Inhaltsverzeichnis
Seit dem Inkrafttreten des neuen Datenschutzgesetzes (revDSG) und der Stärkung der Befugnisse des Eidgenössischen Datenschutzbeauftragten (PFPDT) hat sich das Klima in der Schweiz verändert. Kontrollen sind keine Science-Fiction mehr.
Eine einfache Beschwerde eines unzufriedenen Kunden ("Ich kann mich nicht abmelden"), eine Anzeige eines Konkurrenten oder ein geringfügiger Datenleck können eine Verwaltungsuntersuchung auslösen.
Im Gegensatz zur europäischen DSGVO, die das Unternehmen bestraft (Bußgeld % des Umsatzes), zielt die revDSG in der Schweiz auf die persönliche strafrechtliche Verantwortung der Führungskräfte ab (Bußgeld bis zu CHF 250'000 gegen die natürliche Person).
Wenn der PFPDT morgen früh an Ihre Tür klopft, wird er nicht fragen, ob Sie "versucht" haben, konform zu sein. Er wird nach Beweisen fragen. Hier sind die 5 technischen Dokumente, die Sie innerhalb von 48 Stunden bereitstellen müssen.
1. Das Verzeichnis der Verarbeitungstätigkeiten (Data Mapping)
Das ist die Grundlage. Sie müssen wissen, welche Daten Sie sammeln, warum und wohin sie gehen.
Die Frage des PFPDT: "Beweisen Sie mir, dass Sie Ihre Datenströme im Griff haben."
Was bereitgestellt werden muss: Ein umfassendes und aktuelles Inventar.
Schlechte Antwort: "Wir nutzen Google Analytics und Facebook, glaube ich."
Gute Antwort: Ein Dokument, das jedes Tool (Tag), die Datenkategorie (IP, E-Mail, Verhalten), den Zweck (Marketing, Statistiken), die Aufbewahrungsdauer und den Speicherort auflistet.
Der A-Track-Tipp: Eine statische Excel-Datei, die 2023 erstellt wurde, reicht nicht mehr aus. Ihr Verzeichnis muss die aktuelle technische Realität Ihrer Website widerspiegeln (die sich mit jedem Update ändert).
2. Das Einwilligungsprotokoll (Logs CMP)
Ein Cookie-Banner auf Ihrer Website beweist nichts. Der PFPDT möchte überprüfen, ob das Banner tatsächlich funktioniert.
Die Frage des PFPDT: "Wie beweisen Sie, dass Herr Dupont am 12. Januar 2026 um 14:02 Uhr der Werbung zugestimmt hat?"
Was bereitgestellt werden muss: Der Auszug aus den Logs Ihrer CMP (Consent Management Platform). Diese Datei enthält:
Die Einwilligungs-ID (anonym).
Datum und Uhrzeit (Timestamp).
Die akzeptierte Version der Datenschutzerklärung.
Die Details der akzeptierten Kategorien (Marketing: JA, Statistiken: NEIN).
Wenn Sie ein kostenloses oder schlecht konfiguriertes Plugin verwenden, das diese Logs nicht speichert, sind Sie rechtlich nackt.
3. Die Datenschutz-Folgenabschätzung (AIPD) für Transfers außerhalb der Schweiz
Wenn Sie amerikanische (Google Ads, Meta, Mailchimp) oder chinesische (TikTok) Tools verwenden, exportieren Sie Daten von Schweizer Bürgern in als "nicht angemessen" eingestufte Länder (außer im Rahmen eines spezifischen DPF).
Die Frage des PFPDT: "Welche technischen Maßnahmen haben Sie ergriffen, um diese übertragenen Daten zu schützen?"
Was bereitgestellt werden muss: Eine technische Dokumentation, die beweist, dass Sie das Risiko minimieren. Hier wird die Server-Side Tracking-Architektur Ihre beste Anwältin. Sie ermöglicht es Ihnen zu beweisen, dass Sie:
Die IP-Adressen vor dem Versand anonymisiert haben.
Die E-Mails gehasht (pseudonymisiert) haben.
Den Versand sensibler Daten blockiert haben.
4. Der Nachweis von "Privacy by Design" (GTM-Konfiguration)
Das Gesetz verlangt, dass der Schutz "von Anfang an" integriert ist.
Die Frage des PFPDT: "Sind Ihre Tracking-Tags standardmäßig vor dem Klick auf 'Akzeptieren' blockiert?"
Was bereitgestellt werden muss: Eine technische Demonstration oder ein Audit der Google Tag Manager (GTM)-Konfiguration. Wenn der Prüfer Ihre Website öffnet und sieht, dass das Facebook-Pixel vor dem Klick auf "Akzeptieren" ausgelöst wird, ist das ein eklatanter Verstoß (und sehr leicht festzustellen). Das ist der Fehler Nr. 1, den wir bei unseren Kunden beheben.
5. Die Auftragsverarbeitungsverträge (DPA)
Sie sind verantwortlich dafür, was Ihre Dienstleister mit Ihren Daten tun.
Die Frage des PFPDT: "Haben Sie vertragliche Garantien mit Ihrer Media-Agentur und Ihren SaaS-Tools?"
Was bereitgestellt werden muss: Die unterzeichneten DPAs (Data Processing Agreements). Überprüfen Sie, ob Ihre Verträge mit Ihren digitalen Agenturen klare revDSG-Klauseln enthalten, die besagen, dass sie Ihre Daten nicht für eigene Zwecke wiederverwenden dürfen (was einige intransparente Retargeting-Plattformen oft tun).
Fazit: Compliance ist kein Zustand, sondern ein Prozess
Die Erstellung dieser 5 Dokumente erfordert eine enge Zusammenarbeit zwischen der Rechtsabteilung (DPO) und der Technik (IT/Marketing).
Wenn Sie Zweifel an einem dieser Punkte haben, sind Sie in einer Risikosituation. Die gute Nachricht? All dies kann korrigiert und dokumentiert werden.
Keine Panik, sondern handeln Sie vor der Kontrolle.
Sind Sie sich nicht sicher, ob Sie diese 5 Dokumente haben?
A-Track führt "Mock Audits" durch. Wir übernehmen die Rolle des PFPDT, testen Ihre Compliance und liefern Ihnen das Beweisdossier, das bereit ist, präsentiert zu werden.