Ein Sanitär-Meister aus dem Kanton Aargau öffnet einen Brief des EDÖB. Er hat nichts gehackt, keine Daten verkauft, keinen Fehler absichtlich begangen. Seine Webagentur hatte vor drei Jahren Google Analytics eingerichtet, ohne eine Einwilligungslösung zu konfigurieren. Er wusste nicht, dass das Tool so läuft. Die Webseite war sonst in Ordnung. Dieser Artikel ist eine 7-Punkte-Checkliste mit dem, was auf jeder Handwerker-Webseite heute geregelt sein muss.
Was verlangt das nDSG von einer Handwerker-Webseite?
Seit dem 1. September 2023 verpflichtet das nDSG (revDSG) jeden, der online Personendaten bearbeitet, zur Information, zum Schutz und im Schadensfall zur Meldung. Kontaktformulare, Tracking-Tools und eingebettete Karten zählen alle als Datenbeschaffungspunkte.
Das Gesetz nennt den Verantwortlichen, nicht die Webagentur. Die Pflicht liegt beim Betriebsinhaber, unabhängig davon, wer die Webseite gebaut hat.
Welche Fehler kommen bei Handwerksbetrieben am häufigsten vor?
In einer eigenen Analyse von 217 Handwerker-Webseiten im Kanton Aargau (Juni 2026) fand Digital Olymp bei 19 Prozent Tracking, das Daten an Dritte überträgt, bevor Besucher informiert wurden. Der häufigste Einzelfall war GA4, das ohne jeden Hinweis beim Seitenaufruf lädt. In der Schweiz gilt Information statt Zustimmung: Das wird zum Verstoss, sobald die Offenlegung fehlt oder Persönlichkeitsprofile entstehen.
Die nachfolgende Tabelle zeigt die fünf häufigsten Fehlertypen aus dieser Auswertung.
| Fehlertyp | Häufigkeit (Aargau-Analyse) | Rechtliches Risiko |
|---|---|---|
| GA4 ohne Infobanner | 32 von 217 Webseiten | Risiko, Verstoss bei fehlender Offenlegung oder Profiling |
| Google Maps automatisch eingebettet | 14 von 217 Webseiten | Risiko, Verstoss bei fehlender Offenlegung |
| Google Tag Manager ohne Infobanner | 14 von 217 Webseiten | Risiko, Verstoss bei fehlender Offenlegung oder Profiling |
| Fehlendes oder unvollständiges Impressum | Nicht systematisch erfasst | Verstoss gegen UWG |
| Kein DSE-Hinweis beim Kontaktformular | Nicht systematisch erfasst | Verstoss gegen Art. 19 nDSG |
Was passiert, wenn das nDSG verletzt wird?
Bei einem Verstoss gegen das nDSG drohen Bussen von bis zu CHF 250'000, verhängt persönlich gegen die verantwortliche Person. Das ist der entscheidende Unterschied zur EU-DSGVO, wo die Busse gegen das Unternehmen geht, nicht gegen die Inhaberin oder den Inhaber.
Dass Einzelbetriebe heute aktiv verfolgt werden, ist noch selten. Das EDÖB konzentriert sich derzeit auf grössere Akteure und systemische Fälle. Gleichzeitig verzeichnete es im Geschäftsjahr 2024/2025 insgesamt 363 Datenschutzverletzungsmeldungen und baute seinen Durchsetzungsstab um 30 Prozent aus. Die Obergrenze existiert, die Durchsetzungskapazität wächst, und die meisten Korrekturen kosten nichts. Es gibt keinen guten Grund, zu warten.
Warum trifft das Handwerksbetriebe besonders?
Die meisten Handwerker-Webseiten wurden von einer externen Agentur gebaut. Der Inhaber hat das Design abgenommen, nicht die Tracking-Konfiguration.
GA4, Google Maps, Kontaktformulare: alles eingerichtet von der Agentur, danach nie mehr angeschaut. Der Inhaber hat keinen Einblick, was beim Seitenaufruf alles feuert. Die Rechtsverantwortung bleibt trotzdem beim Betrieb, nicht bei der Agentur.
Was kostet Nicht-Compliance konkret?
Die Korrektur ist für die meisten Betriebe keine Kostenfrage. Bei den häufigsten Verstössen fallen keine Ausgaben an. Es gibt zwei klare Lösungswege.
Wer keine Auswertungen braucht, kann GA4 und den Google Tag Manager vollständig entfernen. Aufwand: null. Kein Tracking bedeutet kein Einwilligungsbedarf, kein Banner, kein laufendes Risiko. Für Handwerksbetriebe ohne konkrete Analytics-Anforderung ist das die sauberste Lösung.
Wer Tracking behalten möchte, braucht einen richtigen Consent-Banner. "Richtig" heisst: kein nicht-wesentliches Script lädt, bevor der Besucher aktiv zustimmt. Ein Banner, der erst alles lädt und dann fragt, erfüllt die Anforderung nicht. Opt-in, nicht Opt-out. Das ist der Standard. Die meisten Cookie-Banner auf Schweizer KMU-Webseiten entsprechen diesem Standard nicht, weshalb viele Webseiten trotz sichtbarem Banner technisch nicht konform sind.
Dem CHF 250'000-Rahmen stehen Korrekturkosten von CHF 0 bis rund CHF 500 gegenüber.
Die Datenschutz-Checkliste: Was muss auf Ihrer Webseite stimmen?
Die folgenden 7 Punkte bilden das praktische Minimum, das auf jeder Handwerker-Webseite geregelt sein muss. Das ist keine Rechtsberatung, sondern eine operative Kontrollliste.
1. Impressum mit vollständigen Angaben
Das Impressum ist seit 2012 für kommerzielle Schweizer Webseiten Pflicht, geregelt im UWG, unabhängig von Betriebsgrösse oder Branche. Es muss den vollständigen rechtlichen Namen, die Adresse und eine Kontaktmöglichkeit enthalten. Ein fehlendes oder unvollständiges Impressum ist der erste Punkt, den das EDÖB bei einer Prüfung kontrolliert.
2. Datenschutzerklärung nach Art. 19 nDSG
Art. 19 nDSG verpflichtet jeden, der Personendaten beschafft, zur aktiven Information der betroffenen Person, dies gilt auch für kleine Betriebe mit einer einfachen Kontaktwebseite. Die Datenschutzerklärung muss benennen, welche Daten erhoben werden, zu welchem Zweck, wer verantwortlich ist und ob Daten ins Ausland übermittelt werden. Eine generische DSGVO-Vorlage aus einem EU-Generator erfüllt die Anforderungen des Schweizer Rechts nicht.
3. Kontaktformular mit Datenschutzhinweis
Jedes Kontaktformular ist ein Punkt der Datenbeschaffung und fällt damit unter die Informationspflicht nach nDSG. Ein Hinweis auf die Datenschutzerklärung muss direkt beim Formular erscheinen, nicht nur im Footer. Erhoben werden sollten ausserdem nur die Felder, die für die Kontaktaufnahme wirklich notwendig sind.
4. Tracking-Tools nur mit gültiger Einwilligung
GA4, Google Tag Manager, Facebook Pixel und LinkedIn Insight Tag übertragen Daten an Dritte. Jedes dieser Tools muss in der Datenschutzerklärung offengelegt werden, bevor es lädt, das ist die Informationspflicht nach Art. 19 nDSG. Eine ausdrückliche, vorgängige Einwilligung wird erforderlich, sobald Werbe-Tracking, Remarketing oder Persönlichkeitsprofile im Spiel sind, wie infosec.ch für GA4 ohne Consent festhält, und wie legally-ok.com für die nDSG-Anforderungen an GA4 dokumentiert. Einwilligung heisst dann: aktives Opt-in, kein vormarkiertes Kästchen, kein Laden vor der Zustimmung.
5. Google Maps und eingebettete Inhalte mit Consent-Lösung
Eine Google Map, die beim Seitenaufruf automatisch lädt, überträgt Daten an Google, bevor der Besucher informiert wurde. Die saubere und empfohlene Lösung ist ein Platzhalterbild mit einem "Karte laden"-Button, der die Einbettung erst nach aktivem Klick auslöst. So fliessen Daten erst, wenn der Besucher es bewusst auslöst, und die Transparenzpflicht nach Art. 19 nDSG ist erfüllt.
6. SSL-Zertifikat (HTTPS)
Alle Daten, die über ein Kontaktformular übermittelt werden, müssen verschlüsselt transportiert werden. Eine HTTP-Verbindung im Jahr 2026 ist kein Kavaliersdelikt, sondern ein technisches und rechtliches Risiko, das Browser aktiv als unsicher kennzeichnen und das Besucher dazu bringt, die Seite zu verlassen.
7. Meldepflicht bei Datenpannen kennen
Entsteht durch eine Datenpanne ein erhöhtes Risiko für die Persönlichkeitsrechte der Betroffenen, muss der Vorfall dem EDÖB unverzüglich gemeldet werden, wie kmu.admin.ch für kleine Betriebe ausdrücklich festhält. Diese Pflicht gilt auch für Kleinstbetriebe. Den Meldeprozess zu kennen, bevor ein Vorfall eintritt, ist der Unterschied zwischen einer geregelten Reaktion und einer Krise.
Was bedeutet das für Schweizer Handwerksbetriebe?
Eine gesamtschweizerische Compliance-Erhebung für Handwerker-Webseiten existiert nicht. Die nächste verfügbare Grundlage ist die eigene Analyse von Digital Olymp, die im Juni 2026 im Kanton Aargau 217 Handwerker-Webseiten ausgewertet hat. Wenn diese Stichprobe repräsentativ ist, hat heute jede fünfte Handwerker-Webseite in der Schweiz einen aktiven Verstoss.
Die Schweizer Märkte unterscheiden sich in Webseiten-Infrastruktur, Agenturlandschaft und KMU-Grösse kaum von der Aargauer Stichprobe. Das Bild dürfte kantonsübergreifend ähnlich aussehen.
Lassen Sie Ihre Webseite prüfen, bevor es das EDÖB tut.
Häufige Fragen zum Datenschutz auf Handwerker-Webseiten
Brauche ich als Handwerksbetrieb in der Schweiz einen Cookie-Banner?
Für rein schweizerische Besucher schreibt das nDSG keinen Cookie-Banner vor (Information statt Zustimmung), wie steigerlegal.ch für das Schweizer Datenschutzrecht festhält. Wer aber GA4, Google Maps oder andere Tools einsetzt, muss deren Einsatz vorgängig in der Datenschutzerklärung offenlegen, und eine Einwilligung einholen, sobald Werbe-Tracking oder Persönlichkeitsprofile dazukommen. Ein korrekt konfigurierter Consent-Banner ist die Standardlösung. Fehlt jede Information, ist das Tracking das Problem, nicht der fehlende Banner.
Welche Bussen drohen bei nDSG-Verstössen auf meiner Webseite?
Bis zu CHF 250'000, persönlich gegen den Betriebsinhaber, nicht gegen das Unternehmen. Das ist ein entscheidender Unterschied zur EU-DSGVO. Das EDÖB kann zusätzlich Massnahmen anordnen und Feststellungen veröffentlichen, was das Vertrauen bei Kunden und Partnern beschädigt.
Ist Google Analytics auf meiner Webseite erlaubt?
Ja. Für reine Reichweiten-Statistik gilt in der Schweiz Information statt Zustimmung: Es genügt, GA4 in der Datenschutzerklärung offenzulegen, ein Opt-in-Banner ist gesetzlich nicht zwingend. Eine ausdrückliche Einwilligung wird nötig, sobald Werbe-Features, Remarketing, Google Signals oder Persönlichkeitsprofile dazukommen, wie infosec.ch für GA4 ohne Consent-Lösung dokumentiert. Wer GA4 ganz ohne Hinweis und ohne Offenlegung laufen lässt, verstösst gegen die Informationspflicht nach Art. 19 nDSG.
Was gehört in die Datenschutzerklärung meiner Webseite?
Mindestens enthalten sein muss: die Identität der verantwortlichen Person, welche Daten erhoben werden, zu welchem Zweck, ob Daten ins Ausland gehen und wie Betroffene ihre Rechte ausüben können, gemäss den nDSG-Anforderungen für KMU auf kmu.admin.ch. Eine Schweizer Datenschutzerklärung folgt anderen Anforderungen als eine EU-DSGVO-Erklärung. EU-Vorlagen sind nicht automatisch konform.
Wer trägt die Haftung beim Datenschutz, ich oder meine Webagentur?
Sie haften. Das nDSG bezeichnet Sie als Verantwortlichen (Art. 5 lit. j nDSG), die Person, die über Zweck und Mittel der Datenbearbeitung entscheidet. Die Webagentur ist Auftragsverarbeiterin und haftet nur für eigenes Verschulden. Halten Sie das in einer schriftlichen Vereinbarung mit Ihrer Agentur fest.
Braucht meine Webseite Google Consent Mode, wenn das nDSG keinen Cookie-Banner vorschreibt?
Ja, wenn Sie Google Analytics oder Google Ads einsetzen. Seit Juli 2024 verlangt Google für alle Webseiten mit Schweizer Besuchern die Implementierung von Consent Mode v2. Das ist keine gesetzliche Pflicht, sondern eine Nutzungsbedingung von Google. Wer Consent Mode nicht aktiviert, riskiert den Verlust der Conversion-Daten und potenziell die Sperrung des Google-Kontos.
Wann braucht Google Analytics 4 eine ausdrückliche Einwilligung?
Für reine Reichweiten-Statistik genügt in der Schweiz die Offenlegung in der Datenschutzerklärung (Information statt Zustimmung). Eine ausdrückliche, vorgängige Einwilligung wird erforderlich, sobald GA4 über die Basis-Statistik hinausgeht: aktivierte Google Signals, Remarketing, verknüpfte Google Ads, personalisierte Werbung oder die Bildung von Persönlichkeitsprofilen. Ab diesem Punkt reicht ein blosser Hinweis nicht mehr.
Dürfen Webseiten-Daten überhaupt zu Google in die USA übertragen werden?
Ja. Seit dem 15. September 2024 anerkennt der Schweizer Bundesrat das Swiss-US Data Privacy Framework. Übertragungen an zertifizierte US-Unternehmen, und Google ist zertifiziert, sind damit ohne zusätzliche Garantien wie Standardvertragsklauseln zulässig. Der Datentransfer in die USA an sich ist also kein Verstoss mehr. Entscheidend bleibt die Transparenz: Der Einsatz muss in der Datenschutzerklärung offengelegt werden.