE

Die Bearbeitung Ihrer Personendaten stützt sich auf folgende Grundlage: Vertragserfüllung oder Durchführung vorvertraglicher Massnahmen (nDSG Art. 31 Abs. 2 lit. a).

Das revidierte Schweizer Datenschutzgesetz (nDSG) verlangt — anders als die EU-DSGVO — grundsätzlich keine ausdrückliche Rechtsgrundlage für jede Bearbeitung durch Private. Die Bearbeitung ist zulässig, solange sie die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt (nDSG Art. 30 f.) und die Grundsätze nach nDSG Art. 6 eingehalten werden. Rechtfertigungsgründe bei sonst widerrechtlicher Bearbeitung sind Einwilligung, überwiegendes privates oder öffentliches Interesse oder Gesetz (nDSG Art. 31).

BEKANNTGABE AN DRITTE UND AUFTRAGSBEARBEITER

Wir geben Ihre Personendaten an Dritte weiter, soweit dies zur Erfüllung der oben genannten Zwecke erforderlich ist, eine gesetzliche Pflicht besteht oder eine Einwilligung vorliegt. Mit den beauftragten Dritten wurden schriftliche Auftragsbearbeitungsverträge gemäss nDSG Art. 9 abgeschlossen, welche den Datenschutz und die Datensicherheit verbindlich regeln.

Mögliche Empfänger Ihrer Daten sind insbesondere:
Hetzner Online GmbH (Hosting), Stripe Payments Europe Ltd. (Zahlungsabwicklung), Mailchimp / Intuit Inc. (Newsletter-Versand), Microsoft Ireland Operations Ltd. (Cloud-Infrastruktur)

Werden Dritte als Auftragsbearbeiter beigezogen (IT-Dienstleister, Hosting, Zahlungsabwicklung, Buchhaltung usw.), so verpflichten wir diese vertraglich auf die Einhaltung der datenschutzrechtlichen Vorgaben. Die Auftragsbearbeiter dürfen Personendaten nur so bearbeiten, wie es der Verantwortliche selbst tun dürfte (nDSG Art. 9 Abs. 1).

BEKANNTGABE VON PERSONENDATEN INS AUSLAND

Eine Übermittlung in Drittstaaten (insbesondere USA, UK, Staaten ausserhalb EU/EWR) erfolgt nur unter Einhaltung angemessener Garantien. Als Schutzmassnahme dient: Standardvertragsklauseln / SCC und spezifische vertragliche Garantien (nDSG Art. 16 Abs. 2 lit. b).

Die aktuelle Liste der Staaten mit angemessenem Datenschutzniveau wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geführt und ist öffentlich einsehbar. Bei Bekanntgaben ohne angemessenen Datenschutz ist der Verantwortliche verpflichtet, geeignete Garantien nach nDSG Art. 16 Abs. 2 sicherzustellen.

AUFBEWAHRUNG UND LÖSCHUNG

Personendaten werden für die Dauer der gesetzlichen Aufbewahrungspflichten gespeichert — insbesondere 10 Jahre gemäss OR Art. 958f (Geschäftsbücher, Geschäftskorrespondenz) sowie 10 Jahre gemäss MWSTG Art. 70 (Mehrwertsteuerbelege). Nach Ablauf dieser Fristen werden die Daten gelöscht oder anonymisiert.

Die Aufbewahrungsdauer richtet sich nach dem Zweck der Bearbeitung und den anwendbaren gesetzlichen Aufbewahrungspflichten. Personendaten, die für die Aufgabenerfüllung nicht mehr erforderlich sind, werden unverzüglich vernichtet oder anonymisiert (nDSG Art. 6 Abs. 4 — Grundsatz der Datenminimierung).

COOKIES UND VERGLEICHBARE TECHNOLOGIEN

Unsere Webseite verwendet Cookies — kleine Textdateien, die beim Besuch auf Ihrem Endgerät abgelegt werden — sowie vergleichbare Technologien (Local Storage, Pixel, Fingerprinting). Cookies ermöglichen die Wiedererkennung Ihres Geräts, die Analyse des Nutzungsverhaltens sowie die Bereitstellung personalisierter Inhalte.
• Technisch notwendige Cookies: Für den Betrieb der Webseite erforderlich, setzen keine Einwilligung voraus.
• Analyse-Cookies: Dienen der anonymisierten Nutzungsmessung (Reichweite, Verweildauer).
• Marketing-Cookies: Ermöglichen personalisierte Werbung und Retargeting auf Drittplattformen.
• Präferenz-Cookies: Speichern Spracheinstellungen, Region und weitere Benutzereinstellungen.

Sie können Ihre Cookie-Einstellungen jederzeit über unsere Cookie-Consent-Lösung anpassen. Nicht technisch notwendige Cookies werden erst nach Ihrer aktiven Einwilligung gesetzt (Opt-in).

EINSATZ VON ANALYSE- UND MARKETINGDIENSTEN

Wir setzen folgende Drittanbieter-Dienste ein, um die Nutzung unserer Webseite zu analysieren und unsere Angebote zu verbessern:
• Google Analytics 4 (Google Ireland Ltd. / Google LLC) — Webanalyse; Datenübermittlung in die USA nach nDSG Art. 16 möglich.
• Google Tag Manager (Google Ireland Ltd.) — Tag-Management-System zur Verwaltung von Marketing- und Analyse-Tags.
• Hotjar / Microsoft Clarity — Heatmaps und Session-Recording zur Verbesserung der Nutzerfreundlichkeit.

Diese Dienste können Daten in Länder ausserhalb der Schweiz — insbesondere in die USA — übermitteln. Eine solche Übermittlung erfolgt nur unter Einhaltung der Voraussetzungen nach nDSG Art. 16 ff. (Standardvertragsklauseln, Angemessenheitsbeschluss oder Einwilligung). Detaillierte Informationen zu Zweck, Umfang und Rechtsgrundlage der einzelnen Dienste finden Sie in den Datenschutzerklärungen der jeweiligen Anbieter.

10.

RECHTE DER BETROFFENEN PERSONEN

Als betroffene Person stehen Ihnen nach Schweizer Datenschutzgesetz folgende Rechte zu:
• Auskunftsrecht (nDSG Art. 25): Sie können Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten, inklusive Zweck, Kategorien, Empfänger und Aufbewahrungsdauer.
• Recht auf Datenherausgabe und Datenportabilität (nDSG Art. 28): Sie können die Herausgabe Ihrer Personendaten in einem gängigen elektronischen Format oder die direkte Übermittlung an einen anderen Verantwortlichen verlangen.
• Recht auf Berichtigung (nDSG Art. 32 Abs. 1): Sie können die Berichtigung unrichtiger Personendaten verlangen.
• Recht auf Löschung / Vernichtung: Sie können unter den Voraussetzungen von nDSG Art. 32 Abs. 2 die Vernichtung Ihrer Daten verlangen, soweit die Bearbeitung nicht mehr erforderlich oder rechtswidrig ist.
• Widerspruchsrecht: Sie können der Bearbeitung widersprechen, sofern kein überwiegendes öffentliches oder privates Interesse entgegensteht.
• Recht auf Widerruf der Einwilligung: Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht: Sie können beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Beschwerde einreichen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich an: datenschutz@muster.ch. Wir werden Ihr Anliegen innerhalb von 30 Tagen beantworten (nDSG Art. 25 Abs. 7). Eine Identitätsprüfung kann zum Schutz Ihrer Daten verlangt werden.

11.

DATENSCHUTZBERATER / DATENSCHUTZBEAUFTRAGTER

Wir haben freiwillig einen Datenschutzberater (Datenschutzbeauftragten) im Sinne von nDSG Art. 10 benannt. Der Datenschutzberater berät den Verantwortlichen in Datenschutzfragen und wirkt bei der Umsetzung der Datenschutzvorschriften mit.

Dr. Anna Keller
E-Mail: datenschutz@muster.ch

12.

DATENSICHERHEIT — TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Wir treffen gemäss nDSG Art. 8 und DSV Art. 1 ff. angemessene technische und organisatorische Massnahmen (TOM), um eine dem Risiko entsprechende Datensicherheit zu gewährleisten. Berücksichtigt werden der Stand der Technik, die Art und der Umfang der Bearbeitung, der Zweck, die Eintrittswahrscheinlichkeit und die Schwere von Risiken für die Persönlichkeit der betroffenen Personen:
• SSL/TLS-Verschlüsselung aller Datenübertragungen (HTTPS)
• Firewalls und Intrusion-Detection-Systeme
• Regelmässige, verschlüsselte Datensicherungen
• Zugriffskontrollen, Rollen- und Berechtigungskonzepte
• Verschlüsselung gespeicherter Daten (At-Rest-Encryption)

Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen, melden wir dem EDÖB so rasch als möglich (nDSG Art. 24). Die betroffenen Personen werden informiert, soweit dies zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt.

13.

ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, namentlich um sie an geänderte Rechtsgrundlagen, neue technische Entwicklungen oder veränderte Geschäftsprozesse anzupassen. Die jeweils aktuelle Fassung wird auf unserer Webseite veröffentlicht. Massgeblich ist die zum Zeitpunkt der Datenbearbeitung gültige Fassung.

Stand: 1. April 2026

14.

AUFSICHTSBEHÖRDE UND RECHTSWEG

Zuständige Aufsichtsbehörde für den Datenschutz in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB):

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Feldeggweg 1, 3003 Bern
Webseite: www.edoeb.admin.ch

Sie haben das Recht, beim EDÖB eine Anzeige gemäss nDSG Art. 49 einzureichen. Unabhängig davon steht Ihnen der zivilrechtliche Weg nach ZGB Art. 28 ff. zum Schutz Ihrer Persönlichkeit offen. Für die Durchsetzung zivilrechtlicher Ansprüche richtet sich der Gerichtsstand nach der Schweizerischen Zivilprozessordnung (ZPO Art. 20).

VERANTWORTLICHER

Muster AG

Stand: 1. April 2026

Datum: ____________________

Was ist eine Datenschutzerklärung nach nDSG?

Eine Datenschutzerklärung ist die öffentlich zugängliche Information, mit der ein Unternehmen (Verantwortlicher nach nDSG Art. 5 lit. j) den betroffenen Personen erklärt, welche Personendaten es bearbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Empfängern. Die Informationspflicht ergibt sich direkt aus nDSG Art. 19 und muss spätestens bei der Datenerhebung erfüllt werden. In der Praxis erfolgt dies durch eine auf der Website leicht auffindbare Seite, typischerweise unter "/datenschutz".

Das nDSG löst das DSG von 1992 ab und wurde massgeblich an die EU-DSGVO angeglichen, behält jedoch Schweizer Eigenheiten: risikobasierter Ansatz (kein Verbotsprinzip), detaillierte Informationspflichten, Meldung von Datenverletzungen an den EDÖB (nDSG Art. 24), strengere Anforderungen an die Auftragsbearbeitung (nDSG Art. 9) und Bussen für natürliche Personen bis CHF 250’000 bei vorsätzlichen Verstössen (nDSG Art. 60 ff.). Für CH-Unternehmen, die auch EU-Betroffene bearbeiten, gelten nDSG und DSGVO parallel.

Die Pflicht zur Datenschutzerklärung betrifft alle Organisationen, unabhängig von der Rechtsform — Einzelunternehmen, Vereine, Stiftungen, AG, GmbH. Inhaltlich muss sie mindestens die Identität und Kontaktdaten des Verantwortlichen, den Bearbeitungszweck, die Empfänger oder Kategorien von Empfängern sowie — bei Auslandbearbeitung — den Staat und die Garantien enthalten (nDSG Art. 19 Abs. 2–4). Bei besonders schützenswerten Personendaten (Gesundheit, religiöse Überzeugung, biometrische Daten) gelten erhöhte Informationsanforderungen.

Was diese Vorlage abdeckt

Die Doxuno-Vorlage deckt alle Pflichtangaben nach nDSG Art. 19 ab und bietet konfigurierbare Abschnitte für typische Website-, SaaS- und E-Commerce-Szenarien.

Identität und Kontaktdaten des Verantwortlichen

Firma, Adresse, E-Mail, Website und Telefon

Datenschutzberater (DSB)

Optional nach nDSG Art. 10

Datenarten

Kontakt, Zahlungen, IP, Cookies, Gesundheit (besonders schützenswert)

Bearbeitungszwecke

Vertragsabwicklung, Newsletter, Analyse, Sicherheit, Support

Rechtsgrundlagen

Einwilligung, Vertrag, gesetzliche Pflicht oder berechtigtes Interesse

Empfänger und Auftragsbearbeiter

Verweis auf AVV und Drittanbieter-Services

Bekanntgabe ins Ausland

Angemessenheit und Garantien nach nDSG Art. 16–18

Aufbewahrungsdauer

Zweckbindung oder konkrete Fristen

Cookies und Tracking

Essenzielle, Analyse-, Marketing- und Präferenz-Cookies

Tools von Drittanbietern

Google Analytics, GTM, Meta Pixel, Hotjar, LinkedIn

Rechte der Betroffenen

Auskunft, Berichtigung, Löschung, Datenherausgabe (nDSG Art. 25–28)

Datensicherheit und Meldepflicht

TOM und Meldung an EDÖB nach nDSG Art. 24

So erstellen Sie Ihre Datenschutzerklärung

Die Vorlage ist so konzipiert, dass ein typisches KMU ohne juristische Unterstützung in 15–20 Minuten eine nDSG-konforme Datenschutzerklärung erstellen kann.

1
Geben Sie Organisationstyp und Kontaktdaten ein
Wählen Sie Einzelunternehmen oder juristische Person und erfassen Sie Firmenname, Adresse, E-Mail, Telefon und Website. Bei Unternehmen mit Datenschutzberater (nDSG Art. 10) geben Sie Name und Kontakt-E-Mail des DSB an.
2
Wählen Sie Datenarten und Zwecke
Markieren Sie die Datenarten, die Sie bearbeiten (Kontaktdaten, Zahlungsinformationen, IP-Adressen, Cookies, Gesundheitsdaten als besonders schützenswerte Daten). Wählen Sie die Zwecke: Vertragsabwicklung, Newsletter, Analyse, Sicherheit, Support.
3
Bestimmen Sie Rechtsgrundlage und Empfänger
Wählen Sie die Rechtsgrundlage je Bearbeitung (Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse). Geben Sie an, ob Daten an Auftragsbearbeiter oder Dritte weitergegeben werden, und wo sich diese befinden (Schweiz, EU, USA).
4
Konfigurieren Sie Cookies und Tools
Markieren Sie die Cookie-Kategorien (essenziell, Analyse, Marketing, Präferenzen) und wählen Sie die eingesetzten Drittanbieter-Tools (Google Analytics 4, Google Tag Manager, Meta Pixel, Hotjar, LinkedIn Insight Tag). Entscheiden Sie, ob ein Consent-Management-Tool im Einsatz ist.
5
Aufbewahrung, Auskunftsrecht und Veröffentlichung
Bestimmen Sie die Aufbewahrungsdauer (zweckgebunden oder konkrete Fristen) und den Umgang mit Profiling. Tragen Sie das Datum der aktuellen Fassung ein. Laden Sie das PDF herunter, kopieren Sie den Text in eine eigene Seite Ihrer Website (z. B. /datenschutz) und verlinken Sie sie gut sichtbar im Footer.

Rechtliche Hinweise nach Schweizer Recht

Die Datenschutzerklärung muss inhaltlich korrekt und aktuell sein. Falsche oder unvollständige Angaben können Bussen und zivilrechtliche Ansprüche zur Folge haben.

Diese Vorlage dient ausschliesslich zu Informationszwecken und ersetzt keine individuelle Rechtsberatung. Bei Bearbeitung grosser Datenmengen, regelmässigem Profiling, besonders schützenswerten Daten oder umfangreichen internationalen Datentransfers empfehlen wir die Prüfung durch einen Datenschutzspezialisten oder Datenschutzberater (DSB).

Geprüft nach Schweizer Recht (nDSG, DSV, EU-DSGVO)

Informationspflicht bei Beschaffung (nDSG Art. 19)

Der Verantwortliche muss die betroffene Person bei der Beschaffung von Personendaten angemessen informieren (nDSG Art. 19 Abs. 1). Die Information umfasst zwingend: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, Empfänger oder Kategorien von Empfängern sowie, bei Auslandbearbeitung, den Staat und die Garantien (Abs. 2–4). Die Information muss in verständlicher Form, gut zugänglich und klar erkennbar erfolgen — in der Praxis durch die Datenschutzerklärung auf der Website, typischerweise verlinkt im Footer oder bei jedem Formular.

Rechte der Betroffenen (nDSG Art. 25–28)

Betroffene Personen haben das Recht auf Auskunft (nDSG Art. 25), auf Berichtigung (Art. 32 Abs. 1), auf Datenherausgabe/Portabilität (Art. 28) und auf Widerspruch bei automatisierten Einzelentscheidungen (Art. 21). Das Auskunftsrecht umfasst die bearbeiteten Personendaten, Herkunft, Zweck und Rechtsgrundlage, Dauer oder Kriterien der Aufbewahrung sowie Empfänger. Die Auskunft muss in der Regel innerhalb von 30 Tagen erteilt werden; Kosten werden nur in Ausnahmefällen erhoben (nDSG Art. 25 Abs. 6).

Drittlandtransfer (nDSG Art. 16–18)

Bekanntgabe von Personendaten ins Ausland ist nur zulässig, wenn der Bundesrat den angemessenen Schutz festgestellt hat (Liste in DSV Anhang 1 — u.a. EU/EWR, UK, Andorra, Argentinien, Japan) oder geeignete Garantien vorliegen (EDÖB-Standardvertragsklauseln, verbindliche unternehmensinterne Datenschutzvorschriften, ausdrückliche Einwilligung). Für Transfers in die USA ist das "Swiss-US Data Privacy Framework" unter bestimmten Voraussetzungen eine gültige Grundlage (Entscheid des Bundesrats vom August 2024), sofern das empfangende US-Unternehmen zertifiziert ist.

Meldung von Datenverletzungen (nDSG Art. 24)

Der Verantwortliche meldet dem EDÖB eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person führt, "raschmöglich" (nDSG Art. 24 Abs. 1). In der Praxis wird eine 72-Stunden-Frist (wie in der DSGVO) als Orientierung empfohlen. Die betroffene Person ist zu informieren, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Die Meldung erfolgt über das elektronische Meldeformular des EDÖB (edoeb.admin.ch).

Häufige Fragen

Erstellen Sie jetzt Ihre Datenschutzerklärung

nDSG-konform, praxisgeprüft und mit allen Pflichtangaben — in wenigen Minuten als PDF erstellt und direkt auf Ihrer Website einsetzbar.

Datenschutzerklärung (nDSG) erstellen Alle Vorlagen ansehen

Kostenlos · Sofort PDF · Kein Konto erforderlich