Entspricht Ihre Website dem DPA? Wahrscheinlich nicht.

Die beunruhigende Beobachtung

Ich überprüfe regelmässig Websites für Schweizer PME und die Beobachtung ist fast immer die gleiche: Die meisten Websites entsprechen nicht der neuen LPD.

In den meisten Fällen ist es einfach Unwissenheit. Der Entwickler oder die Agentur, die die Website erstellt hat, hat sich keine Gedanken über den Datenschutz gemacht. Der Chef hat keine Ahnung, was das Gesetz vorschreibt. Und dann: „Das hat immer so funktioniert.“

Das Problem ist, dass seit dem 1. September 2023 das neue Bundesdatenschutzgesetz (nLPD) in Kraft ist. Die Bußgelder belaufen sich auf bis zu 250.000 CHF und richten sich gegen die verantwortlichen Personen, nicht gegen das Unternehmen. Mit anderen Worten: Es ist der Manager, der zahlt.

Die 7 häufigsten Verstöße

1. Google Analytics ohne Rechtsgrundlage

Das Problem: Die meisten Schweizer Websites laufen unter Google Analytics. Google erhebt Besucherdaten, überträgt diese in die USA und nutzt sie ggf. für eigene Werbung.

Was das Gesetz sagt: Eine Übermittlung in ein Land ohne angemessenen Schutz (die USA seit dem Schrems-II-Urteil) erfordert zusätzliche Garantien, wie etwa Standardvertragsklauseln oder eine ausdrückliche Einwilligung.

Was die meisten Websites tun: nichts. Google Analytics ist installiert, es läuft, niemand fragt die Meinung der Besucher.

Die Lösung:

• Verwenden Sie GA4 mit aktivierter IP-Anonymisierung
• Holen Sie vor dem Laden des Skripts eine ausdrückliche Zustimmung ein. Das alte Banner „Wenn Sie weitersurfen, akzeptieren Sie…“ reicht nicht mehr aus.
• Schauen Sie sich europäische Alternativen wie Matomo (selbst gehostet) oder Plausible (EU) an.

2. Vor der Einwilligung platzierte Cookies

Das Problem: Sie gelangen auf eine Website, das Cookie-Banner wird angezeigt, aber die Cookies sind bereits installiert. Einwilligung ist nur eine Fassade.

Was das Gesetz sagt: In der Schweiz verlangt die LPD Transparenz. Die RGPD erfordert die vorherige Zustimmung für nicht unbedingt erforderliche Cookies, sobald Sie europäische Besucher haben. Bevor Sie auf „Akzeptieren“ klicken, sollten keine Tracking- oder Marketing-Cookies platziert werden.

Was die meisten Websites tun: Sie laden Google Analytics, Facebook Pixel, HubSpot und etwa fünfzehn weitere Tracker, sobald die Seite geöffnet wird. Das Stirnband ist rein dekorativ.

Die Lösung:

• Implementieren Sie ein echtes Einwilligungsmanagement: Vor dem Klick werden keine nicht unbedingt erforderlichen Skripte geladen
• Cookies kategorisieren (notwendig, analytisch, Marketing)
• Machen Sie die Ablehnung so einfach wie die Akzeptanz, ohne dunkle Muster
• Auf meiner eigenen Website verwende ich ein System, das GA4 blockiert, bis der Besucher zustimmt. In meinen Augen ist das der einzig richtige Ansatz.

3. Kontaktformulare ohne Angaben

Das Problem: ein Kontaktformular, das Name, E-Mail, Telefonnummer und Nachricht sammelt, ohne jemals zu sagen, was Sie mit diesen Daten machen.

Was das Gesetz sagt: Jede Sammlung muss mit klaren Informationen versehen sein. Wer erhebt, warum, für wie lange, an wen werden die Daten übermittelt?

Was die meisten Websites tun: ein Formular, eine Schaltfläche „Senden“ und das war’s.

Die Lösung:

• Fügen Sie unter dem Formular einen Link zur Datenschutzrichtlinie hinzu
• Geben Sie etwas an wie „Ihre Daten werden nur zur Beantwortung Ihrer Anfrage verwendet und X Monate lang aufbewahrt.“
• Wenn die Daten an Dritte (FormSubmit, Mailchimp…) gehen, teilen Sie dies mit
• Fügen Sie bei Bedarf ein nicht vorab aktiviertes Kontrollkästchen für die Einwilligung hinzu

4. Fehlende oder kopierte Datenschutzrichtlinie

Das Problem: Entweder gibt es überhaupt keine Datenschutzerklärung oder es handelt sich um aus dem Internet kopierte generische Texte, die nichts mit der Realität der Seite zu tun haben.

Was das Gesetz sagt: Die Richtlinie muss spezifisch für Ihre Website sein. Es beschreibt, welche Tools Sie tatsächlich nutzen, welche Daten Sie sammeln und wie Sie diese verarbeiten.

Die Fehler, die ich am häufigsten sehe:

• Erwähnen Sie Werkzeuge, die Sie nicht verwenden, oder vergessen Sie diejenigen, die Sie verwenden
• Schweigen Sie über Datenübermittlungen ausserhalb der Schweiz
• Geben Sie nicht die Kontaktdaten des Datenverantwortlichen an
• Text nur auf Französisch, obwohl die Website mehrsprachig ist

Die Lösung:

• Schreiben Sie eine maßgeschneiderte Richtlinie, die zu Ihrer tatsächlichen Situation passt
• Aktualisieren Sie es, sobald Sie ein Tool hinzufügen (neues Plugin, neue Integration)
• Machen Sie es von jeder Seite aus über einen Fußzeilenlink zugänglich

5. Kein HTTPS oder abgelaufenes SSL-Zertifikat

Das Problem: Im Jahr 2026 scheint es offensichtlich. Allerdings stoße ich immer noch auf PME-Seiten in HTTP oder mit einem SSL-Zertifikat, das vor Monaten abgelaufen ist.

Was das bedeutet:

• Die Daten aus dem Kontaktformular zirkulieren unverschlüsselt im Netzwerk
• Jeder im selben WLAN kann sie abfangen
• Google bestraft die Website in den Suchergebnissen
• Der Browser zeigt die Warnung „Nicht sicher“ an, die Besucher abschreckt

Die Lösung:

• Installieren Sie ein SSL-Zertifikat (Let’s Encrypt ist kostenlos) – Konfigurieren Sie die HTTP-Umleitung zu HTTPS
• Überprüfen Sie, ob sich das Zertifikat selbst erneuert – HSTS-Header hinzufügen, um HTTPS zu erzwingen

6. Fehlende Sicherheitsheader

Das Problem: Selbst mit HTTPS bleibt die Site angreifbar, wenn HTTP-Sicherheitsheader nicht konfiguriert sind.

Wichtige Überschriften:

• „Content-Security-Policy“ (CSP) blockiert das Laden schädlicher Skripte (XSS-Schutz)
• „X-Frame-Options“ verhindert, dass Ihre Website in einen betrügerischen Iframe integriert wird (Clickjacking)
• „X-Content-Type-Options“ verhindert, dass der Browser eine Datei anders interpretiert als erwartet – „Strict-Transport-Security“ (HSTS) erzwingt HTTPS, ohne mögliche Rückkehr zu HTTP
• „Referrer-Policy“ steuert die Informationen, die beim Klicken auf eine andere Website gesendet werden
• „Permissions-Policy“ steuert den Zugriff auf die API des Browsers (Kamera, Mikrofon, Geolokalisierung).

Was die meisten Websites tun: Keiner dieser Header ist konfiguriert.

Die Lösung: Definieren Sie sie im Webserver (Apache, Nginx, CloudPanel). Warten Sie etwa dreißig Minuten, und die Sicherheitsstufe der Website ändert sich vollständig.

7. Reservierungs-/Formulardaten unverschlüsselt gespeichert

Das Problem: Über ein Formular gesendete Daten werden im Klartext in der Datenbank gespeichert. Im Falle eines Hacks ist alles auf einmal lesbar.

Was das Gesetz sagt: Die Datenschutzbehörde verlangt geeignete technische Maßnahmen zum Schutz personenbezogener Daten. Eine übersichtliche Aufbewahrung ist nicht sinnvoll.

Die Lösung:

• Verschlüsseln Sie sensible Daten in der Basis
• Hash-Passwörter mit bcrypt oder Argon2, niemals im Klartext speichern
• Beschränken Sie den Zugriff auf die Datenbank (Prinzip der geringsten Rechte)
• Löschen Sie Daten, sobald sie nicht mehr benötigt werden

So verifizieren Sie Ihre Website in 10 Minuten

Eine erste Diagnose können Sie selbst und ohne Spezialwerkzeuge stellen.

Test 1: HTTPS

Ihre URL beginnt mit „https://“ und das Vorhängeschloss wird im Browser angezeigt? Wenn nicht, hat es Priorität Nummer eins.

Test 2: Kekse

Öffnen Sie Ihre Website im privaten Browser. Bevor Sie irgendwo klicken, öffnen Sie DevTools (F12), dann Anwendung und dann Cookies. Sind bereits Cookies platziert? Wenn sie nicht unbedingt erforderlich sind, handelt es sich um einen Verstoß.

Test 3: Form

Steht in Ihrem Kontaktformular klar, was mit den Daten geschieht? Gibt es einen Link zu Ihrer Datenschutzerklärung?

Test 4: Datenschutzrichtlinie

Hast du eins? Und werden Google Analytics, Formulare, Cookies und mögliche Übertragungen ausserhalb der Schweiz namentlich erwähnt?

Test 5: Sicherheitsheader

Gehen Sie zu securityheaders.com und geben Sie Ihre URL ein. Unterhalb von B gibt es Arbeit.

Warum machen Webagenturen das nicht?

Ich sage es ganz direkt: Die meisten Webagenturen in der Schweiz überprüfen nicht die LPD-Konformität der von ihnen bereitgestellten Websites. Wofür ?

1. Es ist nicht ihre Aufgabe. Sie kümmern sich um Design, Entwicklung und SEO. Die Einhaltung gesetzlicher Vorschriften ist eine andere Welt.
2. Es braucht Zeit. Die korrekte Konfiguration von Cookies, Headern und der Datenschutzrichtlinie passt nicht in ein Angebot von 5.000 CHF.
3. Der Kunde fragt nicht danach. Wenn er nicht weiß, dass es notwendig ist, spricht niemand das Thema an.
4. CMS erleichtern schlechte Praktiken. Nehmen Sie WordPress mit fünfzehn Plugins, die ihre Cookies jeweils ohne Koordination in ihrer eigenen Ecke platzieren.

Das ist kein Vorwurf, sondern nur eine Beobachtung. Und genau deshalb ist ein Profi wertvoll, der sich sowohl mit Technik als auch mit Recht auskennt.

Was auf dem Spiel steht

Die Einhaltung der LPD ist kein Luxus. Dies ist eine gesetzliche Verpflichtung und auch eine Frage der Ethik.

Ihre Besucher nennen Ihnen ihren Namen, ihre E-Mail-Adresse und ihre Fragen. Es ist nicht nichts. Alle erfassten Daten stellen ein Ihnen entgegengebrachtes Vertrauen dar, und ein dekoratives Cookie-Banner reicht nicht aus, um es zu würdigen. Es sind echte technische Maßnahmen erforderlich.

Auf meiner eigenen Website wird es wie folgt gehandhabt:

• Echte Cookie-Zustimmung, wobei GA4 blockiert wird, bis darauf geklickt wird
• Konfigurierte Sicherheitsheader
• HTTPS überall, mit HSTS
• Maßgeschneiderte Datenschutzrichtlinie
• Keine Datenübermittlung ohne Angabe von Gründen an Dritte

Das ist keine Paranoia, es ist nur das Minimum, das jede Website in der Schweiz tun sollte.

---

Quellen und Ressourcen

• Schweizerische Eidgenossenschaft, Neues Datenschutzgesetz (nLPD), 1. September 2023
• PFPDT, Praktischer Leitfaden für Unternehmen, 2024
• EuGH, Urteil Schrems II (C-311/18), Juli 2020
• OWASP, Top 10 Web-Schwachstellen, 2021
• Mozilla, Observatory (Security Headers)
• SecurityHeaders.com, HTTP-Header-Prüftool

---

Ist Ihre Website konform? Kostenloses Audit buchen: Ich überprüfe Ihre Website in 30 Minuten auf LPD-Konformität, technische Sicherheit und Leistung.