Das revidierte Schweizer Datenschutzgesetz (nDSG) ist seit dem 1. September 2023 in Kraft. Was zunächst nach einem behördlichen Papiertiger klingt, hat für KMU und Handwerksbetriebe in der Schweiz und im Fürstentum Liechtenstein handfeste Konsequenzen: strengere Anforderungen an die Einwilligung, granularer Cookie-Consent und, als schärfstes Instrument, die persönliche Haftung von Geschäftsführerinnen und Geschäftsführern mit Bussen bis zu 250.000 Franken.
Dieser Leitfaden zeigt, worauf es ankommt, ohne Juristenlatein.
Wer ist betroffen?
Kurze Antwort: praktisch jeder Betrieb, der eine Website betreibt oder Kundendaten digital verwaltet. Das gilt für die Schreinerei mit fünf Mitarbeitenden genauso wie für den Sanitärbetrieb, der Kontaktformulare und Google Analytics einsetzt.
Das nDSG schützt ausschließlich natürliche Personen (also keine Firmen), aber sobald du auf deiner Website Daten von Privatpersonen sammelst, etwa über ein Kontaktformular, einen Newsletter oder Tracking-Tools, bist du in der Pflicht.
Betriebe mit Kunden in Liechtenstein sind zusätzlich vom liechtensteinischen Datenschutzgesetz (DSG-FL) betroffen, das eng am Schweizer nDSG orientiert ist.
Die drei größten Änderungen
1. Strengere Einwilligung
Das bisherige Prinzip, dass das Weitersurfen auf einer Website als stillschweigende Einwilligung gilt, ist mit dem nDSG passé. Wer Daten für nicht zwingend notwendige Zwecke (Tracking, Marketing, Analytics) verarbeitet, braucht eine aktive, informierte Einwilligung der Nutzenden.
Was das in der Praxis bedeutet:
- Ein Banner, der nur darauf hinweist, dass die Website Cookies verwendet, und dann einfach weiterläuft, genügt nicht mehr.
- Die Einwilligung muss freiwillig, spezifisch und unmissverständlich sein.
- Vorausgewählte Checkboxen oder Designs, die „Akzeptieren” deutlich leichter machen als „Ablehnen” (sogenannte Dark Patterns), sind unzulässig.
2. Granularer Cookie-Consent
Mit dem nDSG muss nicht mehr pauschal über alle Cookies entschieden werden. Nutzende haben das Recht, nur bestimmte Kategorien zu akzeptieren, zum Beispiel „Notwendige Cookies” zu akzeptieren und „Marketing-Cookies” gleichzeitig abzulehnen.
Konkrete Anforderungen an deinen Cookie-Banner:
- Kategorisierung in mindestens: Notwendig, Statistiken/Analyse, Marketing
- „Alle ablehnen” muss genauso prominent erscheinen wie „Alle akzeptieren”
- Nutzende müssen ihre Einwilligung jederzeit widerrufen können, zum Beispiel über einen Link im Footer
- Einwilligungen müssen dokumentiert und nachweisbar gespeichert werden
Der Aufwand ist gering, wenn das technische Setup stimmt. Ein sauber konfigurierter Consent Manager, wie er bei Greyboard-Projekten standardmäßig integriert wird, erledigt das automatisch.
3. Persönliche Haftung für Geschäftsführer
Das ist der Punkt, der in der Praxis am stärksten unterschätzt wird. Das nDSG sieht vor, dass vorsätzliche Datenschutzverstöße nicht nur das Unternehmen, sondern auch die verantwortlichen natürlichen Personen treffen. Konkret drohen:
- Bussen bis zu 250.000 Franken für natürliche Personen bei vorsätzlichen Verstößen
- Die Busse richtet sich gegen die Person, nicht gegen die GmbH oder AG
Vorsatz im Sinn des Gesetzes liegt nicht erst dann vor, wenn jemand bewusst gegen das Gesetz verstößt. Es kann genügen, dass die verantwortliche Person die Verletzung für möglich hielt und in Kauf nahm. Wer weiß, dass seine Website Tracking ohne gültige Einwilligung betreibt, und nichts unternimmt, bewegt sich in diesem Bereich.
Was du konkret tun musst
Eine vollständige Compliance-Prüfung hängt vom Einzelfall ab, aber diese fünf Punkte decken für die meisten KMU und Handwerksbetriebe die größten Risiken ab:
1. Cookie-Banner überprüfen
Läuft dein Banner noch auf dem alten „Akzeptieren oder Weitersurfen”-Modell? Dann muss er ersetzt werden. Ein konformer Banner braucht eine gleichwertige Ablehn-Option und granulare Kategorien.
2. Datenschutzerklärung aktualisieren
Beschreibt deine Datenschutzerklärung, welche Daten du zu welchem Zweck erhebst, wie lange du sie speicherst und mit wem du sie teilst? Falls nicht, ist eine Überarbeitung fällig.
3. Drittanbieter-Tools inventarisieren
Google Analytics, Facebook Pixel, Booking-Widgets: Jedes Tool, das Daten an Dritte überträgt, muss in der Datenschutzerklärung aufgeführt sein und darf nur nach Einwilligung aktiv werden.
4. Formulare absichern
Kontaktformulare sollten Daten nicht länger speichern als nötig. Wenn du Formulardaten in einem CRM ablegst, müssen die Betroffenen darüber informiert werden.
5. Maßnahmen dokumentieren
Wer als Geschäftsführer nachweisen kann, dass er die nDSG-Anforderungen geprüft und umgesetzt hat, ist im Streitfall besser gestellt als jemand, der keinerlei Maßnahmen ergriffen hat.
Liechtenstein: Besonderheiten
Das Fürstentum Liechtenstein hat sein Datenschutzgesetz ebenfalls grundlegend überarbeitet. Es orientiert sich eng an der europäischen DSGVO und am Schweizer nDSG. Für Betriebe, die in Liechtenstein tätig sind oder dort Kunden haben, gelten im Wesentlichen die gleichen Anforderungen. Der entscheidende Unterschied: Liechtenstein ist Teil des EWR, weshalb bei grenzüberschreitenden Datenübermittlungen zusätzlich EWR-Regelungen greifen können.
Fazit: Lieber jetzt als zu spät
Das nDSG ist kein bürokratisches Beiwerk. Die persönliche Haftung von Geschäftsführern macht es zum echten Risikofaktor. Wer jetzt handelt, schützt sich und seinen Betrieb und gewinnt gleichzeitig das Vertrauen von Kunden, die Datenschutz zunehmend ernst nehmen.
Die gute Nachricht: Technisch ist vollständige Compliance kein Hexenwerk. Mit dem richtigen Setup ist es eine einmalige Investition, die danach automatisch läuft.