PillarrevDSGDSGVOBFSGGPSRRoger-Grundsatz

Sicherheit + Datenschutz

Schweizer Recht, EU-Recht, Barrierefreiheit, Produktsicherheit — vier Regelwerke, ein konsistenter Ansatz. Plus der Roger-Grundsatz: keine Profilbildung, anonymisierte Analytics, bewusste Entscheidung. Was wir Kund:innen empfehlen, leben wir auf rundum.dog selbst.

§01 Was Sicherheit + Datenschutz im Web 2026 bedeutet

Drei Schweizer Pflichten, ein konsistenter Ansatz.

Sicherheit und Datenschutz auf einer KMU-Webseite haben sich seit 2024 deutlich verändert. Drei Regelwerke greifen heute parallel und müssen sauber zusammen gedacht werden:

  • revDSG — das revidierte Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023. Rechtsgrundlage für jede Schweizer Webseite.
  • DSGVO — die EU-Datenschutz-Grundverordnung. Gilt für jede Schweizer Site, die EU-Bürger:innen erreicht — also praktisch jede.
  • BFSG — das EU-Barrierefreiheitsstärkungsgesetz, seit 28. Juni 2025 in Kraft. Erfasst Schweizer Anbieter mit EU-Kunden, vor allem im E-Commerce.

Sicherheit, Datenschutz und Barrierefreiheit sind 2026 ein zusammenhängender Block — und einer, der bei Audits und Lieferanten-Bewertungen ernsthaft geprüft wird. Wer das ignoriert, verliert Mandate noch vor dem Erstgespräch.

§02 Schweizer Recht: revDSG + DSG

Was sich für KMU-Webseiten konkret ändert hat.

Das revidierte DSG bringt für KMU-Webseiten vier praktische Pflichten, die wir standardmässig einrichten:

1 · Aktive Information statt versteckte Klauseln

Datenschutzerklärung muss aktiv und verständlich sein, nicht nur zugänglich. Was wir bauen: separate Seite /datenschutz/, klar gegliedert, mit konkreten Aussagen — welche Tools, welche Daten, welche Aufbewahrung, welche Drittanbieter, welche Rechte.

2 · Profiling-Hinweise

Wenn Profile gebildet werden (auch automatisch durch Tracking), muss das transparent sein. Roger-Grundsatz auf rundum.dog und in unseren Mandaten: keine Profilbildung — anonymisierte Analytics, kein Personalisierungs-Tracking. Was wir Kund:innen empfehlen, leben wir selbst.

3 · Datenweitergabe ins Ausland

Cloud-Anbieter mit Sitz in den USA (Google Analytics, Stripe, Cloudflare) erfordern eine Information darüber, wohin die Daten gehen. Wir dokumentieren das in der Datenschutzerklärung mit Standardvertragsklauseln, wo nötig.

4 · Auskunfts- und Berichtigungspflichten

Nutzer:innen können verlangen, welche Daten gespeichert sind und Korrekturen einfordern. Wir richten dafür einen klaren Pfad ein — typischerweise eine E-Mail-Adresse datenschutz@ mit interner Verarbeitungs-Logik.

§03 BFSG — Barrierefreiheit ab Juni 2025

Webseiten und Apps müssen für alle bedienbar sein.

Das BFSG verpflichtet Anbieter, ihre digitalen Produkte barrierefrei zu gestalten — vor allem im E-Commerce. Für Schweizer KMU mit EU-Kunden ist das relevant. Was wir standardmässig in jedem Mandat berücksichtigen:

Kontrast Mindestens 4,5:1 für normalen Text, 3:1 für grossen Text. Wir prüfen das visuell und mit Tools wie axe DevTools.
Tastatur-Navigation Alle interaktiven Elemente müssen ohne Maus erreichbar sein. Tab-Reihenfolge sinnvoll.
Semantik HTML-Tags richtig einsetzen — <button> für Buttons, <a> für Links, <nav> für Navigation. Keine Div-Soup.
Alt-Texte Pflicht auf Bildern mit Inhaltsfunktion. Dekorative Bilder mit leerem alt="".
Formular-Labels Jedes Input-Feld hat ein sichtbares Label. Fehlermeldungen klar formuliert und visuell+textlich erkennbar.
Skip-Links «Zum Inhalt springen» für Screenreader-Nutzer:innen.
Standard WCAG 2.2 Level AA als Mindeststandard. AAA-Anspruch in Spezial-Mandaten.

Barrierefreiheit ist 2026 nicht mehr ein nice-to-have, sondern Voraussetzung für seriösen Webauftritt — auch unabhängig vom BFSG-Geltungsbereich.

§04 GPSR — Produktsicherheit ab Dezember 2024

Pflichtangaben für jeden Online-Verkauf in die EU.

Die EU-Allgemeine Produktsicherheitsverordnung (GPSR) gilt seit 13. Dezember 2024. Sie betrifft jede Schweizer Webseite, die Produkte nach EU verkauft — und das ist im WooCommerce-Bereich praktisch jede.

Was Pflicht ist

  • Verantwortliche Person in der EU — Hersteller-Adresse oder bevollmächtigter Vertreter mit EU-Sitz
  • CH-Importeur-Adresse für Schweizer Verkäufer:innen, die nach EU exportieren
  • Sicherheitswarnungen + Bedienungsanleitung auf der Produkt-Detail-Seite, in den Sprachen des Ziellandes
  • Identifikations-Daten — Hersteller-Name, Modell, Chargennummer wenn vorhanden
  • Meldekanal für Verbraucher:innen bei Sicherheitsbedenken

Wir haben einen GPSR-konformen Produktdaten-Block für WooCommerce, der diese Felder strukturiert verwaltet. Mehr dazu im Werkstatt-Eintrag WooCommerce.

§05 Cybersicherheit-Hygiene für KMU-Sites

Was wir in jedem WordPress-Setup standardmässig einrichten.

HTTPS überall Let’s Encrypt oder Hoster-Zertifikat. Strict-Transport-Security (HSTS) als HTTP-Header.
Content-Security-Policy CSP-Header definiert, welche Ressourcen die Site laden darf — schützt gegen XSS-Angriffe.
Login-Härtung Captcha auf wp-login.php, Limit-Login-Attempts, 2FA für Admin-Accounts (TOTP via Authenticator-App), keine Auto-Login-Cookies länger als nötig.
WordPress-Updates Automatische Minor-Updates aktiv. Major-Updates manuell nach Pre-Live-Test auf Staging.
Plugin-Hygiene Wenig Plugins, regelmässig auditiert. Verwaiste Plugins werden gelöscht (nicht nur deaktiviert).
Backups UpdraftPlus oder vergleichbar, mit täglichem Backup, Retention 30 Tage, externer Speicher (Infomaniak, AWS S3, Backblaze).
iThemes Security / Wordfence Eines der etablierten Security-Plugins, konfiguriert mit Datei-Integritätsprüfung, Login-Schutz, Brute-Force-Detection.
WAF (Web Application Firewall) Cloudflare oder Hoster-WAF — blockt typische Angriffsmuster auf Server-Ebene, bevor sie WordPress erreichen.

Was wir nicht empfehlen: Plugin-Stack-Bloat — manche Sites haben 30+ Security-, SEO-, Cache-, Backup-Plugins, die sich gegenseitig in die Quere kommen. Lieber weniger Plugins, sauber konfiguriert.

§06 Der Roger-Grundsatz

Keine Profilbildung. Anonymisierte Analytics. Bewusste Entscheidung.

Auf rundum.dog und in den meisten unserer Mandate gilt ein klares Prinzip: wir bilden keine Profile von Besucher:innen. Das ist kein datenschutzrechtliches Minimum — das ist eine bewusste Wertentscheidung.

Was das im Bau bedeutet

  • Google Analytics 4 mit anonymisierter IP, ohne Google-Signals, ohne erweiterte Personalisierung
  • Cookies-Consent-Banner ehrlich — keine Dark-Pattern-Buttons, klare Opt-Out-Pfade
  • Keine Tracking-Pixel ohne expliziten Anlass (Meta-Pixel, TikTok-Pixel, LinkedIn Insight nur bei aktiven Kampagnen)
  • Server-side-Tracking wo möglich, statt Browser-side mit Drittanbieter-Cookies
  • Plausible Analytics oder Matomo als Alternativen, wenn Google-freier Stack gewünscht ist

Funktioniert das ohne Profile? Ja — wir betreiben rundum.dog mit ~1 Mio. Sessions/Monat sauber ohne Profilbildung, mit klaren Konversions-Daten, die fürs Geschäft reichen. Was wir Kund:innen empfehlen, hat sich bei uns selbst bewährt.

§07 Tools, die wir verwenden

Datenschutz-bewusster Stack.

Datenschutzerklärung activeMind oder Datenschutzpartner als generierter Basis-Text, wir passen für jeden Mandanten an.
Cookie-Consent Borlabs Cookie, Real Cookie Banner, oder Complianz — alle DSGVO/revDSG-konform, ohne Dark-Pattern.
Analytics Google Analytics 4 mit Anonymisierung, oder Matomo selbst-gehostet, oder Plausible Schweizer Server.
Security-Plugin iThemes Security Pro (was wir auf rundum.dog einsetzen) oder Wordfence.
Backup UpdraftPlus mit externem Speicher, oder hoster-eigene Backup-Lösungen (Infomaniak hat ein eigenes Backup-System).
Accessibility-Audit axe DevTools, Lighthouse, manuelle Tastatur-/Screenreader-Tests mit VoiceOver oder NVDA.
§08 Häufige Fragen

Was wir oft gefragt werden — und ehrlich beantworten.

Brauchen wir wirklich einen Cookie-Banner?

Wenn ihr Cookies setzt, die nicht technisch zwingend sind — ja. Tracking-Cookies, Marketing-Cookies, Analytics. Wer ausschliesslich Session-Cookies für den Login nutzt, kann auf den Banner verzichten.

Reicht eine Standard-Datenschutzerklärung aus dem Generator?

Nein. Generator-Texte sind ein guter Ausgangspunkt, müssen aber an die tatsächlich eingesetzten Tools angepasst werden. Sonst stimmt die Erklärung mit der Realität nicht überein — und das ist ein revDSG-Problem.

Was passiert bei einem Datenschutz-Vorfall?

Meldepflicht innert 72 Stunden an den EDÖB (revDSG) bzw. die zuständige Aufsichtsbehörde (DSGVO). Wir empfehlen einen vorbereiteten Krisen-Workflow — Roger-typisch: nicht erst panisch nachschauen, was zu tun ist.

Müssen wir BFSG einhalten, wenn wir nur Schweizer Kunden haben?

BFSG ist EU-Recht — direkte Pflicht haben Schweizer Anbieter erst, wenn sie EU-Kunden bedienen (im E-Commerce ab gewissen Schwellenwerten). Wir empfehlen trotzdem WCAG 2.2 AA, weil Barrierefreiheit handwerklich zur sauberen Webseite gehört.

Brauchen wir eine 2FA für alle Mitarbeiter:innen?

Für Admin-Accounts: ja. Für Editor:innen und Author:innen: empfohlen. Für Subscriber: nein. Wir richten 2FA standardmässig für Admin ein, optional für alle anderen Rollen.

Wie hoch sind die Kosten für Wartung + Sicherheit pro Monat?

Im Retainer typischerweise 80–250 CHF/Monat, je nach Komplexität. Beinhaltet: regelmässige Updates, Security-Monitoring, monatlicher Backup-Check, Plugin-Audit, kleinere Inhaltsanpassungen. Genauer im Erstgespräch.

§09 Was wir konkret bauen

Querverweis: /werkstatt/woocommerce/ · /werkstatt/auffindbarkeit/

Sicherheit und Datenschutz haben keine eigene Werkstatt-Seite — sie sind in jedem Mandat Pflicht-Bestandteil, kein eigenständiges Service-Angebot. Konkrete Implementations-Patterns siehst du in den passenden Werkstatt-Einträgen:

→ Direkt zum Kontakt

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG