Datenschutzerklärung erstellen: Vorlage und Praxisleitfaden für Schweizer Webseiten

«Können Sie unsere Datenschutzerklärung kurz prüfen? Es ist eine Standard-Vorlage.» Diese Anfrage bekomme ich pro Monat etwa fünfmal. Und in 80 % der Fälle ist die Datenschutzerklärung nicht nur formal unvollständig, sondern auch inhaltlich falsch — weil die Vorlage nicht zur tatsächlichen Datenverarbeitung passt.

Was eine korrekte Datenschutzerklärung 2026 enthalten muss, welche Fehler ich regelmässig sehe und wann sich ein Generator gegenüber einer Vorlage lohnt — eine Praxisanleitung.

Die rechtliche Grundlage

Das revidierte DSG (Art. 19 ff.) verpflichtet jeden, der Personendaten bearbeitet, zur Information der betroffenen Personen. Das gilt unabhängig davon, ob Sie eine kleine Webseite oder eine grosse Plattform betreiben. Bei einer Webseite ist die Datenschutzerklärung die übliche Form dieser Information.

Wichtig: Die Information muss vor der Bearbeitung verfügbar sein, in leicht zugänglicher Form, und sie muss vollständig sein. Eine versteckte Erklärung im Footer-Mikrofont erfüllt das schon nicht ganz.

Die 12 Bausteine einer korrekten Datenschutzerklärung

Strukturiert man die Erklärung nach den DSG- und (bei DACH-Geschäft) DSGVO-Anforderungen, ergibt sich folgender Aufbau:

1. Identität des Verantwortlichen — Firmenname, Adresse, Kontaktperson
2. Kontakt für Datenschutzanfragen — E-Mail oder Postadresse
3. EU-Vertreter — falls DSGVO greift (Art. 27)
4. Welche Daten werden bearbeitet — Kategorien, nicht jeder einzelne Datenpunkt
5. Zweck der Bearbeitung — pro Kategorie
6. Rechtsgrundlage — Einwilligung, Vertragserfüllung, berechtigtes Interesse
7. Speicherdauer — pro Kategorie, idealerweise mit Begründung
8. Empfänger der Daten — Auftragsverarbeiter (Hoster, CRM, E-Mail-Versender), aber auch Werbenetzwerke
9. Datenexporte ins Ausland — Land, Mechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss)
10. Rechte der Betroffenen — Auskunft, Berichtigung, Löschung, Widerspruch
11. Cookie-Aufstellung — bei Verwendung von Tracking
12. Stand und Versionierung — Datum der letzten Änderung

In dieser Reihenfolge oder einer ähnlichen Logik sollte jede Datenschutzerklärung aufgebaut sein. Eine reine Auflistung «wir verwenden Google Analytics» ohne diese Strukturierung ist keine Datenschutzerklärung — es ist eine Behauptung.

Drei häufige Fehler bei Schweizer KMU

Fehler 1 — Outdated Vorlage. Die Erklärung wurde 2021 vom IT-Dienstleister erstellt. Seither: drei neue Tools (HubSpot, Calendly, Vimeo), keine Aktualisierung der Erklärung. Resultat: Die Erklärung listet drei Tools, die Webseite verwendet sechs. Bei einer EDÖB-Stichprobe ist das ein dokumentierter Verstoss.

Fehler 2 — Generische Vorlage. «Diese Webseite nutzt Cookies, die für die Funktion erforderlich sind.» Welche Cookies? Welcher Zweck? Welche Speicherdauer? Pflichtangaben fehlen, die Erklärung ist juristisch unvollständig.

Fehler 3 — Versteckter US-Datenexport. Mailchimp wird genannt, ohne den Hinweis, dass Daten in die USA fliessen und welcher Mechanismus den Export legitimiert (Standardvertragsklauseln). Auch der Hinweis auf das EU-US Data Privacy Framework wäre hier hilfreich.

Generator vs. Anwalt — die ehrliche Einschätzung

Generator (Aiara, datenschutzgenerator.de, etc.):

• Pro: Günstig (CHF 200-600/Jahr), automatische Updates bei Gesetzesänderungen, Cookie-Scanner-Integration
• Contra: Standard-Formulierungen, weniger juristische Tiefe für Spezialfälle
• Geeignet für: Standard-Webseiten, KMU, Webagenturen mit vielen Kunden

Anwalt (Schweizer Wirtschaftskanzlei):

• Pro: Massgeschneidert, beraterisch, deckt Spezialfälle ab
• Contra: Teuer (CHF 1000-3000 Erstaufwand, jährliche Updates extra), schwerfällig bei Tool-Updates
• Geeignet für: Komplexe B2B-Datenverarbeitungen, Branchen mit spezifischen Compliance-Anforderungen (Gesundheit, Finanz)

In der Praxis: 90 % der KMU sind mit einem guten Generator besser bedient. Wer komplexe Datenverarbeitungen hat (etwa medizinische Daten, Finanztransaktionen, Personalentscheidungen mit Algorithmen), sollte den Anwalt-Weg gehen.

Die häufigsten Drittanbieter-Tools — und wie sie zu erwähnen sind

Eine kurze Liste, was bei den meisten Schweizer KMU vorkommt:

• Google Analytics 4 / Google Ads — Empfänger: Google Ireland; Datenexport USA mit Standardvertragsklauseln; Zweck: Webseiten-Statistik / Werbe-Optimierung; Speicherdauer: 14 Monate (Default GA4).
• Meta Pixel — Empfänger: Meta Platforms Ireland; Export USA; Zweck: Werbe-Targeting; Speicherdauer: 90 Tage (Default).
• HubSpot / Salesforce — Empfänger: HubSpot/Salesforce; Export USA/EU; Zweck: CRM und Marketing-Automation; Speicherdauer: bis zur Beendigung der Geschäftsbeziehung.
• Mailchimp / Brevo — Empfänger: Anbieter; Export je nach Anbieter (Brevo EU, Mailchimp USA); Zweck: Newsletter-Versand; Speicherdauer: bis zur Abmeldung.
• Calendly — Empfänger: Calendly Inc.; Export USA; Zweck: Terminbuchung; Speicherdauer: nach Termin-Abschluss zeitlich begrenzt.

Für jedes Tool sollten Sie diese fünf Angaben in der Erklärung machen. Generic «wir nutzen Drittanbieter» ohne Spezifikation ist nicht zulässig.

Mehrsprachigkeit — das oft vergessene Thema

Eine deutschsprachige Datenschutzerklärung auf einer DE/FR/IT-Webseite ist ein klassisches Compliance-Loch. Die DSG verlangt zwar keine Mehrsprachigkeit explizit, aber die «leichte Zugänglichkeit» bedeutet praktisch, dass die Information für die Zielgruppe verständlich sein muss.

In der Praxis: Wenn Sie eine mehrsprachige Webseite haben, brauchen Sie eine mehrsprachige Datenschutzerklärung. Bei Aiara passiert das automatisch — beim Generator-Setup wird die Erklärung in allen vier Sprachen DE/FR/IT/EN parallel erstellt und synchron gehalten.

Praxis-Checkliste

Vor jedem grösseren Webseiten-Update:

• Aktualisiert sich die Datenschutzerklärung mit den Tools synchron?
• Sind alle aktuell genutzten Drittanbieter benannt?
• Ist das Datum der letzten Aktualisierung sichtbar?
• Sind alle Datenexporte ins Ausland mit Mechanismus ausgewiesen?
• Ist die Erklärung in allen Sprachen der Webseite verfügbar?
• Gibt es einen Auskunfts-Prozess mit klar definiertem Empfänger?

Was Aiara hier konkret tut

Aiara generiert die Datenschutzerklärung basierend auf Ihrem Cookie-Scan und Ihren Eingaben im Fragebogen. Das System kennt die häufigsten Drittanbieter-Tools und füllt die Pflichtangaben automatisch aus. Bei Cookie-Änderungen auf der Webseite passt sich die Erklärung mit. Versionierung ist eingebaut — frühere Stände bleiben einsehbar, was bei Auskunftsanfragen oder Audits Gold wert ist.