Keine weitere Überschrift anklickbar
Grafik ohne Label
Wenn du fehlende Bildbeschreibungen abrufen möchtest, öffne das Kontextmenü.

Einzelperson Auswahlschalter Nicht aktiviert 1 von 2
Mehrere Personen Auswahlschalter Nicht aktiviert 2 von 2

Bitte wählen Kombinationsfeld Bitte wählen eingeklappt Liste öffnen
Bitte wählen Kombinationsfeld Bitte wählen eingeklappt Liste öffnen
z.B. 8000 Kombinationsfeld eingeklappt mit AutoVervollständigung einstellbar Leer
Eingabefeld Leer
TT.MM.JJJJ Kombinationsfeld eingeklappt einstellbar Dialogfeld öffnen Leer

Vermutlich hast du nach ein paar Zeilen gemerkt, dass es sich um ein Formular handelt. Doch wenn es darum geht, es auszufüllen, beginnt das Ratespiel. Nicht nur für dich.

Was soll in das erste «Bitte wählen»? Was ins zweite? Welche Postleitzahl ist gemeint, welches Datum? Das Formular gibt keine Antworten. Es schweigt.

Das ist kein konstruiertes Worst-Case-Szenario. Es ist ein echter Transkript von dem, was blinde Personen hören, aufgerufen auf der öffentlich zugänglichen Website einer Schweizer Versicherung. Der Screenreader liest vor, was im Code steht. Und im Code stehen keine Labels.

Ein anderes Beispiel. Auf einer Newsseite passiert nach mehrmaligem Drücken der Taste H folgendes:

Keine weitere Überschrift
Keine weitere Überschrift
Keine weitere Überschrift

Screenreader-Nutzende verwenden beim Aufrufen einer neuen Website gerne Tastaturkürzel, um sich schnell zu orientieren. Die Taste H springt von Überschrift zu Überschrift, damit Nutzende eine Seite querlesen können. Die aufgerufene News-Website hat visuell durchaus Überschriften. Gross, fett, prominent. Doch auf Code-Ebene sind es schlicht keine. Vielleicht wurde <div class="titel"> verwendet statt <h2>. Vielleicht hat ein CMS die Struktur geschluckt. Der Screenreader findet nichts, weil nichts da ist, was er finden könnte. Für jemanden, der mit dem Screenreader navigiert, ist die Seite ein einziger unstrukturierter Textblock.

Wer hat diese Formulare gebaut? Wer hat entschieden, dass <div class="titel"> reicht? Vermutlich niemand mit böser Absicht. Barrierefreiheit scheitert selten an Gleichgültigkeit, sondern meistens an fehlendem Wissen.

Doch das Thema bekommt Druck von aussen. Seit Juni 2025 gilt in der EU der European Accessibility Act (EAA), in Deutschland umgesetzt als Barrierefreiheitsstärkungsgesetz (BFSG). Schweizer KMUs, die Kundinnen und Kunden in der EU bedienen oder für den deutschen Markt produzieren, sind davon nicht ausgenommen.

Titelbild: Andrej Lišakov / Unsplash

Wer bei Phishing an schlechtes Deutsch, schiefe Formulierungen und offensichtliche Betrugsversuche denkt, hat noch ein altes Bild im Kopf. Heute sieht die Realität oft anders aus.

Phishing wirkt professioneller als früher. Nicht unbedingt, weil Angreifer plötzlich viel raffinierter geworden wären. Sondern weil ihnen Werkzeuge zur Verfügung stehen, die ihre Täuschungen sprachlich und visuell deutlich besser machen. Die modernen AI-Systeme haben hier zu einer radikalen Veränderung geführt.

Texte lassen sich heute in Sekunden einwandfrei formulieren. Auf Deutsch, auf Englisch, auf Französisch, auf Italienisch, auf Rätoromanisch – und auch auf Schweizerdeutsch! Freundlich, sachlich oder dringlich, bis hin zu aggressiv. Kurz oder ausführlich. Genau im Stil, der zur Situation passt.

Und genau das ist das Problem. Denn wenn eine Nachricht sprachlich oder sogar im situativen Kontext (man erwartet ja gerade ein Paket oder man hat einen Kommentar auf Social-Media gepostet) glaubwürdig wirkt, fällt ein wichtiges altes Warnsignal weg.

Der nächste Schritt ist die unbequeme Einordnung: Die Qualität der Täuschung steigt bis zur Perfektion. Und damit verändert sich auch, wie wir uns schützen können. Ich unterrichte seit über drei Jahrzehnten rund um das Thema Cybersicherheit an mehreren Schweizer Universitäten und berate Firmen und Staaten auf der ganzen Welt; darum beobachte ich u.a. die Entwicklung des Phishings genauestens – nachfolgend fasse ich meine Erkenntnisse zusammen.

AI macht Phishing nicht neu, aber deutlich besser

Phishing selbst ist kein neues Phänomen. Neu ist, wie einfach sich überzeugende Inhalte erstellen lassen.

Früher waren viele Phishing-Mails mit etwas Aufmerksamkeit gut erkennbar. Es gab sprachliche Fehler, unpassende Anreden oder einen Ton, der einfach nicht stimmte. Heute kann eine betrügerische Nachricht sehr korrekt, sehr höflich und sehr passend wirken.

Spear-Phishing & Voice-Cloning

Das gilt nicht nur für E-Mails. Auch gefälschte Websites wirken professioneller. Dazu kommen neue Formen der Täuschung, etwa Stimmen, die täuschend echt klingen, oder Inhalte, die sich sehr gezielt auf eine Person, ein Unternehmen oder eine konkrete Situation zuschneiden lassen. Und solche Phishing-Texte oder Funktionalitäten lassen sich heute in grossen Mengen automatisiert erzeugen. Besonders perfide ist die Entwicklung bei Stimmen.

Es gibt inzwischen Tools, die aus kurzen Sprachaufnahmen ein Stimmprofil ableiten und damit Aussprache, Tonlage, Rhythmus, Sprechtempo und typische Betonungen erstaunlich überzeugend nachbilden können. Teilweise funktioniert das sogar in Echtzeit: Jemand spricht mit der eigenen Stimme ins Mikrofon, und beim Gegenüber kommt eine Stimme an, die wie eine ganz andere Person klingt.

Wenn also eine bekannte Persönlichkeit in Interviews, Videos oder Podcasts oft genug zu hören ist, kann dieses Material missbraucht werden, um ihre Stimme nachzuahmen. Neueste diesbezügliche Tools brauchen immer weniger Mustermaterial: da kann es sogar ausreichen, wenn Angreifer die Zielperson anrufen und in ein belangloses (kurzes) Gespräch verwickeln und den Anruf aufnehmen!

Für Angreifer ist das deshalb so wirksam, weil Stimme eine besondere Vertrauenswirkung hat. Eine Mail kann man noch in Ruhe lesen. Einen Anruf erlebt man direkter. Wenn am Telefon scheinbar ein Freund, eine Tochter, ein Vorgesetzter oder eine Verwandte spricht und dabei nicht nur der Inhalt, sondern auch Klang, Sprechweise und emotionale Färbung vertraut wirken, sinkt die natürliche Vorsicht vieler Menschen sehr schnell.

Damit lassen sich persönliche Vertrauensbarrieren überwinden, selbst dann, wenn der Anruf inhaltlich eigentlich von einer fremden Person gesteuert wird. Auf diese Weise kann nicht nur Autorität vorgetäuscht werden, sondern auch Nähe, Vertrautheit und Dringlichkeit. Das macht solche Angriffe psychologisch besonders stark: Nicht nur institutionelles Vertrauen wird imitiert, sondern die menschliche Beziehung selbst.

Die Folge: Nicht nur die Menge potenzieller Angriffe steigt, sondern vor allem ihre Qualität und Vielseitigkeit.

Warum klassische Erkennungstipps an Grenzen stossen

Viele bekannte Sicherheitstipps sind weiterhin richtig. Nur reichen sie allein nicht mehr aus.

Natürlich bleibt es verdächtig, wenn eine Nachricht Druck macht, unerwartet kommt oder zum schnellen Klicken verleitet. Auch ein kritischer Blick auf Absender, Link und Kontext ist nach wie vor wichtig. Aber: Gute Sprache ist heute kein Entwarnungssignal mehr.

Genau darin liegt die Veränderung.

Früher konnte man oft sagen: Wenn es schlampig aussieht, ist Vorsicht angebracht. Heute gilt zunehmend auch das Gegenteil: Selbst wenn es professionell aussieht, kann es trotzdem Betrug sein.

Das klingt streng, ist aber in der Praxis ein nützlicher Schutzmechanismus.

Was das konkret bedeutet

Für Unternehmen bedeutet diese Entwicklung, dass Awareness (das Bewusstsein für Sicherheit) nicht bei schlechten Beispielen stehen bleiben darf. Wer Mitarbeitende nur auf plumpe Phishing-Mails vorbereitet, trainiert an der Realität vorbei. Heute geht es darum, auch professionell wirkende Täuschungen zu stoppen und zu verifizieren.

Für Privatpersonen ist die Lage ähnlich. Eine Nachricht von angeblichem Support, von einer Plattform, vom Provider oder von einem Login-Dienst kann überzeugend wirken. Gerade dann lohnt sich der kurze Unterbruch:

• Stimmt der Weg, über den ich kontaktiert werde?
• Würde ich das Anliegen nicht besser direkt über die bekannte Website oder App prüfen, statt aus der Nachricht heraus zu handeln (URL der Website selber im Browser eingeben, keinen Link klicken)?
• Muss ich irgendwo klicken? Soll ich eine Beilage öffnen?

Der sicherere Reflex ist heute nicht Misstrauen wegen schlechter Qualität, sondern Prüfung trotz guter Qualität. Dieser Reflex führt sinnvollerweise zur Konsequenz, dass man sich auf anderem Kanal erkundigt, was los ist: Auch wenn die Chefin oder der Lieferant anruft und sagt, man solle nun endlich die Zahlung machen, die schon lange fällig ist – und übrigens hätte sich die Bankverbindung geändert, handelt man nicht einfach. Man bleibt höflich und sagt, dass man zurück ruft (trotz Druck von der Gegenseite) – und der Rückruf erfolgt natürlich auf die echte Nummer der Person oder Organisation.

Dieses einfache Vorgehen hätte vielen Firmen rund um die Welt viel Geld gespart – auch wenn es nicht jedes Mal um fast 60 Millionen Euro geht, wie beispielsweise die Crelan Bank in Belgien als Folge von Phishing verloren hat. Eine Übersicht dieses und weiterer Fälle liefert die British Computer Society.

Was in den nächsten ein bis zwei Jahren zu erwarten ist

Die nächsten ein bis zwei Jahre dürften diesen Trend noch verstärken.

Täuschungen werden voraussichtlich noch persönlicher, sprachlich noch besser und kanalübergreifend orchestriert. Das heisst: E-Mail, SMS, Chat, Website und vielleicht sogar Stimme greifen stärker ineinander. Nicht jede Attacke wird hochkomplex sein. Aber die durchschnittliche Glaubwürdigkeit dürfte weiter steigen.

Firmen müssen sich darauf einstellen, dass Mitarbeitende künftig nicht mehr nur einzelne verdächtige E-Mails erhalten, sondern ganze, aufeinander abgestimmte Täuschungsketten: etwa eine unauffällige Kontaktaufnahme per Mail, gefolgt von einer SMS, einem Anruf oder einer täuschend echten Login-Seite.

Gerade in Unternehmen kann das dazu führen, dass klassische Freigabe-, Zahlungs- oder Support-Prozesse gezielt angegriffen werden, weil Angreifer dank AI genauer verstehen, wie Rollen, Sprache und Abläufe funktionieren – und betroffen sind alle Unternehmen aller Branchen, denn Angreifern geht es i.d.R. darum, eine Zahlung auszulösen.

Auch Privatpersonen werden mit glaubwürdigeren Angriffen konfrontiert sein. Nachrichten wirken persönlicher, Bezugnahmen auf Bestellungen, Abonnemente, Konten, Reisen oder angebliche Vorfälle plausibler. Dazu kommt, dass Stimme und Sprache Vertrauen erzeugen können, noch bevor der Inhalt kritisch geprüft wurde. Wer einen Anruf, eine Nachricht oder einen Link erhält, sollte deshalb nicht mehr primär fragen, ob die Mitteilung «verdächtig genug» aussieht, sondern ob sie unabhängig verifiziert wurde.

Deshalb ist die vielleicht wichtigste Erkenntnis heute diese: Phishing erkennt man immer seltener daran, dass etwas schlecht gemacht ist. Sondern immer häufiger nur noch daran, dass man den Inhalt unabhängig überprüft.

Das ist die eigentliche sicherheitsrelevante Veränderung, die AI mit sich bringt. Das Bundesamt für Cybersicherheit (BACS) publiziert hierzu aktuelle Informationen zu den Vorfällen – zu Phishing mit und ohne AI.

Was wirklich dahintersteckt und was wir täglich dagegen unternehmen, erklären wir hier. Für diesen Beitrag haben wir Lindita (Customer Care Specialist) und Gina (Incident Operator) befragt, die täglich mit dem Thema arbeiten.

Die Annahme ist verständlich, aber oft falsch

Phishing-Mails wirken glaubwürdig, weil sie echte Informationen nutzen. Angreifer lesen automatisiert aus, was öffentlich zugänglich ist: Domainnamen, typische E-Mail-Adressen wie info@ oder kontakt@, manchmal auch Ablaufdaten aus öffentlichen Quellen (zum Beispiel WHOIS, Websites oder aus dem offiziellen .ch-Zonefile von SWITCH). Das reicht, um eine überzeugende Nachricht zu bauen.

Nur weil eine Phishing-Mail deine Informationen missbraucht, bedeutet das nicht, dass jemand Zugriff auf deine Systeme hat oder ein Datenleck vorliegt. Das Internet ist von Natur aus offen und genau das nutzen Angreifer aus.

Wenn du eine solche Mail erhältst, lohnt es sich, kurz innezuhalten: Kein seriöser Anbieter schreibt seine Kundschaft passiv-aggressiv an oder fordert unter Druck zur sofortigen Eingabe von Zugangsdaten auf. Im Zweifel: Status und Produkte im my.cyon prüfen – dort siehst du, was tatsächlich los ist.

Und falls du unsicher bist: Schick uns die Header-Daten der verdächtigen Mail. So können wir mit ziemlicher Sicherheit prüfen, ob eine Nachricht tatsächlich von einem unserer Server stammt oder von aussen kommt.

Wie Phishing heute funktioniert

Phishing ist ein zweistufiger Angriff. Zuerst kommt die Mail – der Köder. Sie täuscht Vertrauen vor, etwa durch gefälschte Absenderadressen, bekannte Logos oder künstliche Dringlichkeit. Ihr Ziel: Dich auf eine Phishing-Website zu führen – die Falle. Diese imitiert vertrauenswürdige Seiten und sammelt dort, was du eingibst: Login-Daten, Kreditkartennummern, Passwörter.

Hosting-Anbieter werden gezielt imitiert. Der Grund ist naheliegend: Wer Zugangsdaten zu einem Hosting-Konto ergattert, kann diese direkt für weitere Angriffe nutzen und so die nächste Phishing-Welle von dort aus starten. Wie das in einem konkreten Fall abgelaufen ist, haben wir 2019 detailliert dokumentiert: «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten».

Technisch ist der Aufwand für Angreifer heute gering. Bots durchsuchen das Internet automatisch nach E-Mail-Adressen, Domains und Softwareversionen. Daneben gibt es fertige Phishing-as-a-Service-Werkzeuge, die selbst ohne technisches Vorwissen bedienbar sind. Das Resultat: Mehr Angriffe, in kürzerer Zeit, mit weniger Aufwand.

Das Internet ist offen gestaltet – das ist keine Schwäche, sondern Prinzip. Protokolle wie DNS ermöglichen globale Kommunikation. WHOIS macht Domaininformationen nachvollziehbar. Diese Offenheit ist Voraussetzung dafür, dass das Netz so funktioniert, wie wir es kennen. Für .ch-Domains werden personenbezogene Daten inzwischen durch das Datenschutzgesetz geschützt. Bestimmte Angaben – wie der Hoster – bleiben jedoch weiterhin öffentlich sichtbar.

Sicherheit entsteht deshalb nicht durch Abschottung, sondern durch zusätzliche Schutzschichten. Und diese werden angesichts einer neuen Entwicklung immer wichtiger.

Phishing kommt in Wellen

Angriffe folgen oft einem Muster: Zuerst wird ein kleines Batch versendet. Wenn diese Mails durchkommen, folgt die grössere Welle. Zum Beispiel steigt das Volumen um Weihnachten herum regelmässig an.

Die Herausforderung: Für jede neue Welle werden andere Absenderadressen verwendet. Dadurch ist ein zweiter Durchgang nicht automatisch erkennbar, auch wenn der erste bereits bekannt ist. Die zeitverzögerte Erkennung ist systembedingt.

Plattformen wie PhishTank, abuse.ch, Google Safe Browsing und Talos Intelligence helfen dabei. Auch wir gleichen unsere Systeme laufend mit diesen Listen ab. Der Haken: Neue Angriffe müssen erst gemeldet und erfasst werden, bevor sie greifen.

Was bei uns dauerhaft im Hintergrund läuft

Ein grosser Teil der Schutzmechanismen läuft automatisiert, ohne dass du etwas davon merkst. Gleichzeitig bleibt menschliche Aufmerksamkeit entscheidend. Phishing ist ein Zusammenspiel aus technischer Infrastruktur und informierten Entscheidungen im Einzelfall.

Jede eingehende E-Mail wird in Echtzeit geprüft. Header, Inhalte, Links und Anhänge werden auf verdächtige Muster analysiert. Absender-IPs und Routing-Informationen werden mit bekannten Mustern abgeglichen. Unser Anti-Spam-System bewertet E-Mails anhand von Wahrscheinlichkeitsmodellen – und bezieht dabei historische Daten ein: War eine Domain oder ein Muster schon früher in Angriffe verwickelt, wird das berücksichtigt.

Bekannte Spamlisten werden automatisch abgefragt – ein Absender mit schlechter Reputation landet im Zweifel im Spam-Ordner oder wird abgelehnt. Erkennt unser System Massenmails, verlangsamt es die Zustellung automatisch. Das gibt uns Zeit zu reagieren, bevor grosse Mengen zugestellt oder versendet wurden.

Intern setzen wir zusätzliche Massnahmen ein, um Phishing-Versuche frühzeitig zu erkennen, auch bei Mustern, die noch nicht in externen Listen erfasst sind.

Vom Hinweis zur Reaktion

Wenn du uns eine verdächtige Mail meldest, landet sie zuerst beim Support – unsere erste Anlaufstelle. Von dort geht sie direkt weiter an Operations, die sofort mit der Bewertung beginnen.

Die zentrale Frage: Ist cyon das Ziel oder ein anderer Hosting-Anbieter? Und findet der Missbrauch von einem Hosting bei uns statt – oder kommt er von aussen? «Diese Unterscheidung bestimmt, welche Massnahmen wir einleiten», erklärt Gina, Incident Operator bei cyon.

Je nach Einordnung folgen standardisierte Schritte aus unserem internen Prozess. Handelt es sich um Inhalte auf unseren Servern, wird der Zugang nach Sichtung sofort gesperrt. Externe Phishing-Seiten melden wir an die zuständigen Stellen und informieren direkt die betroffenen Hoster und Registrare.

Ausserhalb der Bürozeiten übernimmt unser Pikettdienst, damit auch nachts und am Wochenende reagiert werden kann.

Hast du selbst schon eine Phishing-Mail erhalten oder dich gefragt, ob etwas echt ist? Teile deine Erfahrungen in den Kommentaren.

Titelbild: Verlin Auliane / Unsplash

Wir unterscheiden im Transparenzbericht zwischen Meldungen von Unternehmen, Organisationen oder Privaten, die möglicherweise rechtswidrige Inhalte melden, etwa in Bezug auf Urheber- oder Markenrechte. Diese behandeln wir nach den Richtlinien des Code of Conduct des SWICO, dem Branchenkodex der Schweizer Webhosting-Unternehmen zum Umgang mit rechtswidrigen Inhalten. Dabei fliessen in keinem Fall persönliche Daten unserer Kundschaft an die Absender.

Melden sich hingegen Behörden, zum Beispiel im Rahmen von Strafuntersuchungen, mit einer entsprechenden rechtlichen Verfügung, sind wir möglicherweise verpflichtet, Daten über die Vertragsbeziehung oder weitergehende Daten zu liefern. Bevor es allerdings zu möglichen Datenlieferungen kommt, überprüfen wir in jedem einzelnen Fall sorgfältig, ob die gesetzlichen Grundlagen erfüllt sind. Ausserdem achten wir sehr darauf, nur genau bezeichnete Daten auszuhändigen.

2025 haben wir insgesamt 62 rechtliche Anfragen bearbeitet, in denen bei uns gehostete Inhalte oder bei uns registrierte Domainnamen beanstandet oder Auskünfte verlangt wurden.

Unzulässige Inhalte

Anfragen zu unzulässigen Inhalten drehen sich in den meisten Fällen um das Marken- oder Urheberrecht, also etwa die unberechtigte Nutzung von Markennamen, Bildern oder ähnlichem. Diese behandeln wir gemäss dem «Code of Conduct Hosting» oder dem «Code of Conduct Domainnamen» des Branchenverbands SWICO. Dabei informieren wir unsere Kundschaft mit einer Kopie über den Eingang («Notice-and-Notice») einer Meldung oder sperren das entsprechende Webhosting («Notice-and-Takedown»), sofern die Rechtslage offensichtlich ist.

Im Zeitraum vom 01.01.2025 bis 31.12.2025 haben wir insgesamt 40 Meldungen zu möglicherweise unzulässigen Inhalten erhalten.

Anfragestellende

Land der Anfragestellenden

Grund der Anfrage

Verfahren nach Code of Conduct

Auskunftsersuchen von Behörden

Auch von Schweizer Behörden erreichen uns regelmässig Anfragen. Sofern diese eine rechtliche Prüfung bestehen, sind wir nach Schweizer Recht verpflichtet, die gewünschten Auskünfte zu erteilen.

Im Zeitraum 01.01.2025 – 31.12.2025 haben uns 22 behördliche Auskunftsersuchen erreicht.

Interessiert an älteren Ausgaben des Transparenzberichtes? Hier findest du die Ausgaben von 2019, 2020, 2021, 2022 und 2023 und 2024.

Titelbild: Ahmet Kurt auf Unsplash

Ein starkes Team hinter den Zahlen

Auch 2025 durften wir weiter wachsen und unsere Kundschaft mit Herz und Engagement unterstützen.

• Inzwischen setzen 49’561 Kundinnen und Kunden auf die Hosting-Dienstleistungen von cyon.
• Über unsere Plattform werden 110’347 Websites, 181’611 E-Mail-Konten sowie 169’667 Domains betrieben.
• Dafür hat das gesamte cyon-Team insgesamt 89’440 Stunden investiert – das entspricht 2’236 Arbeitswochen bzw. 43 Arbeitsjahren.
• Rund 65 Anrufe täglich mit einer durchschnittlichen Gesprächsdauer von 6:22 Minuten – und über 51’000 Support-Anfragen pro Jahr, die unsere cyonistas mit Herz und Know-how meisterten.

Ein Supportcenter mit Substanz

Ergänzend zur persönlichen Betreuung bieten wir dir ein umfangreiches Supportcenter, in dem du Antworten auf zahlreiche Fragen findest. Wie intensiv dieses genutzt wird, zeigen die Zahlen deutlich:

• 658’288 Besuche verzeichnete unser Supportcenter.
• Das entspricht 1’854 pro Tag aufgerufenen Artikeln.
• Insgesamt beinhaltet das Supportcenter mittlerweile 538 Artikel.

1’000’000’000 MB = 1 Petabyte

Erstaunlich, was dank stetig effizienterer Hardware heute auf kleinem Raum realisierbar ist.

• Insgesamt flossen dieses Jahr unglaubliche 10,5 Petabyte Daten durch unser Netzwerk – ein Zuwachs von 18 % im Vergleich zum Vorjahr.
• Für diese 10,5 Petabyte an Daten ergäben 14’991’000 CD-ROMs, aufeinandergestapelt, einen 17’988 Meter hohen CD-Turm – länger als der Gotthard-Strassentunnel.

Sternchen und Content

Auch beim Reden und Wissen teilen gaben wir Gas:

• Wir haben 17 Blogposts veröffentlicht oder neu aufgelegt, um unsere Community über aktuelle Themen und Entwicklungen zu informieren.
• Dank euch ist unsere LinkedIn-Community weiter gewachsen.
• Auch über viele Sternchen durften wir uns freuen: Dieses Jahr gab es 143 neue Bewertungen auf Google.

Aus cyon GmbH wird cyon AG

Ein wichtiger Meilenstein für cyon: 2025 sind wir von der GmbH zur AG geworden. Für dich bleibt im Alltag alles gleich. Für uns ist es ein klares Signal nach vorn. Die neue Rechtsform stärkt unsere Basis, sorgt für zusätzliche Stabilität und gibt uns den nötigen Spielraum, cyon langfristig und nachhaltig weiterzuentwickeln.

Auch technisch haben wir nachgelegt. Unsere internen Plattformen laufen jetzt vollständig auf Debian GNU/Linux. Rund 300 VMs, 80 Storage-Server und 40 Hypervisor sorgen im Hintergrund für stabile Systeme, schnelle Security-Updates und Upgrades ohne Downtime.

Mehr drin zum gleichen Preis: Im Webhosting haben wir Speicher (GB) und RAM erhöht. Beim Webhosting Pro wurde der Speicher (GB) ausgebaut. So erhältst du mehr Leistung und Platz genau dort, wo es im Alltag zählt.

Und auch im my.cyon wurde es frischer. Neue Zahlungsmöglichkeiten und ein überarbeiteter Finanzbereich machen die Verwaltung deiner Abos und Abrechnungen einfacher und übersichtlicher. Alles im Griff – mit wenigen Klicks.

Ausblick auf 2026

Mit frischem Elan schauen wir nach vorn. 2026 investieren wir gezielt in das, was du täglich nutzt. Wir verbessern unser bestehendes Portfolio Schritt für Schritt.

Ein grosses Thema bleibt die Weiterentwicklung unserer Website-Lösungen. Der bisherige Sitebuilder bekommt einen zeitgemässen Ersatz – moderner, flexibler und näher an deinen Bedürfnissen. Technik, die dich unterstützt. Nicht aufhält.

Unsere Vision bleibt klar: «Das Internet zu einem besseren Ort machen.» Auch 2026 entwickeln wir Lösungen, die sinnvoll sind, transparent bleiben und dir echten Mehrwert bieten.

Schön, gehst du diesen Weg mit uns.

Weshalb das ganze?

Im System-Engineering-Team sind wir zusammen mit dem Service-Operations-Team für den reibungslosen Betrieb unserer Serverinfrastruktur verantwortlich. Diese bildet die Grundlage unseres Hosting-Angebots und wird zusätzlich für die Bereitstellung weiterer interner Dienste genutzt.

Um jederzeit über den Zustand unserer Systeme informiert zu sein, setzen wir verschiedene Monitoring-Systeme ein. Diese überwachen rund um die Uhr wichtige Aspekte unserer Infrastruktur und alarmieren im Bedarfsfall das Team.

Unsere Monitoring-Infrastruktur unterteilt sich in drei Hauptbereiche:

• Health-Monitoring: Echtzeit-Überwachung der ordnungsgemässen Funktionalität unserer Systeme, zum Beispiel die Verfügbarkeit des Webservers Litespeed auf einem Hosting-Server.
• Metrics: Langfristige Aufzeichnung von Systemkennzahlen, etwa die Speicherauslastung eines Servers.
• Logs: Zentralisierte Sammlung von Log-Ereignissen zur vereinfachten Analyse, wie beispielsweise SSH-Logins auf sämtlichen Servern.

Um den Zustand unserer Systemlandschaft in Echtzeit zu überwachen, betreiben wir ein Icinga-Cluster. Icinga ist eine Open-Source-Lösung zur Überwachung von IT-Systemen, die in regelmässigen Abständen die Funktionalität all unserer Systeme prüft. Neben unseren Servern überwachen wir auch Netzwerkkomponenten und weitere Elemente, die für das reibungslose Funktionieren unserer Dienstleistungen von Bedeutung sind.

Health-Monitoring

Für die gezielte Überwachung kritischer Aspekte haben wir für viele Bereiche sogenannte «Checks» definiert. In den meisten Fällen handelt es sich dabei um einfache Skripte, die den Zustand eines Dienstes prüfen und das Ergebnis, ob Erfolg oder Misserfolg, melden. Durch die periodische Ausführung dieser Skripte wird sichergestellt, dass die Ergebnisse innerhalb der von uns festgelegten, akzeptablen Grenzen liegen.

Konkret erwarten wir beispielsweise, dass unser Webserver Litespeed stets betriebsbereit ist oder dass mindestens 20 % des Arbeitsspeichers frei bleiben. Liegt das Ergebnis eines Checks ausserhalb dieser Schwellenwerte, wird dies in über die Icinga-Weboberfläche angezeigt. Zudem wird bei den meisten Checks ein Alarm ausgelöst.

Aktuell überwacht unser Icinga-Cluster über 700 Hosts. Auf diesen Hosts werden insgesamt rund 55’000 Checks ausgeführt. Die meisten Checks laufen im Minutentakt, einige sogar häufiger, während andere nur stündlich ausgeführt werden.

Damit wir im Büro jederzeit den aktuellen Zustand unserer Infrastruktur vor Augen haben, wurde eine alte Verkehrsampel umfunktioniert, die jederzeit anzeigt, ob akute Probleme vorliegen.

Damit wir im Büro jederzeit den aktuellen Zustand unserer Infrastruktur vor Augen haben, wurde eine alte Verkehrsampel umfunktioniert, die jederzeit anzeigt, ob akute Probleme vorliegen.

Tagsüber übernimmt das Operations-Team die Bearbeitung dieser Alarme, um Probleme zu analysieren und zu beheben. Werden Störungen ausserhalb der Geschäftszeiten oder nachts festgestellt, werden die Alarme an das Pikett-Team weitergeleitet, das rund um die Uhr, 7 Tage die Woche, auf Abruf bereitsteht.

Wöchentlich bearbeiten wir im Durchschnitt rund 80 Alarme, die in etwa gleichen Teilen von Pikett und Operations bearbeitet werden.

System Metriken

Wird ein Problem festgestellt, ist es oft hilfreich, die die Entwicklung relevanter Systemparameter über längere Zeiträume zu analysieren. Dazu erfassen wir minütlich Daten aller Systeme und speichern diese in einem Langzeitspeicher.

Beispiele für die gesammelten Informationen sind die Arbeitsspeicherauslastung, CPU-Auslastung, Speicherbelegung, das Volumen der ein- und ausgehenden Netzwerkanfragen sowie weitere für uns relevante Parameter.

Um aus diesen Rohdaten nützliche Informationen zu gewinnen, setzen wir eine Open Source-Plattform zur interaktiven Datenvisualisierung namens Grafana ein. Mit Grafana können wir verschiedene Dashboards erstellen, die uns helfen, die benötigten Erkenntnisse zu gewinnen.

Übersicht der Systemauslastung am Beispiel von s001.cyon.net

Logs

Neben Metriken verarbeiten wir auch eine grosse Menge an Log-Informationen in Textform. Die meisten Dienste, die auf unseren Servern laufen, protokollieren Informationen über ihre Aktivitäten, ihren Zustand oder sicherheitsrelevante Vorfälle in entsprechenden Log-Dateien. Diese Dateien werden automatisiert über unser Log-Monitoring-System erfasst und zentral zusammengeführt.

Einerseits machen wir diese Informationen durchsuch- und filterbar, um Probleme leichter zu analysieren. Andererseits werten wir Teile dieser Daten automatisch aus, blockieren zum Beispiel IP-Adressen, die durch auffälliges Verhalten negativ auffallen und bei denen wir von schädlichem Verhalten ausgehen müssen. Zudem durchsuchen wir die Logs nach Anzeichen für Phishing und erhalten über unser Chat-Tool eine Alarmmeldung, sobald verdächtige Nachrichten erkannt werden. So können wir sofort reagieren und den weiteren Versand schnellstmöglich stoppen.

Warnung zu einer verdächtigen E-Mail

Warnung zu einer verdächtigen E-Mail

Zum Sammeln der Log-Einträge setzen wir Filebeat aus dem Hause Elastic ein. Damit können wir gezielt Informationen aus den Logdateien extrahieren und an eine zentrale Stelle übermitteln. Unser zentraler Log-Speicher sowie die Indexierung der Daten für die Durchsuchbarkeit wurde durch ein Elasticsearch-Cluster realisiert.

cyon Elasticsearch Webinterface – Anzeigen der aktuell blockierten IP-Adressen

Zur Visualisierung und Analyse der Log-Einträge verwenden wir ein eigens entwickeltes Web-UI, das auf unsere spezifischen Bedürfnisse zugeschnitten ist. Aktuell sind rund 10’000 IP-Adressen gesperrt, seit Einführung dieses Systems haben wir hierdurch über 150’000 Adressen gesperrt.

Zukunftspläne

Unsere Monitoring-Umgebung deckt bereits viele unserer aktuellen Bedürfnisse ab. In einigen Punkten sehen wir jedoch noch Potenzial für Optimierungen. Beispielsweise sammeln wir bereits eine grosse Menge an Metriken, verwenden diese bisher jedoch hauptsächlich für manuelle Inspektionen.

Mit entsprechenden Tools wäre es künftig möglich, Anomalien in den gemessenen Werten automatisch zu erkennen und auf dieser Basis Alarme auszulösen. Im Bereich von Icinga arbeiten wir kontinuierlich daran, die Alarmierungszeiten einzelner Checks zu optimieren. Es gibt Fälle, die zwar behandelt werden müssen, aber auch bis zum nächsten Morgen warten können, ohne dass dafür ein Pikett-Einsatz während der Nacht notwendig wäre.

Engagement

Auch im Bereich Monitoring setzen wir an vielen Stellen auf Open-Source-Lösungen. Dabei ist es uns wichtig, die Open-Source-Projekte, die wir nutzen, finanziell zu unterstützen (zum Beispiel Let’s Encrypt und Debian).

Bei Icinga tun wir dies durch eine jährliche Subscription, die uns Zugang zu bereits paketierten Softwarepaketen verschafft und gleichzeitig das Open-Source-Projekt unterstützt.

Da wir den Metrics-Teil unserer Infrastruktur gerade umbauen, ist noch nicht vollständig klar, welche Komponenten wir künftig weiterverwenden werden und wie zentral sie für uns sind. Nach Abschluss dieser Arbeiten planen wir, die Situation erneut zu evaluieren und mögliche Spenden zu prüfen.

Im Bereich Elasticsearch haben wir im Team Filebeat-Module entwickelt, die zur Verarbeitung entsprechender Logs verwendet werden. Diese Module sind unter einer Open-Source-Lizenz frei verfügbar und können von der Community kostenfrei genutzt werden.

Fazit

Der Betrieb einer stabilen und zuverlässigen Serverinfrastruktur ist eine anspruchsvolle Aufgabe, die kontinuierliche Überwachung und schnelle Reaktionen auf unerwartete Probleme erfordert. Durch den Einsatz moderner Monitoring-Lösungen wie Icinga, Grafana und Elasticsearch können wir sicherstellen, dass wir potenzielle Störungen frühzeitig erkennen und effizient darauf reagieren.

Die Kombination aus Echtzeit-Überwachung, langfristiger Analyse von Systemmetriken und der zentralisierten Log-Verwaltung gibt uns die nötigen Werkzeuge an die Hand, um schnell fundierte Entscheidungen zu treffen und unsere Systeme zuverlässig zu betreiben.

Weiterführende Links

• icinga.com
• elastic.co
• grafana.com
• prometheus.io
• influxdata.com

In den 2000er-Jahren war HTTPS noch teuer und technisch anspruchsvoll: Zertifikate kosteten Geld, die Einrichtung erfolgte meist manuell und war entsprechend fehleranfällig. Mit der Gründung von Let’s Encrypt 2014 und dem Start 2015 änderte sich das grundlegend. Erstmals konnten Zertifikate kostenlos, automatisiert und für alle zugänglich bezogen werden.

Seit unserem Start haben wir bei cyon insgesamt 4’793’358 SSL-Zertifikate ausgestellt. Ein Meilenstein, der zeigt, wie stark Let’s Encrypt zur Verbreitung von verschlüsselten Verbindungen beigetragen hat.

Let’s Encrypt stellt heute täglich rund 8–10 Millionen Zertifikate aus. Verschlüsselung ist damit vom teuren Extra zum Sicherheitsstandard geworden.

Warum SSL heute unverzichtbar ist

Ein SSL-Zertifikat verschlüsselt deine Daten im Internet, damit niemand unterwegs mitlesen kann.

SSL schützt Daten, schafft Vertrauen und wird von Browsern wie auch Suchmaschinen vorausgesetzt. Mit Let’s Encrypt gelingt dir der Einstieg ganz ohne Kosten und mit automatischer Erneuerung – ideal, wenn du dich nicht mit technischen Details herumschlagen willst. Egal ob Blog oder Online-Shop: Du profitierst von mehr Sicherheit und Seriosität.

So läuft SSL bei cyon

Wir bei cyon setzen seit Beginn auf Let’s Encrypt und unterstützen diese als Silber-Partner. Du aktivierst dein kostenloses SSL-Zertifikat mit einem Klick im my.cyon, den Rest übernehmen wir im Hintergrund. Keine Zusatzkosten, kein Aufwand – aber volle Sicherheit. Und wir arbeiten stetig daran, moderne Standards für dich so einfach wie möglich nutzbar zu machen.

Herausforderungen & Ausblick

Kürzere Laufzeiten – künftig etwa 47 Tage – erhöhen die Sicherheit, weil Zertifikate öfter erneuert und Angaben laufend aktualisiert werden.

Let’s Encrypt entwickelt sich stetig weiter: Die Internet Security Research Group (ISRG) arbeitet an Zertifikaten für neue Anwendungsfälle wie E-Mail, an schnelleren Protokollen und an noch mehr Automatisierung und Transparenz. Zertifikatslaufzeiten werden weiter verkürzt, künftig auf rund 47 Tage. Das erhöht die Sicherheit, weil Standards und Angaben laufend aktualisiert werden.

Quelle: https://www.essendi.ch/laufzeit_digitale_zertifikate/

Das Ziel bleibt klar: Verschlüsselung für alle! Unabhängig von Budget oder Know-how. Die letzten zehn Jahre zeigen, wie viel offene Standards bewegen können. Wir bei cyon sind stolz, seit Anfang an dabei zu sein. Auf die nächsten zehn Jahre in einem sicheren, offenen Web und ein grosses Dankeschön an Let’s Encrypt und alle, die das Internet jeden Tag ein Stück besser machen.

Titelbild: Mariia Shalabaieva / Unsplash

Wie kannst du Newsletter und andere digitale Massenwerbung rechtssicher verschicken? Anders gefragt: Wie vermeidest du es, mit deinem Newsletter den Datenschutz zu verletzen oder für Spam bestraft zu werden?

Die Antwort ist einfach: Du bittest die Newsletter-Empfänger:innen zuerst um ihre ausdrückliche und informierte Einwilligung («Opt-in»). Danach lässt du dir diese Einwilligung – wiederum ausdrücklich – bestätigen («Double Opt-in»). Ferner verwendest du immer einen korrekten Absender und weist auf eine problemlose Ablehnungsmöglichkeit hin («Opt-out»-Möglichkeit).

Seth Godin hat den Begriff «Permission Marketing» geprägt.

«Permission Marketing», auf Deutsch in etwa erlaubnisbasiertes Marketing, ist gemäss Seth Godin das Privileg, inhaltlich relevante Mitteilungen an Menschen zu senden, welche diese Mitteilungen tatsächlich erhalten möchten.

Ein respektvoller Umgang mit Menschen ist die beste Möglichkeit, ihre nachhaltige Aufmerksamkeit zu gewinnen. Es geht um Qualität statt Quantität. Es geht um langfristige Bindung statt kurzfristigen scheinbaren Erfolg durch Spam.

Rechtlich gesehen geht es um «Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt», die jemand «fernmeldetechnisch sendet». Gemeint sind Newsletter per E-Mail, aber beispielsweise auch mit WhatsApp und sonstigem Messaging, auf LinkedIn und anderen Social-Media-Plattformen oder per SMS.

Rechtlich gesehen geht es ausserdem um die «Informationspflicht bei der Beschaffung von Personendaten». Du kannst faktisch keine Newsletter versenden, ohne Daten über die Empfänger:innen zu beschaffen und zu bearbeiten.

Allgemeine Kommunikation, die keinen direkten Bezug zu Leistungen für einzelne Kund:innen hat, gilt im Zweifelsfall als «Massenwerbung».

Man spricht auch von kommerzieller Kommunikation oder schlicht von Werbung. Das Gegenteil sind Transaktions-E-Mails an einzelne Kund:innen, beispielsweise im Zusammenhang mit Bestellungen oder zur Information über geänderte Allgemeine Geschäftsbedingungen (AGB).

Mit einer Einwilligung bzw. mit «Opt-in» zu arbeiten, ist auch jenseits der Rechtslage sinnvoll, denn wer möchte Empfänger:innen mit unerwünschten Mitteilungen verärgern?

Die schweizerischen Rechtsgrundlagen finden sich insbesondere im Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und im Bundesgesetz über den Datenschutz (DSG).

Wie holst du die Einwilligung am besten ein?

Bei einem E-Mail-Newsletter holst du die Einwilligung («Opt-in») normalerweise über ein Anmelde-Formular ein.
Du informierst mit dem Anmelde-Formular, welche Inhalte wie häufig zu erwarten sind. Du informierst auch über allfällige Inhalte von Partner:innen und sonstigen Dritten, welche die E-Mail-Adressen der Empfänger:innen von dir erhalten.

Du fragst gleichzeitig die erforderlichen Angaben der künftigen Newsletter-Empfänger:innen ab. Für einen E-Mail-Newsletter ist normalerweise nur die E-Mail-Adresse erforderlich. Andere Angaben, wie beispielsweise Vorname und Name oder gar das Geburtsdatum oder Geschlecht solltest du deshalb nur freiwillig verlangen.

Bei Mitteilungen über andere Kommunikationskanäle fragst du beispielsweise die Telefonnummer (SMS) ab oder nutzt die Mechanismen der jeweiligen Messaging-App bzw. Social-Media-Plattform.

Bei E-Mail-Adressen, die von Datenhändler:innen und anderen Dritten stammen, musst du die eingeholte Einwilligung vertraglich absichern.

Wie musst du über die Bearbeitung von Personendaten informieren? Bei einem E-Mail-Newsletter werden immer Personendaten beschafft und bearbeitet.

Aus diesem Grund müssen die E-Mail-Empfänger:innen ab der Anmeldung über die Bearbeitung ihrer Daten informiert werden. Rechtlicher Hintergrund ist die Informationspflicht gemäss Art. 19 f. DSG.

Am einfachsten wird beim Anmeldeformular und in den einzelnen E-Mails auf die – hoffentlich! – vorhandene allgemeine Datenschutzerklärung verlinkt. Diese Datenschutzerklärung muss unter anderem Angaben über den Versand von Mitteilungen enthalten.

Informiert werden muss aber auch über allfälliges Tracking, wie es bei Newslettern gängig, aber den meisten Newsletter-Empfänger:innen nicht bekannt ist. Bei fast jedem Newsletter wird versucht zu erfassen, ob E-Mails geöffnet und ob Weblinks angeklickt werden. So kannst du den Erfolg deiner verschickten Inhalte messen. Du kannst aber auch E-Mail-Empfänger:innen, die deinen Newsletter nicht aktiv nutzen, im Sinn der Datensparsamkeit löschen.

In der Praxis ist nur noch das Tracking von angeklickten Weblinks aussagekräftig. Viele E-Mail-Dienste rufen Newsletter-E-Mails automatisch ab, um das gezielte Öffnungs-Tracking zu verhindern.

Im Sinn von Datensparsamkeit, Erforderlichkeit und Verhältnismässigkeit sollten nicht mehr aktive E-Mail-Empfänger:innen regelmässig gelöscht werden.

Du sparst damit Kosten beim Newsletter-Versand und erhöhst die Wahrscheinlichkeit, dass die verbleibenden E-Mail-Empfänger:innen die Newsletter-E-Mail zugestellt erhalten. Newsletter-E-Mails, welche die einzelnen Empfänger:innen gar nicht lesen, können deiner «Sender-Reputation» schaden, welche die Wahrscheinlichkeit einer erfolgreichen Zustellung beeinflusst.

Bei einem monatlich erscheinenden Newsletter sollte die Löschung nach sechs bis zwölf Monaten erfolgen, bei einem wöchentlich erscheinenden Newsletter nach drei bis sechs Monaten.

Für Newsletter-Tracking ist in der Schweiz keine Einwilligung der E-Mail-Empfänger:innen erforderlich, sondern die Information genügt. Die Datenschutzerklärung dient der Information, das heisst es wäre falsch, sich eine Einwilligung zur Datenschutzerklärung erteilen zu lassen.

Die Einwilligung der Empfänger:innen kann freiwillig eingeholt werden. Für jede Einwilligung gilt, dass diese freiwillig und informiert erteilt werden muss. Die Ausdrücklichkeit der Einwilligung ist bei einem Newsletter aber ohnehin vorgesehen.

Nicht empfehlenswert ist die «Tarnung» einer Newsletter-Anmeldung als Whitepaper-Download oder dergleichen. Ein solches «Goodie» darf verwendet werden, um neue Newsletter-Empfänger:innen zu motivieren, ihre Einwilligung zu erteilen. Allein für einen Whitepaper-Download ist aber offensichtlich nicht die Angabe einer E-Mail-Adresse erforderlich, sondern die PDF-Datei kann direkt zum Download verlinkt werden.

Auch nicht empfehlenswert ist eine «versteckte» Einwilligung als Teil von Allgemeinen Geschäftsbedingungen (AGB). Einerseits ist eine solche Einwilligung voraussichtlich nicht rechtswirksam, andererseits verärgerst du die unfreiwilligen Empfänger:innen der entsprechenden Mitteilungen.

Wie kannst du dir die Einwilligung bestätigen lassen?

Bei einem E-Mail-Newsletter bewährt sich das «Double Opt-in»-Verfahren.

Du schickst dafür an die E-Mail-Adresse, die bei der Newsletter-Anmeldung hinterlassen wurde, eine E-Mail mit einem Weblink, der angeklickt werden muss. Erst danach erfolgt der Newsletter-Versand.

Ich halte es für zulässig, eine «Double Opt-in»-E-Mail ein zweites Mal zu senden, wenn eine Newsletter-Anmeldung innert nützlicher Frist nicht bestätigt wird.

Bei Newslettern mit Messaging oder per SMS bittest du um eine spezifische Antwort als Bestätigung, beispielsweise mit dem Wort «ja». Das Gleiche gilt für Mitteilungen bei Social-Media-Plattformen.

«Double Opt-in» ist keine rechtliche Pflicht, dient aber als Dokumentation, dass die Einwilligung tatsächlich von der betreffenden Person stammt. Da ein:e Newsletter-Versender:in im Zweifelsfall die Einwilligung in den Newsletter-Empfang beweisen muss, führt normalerweise kein Weg an «Double Opt-in» vorbei.

Kein eigenes «Double Opt-in» ist erforderlich, wenn geeignete Mechanismen von Messaging-Apps oder Social-Media-Plattformen genutzt werden. Je nach Plattform steht eine Newsletter-ähnliche Funktion direkt zur Verfügung oder es können Gruppen verwendet werden, denen interessierte Personen selbst beitreten.

Alle seriösen Newsletter-Dienste ermöglichen das «Double Opt-in»-Verfahren. Zum Teil ist «Double Opt-in» sogar obligatorisch, weil Newsletter-Dienste nicht riskieren möchten, als Spam-Versender:innen zu gelten. Wenn die «Sender-Reputation» der verwendeten IP-Adressen und Mail-Server leidet, erreichen weniger E-Mails ihr Ziel. Auch cyon verbietet Spam ausdrücklich in den Allgemeinen Geschäftsbedingungen (AGB).

Manchmal wird beklagt, die «Double Opt-in»-E-Mails würden die neuen Newsletter-Empfänger:innen nicht immer erreichen. Das stimmt, doch ist es an den Empfänger:innen, den Empfang erwünschter E-Mails sicherzustellen. Wenn ausserdem bereits «Double Opt-in»-E-Mails nicht zugestellt werden, ist naheliegend, dass die Newsletter-E-Mails das gleiche Schicksal erleiden würden.

Wenn du einen Newsletter-Dienst verwendest, musst du dieses Outsourcing mit einem sogenannten Auftragsverarbeitungsvertrag (AVV) absichern (Art. 9 DSG). Auf Englisch wird ein AVV als Data Processing Agreement oder Addendum (DPA) bezeichnet. Seriöse Newsletter-Anbieter:innen bieten an, einen AVV per Mausklick abzuschliessen oder haben entsprechende Bestimmungen in ihre AGB integriert.

Bei Newsletter-Diensten im Ausland musst du für den «Daten-Export» einen angemessenen oder geeigneten Datenschutz sicherstellen (Art. 16 f. DSG). Bei Diensten mit Sitz im Europäischen Wirtschaftsraum (EWR) und einigen wenigen «sicheren Drittstaaten» ist das grundsätzlich ohne weitere Massnahmen der Fall. Bei Diensten in anderen Ländern musst du auf «Standarddatenschutzklauseln», englisch «Standard Contractual Clauses (SCC)» achten, beispielsweise in den USA. Bei amerikanischen Diensten kann ferner das Data Privacy Framework (DPF) helfen.

Wie sieht dein korrekter Absender aus?

Der korrekte Absender umfasst die gleichen Angaben, wie sie im Website-Impressum stehen müssen.

Als E-Mail-Absender erwähnst du die Firma oder den Namen sowie eine gültige E-Mail-Adresse. Im Footer bzw. in der Fusszeile der Newsletter-E-Mails erwähnst du ergänzend die Postadresse.

Ich rate davon ab, als Absender-E-Mail-Adresse eine E-Mail-Adresse zu verwenden, die nicht funktioniert («noreply@…» und dergleichen). Du verärgerst damit Empfänger:innen, die sich auf diesem Weg vom Newsletter abmelden möchten. Ferner erschwerst du Empfänger:innen, die eine Frage stellen möchten oder ein anderes Anliegen haben, den direkten Kontakt mit dir.

Siehe dazu auch: Alle Websites benötigen ein Impressum, aber was genau muss darin stehen?

Was ist eine problemlose Ablehnungsmöglichkeit?

Newsletter-Empfänger:innen sollten jederzeit die Möglichkeit haben, sich problemlos vom Newsletter abmelden zu können («Opt-out»).

Bei einem E-Mail-Newsletter sollte die Abmeldung über einen Weblink am Ende der E-Mail mit einem einzigen Klick oder Tap erfolgen können.

Es ist nicht empfehlenswert, nochmals zu fragen, ob eine Abmeldung tatsächlich erwünscht sei oder gar die Eingabe der E-Mail-Adresse zu verlangen. Es ist auch nicht empfehlenswert, die Abmeldung anderweitig zu erschweren. Dazu gehören «Dark Pattern», die dazu führen, dass Empfänger:innen, die sich abmelden möchten, aus Versehen den Newsletter weiterhin erhalten oder sich gar für weitere Newsletter anmelden.

Hingegen halte ich es für zulässig, zu fragen, ob die Abmeldung aus Versehen erfolgt ist und deshalb eine direkte erneute Anmeldung erwünscht ist. Es muss aber klar ersichtlich sein, dass es nicht um die Bestätigung der Abmeldung, sondern um eine erneute Anmeldung geht.

Bei anderen Kommunikationskanälen funktioniert die Abmeldung mit einem bestimmten Wort oder über die Mechanismen der jeweiligen Messaging-App bzw. Social-Media-Plattform.

Wie werden Spammer:innen bestraft?

Unlauterer Wettbewerb kann in der Schweiz mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden (Art. 23 Abs. 1 UWG).

In der Praxis fallen die Strafen tief aus. In einem Fall aus dem Jahr 2019 wurde ein:e wiederholte:r Spammer:in mit einer bedingten Geldstrafe von 15 Tagessätzen, einer Busse von 250 Franken und Verfahrenskosten in Höhe von 410 Franken bestraft.

Allerdings empfinden die meisten Beschuldigten auch ein Strafverfahren, das ohne Strafbefehl oder Verurteilung endet, als «Strafe». Beschuldigte müssen sich normalerweise von der Polizei oder Staatsanwaltschaft einvernehmen lassen, benötigen eine kostenpflichtige Strafverteidigung und müssen Zeit aufwenden. Bei einer Verurteilung droht ausserdem ein Eintrag im Strafregister.

Mit dem neuen Datenschutzgesetz (DSG) in der Schweiz drohen seit dem 1. September 2023 empfindliche Bussen bis zu 250’000 Franken und Verwaltungsverfahren, beispielsweise für die Verletzung der Informationspflicht (Art. 60 Abs. 1 DSG). Die bislang bekannt gewordenen Bussen liegen aber viel tiefer. In einem Fall aus dem Jahr 2024 wurde eine verantwortliche Person bei einem Unternehmen im Zusammenhang mit Spam mit einer Busse von 200 Franken und Verfahrenskosten in Höhe von 250 Franken bestraft.

Die Schweizerische Lauterkeitskommission (SLK) reguliert Newsletter und überhaupt Werbung mit ihren Grundsätzen «Lauterkeit in der kommerziellen Kommunikation» und behandelt Beschwerden gegen die Verletzung dieser Grundsätze. Diese ist allerdings eine private Selbstregulierungsorganisation der Kommunikationsbranche in der Schweiz und keine staatliche Behörde. Sie kann deshalb keine Bussen verhängen.

Gibt es Ausnahmen von der notwendigen Einwilligung?

Es gibt eine Ausnahme für Werbung an bestehende Kund:innen. Die Ausnahme ist allerdings von geringer praktischer Bedeutung.

Ausnahmsweise ist keine Einwilligung («Opt-in») erforderlich, wenn ein Unternehmen «beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält» und über den Newsletter informiert sowie «auf die Ablehnungsmöglichkeit hinweist» (Art. 3 Abs. 1 lit. o UWG).

In diesem Fall bleibt der Newsletter-Inhalt aber auf «Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen» beschränkt und kann nicht beliebige Inhalte umfassen.

Im Streitfall kann es aus Beweisgründen schwierig sein, sich auf diese Ausnahme zu berufen.

Es ist deshalb empfehlenswert, sich auch von Kund:innen die Einwilligung in den Newsletter-Versand ausdrücklich erteilen zu lassen. Eine gängige Möglichkeit ist, dass bei einer Bestellung jeweils die Allgemeinen Geschäftsbedingungen (AGB) und der Newsletter-Empfang ausdrücklich bestätigt werden müssen.

Was gilt für Newsletter mit Empfänger:innen im Ausland?

Bei Newslettern, die an Empfänger:innen ausserhalb der Schweiz gehen, musst du davon ausgehen, dass das Recht im Land der Empfänger:innen mit seinen Pflichten gilt.

Bei Empfänger:innen in Deutschland gelten beispielsweise unter anderem das dortige Gesetz gegen den unlauteren Wettbewerb (UWG), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und die europäische Datenschutz-Grundverordnung (DSGVO).

In der Folge kann Spam in Deutschland nicht nur wesentlich härter bestraft werden als in der Schweiz. Es drohen auch kostenpflichtige Abmahnungen, vergleichbar mit deutschen Bilder-Abmahnungen, und unerwünschter Kontakt mit deutschen Datenschutz-Aufsichtsbehörden.
Mit konsequentem «Double Opt-in» und einer passenden Datenschutzerklärung, die nicht nur das schweizerische Recht, sondern auch die DSGVO berücksichtigt, können sich Newsletter-Versender:innen in der Schweiz vor unerwünschten Rechtsfolgen im europäischen Ausland schützen. Gemäss DSGVO ist die ausdrückliche, freiwillige und informierte Einwilligung ein wichtiger Rechtfertigungsgrund, um Personendaten überhaupt bearbeiten zu dürfen (Art. 6 Abs. 1 lit. a DSGVO).

Du erkennst eine DSGVO-konforme Datenschutzerklärung an der ausdrücklich genannten EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO. In einem Fall aus dem Jahr 2022 wurde gegen eine Verantwortliche in Kanada in dieser Hinsicht eine Busse von 645’000 Euro verhängt.

Es lohnt sich, die Voraussetzungen für legale Newsletter im Ausland zu prüfen. So kann in Deutschland bereits eine einzelne E-Mail zur Erfassung der Kundenzufriedenheit als Spam gelten. Mit «Double Opt-in» und einer passenden Datenschutzerklärung ist eine hohe Rechtssicherheit möglich.

Ausländische Newsletter-Empfänger:innen können bei Bedarf ausdrücklich ausgeschlossen werden. Am einfachsten ist der Ausschluss, wenn bei der Anmeldung ausdrücklich die Beschränkung auf den Newsletter-Empfang in der Schweiz bestätigt werden muss.

Wie gehst du mit bereits vorhandenen E-Mail-Adressen ohne dokumentierte Einwilligung um?

Die rechtssichere Antwort lautet, dass du E-Mail-Adressen, für die keine dokumentierte Einwilligung in den Newsletter-Versand vorliegt, löschen musst.

In der Praxis kannst du versuchen, solche E-Mail-Adressen zu «retten», indem du die Einwilligung nachträglich einholst. Das ist ein rechtliches Risiko, aber wenn du geschickt kommunizierst, kann du es schaffen, einen wesentlichen Teil der E-Mail-Adressen zu retten.

Allerdings gehen viele E-Mail-Versender:innen dabei derart ungeschickt vor, dass sie nicht nur daran scheitern, die benötigten nachträglichen Einwilligungen zu erhalten, sondern sie verärgern sogar die E-Mail-Empfänger:innen. Dadurch erhöht sich das rechtliche Risiko, denn verärgerte E-Mail-Empfänger:innen neigen dazu, Abmahnungen versenden zu lassen oder sich bei Datenschutz-Aufsichtsbehörden und Staatsanwaltschaften zu beschweren.

In jedem Fall muss beachtet werden, dass bereits die E-Mail, mit der versucht wird, die fehlende Einwilligung nachträglich einzuholen, eigentlich unzulässig ist. «Einmal ist kein Mal» gilt bei Spam nicht!

Mit «Permission Marketing» im Sinn von Seth Godin bist du auf der sicheren Seite. Es lohnt sich, die dokumentierte, freiwillige und informierte Einwilligung («Opt-in») deiner Newsletter-Empfänger:innen einzuholen.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine geeignete Fachperson wie beispielsweise einen erfahrenen und qualifizierten Rechtsanwalt.

*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes hellocyondsp10 profitierst du sogar von 10 % Rabatt im ersten Jahr.

Ausgangslage

Über viele Jahre hinweg liefen unsere internen Dienste wie Mail-Gateways, DNS, rspamd, Loggin, etc. auf CentOS. Bei unseren Storage-Systemen sowie der Virtualisierung kam Red Hat Enterprise Linux (RHEL) zum Einsatz.

Mit dem EOL von CentOS 7 und der Umstellung des CentOS-Projekts hin zu CentOS Stream war für uns klar: Wir brauchen eine neue, langfristig planbare, stabile und community-getriebene Basis.

Nach umfassenden Tests stand unsere Entscheidung fest: Wir wechseln das Betriebsystem aller internen Server – inklusive Storage-Hosts und Hypervisor – auf Debian GNU/Linux.

Das bedeutete konkret: rund 300 virtuelle Maschinen, 80 Storage-Server und 40 Hypervisor mussten migriert werden – ein Projekt von über einem Jahr.

Warum Debian

• Stabilität & Planbarkeit: Debian steht für konservative Paketpflege und umfangreich getestete Release-Zyklen (minimiert Überraschungen bei Updates).
• Security: dediziertes Security-Team, automatische unattended-upgrades, Reproducible Builds.
• Unabhängigkeit: kein Vendor Lock-in, transparente Community-Entscheidungen.
• Ökosystem: riesige Paketvielfalt, moderne Defaults, non-free-firmware für Hardware-Kompatibilität (zusätzliche Erleichterung des Betriebs).
• Kostenkontrolle: keine Lizenzgebühren, stattdessen Investitionen in Hardware, Schulung – und finanzielle Unterstützung des Debian-Projekts.

Unsere Migration: Vorgehen und Learnings

Analyse und Vorbereitung

Nachdem die Entscheidung für Debian gefallen war, stand zunächst eine gründliche Analyse an. Wir wollten klären, wie der Systemwechsel technisch aussehen kann und welche Vorbereitungen dafür nötig sind. Ein zentrales Thema war dabei unsere Konfigurationsverwaltung: Alle Server werden bei uns mit Puppet (bald OpenVox) konfiguriert, das zunächst für Debian vorbereitet werden musste.

Gerade bei OS-spezifischen Einstellungen waren Anpassungen nötig. Ebenso musste die Möglichkeit vorbereitet werden, in der Übergangsphase mit zwei verschiedenen Betriebssystemen parallel arbeiten zu können.

Storage: Migration ohne Downtime

Ein besonderer Schwerpunkt lag auf der Migration unserer Storage-Systeme. Da wir Ceph bislang in der Enterprise-Variante betrieben, war zunächst ein Wechsel auf die Community Edition nötig. Dank Container-Auslieferung hielt sich der Aufwand in Grenzen.

Danach konnten wir das darunterliegende Betriebssystem Schritt für Schritt ersetzen. Alle auf einem Storage-Knoten gespeicherten Daten wurden auf andere Knoten umverteilt. Nach Abschluss dieses Vorgangs – dem sogenannten «Draining» – liess sich der Knoten mit Debian neu aufsetzen und anschliessend wieder ins Cluster einbinden.

Virtualisierung: Schrittweise und planbar

Auch die Virtualisierungsumgebung liess sich vergleichsweise reibungslos umstellen. Zunächst migrierten wir den Frontend-Server von OpenNebula und kombinierten das gleich mit einem Upgrade auf die aktuelle LTS-Version. Anschliessend verschoben wir virtuelle Maschinen von einem RHEL-Hypervisor auf andere Hosts, setzten den freigewordenen Host neu mit Debian auf und verschoben die VMs zurück. Ganz ohne Unterbruch ging es nicht: Da Red Hat eigene Machine-Types mit «rhel»-Suffix nutzt, mussten wir die VMs beim Umzug auf einen generischen Typ wechseln. Pro VM bedeutete das eine kalkulierte Downtime von rund zwei Minuten.

Betrieb und Wartung

Im laufenden Betrieb profitieren wir heute von klaren Routinen: Security-Updates stehen innert Stunden zur Verfügung und werden automatisch eingespielt, Minor-Upgrades laufen in definierten Wartungsfenstern.

Learnings aus der Migration

• Vorhersehbare Upgrades: Minor-Updates ohne böse Überraschungen.
• Geringere Betriebskosten: Wegfall von Lizenzkosten, Investitionen in echten Mehrwert.
• Breite Hardware-Kompatibilität: Aktuelle NICs und HBAs sind dank non-free-firmware-Komponente funktionsfähig.
• Community-Nähe: Fehlerberichte, Patches und Feedback landen direkt bei den Entwicklerinnen und Entwicklern.

Warum wir Debian unterstützen

Debian ist ein Freiheitsversprechen. Es ist frei nutzbar, transparent entwickelt und sehr robust im 24/7-Betrieb. Wir profitieren täglich von dieser Stabilität, deshalb ist es für uns selbstverständlich, das Projekt jährlich finanziell zu unterstützen. Aus Überzeugung und Verantwortung gegenüber dem Open-Source-Ökosystem, auf dem unsere Infrastruktur aufbaut.

Fazit

Debian ist für uns die konsequente Wahl: stabil, transparent, unabhängig – und damit die ideale Basis für eine moderne und zukunftssichere Infrastruktur. Die Migration war aufwendig, zahlt sich aber aus: Ruhe, Planbarkeit und Freiheit im Betrieb.

Titelbild: singincowboy

Bot-Scan mit KI als Startpunkt

«Wie Einbrecher, die nachts durch die Strassen laufen und Türklinken drücken. Die Bots checken einfach, welche Haustür offen steht.»

Angreifende nutzen KI-gestützte Bots, die systematisch und rund um die Uhr Websites prüfen:

• Sie erkennen CMS, Plugins, Logins und Sicherheitsmechanismen.
• Sie testen gezielt auf bekannte Schwachstellen oder Konfigurationsfehler.

Das Ziel dabei: Angriffsfläche finden – besonders bei veralteten Systemen oder schlecht geschützten Logins.

Was tun?
Aktiviere eine Web Application Firewall (WAF) mit KI-Bot-Erkennung auf deiner Website. Unsere cyon WAF enthält Regeln, die das Scannen diverser KI-Bots automatisch ausschliesst oder limitiert.

Sicherheitslücken als Eintritt

«Ein Fenster im Haus ist geöffnet. Genau da steigt der Angreifer ein.»

Sobald eine Schwachstelle erkannt wird (z. B. durch ein veraltetes Plugin, eine fehlerhafte .htaccess-Datei oder einen unsicheren Login), wird sie automatisiert ausgenutzt.

• Das Ziel: Die Hacker erhalten Zugriff und können Schadcode auf deine Webseite einschleusen.

Was tun?
Aktualisiere deine Website regelmässig. Entferne nicht mehr verwendete Plugins oder alte Installationen von deinem Webhosting. Wenn möglich, kannst du auch automatische Updates einstellen, wie beispielsweise mithilfe unserer Apps.

SEO-Missbrauch & Spam-Injektion

«Die Hauswände sind plötzlich voller fremder Plakate – Spam und Phishing tarnen sich in deiner Einrichtung.»

Die kompromittierte Website wird nicht zerstört, sondern missbraucht. Sie wird zum Träger für fremden Content, wie beispielsweise:

• Spam-Seiten wie „cheap air jordans“
• Versteckte Weiterleitungen zu Scam-Websites
• Phishing-Seiten (z. B. Fake-Logins von Banken), um Website-Besucher:innen zu täuschen und zur Eingabe von Daten oder Zahlungen zu bewegen.
• Eingeschleuste Keywords und Links

Ziel ist es, Reichweite und Google-Rankings zu manipulieren – oder an Zahlungsinformationen und Zugangsdaten zu gelangen.

Was tun?
Überprüfe immer die URL im Webbrowser, schaue dir bei Unsicherheiten das Impressum einer Website an. Ist deine eigene Website befallen, so scanne diese mit einem Malware-Scanner und bereinige sie. Aktualisiere deine Website und wechsle die Passwörter. Eine Anleitung wie in dem Fall vorzugehen ist, findest du hier.

Gestohlene Zugänge & Kompromittierte Accounts

«Ein Einbrecher hat einen Zweitschlüssel gefunden. Wenn du nicht die Schlösser wechselst, kommt der Hacker jederzeit wieder rein.»

Über gestohlene Zugangsdaten (z. B. Admin-Logins, E-Mail-Konten, FTP-Zugänge) wird der Angriff ausgeweitet oder dauerhaft verbreitet:

• Die Angreifer nutzen die Accounts für weitere Angriffe, beispielsweise um Phishing-E-Mails zu versenden.
• Oder sie verkaufen den Zugang im Darknet.

Der Diebstahl von Zugängen ist besonders gefährlich, weil eine Website auch nach einer Bereinigung erneut gehackt werden kann, wenn die Passwörter nicht auf jeden Fall geändert werden.

Was tun?

Sichere deine Zugänge, wenn möglich, immer mit 2FA oder MFA ab. Verwende sichere Passwörter und speichere diese bestenfalls in einem Passwort-Manager. Wir bei cyon nutzen dafür 1Password.

Klicke bei E-Mails nie auf Links, ohne diesen vorher zu prüfen. Schaue dir immer die Absender genau an. Weitere Tipps zur Erkennung von Phishing-E-Mails findest du hier: https://www.cyon.ch/support/phishing.

Fazit

Tausende Websites werden täglich kompromittiert – oft ohne dass es die Betreiber:innen bemerken. Selbst kleine Blogs oder lokale Firmenwebsites sind lohnende Ziele. Nicht wegen ihres Inhalts, sondern wegen ihrer Domain, Reichweite und Zugriffsmöglichkeiten.

Gesamtzahl der Cybervorfälle und Meldungen

Das Bundesamt für Cybersicherheit BACS veröffentlicht auf seiner Website aktuelle Statistiken zu Cybervorfällen. Diese werden in Kategorien wie Betrug, Phishing oder Schadsoftware unterteilt. Konkrete Jahreszahlen werden jedoch meist in den halbjährlichen Lageberichten bekanntgegeben:

• Im Halbjahresbericht 2024/2 wurden insgesamt 62 954 Meldungen zu Cybervorfällen verzeichnet (Privatpersonen und Unternehmen zusammen), was einen Anstieg um 13 574 gegenüber dem Vorjahr bedeutet.

Diese Meldungen umfassen nicht nur tatsächliche Schäden, sondern auch frühzeitig erkannte und möglicherweise erfolgreich abgewehrte Vorfälle.

Du hast Ergänzungen oder Fragen? Einfach in die Kommentarspalte tippen.

Titelbild: Hartono Creative Studio / Unsplash

Foto: Alfonso Scarpa, Unsplash

Irgendwo zwischen «am liebsten alles unterstützen» und «der Blick aufs Budget» versuchen wir vor allem die Projekte zu fördern, die auch unsere Mitarbeiter*innen begleiten – als Organisator*innen, Volunteers oder sogar Gründungsmitglieder.

Uns ist wichtig, ein unkomplizierter Partner zu sein und gemeinsam mit den Communities neue Wege zu gehen – sei es mit nachhaltigen Ideen, Merchandise abseits klassischer Logos oder langfristigen Engagements, die zu unseren Werten passen.

Jahressponsorings – Events & Community

• Scythe of Seraph (SOS) – Als Hauptsponsor unterstützen wir die Schweizer und deutsche E-Sport-Szene. Von Swiss Dome (12.–13. Juli, Basel/Markthalle) über OlympLAN (15.–17. August, Brugg/CAMPUSSAAL) bis hin zu Smash-Turnieren in Basel – SOS verbindet Gaming-Community, Leidenschaft und Spitzenleistung. → https://scytheofseraph.com

Foto: Lycrus

• JETZ! Youth Technology Lab – Mit unserer Silberpartnerschaft fördern wir praxisnahe Kurse für Jugendliche in Elektronik, Technik und Informatik. → https://www.jetz.ch

Foto: JETZ

• WordCamp 2025 in Basel – Ein Heimspiel, bei dem wir als Sponsor dabei waren. Mit angepackt haben u. a. Alex, Daniel und Lindita aus dem Customer Care sowie Mona aus dem Marketing. → Zum Recap

PS: 2026 findet das WordCamp Europe in Kraków statt.

Das «Familienfoto» am WordCamp 2025 in Basel. Foto: Nilo Velez, CC BY-SA 4.0

Jahressponsorings – Projekte & Open Source

Diese Sponsorings sind nicht eventgebunden – wir unterstützen Projekte, die für unsere Kundschaft und das offene Web einen echten Unterschied machen.

• Contao CMS – Ein Content-Management-System, das bei unserer Kundschaft hoch in der Rangliste steht – und das wir deshalb mit einem Jahressponsoring unterstützen.
• Let’s Encrypt – Ohne Zertifikate kein sicheres Web: Darum unterstützen wir Let’s Encrypt seit Jahren und bieten zu allen Produkten kostenlos die SSL-Verschlüsselung an.
• Debian Project – Debian bildet die Basis für viele unserer Systeme. Auf Initiative unserer SysAdmins haben wir 2025 erstmals einen Beitrag geleistet. (Dieser Blogpost folgt im Oktober.)

• Swiss Made Software – Das Label macht Schweizer Software sichtbar und steht für geprüfte Herkunft, Qualität und digitale Souveränität.
• Verein CH Open – CH Open treibt seit über 40 Jahren Open Source, offene Standards und digitale Nachhaltigkeit in der Schweiz voran. Mit unserem Sponsoring fördern wir eine Community, die Wissen teilt, offene Technologien stärkt und langfristig unabhängige IT-Infrastrukturen ermöglicht.

Events im Herbst

03.–05. Oktober | HackThePromise Festival (Basel)

Festival für Digitalität, Kunst und Gesellschaft – dieses Jahr unter dem Motto «Hacking Systems, Hacking Futures!». Hacking als sozio-technische Praxis: Aufbrechen, Umverdrahten, Zukünfte erproben. → hackthepromise.org

Mit dabei: cyonista Gianni.

Foto: HackThePromise 2023, Daniel Drognitz

05.–10. Oktober | Queer Coding Camp (Sumiswald, Bern)

Eine Woche lang gemeinsam coden, lernen und Community erleben – mit Workshops, Projekten und Mentoring. → queercodingcamp.ch

Mitorganisiert von: cyonista Gina.

15.–16. Oktober | BaselOne 2025 (Basel)

Die unabhängige Konferenz für Java, Software-Architektur & Innovation im Dreiländereck. → baselone.org

24.–25. Oktober | Young Talents Hackathon (Rotkreuz)

30 Stunden coden, tüfteln und im Team kreative digitale Lösungen entwickeln – praxisnah, mentoriert und mit viel Teamspirit. → young-talents-hackathon.ch

31. Oktober – 02. November | BaselHack (Basel)

Das Community-Hackathon-Wochenende für Entwickler*innen, Designer*innen und Maker – seit 2017 ein Fixpunkt der Region. → baselhack.ch

Wir sponsern auch dein Meetup

Foto: Gina Bialas

Du organisierst ein Meetup und suchst noch Unterstützung? Wir übernehmen gerne die Snacks und Getränke für dein nächstes Event und auf Wunsch gibts cyon-Merch dazu.

Auch unsere Türen in Basel stehen der Community offen: Als Meetup-Organisator*in kannst du unsere Räumlichkeiten und Verpflegung nutzen. Schon die WordPress Basel Meetup Group und die Swiss Laravel Association haben unsere Location für ihre Treffen genutzt.

Hier kannst du deine Meetup-Anfrage stellen.

Ein Gastbeitrag von Karin Christen, Co-Founder der Agentur, required.

Soll jedes Web-Projekt Headless sein?

Headless, Progressive Web-Apps (PWA) – das sind Buzzwords, die uns als Agentur bestens vertraut sind. Mal tauchen sie im Trendradar auf, mal ganz konkret in Briefings und Feature-Requests potenzieller Kund:innen. Das erinnert fast ein wenig an die Zeit von damals, als plötzlich alle nach «HTML5» fragten – egal, ob man wusste, was das genau war.

In letzter Zeit begegnet uns der Begriff «Headless» immer häufiger, oft als Entscheidungskriterium in Kundenanforderungen.

Wir haben erlebt, dass Projekte an andere Agenturen vergeben wurden, weil dort offensiv mit «Headless CMS» geworben wurde, unabhängig davon, ob der Architekturansatz im konkreten Fall sinnvoll war.

Der Hype ist nicht nur ein Kundenthema. Auch wir als Agentur sind manchmal in Versuchung, ein Projekt «technisch spannend» zu gestalten, obwohl es das gar nicht braucht.

Es macht halt mehr Spass «fancy» Technologien einzusetzen, als ein solides, einfach wartbares klassisches Web-Projekt zu bauen. Aber: Gute Technik ist nicht, was cool ist, sondern was dem Projekt dient.

Das gilt für Agenturen ebenso wie für Freelancer:innen: Wer selbst entscheidet, welche Technologien zum Einsatz kommen, trägt auch die Verantwortung dafür, realistisch zu bleiben.

Solche Situationen machen deutlich, wie wichtig es ist, Kunden fundiert zu beraten. Denn:

Headless ist kein CMS – sondern eine Architekturstrategie.

Jedes moderne CMS mit REST– oder GraphQL-API kann «headless» verwendet werden. Die Frage ist also nicht «Ist das CMS Headless?», sondern «Wann ergibt es überhaupt Sinn, ein Projekt als Headless-Lösung umzusetzen und wann nicht?»

In diesem Artikel zeige ich auf:

• Welche Faktoren bei dieser Entscheidung wirklich zählen
• Wann sich der Headless-Architekturansatz lohnt
• Und warum diese Entscheidung nicht allein von der Kundenseite kommen sollte, sondern durch fundierte Beratung durch Agenturen und Entwickler:innen getragen werden muss

Das alles anhand eines realen Headless Kundenprojektes.

Was bedeutet Headless überhaupt?

Bevor man beurteilen kann, ob Headless «sinnvoll» ist, muss man zuerst verstehen, was damit überhaupt gemeint ist und was oft fälschlicherweise hineininterpretiert wird.

Headless vs. Klassisch

Eine Headless-Architektur trennt das Backend (z. B. CMS, Datenbank, Admin-Interface) vom Frontend (also der Darstellung im Browser oder in einer App). Die Inhalte werden via Schnittstelle (API) ausgeliefert, meistens REST oder GraphQL, und vom Frontend dynamisch dargestellt.

Wichtig: Headless bedeutet nicht automatisch schneller, besser oder moderner – es bedeutet: flexibler, unabhängiger, aber auch: technisch anspruchsvoller.

Benutzt man einen Headless-Ansatz zusammen mit einer Progressive-Web-App (PWA) bedeutet dies einen modularen Aufbau. Sodass einzelne Teile der Applikation unabhängig voneinander entwickelt, gewartet und erweitert werden können, z. B. Log-in, Suchfunktion, Navigation, Inhalt. Das macht die Plattform langfristig besser wartbar und erweiterbar, vor allem, wenn verschiedene Teams oder Partner involviert sind.

Somit ist die App skalierbar, nicht nur für die technische Performance (mehr User, mehr Daten), sondern vor allem: funktionale Skalierung. Also die Fähigkeit, neue Funktionen, Module oder sogar neue Instanzen (z. B. für weitere Mandanten) ohne Redesign oder Architekturumbau zu integrieren.

An einem konkreten Kundenprojekt – dem Berufswahlportal des Kantons Zürich – zeigen wir, wie sich ein Headless-Architekturansatz in der Praxis bewährt hat und wo die Herausforderungen lagen. Die Plattform wurde mit unserem Team als Headless Web-App realisiert und so konzipiert, dass sie kantonsübergreifend eingesetzt werden kann, mit modularen Funktionen, die gemeinsam weiterentwickelt und genutzt werden. Dabei war die Wahl des Headless-Architekturansatzes kein Selbstzweck, sondern eine strategische Entscheidung.

Was uns zur nächsten Frage bringt:

Wann ist Headless sinnvoll und wann nicht?

Headless bringt dann ihre Stärken ins Spiel, wenn bestimmte Rahmenbedingungen erfüllt sind. Sie ist kein Allheilmittel, aber in komplexeren Projekten mit mehreren Zielgruppen, langfristiger Weiterentwicklung und Anforderungen an Flexibilität lohnt sich der Aufwand.

Schauen wir auf das Berufswahlportal des Kantons Zürich, um tiefer ins Detail zu gehen:

berufswahl.zh.ch

Ausgangslage: Von der Mobile-App zur geräteübergreifenden Plattform

Die Anforderung des Kunden war zunächst erstaunlich simpel:

«Können wir unsere bestehende Mobile-App so erweitern, dass Jugendliche und Lehrpersonen im Berufswahlunterricht dieselben Inhalte auch am Desktop nutzen können?»

Im ersten Moment hätte man denken können: Das lässt sich mit ein paar Anpassungen am Frontend (Stichwort: Responsive Design) erledigen. Doch in der Analyse wurde schnell klar: Es ging nicht um eine Website mit responsivem Layout, sondern um eine grundsätzliche Weiterentwicklung der Plattform.

Gemeinsam mit dem Kunden sind wir zentrale Fragen durchgegangen, die letztlich zur Entscheidung für einen Headless-Architekturansatz geführt haben:

Entscheidungskriterien im Projekt

• Offline-Funktion: Gibt es im Klassenzimmer zuverlässiges WLAN? Soll der Unterricht auch dann möglich sein, wenn die Verbindung mal wegbricht? Headless + PWA erlaubt eine gezielte Offline-Erfahrung. Wichtig dabei ist, Offlinefähigkeit ist kein Automatismus. Sie muss gezielt umgesetzt werden, etwa durch den Einsatz von Service Workern, Caching-Strategien und der Auswahl geeigneter Datenstrukturen.
• Lokale Zwischenspeicherung (LocalStorage): Wie lange dauern die Aufgaben im Unterricht? Sollen Fortschritte lokal gespeichert werden, um eine unterbrechungsfreie Nutzung zu garantieren?
• Benachrichtigungen: Wie wichtig sind Push-Notifications im Alltag der Jugendlichen? Welche Rolle spielen Erinnerungen und Hinweise in der Nutzerführung?
• Orientierung & User Experience (UX): Wie schaffen wir Übersicht in einer Plattform mit sehr vielen Inhalten, Funktionen und möglichen Einstiegen, ohne die Jugendlichen zu überfordern?
• Personalisierung: Wie kann die Plattform individuell unterstützen, z. B. mit Fortschritt, eigenen Favoriten oder angeleiteten Aufgaben?

All diese Fragen führten zu einer gemeinsamen Erkenntnis:

Die bestehende Struktur war zu starr. Es brauchte eine flexible, modulare Plattform, die inhaltlich wie technisch weiterwachsen kann und dabei sowohl App-Funktionalität als auch klassische Website-Nutzung erlaubt.

Das entscheidende Argument für die Trennung von Backend und Frontend war jedoch ein anderes:

Die Plattform sollte künftig auch anderen Kantonen zur Verfügung stehen können, mit jeweils eigenem Design, eigenem Auftritt (CI/CD), aber gemeinsam genutzten Funktionen und weiter entwickelbaren Modulen.

Architekturaufbau Berufswahl-Portal

Architekturaufbau Berufswahl-Portal

Eine entkoppelte Architektur schafft genau diese Voraussetzung:

• Die Inhalte und Funktionen können zentral gepflegt und weiterentwickelt werden
• Gleichzeitig kann jede Instanz ihr eigenes Look & Feel und spezifische Anpassungen erhalten
• Neue Kantone können sukzessive andocken, ohne das gesamte System umzubauen

Modularität, Mandantenfähigkeit und technologische Offenheit waren am Ende ausschlaggebend.

Typische Stolperfallen und Herausforderungen bei Headless Web-Projekten

Headless klingt im Pitch oft wie die perfekte Lösung: flexibel, performant, modern. In der Realität bringt dieser Ansatz aber neue Verantwortlichkeiten und Herausforderungen mit sich, sowohl technisch als auch organisatorisch.

Mehr Architektur = mehr Initialaufwand

Bei klassischen CMS-Websites kann man oft auf bestehende Themes, oder in unserem Fall, Custom Boilerplates zurückgreifen. Im Headless-Setup muss alles noch mehr durchdacht und sauber entwickelt werden:

• Wie sind Inhalte strukturiert?
• Wie sprechen Frontend und Backend über die API miteinander?
• Welche Komponenten können wiederverwendet werden?

Das ist anspruchsvoller und kostet in der Konzeptions- und Setup-Phase deutlich mehr Zeit.

In unserem Projekt, dem Berufswahl-Portal, war das genau so: Wir haben länger gebraucht als ursprünglich geschätzt – nicht weil das Projekt schlecht lief, sondern weil das saubere Setup einfach mehr Denkarbeit verlangt und natürlich auch entsprechend etwas Know-how-Aufbau erforderte.

Erfahrene Entwickler:innen sind Pflicht

Headless Web-Projekte verlangen fundierte Kenntnisse in mehreren Bereichen:

• API-Design (REST oder GraphQL)
• JavaScript-Frameworks (React, Vue, etc.)
• Deployment-Prozesse und Hosting
• Content-Modelling und Redaktionsprozesse

Einfach ein CMS installieren und «losklicken» ist hier keine Option. Es braucht ein Team, das Frontend und Backend entkoppelt denken und trotzdem eng verzahnt arbeitet.

Redaktionsfreundlichkeit muss bewusst mitgedacht werden

Ein oft unterschätzter Aspekt ist die Redaktionssicht:

Headless bedeutet, dass das CMS keine direkte Vorschau oder visuelle Kontrolle mehr bietet (da entkoppelt vom Frontend). Redakteur:innen arbeiten in einem abstrahierten Interface – Navigation, Layout oder Verlinkungen sind keine Standard-Funktionen wie in einem klassischen CMS. Das WYSIWYG-Prinzip (What You See Is What You Get) – also direkt sehen, wie eine Seite später aussieht – entfällt meist vollständig.

Gerade für Redakteur:innen ohne technische Kenntnisse ist das ein echter Nachteil. Ohne Zusatzentwicklung können sie Änderungen nicht visuell prüfen oder Inhalte im Kontext sehen.

Das bedeutet konkret:

• Eine enge Zusammenarbeit mit Redaktion & UX ist nötig
• Vorschau-Funktionen müssen oft manuell implementiert werden
• Es braucht mehr redaktionelle Schulung und Support
• Und: Erwartungen müssen frühzeitig geklärt werden, sonst droht Frust nach dem Launch

Maintenance-Aufwand nicht unterschätzen

Im Gegensatz zu einem klassischen CMS, bei welchem man sich mit Core- und Plugin-Updates auseinandersetzt, erfordert eine Headless Web-App zusätzlich auch nach dem Launch erweiterten Aufwand in Pflege und Weiterentwicklung:

• API-Kompatibilität sichern
• Nicht nur Backend-CMS, sondern auch Frontend-Frameworks aktuell halten
• Security, Hosting, Performance aktiv betreuen
• Redaktion unterstützen, wenn sich Anforderungen ändern

Bei uns sind nicht nur die Initialkosten, sondern auch das Maintenance-Budget für Headless-Webprojekte entsprechend höher als bei klassischen Websites, weil die Verantwortung auch technischer ist.

Für welche Projekte lohnt sich Headless und für welche nicht?

Der Architekturansatz entfaltet den Mehrwert nicht in jedem Projekt, sondern dort, wo bestimmte Voraussetzungen erfüllt sind, sei es funktional, organisatorisch oder strategisch.

Hier ein paar Leitfragen und Szenarien, die sich aus unserer Erfahrung bewährt haben:

Headless lohnt sich, wenn …

• Die Plattform mittelfristig wachsen soll
  Neue Funktionen, neue Zielgruppen oder zusätzliche Mandanten (z. B. in unserem Fall, mehrere Kantone) sind absehbar? Dann bringt ein Headless-Ansatz langfristige Flexibilität.
• Frontend-Logik komplex ist oder stark individualisiert werden muss
  Wenn die Darstellung nicht mit einem einfachen Theme gelöst werden kann (z. B. in unserem Fall, interaktive Anwendungen, personalisierte Dashboards, Inhalt und Funktionen über 5 verschiedene Schnittstellen).
• Die Applikation auch als PWA oder auf mehreren Geräten genutzt werden soll
  Mobile Nutzung mit Offline-Funktion, installierbare Web-Apps, Push-Nachrichten: All das lässt sich mit einem API-basierten Frontend gezielt realisieren.
• Mehrere Teams oder Dienstleister an verschiedenen Teilen arbeiten
  Durch die Trennung von Backend und Frontend können Design, Inhalt und Funktion parallel entwickelt und gewartet werden, oft ein entscheidender Effizienzfaktor für grosse Projekte und Teams.
• Der Kunde oder das Produkt eine langfristige Digitalstrategie verfolgt
  Headless zahlt sich nicht sofort aus, aber sehr wohl über mehrere Jahre hinweg, gerade bei Plattformen mit hoher Relevanz und kontinuierlicher Weiterentwicklung.

Headless lohnt sich nicht, wenn …

• Das Projekt ein einmaliger Webauftritt mit wenigen Inhalten ist
  Eine klassische CMS-Website ist schneller realisiert, einfacher zu pflegen und günstiger in der Wartung.
• Der Fokus auf visueller Kontrolle und Redaktionskomfort liegt
  Wenn Kund:innen direkt im Backend Seiten gestalten und Vorschauen sehen wollen, ist ein klassisches CMS oft sinnvoller, zumindest kurzfristig.
• Das Budget oder die Zeit zu knapp ist
  Headless braucht sauberes Konzept, gutes Setup, erfahrene Leute und genau die Zeit, all das gibt ordentlich zu tun. Für Schnellschüsse ist es der falsche Weg.
• Die Redaktionstechnologie bereits gesetzt ist , aber Headless als «Muss» gefordert wird
  Ein Warnsignal: Wenn die technische Strategie von der Kundenseite kommt, ohne dass klar ist, was sie lösen soll.

Unser Fazit

Headless ist dann eine gute Wahl, wenn sie das Projekt technisch und organisatorisch besser tragfähig macht, nicht nur, weil sie als «modern» gelten.

Deshalb ist es umso wichtiger, dass Agenturen und Entwickler:innen hier beratend auftreten und nicht nur Buzzwords erfüllen. Denn nur mit einem klaren Verständnis der Anforderungen und Ziele kann die passende Architekturstrategie entschieden werden.

Wie wir Headless Web-Projekte umsetzen

In Headless Web-Projekten zählt nicht nur die Architektur, sondern auch das Zusammenspiel zwischen User Experience, Redaktion, Entwicklung und Betrieb. Ein gutes Setup vereinfacht langfristig den Alltag für uns als Agentur und für unsere Kund:innen.

Hier ein Einblick, wie wir typischerweise arbeiten:

Unser technisches Setup

Wir setzen auf ein schlankes, bewährtes Setup mit Fokus auf Performance, Wartbarkeit und Erweiterbarkeit:

Backend:

• Ein Headless-fähiges CMS, das Inhalte, Navigation und Userrollen via API bereitstellt (z. B. Strapi oder in unserem Fall WordPress, wichtig ist Offenheit & API-Kompatibilität).

Frontend:

• React + React Router 7 (JavaScript-Bibliothek zum Erstellen von Benutzeroberflächen)
• Vite als Build-Tool
• State-Management je nach Projekt (z. B. Context API)

Deployment & DevOps:

• Lokale Entwicklung mit Docker
• GitHub Actions für automatisiertes Deployment
• Hosting je nach Setup: klassisch beim Kunden oder auf Hosting-Plattformen, wie in unserem Fall als Single Page Application auf cyon.

Redaktion & Content-Management

Ein oft unterschätzter Teil in Headless-Projekten ist der redaktionelle Workflow. Wir achten darauf, dass die Inhalte so strukturiert sind, dass sie für Redakteur:innen verständlich und effizient bearbeitbar sind. Und zwar mit:

• Bearbeitbare Navigation (z. B. Menüs, Seitenstruktur)
• Rollen- und Rechteverwaltung für unterschiedliche Nutzergruppen
• Editor-Vorschau (mit Custom Endpoints) und vereinfachte Admin-Interfaces

Unser Ziel ist immer: maximale Flexibilität im Frontend, ohne dass die Redakteur:innen dabei auf der Strecke bleiben. In unserem Setup hat sich WordPress als Content-Hub bewährt, weil wir damit den Block-Editor anbieten können: ein vertrautes, visuelles Interface, das eine angenehme Content-Writing-Experience ermöglicht. So arbeitet die Redaktion nicht nur mit abstrakten Formularfeldern, wie es bei reinen Headless-CMS wie Strapi & Co. oft der Fall ist, sondern mit einem übersichtlichen Editor, der Nähe zum späteren Layout schafft und die Pflege von Inhalten deutlich erleichtert.

Modularer Code = bessere Wartbarkeit

Wir entwickeln wiederverwendbare Frontend-Komponenten, die wie Bausteine zusammengesetzt werden. Das macht Erweiterungen einfacher, z. B. wenn ein neuer Kanton hinzukommt oder eine Funktion verändert werden soll.

Das bedeutet aber auch: Gute Dokumentation, Versionskontrolle und ein durchdachter Komponentenkatalog (z. B. mit Storybook) sind Pflicht.

Headless ist kein Hype, sondern ein bewusst gewählter Architekturansatz für bestimmte Anforderungen.

Headless Web-Projekte sind nicht automatisch besser, aber sie bieten echte Vorteile, wenn sie strategisch eingesetzt werden. Für uns als Agentur ist es kein allgemeiner Technologiewechsel, sondern nur für geeignete Projekte ein bewusster Schritt:

Mehr Kontrolle über die Architektur, bessere Skalierbarkeit für komplexe Plattformen und ein hoher Qualitätsanspruch im Frontend.

Die Einstiegshürde ist jedoch höher. Die Verantwortung grösser. Die Kund:innen müssen richtig beraten werden und die eigene Infrastruktur sollte so aufgestellt sein, dass sich diese Freiheit auch wirklich ausspielen lässt.

Wir haben die Erfahrung gemacht, dass sich Headless lohnt, wenn man die richtigen Projekte auswählt.

Weiterführende Links

Wenn dich interessiert, wie wir das Berufswahlportal für verschiedene Kantone konkret umgesetzt haben – welche zielgruppenspezifischen Funktionen wir dank des Headless-Ansatzes realisieren konnten und wie wir UX und Personalisierung auf einer modularen Plattform gedacht haben – dann findest du hier den ausführlichen Beitrag auf unserem Agenturblog:

Headless, aber nicht kopflos: zur modularen Web App (required.com)

Oder lehne dich zurück und schau dir den Talk «How to Keep Your Head While Going Headless with WordPress» an, den ich im Juni 2025 an der European WordPress Conference gehalten habe.

Deine Meinung?

Hast du ähnliche Erfahrungen gemacht? Oder stehst du gerade vor einem Headless-Projekt? Ich freue mich über Austausch und Diskussion, gerne hier in den Kommentaren

Titelbild: A.C. / Unsplash

Ein Heimspiel für cyon

Als bekannt wurde, dass das WordCamp Europe 2025 nach Basel kommt, war für uns sofort klar: Da sind wir dabei. Nicht nur als Sponsor – sondern mittendrin. Mit Stand, Orangensaft-Dösli, Gewinnspiel, Talks, Kaffee-Pausen und einem Team aus Marketing, Customer Success, Geschäftsleitung und Community-Enthusiast*innen.

Ob am Stand, in der Orga oder beim Contributors Day – unser Team war an vielen Stellen aktiv. Und statt eines klassischen Recaps lassen wir unsere cyonistas direkt erzählen, wie sie die drei Tage WCEurope in Basel erlebt haben.

Foto: Kostas Fryganiotis, WordCamp Europe 2025, CC BY-SA 4.0

Vitamin C, Sticker und ganz viel Community

Los ging’s mit dem Aufbau unseres Stands in dem Congress Center Basel – mitten im Geschehen, gut sichtbar und meist ziemlich gut besucht. Kein Wunder bei unserem Gepäck: Rund 800 Orangensaft-Dosen, 200 Stickerbögen, Socken, Taschen, Lanyards und das Gewinnspiel mit dem ikonischen LEGO Millennium Falcon – dem berühmtesten Raumschiff der Galaxis (ja, wir wissen: Han shot first!) lockten viele Besuchende an. Darunter ehemalige cyonistas, Plugin-Entwickler*innen, Freelancer*innen und manche Interessierte, die sich nach Jobs erkundigten.

«Teilweise hatten wir halbe Meetups am Stand – so viel los war da.» – Mona, Digital Marketing Specialist

Unser WordCamp-Merc: bereit für die Besucher*innen. Foto: Yuriko Ideka, WordCamp Europe 2025, CC BY-SA 4.0

Auch die Gespräche reichten weit über Smalltalk hinaus:

«Am cyon-Stand war viel los. Es gab interessante Fragen, z. B. zu Datenschutz, Hosting oder wie wir mit Nachhaltigkeit umgehen.» – Lindita, Customer Care Specialist

Sticker, Säfte und cyonistas – unser Stand war fast wie ein eigenes kleines Meetup. Foto: Gina Bialas, WordCamp Europe 2025, CC BY-SA 4.0

Support ist mehr als nur ein Ticket

Natürlich gab’s auch jede Menge Input von der Bühne. Besonders hängengeblieben ist bei einigen aus dem Team der Talk «Building Support as Core of Product» von Anna Hurko.

«Ich höre darin ein Echo der Haltung, die ich auch bei cyon kenne: dass letztlich alles der Kundschaft dienen und ein Bedürfnis erfüllen soll.» – Daniel, Customer Care & People Specialist

Zwischen Talks und Stand gab’s viele spannende Begegnungen – etwa mit anderen Hosting-Unternehmen, die Erfahrungen austauschten, oder Menschen, die durch Gespräche direkt Teil unserer Community wurden.

«Ich schätze diese Offenheit sehr – das Bewusstsein, sich mit den Anliegen und dem Erleben anderer auseinanderzusetzen.» – Daniel

Salome, Head of Marketing & Communications Team, beantwortet Fragen zur Falcon-Verlosung – bei uns packten alle mit an. Foto: Svetlana Marchenko

WordPress mit Zukunft: Produktblick und KI-Inspiration

Auch inhaltlich hat das WordCamp Europe 2025 einiges geboten – und gezeigt, wie lebendig, innovativ und zukunftsgerichtet WordPress ist. Besonders eindrücklich fanden viele aus dem Team die Talks rund um neue Technologien wie künstliche Intelligenz.

«Was mir besonders in Erinnerung geblieben ist, war die überraschende Innovationskraft, die WordPress auch heute noch ausstrahlt.» – Roberto, Product Manager

KI war an mehreren Stellen ein grosses Thema – von der Content-Erstellung bis zur Toolintegration. Für Roberto hat das nicht nur einen persönlichen, sondern auch einen klaren fachlichen Bezug:

«Für mich persönlich und auch für meine Arbeit bei cyon hat das WordCamp nochmals bestätigt: WordPress ist nicht nur relevant, sondern wird auch in den kommenden Jahren die führende Rolle unter den Web-CMS behalten.» – Roberto

Unsere Orangensaft-Dosen waren beliebt wegen der Falcon-Verlosung und wegen dem richtig leckeren Saft. Foto: Sathwik Prabhu, WordCamp Europe 2025, CC BY-SA 4.0

Die Community denkt WordPress weiter – ob Headless-Ansätze, neue APIs oder smarte Plugins. Und für uns als Hosting-Anbieter heisst das: mitdenken, mitentwickeln, mitgestalten.

Organisieren für 2000 Menschen: Alex und Gina im Orga-Team

Auch hinter den Kulissen war cyon vertreten: Alex aus unserem Customer Success-Team war Teil des Orga-Teams – und sorgte dafür, dass die 2000 WordPress-Begeisterten satt, zufrieden und gut versorgt durch die Tage kamen.

«Essen und Trinken für knapp 2000 Leute zu bestellen – das war eine besondere Herausforderung. Aber genau mein Ding.» – Alex, Legal Counselor & Customer Care Specialist, WCEU Local Team (Catering)

Ihre Rolle im lokalen Team war Teil unserer Unterstützung des «Five for the Future»-Gedankens: Zeit und Know-how aus dem Arbeitsalltag für die Open-Source-Community spenden.

«Wenn alle für den gleichen Zweck arbeiten, spielt es keine Rolle, woher man kommt oder welche Sprache man spricht … am Ende kommt es gut.» – Alex

WordPress-Enthusiast*innen beim Plaudern, Planen und Pausemachen. Foto: Jeroen Rotty, WordCamp Europe 2025, CC BY-SA 4.0

Ebenfalls im Rahmen des «Five for the Future»-Programms war Gina für das Photo Team im Einsatz. Gemeinsam mit rund 20 anderen Freiwilligen sorgte sie dafür, dass das WordCamp bildlich festgehalten wurde – und das mit einem neuen, besonders effizienten Workflow:

«Wir hatten dieses Jahr einen neuen Workflow zum Aussortieren und Hochladen der Fotos entwickelt, was bei etwa 20 Fotograf*innen wirklich Gold wert war. Dieser war sogar so erfolgreich, dass es das erste Jahr war, an dem alle Fotos vor Ende des WordCamps für die Öffentlichkeit hochgeladen wurden.» – Gina, Incident Operator, WCEU Photography Team

Auch sie war beeindruckt vom Teamgeist hinter den Kulissen:

«Es ist immer wieder faszinierend, den tollen Zusammenhalt der Teams zu sehen und mitzuerleben, was alles zu so einem Event dazugehört. Jedes Puzzlestück hat sich zusammengefügt.» – Gina

Die Leidenschaft der Community war für sie überall spürbar – von den Teilnehmenden bis zu den Sponsoren.

«Wir hatten freiwillige Fotograf*innen aus verschiedenen Teilen der Welt. Teilweise sind diese extra für das WordCamp angereist, und diesen Einsatz und das Mindset der WordPress-Community konnte man in allen Teams und auch bei den verschiedenen Sponsoren sowie bei den Besuchenden spüren.» – Gina

Photography Team WordCamp Europe 2025. Foto: Nilo Vélez, WordCamp Europe 2025, CC BY-SA 4.0

Ein Talk über Headless und ein Gefühl von Zuhause

Auch cyon-Freundin und WordPress-Pro Karin Christen von required war mit einem Talk zur Headless-Architektur vertreten – ein Thema, das unser Team mit Spannung verfolgt hat und in einem künftigen Blogpost noch vertiefen wird.

Für unseren CEO David war das WordCamp in Basel etwas ganz Besonderes. Im Interview mit webhosting.today erzählt er, was es bedeutet, Gastgeberstadt für die weltweit grösste WordPress-Konferenz zu sein – und warum Community für cyon nicht nur ein Buzzword ist.

«Die WordPress-Community in Basel live zu erleben, war für uns als Basler Webhoster ein echtes Highlight.» – Salome, Head of Marketing & Communications

Das «Familienfoto» am WordCamp Europe ist Tradition. Foto: Nilo Velez, WordCamp Europe 2025, CC BY-SA 4.0

Fazit: Müde Stimmen, volle Herzen

Nach drei Tagen voller Gespräche, Sessions, Give-Aways und Espresso war unser Team zwar ein bisschen heiser – aber sehr glücklich.

«Ein Teil unseres Engagements für die Community wurde sichtbar. So als Webhoster zum Anfassen.» – Daniel

Rund 260 neue Newsletter-Abonnent:innen, viele schöne Begegnungen und ein prall gefüllter Zuwachs an Energie für die Open-Source-Welt bleiben zurück. Wir sagen Danke an alle, die vorbeigeschaut haben – und an unser ganzes Team, das den Auftritt möglich gemacht hat.

Daniel, Mona, Svetlana, Lindita und Gina am cyon-Stand. Foto: Salome Burkardt

Bis zum nächsten WordCamp in Krakow.

Du warst auch in Basel dabei?
Dann verrate uns in den Kommentaren, was für dich das Highlight war – oder sag einfach mal Hallo. :-)

Ein kleiner Hinweis vorweg: Akismet haben wir bewusst weggelassen. Das Plugin ist bei vielen WordPress Setups automatisch dabei.

Und wichtig zu wissen: Die Liste zeigt Plugins, die installiert wurden. Nicht zwingend solche, die gerade aktiv sind. Manche warten vielleicht nur noch auf ihren Einsatz.

Hier kommt die Top 10 der am häufigsten installierten WordPress-Plugins auf unseren Servern:

Platz 10: All-in-One WP Migration

Das «⌘Z» für ganze Websites

Auf Platz 10 hat es ein Plugin geschafft, das beim Umzug einer WordPress Website gute Dienste leistet. All-in-One WP Migration exportiert eine komplette Website inklusive Datenbank, Medien, Plugins und Themes und das in eine einzige Datei.

Die Datei kann dann auf einer neuen Installation wieder eingespielt werden, ganz ohne Datenbank-Zugänge oder FTP-Kenntnisse.
Gerade bei Hosting-Wechseln oder als einfache Backup-Lösung wird das Plugin häufig eingesetzt.

In der kostenlosen Version gilt ein Upload-Limit von 512 MB. Wer grössere Websites migrieren oder Cloud-Dienste wie Google Drive oder Dropbox nutzen will, kann auf kostenpflichtige Erweiterungen zurückgreifen.

Kleiner Hinweis am Rande:
Wer zu uns wechselt, muss sich mit Migrationstools nicht herumschlagen, denn wir übernehmen den Umzug für dich und deine Projekte kostenlos.

Platz 9: WooCommerce

Das Schweizer Taschenmesser unter den E-Commerce-Systemen

Wer mit WordPress einen Online-Shop betreiben will, kommt an WooCommerce kaum vorbei.
Das Plugin ermöglicht den Verkauf von physischen und digitalen Produkten und hat sich in den letzten Jahren zu einer der beliebtesten E-Commerce-Lösungen im WordPress-Umfeld entwickelt.

Dank zahlreicher Erweiterungen lässt sich WooCommerce flexibel ausbauen, zum Beispiel mit Zahlungslösungen wie Stripe oder Twint, Versandmodulen, Abo-Systemen oder Produktvarianten mit Lagerverwaltung.
Auch die Anbindung an Dienste wie Zapier, Mailchimp oder Google Analytics ist möglich. Ideal für alle, die E-Commerce mit Marketing und Automatisierung verbinden möchten.

Du weisst nicht ob dein Hosting für einen Onlineshop reicht?
Kein Problem: Denn du kannst bei uns jederzeit dein aktuelles Produkt anpassen, genau so wie du es brauchst. 

Platz 8: Updraft Plus

Vom einfachen Backup-Tool zum Profi-Werkzeug

Neu in den Top 10 ist Updraft Plus ein Plugin zur Datensicherung, das in vielen Setups eine zentrale Rolle spielt.
Es ermöglicht das Erstellen automatisierter Backups von WordPress Websites und unterstützt verschiedene Speicherorte wie Dropbox, Google Drive oder SFTP.

In der kostenpflichtigen Version lässt sich mit Updraft Plus sogar eine komplette Website klonen und / oder migrieren.

Platz 7: Duplicate Post

Eine «Kernfunktion» als Plugin

Dass Duplicate Post den siebten Platz erreicht hat, überrascht ein wenig.  Das Plugin erfüllt nämlich einen Zweck den ich persönlich vollumfänglich als WordPress Core-Funktion sehen würde: Es ermöglicht das einfache Duplizieren von Beiträgen, Seiten oder Entwürfen, um Inhalte schnell weiterzuverwenden oder als Vorlage neu aufzubauen. Besonders praktisch: Die Funktion «Neu schreiben & neu veröffentlichen» erlaubt es, einen bestehenden Beitrag direkt als Entwurf weiterzubearbeiten, ohne das Original zu verändern.

Seit 2020 gehört das Plugin übrigens zu Yoast und wird aktiv weiterentwickelt.

Platz 6: Advanced Custom

ACF-Magic: Für massgeschneiderte Felder

Neu in den Top 10, aber in Entwicklerkreisen längst ein alter Bekannter. Advanced Custom Fields, kurz ACF, erweitert WordPress um die Möglichkeit, eigene Eingabefelder zu definieren. Damit lassen sich Inhalte strukturierter erfassen und gezielter ausgeben. Das Plugin kommt vor allem dann zum Einsatz, wenn Websites individuell aufgebaut sind und der WordPress Standard an seine Grenzen stösst. Besonders beliebt ist ACF bei Agenturen und Entwicklerinnen, die massgeschneiderte Websites für Kunden umsetzen.

Ein typisches Beispiel: Auf einer Teamseite sollen bei jedem Mitarbeitenden nicht nur Name und Bild, sondern auch Jobtitel, E-Mail, LinkedIn-Link und Lieblingspizza gepflegt werden können, ganz ohne zusätzliches Plugin-Chaos oder Umwege im Design.

Platz 5: Elementor

Wie Canva für Webdesign

Zum ersten Mal in den Top 10 vertreten: Elementor.
Der Page Builder ermöglicht das Erstellen von Seitenlayouts direkt im Frontend per Drag and Drop.
Gerade für Nutzerinnen und Nutzer ohne Programmierkenntnisse ist das Plugin eine häufig gewählte Lösung.

Elementor bringt eine Vielzahl an Gestaltungsmöglichkeiten mit, ohne dass dafür Code geschrieben werden muss.
Für viele ist das ein praktischer Weg, Inhalte flexibel anzupassen.

Elementor führt auch Weltweit mit 7-10% Share, vor WPBakery mit 5-7%, Divi Builder 3-5% und Beave Builder 1-2%. 

Platz 4: Classic Editor

Ein Plugin gegen die Moderne? Fast

Nicht alle konnten sich mit dem seit WordPress 5 eingeführten Gutenberg Editor anfreunden. Manche setzen weiterhin auf den klassischen Editor – sei es aus Gewohnheit oder weil das verwendete Theme oder bestimmte Plugins nicht kompatibel sind. Das Plugin Classic Editor, offiziell vom WordPress-Team gepflegt, bringt die gewohnte Bearbeitungsansicht und den bisherigen Editor zuverlässig zurück.

Der Classic Editor wird weiterhin aktiv unterstützt und ist mit den aktuellen WordPress-Versionen kompatibel. Er bleibt eine beliebte Wahl für Nutzer, die eine einfache und vertraute Bearbeitungsumgebung bevorzugen.

Platz 3: Yoast SEO

SEO trifft Deutschunterricht. Dank Yoast endlich lesbare Rankings

Yoast SEO bleibt eines der beliebtesten SEO-Plugins für WordPress und das mit gutem Grund: Es bietet strukturierte Analysen für bessere Rankings und verständlichere Inhalte.
Mit der neuen KI-Unterstützung in der Premium-Version hilft Yoast nun auch beim automatischen Erstellen von Meta-Titeln und Beschreibungen sowie bei inhaltlichen SEO-Vorschlägen. So wird die Optimierung nicht nur präziser, sondern auch deutlich zeitsparender. Dank der Lesbarkeitsprüfung profitieren nicht nur Suchmaschinen, sondern auch für Fans von klareren Texten.

Ein echtes Allround-Tool für alle, die WordPress-Inhalte smarter optimieren wollen.

Gewusst? Es gibt auch ein massgeschneidertes SEO-Plugin für Shopify von Yoast.

Platz 2: Contact Form 7

Das schlanke Plugin mit vielen Möglichkeiten

Ein Klassiker für alle, die Formulare auf ihrer Website benötigen. Contact Form 7 macht das Erstellen und Verwalten von Formularen einfach und zuverlässig. Es unterstützt AJAX-basiertes Absenden, Google reCAPTCHA, Dateiuploads und lässt sich mit Akismet zur Spam-Abwehr kombinieren.

Für erweiterte Funktionen wie bedingte Felder oder mehrseitige Formulare gibt es praktische Add-ons wie beispielsweise Conditional Fields for Contact Form 7 oder Contact Form 7 Multi-Step. Damit lässt sich auch mit diesem schlanken Plugin eine ganze Menge mehr herausholen.

Beim Thema reCAPTCHA lohnt sich übrigens ein Blick in die Zukunft: Google plant eine Umstellung auf reCAPTCHA Enterprise bis Ende 2025, das könnte je nach Projektgrösse relevant werden.

Platz 1: LiteSpeed Cache

Der Zauberstab für PageSpeed Scores über 90

Ein Plugin, das in keiner WordPress-Installation bei cyon fehlen sollte. Websites unserer Kundinnen und Kunden werden mit LiteSpeed Cache nämlich bis zu dreimal schneller. Und das Beste: Das Plugin ist längst mehr als nur ein Cache. Richtig konfiguriert wird es zum Performance-Booster. Im Gastbeitrag zeigen wir, wie’s geht.

Aus den Top 10 verdrängt, aber immer noch stark vertreten:

Jetpack, WordPress Importer, Slider Revolution und Limit Login Attempts sichern sich stabile Plätze in den Top 20 der cyon-Installationen basierend auf den Daten des letzten Top-10-Beitrags.

Und bei dir?

Welches Plugin darf in deiner WordPress-Installation auf keinen Fall fehlen?

Titelbild: A.C. / Unsplash

Was haben Schokolade, Uhren und Datenschutz gemeinsam? Richtig, sie gehören zu den Dingen, bei denen die Schweiz weltweit führend ist. Bei cyon vertrauen wir seit jeher auf den Standort Schweiz – aus guten Gründen. Doch was macht den Standort Schweiz eigentlich so besonders?

Schweizer Datenschutz: International an der Spitze

Datenschutz ist kein Trend, sondern Haltung. Mit der Revision des Schweizer Datenschutzgesetzes (revDSG) im September 2023 wurde wieder verdeutlicht, wie ernst die Schweiz den Schutz persönlicher Daten nimmt. Sie erfüllt nicht nur die strengen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO), sondern geht in wichtigen Punkten sogar noch darüber hinaus – etwa beim Schutz genetischer oder biometrischer Informationen. Wer seine digitalen Projekte in der Schweiz hostet, entscheidet sich bewusst für hohe Standards. Wir bei cyon finden: Du solltest genau wissen, wo deine Daten liegen – und wer sich darum kümmert.

Mehr zu unserem Umgang mit Daten erfährst du auf unserer Datenschutzseite.

Datensouveränität garantiert: Schutz vor ausländischen Zugriffen

Wenn es um Daten geht, ist Vertrauen entscheidend. Ein wesentlicher Pluspunkt des Schweizer Hosting-Standorts ist die volle Kontrolle über deine Daten. Informationen, die in der Schweiz gespeichert sind, bleiben hier – ausser es gibt klar definierte rechtliche Gründe. Sogenannte «Blocking Statutes» sorgen dafür, dass ausländische Behörden keine direkten Amtshandlungen in der Schweiz vornehmen können. Jeder Datenzugriff von Behörden, auch von Schweizer Behörden, benötigt eine gesetzliche Grundlage und richterliche Zustimmung. Das unterscheidet die Schweiz deutlich von anderen Ländern wie beispielsweise den USA, wo Gesetze wie der CLOUD Act US-Behörden den Zugriff auf Daten von US-Unternehmen ermöglichen – egal wo die Server physisch stehen. Für uns ein klares Signal: Wer die Kontrolle über seine Daten behalten will, sollte genau prüfen, unter welches Recht der Hosting-Anbieter fällt.

Politische Stabilität: Ein oft unterschätzter Vorteil

Neben starken Datenschutzgesetzen profitiert der Schweizer Hosting-Standort von politischer Stabilität und Neutralität. Die Schweiz bietet eine lange Tradition des Rechtsschutzes, was besonders in einer Welt zunehmender globaler Unsicherheiten und Überwachungsprogramme ein grosser Vorteil ist. Internationale Konflikte, wirtschaftliche Spannungen oder autoritäre Tendenzen in anderen Ländern zeigen, wie wertvoll ein stabiler Rechtsrahmen sein kann.
Hosting in der Schweiz bedeutet zudem, dass du einen Schweizer Gerichtsstand hast, was für zusätzliche Transparenz und Planungssicherheit sorgt.

Nachhaltigkeit bei cyon: 100% Wasserkraft für dein Hosting

Nachhaltigkeit ist für uns fester Bestandteil unserer Identität. Unser Rechenzentrum in Basel wird zu 100% mit Schweizer Wasserkraft betrieben – einer besonders umweltfreundlichen Energiequelle. Wer bei uns hostet, schützt nicht nur seine Daten, sondern auch das Klima. Im Vergleich zu herkömmlichen Rechenzentren sparen wir so mehrere Tonnen CO₂ pro Jahr ein – ein Beitrag, auf den wir stolz sind.
Mehr über unser Engagement erfährst du auf unserer Nachhaltigkeitsseite.

Zeit für deinen Sprung ins grüne, souveräne Hosting

Unser Support-Team begleitet dich freundlich, kompetent und umfassend bei der Migration deiner Website. Dank unserem kostenlosen Umzugsservice gelingt der Wechsel einfacher, als du vielleicht denkst. Falls du noch eine laufende Vertragsdauer bei einem anderen Anbieter hast, rechnen wir dir die Restlaufzeit sogar an.

Starte jetzt deinen Webhosting-Wechsel zu cyon und gestalte mit uns gemeinsam das Internet souveräner und nachhaltiger: https://www.cyon.ch/hosting/umzug

Titelbild: Planet Volumes / Unsplash

WordPress.com vs WordPress.org: Kurz erklärt

Bevor wir genauer darauf eingehen, warum es zwei verschiedene Varianten von WordPress gibt und in welchen Details sich WordPress.com und WordPress.org unterscheiden, eine grobe Erklärung:

• WordPress.org bezeichnet die Open-Source-Software WordPress, die du auf einem eigenen Webhosting installieren kannst. Über den Inhalt, das Aussehen und die Funktionen der eigenen Website hast du mit dieser selbstgehosteten WordPress-Variante die volle Kontrolle.
• WordPress.com bezeichnet den Website-Baukasten der Firma Automattic, der auf der Open-Source-Software WordPress basiert.

Vorgeschichte: Zurück an den Anfang

2003 war ein prägendes Jahr für das Web: Während unser David Burkardt in der Schweiz cyon gründete, schufen Matt Mullenweg und Mike Little in den USA WordPress. WordPress wurde als Abspaltung des damals beliebten Blogsystems b2/cafelog ins Leben gerufen und sollte ein elegantes, einfach zu bedienendes Content-Management-System (CMS) bzw. ein typisches Blog-System werden. Dass heute über 43 % aller Websites dieser Welt mit WordPress betrieben werden, ahnte damals aber noch keine der beteiligten Personen.

2005 gründete Matt Mullenweg dann das Unternehmen Automattic, das noch im gleichen Jahr den Hosting-Dienst für Blogs mit dem Namen WordPress.com startete. Um das Open-Source-Projekt WordPress und den kommerziellen Dienst WordPress.com unterscheiden zu können, hat sich eingebürgert, für das Projekt die Bezeichnung WordPress.org zu verwenden. Naturgemäss ist diese Unterscheidung aber eher ungewohnt und die meisten Menschen sprechen einfach von WordPress, wenn sie vom selbstinstallierten Content-Management-System basierend auf dem quelloffenen Code sprechen.

WordPress.com und WordPress.org: Der Direktvergleich

WordPress.com ist grundsätzlich nichts anderes als ein sogenannter Managed-WordPress-Anbieter, wie es zahlreiche weitere Anbieter auch sind. Das heisst, als Kundin oder Kunde eines solchen Anbieters abonnierst du eine fixfertige WordPress-Instanz und musst dich so nicht um die Installation von WordPress kümmern. Das ist für den Start in die WordPress-Welt ein einfacher Weg und dank dem kostenlosen Einstiegsangebot gratis. Möchtest du deine WordPress-Website aber individualisieren oder mit zusätzlichen Funktionen ausstatten, stösst du bei der Nutzung von WordPress.com schnell an Grenzen. Um den Betrieb und den Unterhalt von WordPress musst du dich bei WordPress.com allerdings nicht kümmern, das übernehmen die Kolleginnen und Kollegen von Automattic.

Die Open-Source-Software WordPress (oder eben WordPress.org) hingegen installierst du dir bei einem Webhosting-Anbieter wie cyon auf deinem eigenen Webhosting-Account. In der Regel klappt das dank 1-Klick-Installationen oder App-Centern mit wenigen Klicks und ohne grosses technisches Know-How. Damit erhälst du Zugriff auf die beinahe unbegrenzten Möglichkeiten, die dein selbstgehostetes Open-Source-CMS bietet. Zum Beispiel auch auf das grosse Ökosystem an kostenlosen und kostenpflichtigen Plugins und Design-Templates. Um den Betrieb und Unterhalt der eigenen WordPress-Instanz musst du dich in diesem Fall aber selbst kümmern. Dank der in WordPress eingebauten automatischen Update-Funktion und dem wie bei cyon verfügbaren Schutz gegen Sicherheitslücken, ist der Unterhalt einer WordPress-Website aber deutlich einfacher als noch vor ein paar Jahren.

WordPress.com und WordPress.org unterscheiden sich in einigen Punkten. Wir vergleichen die Unterschiede zwischen WordPress.com und einer WordPress-Website, die du auf einem cyon-Webhosting betreibst:

WordPress.com oder WordPress.org: Was passt zu meinen Anforderungen?

Wenn du auf der Suche nach einem kostenlosen Blogsystem bist, gegen Werbung auf deiner Website nichts einzuwenden hast und dich auch am Datenstandort USA nicht störst , findest du mit WordPress.com einen guten Einstieg in die WordPress-Welt. Einige praktische Funktionen sind erst ab den kostenpflichtigen Tarifen erhältlich. Hast du Grösseres mit deiner WordPress-Website vor und willst individuelle Anpassungen vornehmen, dürftest du jedoch schnell an die Grenzen der WordPress.com-Angebote stossen. Hier lohnt es sich also, bereits im Voraus zu klären, welche Bedürfnisse in der Zukunft wichtig werden können.

Mit einer eigenen Installation von WordPress.org holst du dir die ultimative Freiheit ins Haus. Trotzdem benötigt die Bedienung von WordPress nur wenig Einarbeitungszeit und ist sehr intuitiv. Hast du den Dreh erst mal raus, macht ein CMS auf dem eigenen Webhosting dank den fast unendlichen Erweiterungsmöglichkeiten viel Freude. Durch automatische Updates und der Vielzahl an praktischen Plugins ist der Betrieb deiner WordPress-Website keine Hexerei mehr. Und mit automatischen Patches bei Sicherheitslücken, superschnellen SSD-Servern und dem Performance-Plugin LiteSpeed Cache, macht WordPress auf einem cyon-Webhosting gleich noch mehr Spass.

Titelbild: Raquel Martínez/Unsplash

Gemeinsam entschieden

Aus den vielen eingegangenen Vorschlägen aus dem Team haben sich in der Abstimmung drei Organisationen besonders hervorgetan. Sie erhalten in diesem Jahr unsere Weihnachtsspende – je CHF 1000.–:

Ärzte ohne Grenzen

23 % der Stimmen
Ärzte ohne Grenzen (Médecins Sans Frontières, MSF) ist eine internationale medizinische Hilfsorganisation, die Menschen in Notlagen weltweit unterstützt. Die Organisation bietet medizinische Versorgung dort, wo sie dringend benötigt wird – etwa bei Naturkatastrophen, Epidemien oder in schwer zugänglichen Regionen. Unsere Spende soll helfen, diesen wichtigen Einsatz weiterhin möglich zu machen.

Alle wichtigen Informationen zu MSF findest du auf der offiziellen Website.

Terre des hommes – Nothilfe Gaza

30 % der Stimmen
Terre des hommes setzt sich weltweit für den Schutz und das Wohlergehen von Kindern ein – auch in Krisensituationen. Mit unserer Spende unterstützen wir die Nothilfe für Kinder und Familien, die unter schwierigen Lebensbedingungen in Gaza leiden. Die Organisation bietet unter anderem medizinische Versorgung, psychosoziale Betreuung und Zugang zu sauberem Wasser. Mehr zur Nothilfe von Terre des hommes.

Alpine Linux – Open Collective

20 % der Stimmen
Technologie, auf die man sich verlassen kann – das gilt auch für Alpine Linux. Das Betriebssystem ist bekannt für Sicherheit, Effizienz und Zuverlässigkeit. Damit das auch in Zukunft so bleibt, unterstützt eine engagierte Community die Weiterentwicklung über die Plattform Open Collective. Wir sagen Danke und leisten gerne einen finanziellen Beitrag. Mehr über das Projekt erfährst du unter dem Link.

Auch weitere Organisationen wurden von cyonistas vorgeschlagen und eingebracht – ein herzliches Danke an alle, die sich beteiligt haben.

Ein Blick zurück

In den vergangenen Jahren konnten wir unter anderem auch schon die Stiftung Wunderlampe, Frauenhaus beider Basel, «eins vo fünf», die frauenOase, das Internetcafé Planet13, den Verein Seelentrösterli und die Gassenküche Basel mit einer Spende unterstützen. Und wir freuen uns bereits darauf, die Empfänger*innen der nächsten Weihnachtsspende gemeinsam auszuwählen.

Hast du eine Idee?

Du engagierst dich selbst ehrenamtlich oder kennst eine Organisation, die wir bei unserer nächsten Weihnachtsspende berücksichtigen sollten? Dann lass es uns wissen. Wir freuen uns über deine Vorschläge – in den Kommentaren.

Titelbild: Hannah Busing/Unsplash

Fast jede Website verfügt über eine Datenschutzerklärung – sie gehört zum Standard und ist in der Regel in der Fusszeile der Website verlinkt. Auch die meisten Cookie-Banner verweisen direkt darauf. Doch warum ist eine Datenschutzerklärung notwendig? Und wie erstellst du eine perfekte Datenschutzerklärung?

Wieso benötigt eine Website eine Datenschutzerklärung?

Mit einer Datenschutzerklärung wird die Informationspflicht gemäss dem Datenschutzrecht erfüllt.

Das Datenschutzrecht dient dem Schutz der Personen, über die Daten bearbeitet werden – so steht es für die Schweiz in Artikel 1 des Datenschutzgesetzes. Das Datenschutzgesetz, ausgeschrieben das Bundesgesetz über den Datenschutz, wird als DSG abgekürzt. In der Schweiz gilt seit dem 1. September 2023 das neue Datenschutzgesetz.

Im Europäischen Wirtschaftsraum (EWR), das heisst in den Mitgliedstaaten der Europäischen Union (EU) sowie im Fürstentum Liechtenstein, in Island und in Norwegen, regelt die Datenschutz-Grundverordnung (DSGVO) den Datenschutz.

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a DSG). Bearbeiten ist «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren» (Art. 5 lit. d DSG).

Eine betroffene Person ist jede «natürliche Person, über die Personendaten bearbeitet werden» (Art. 5 lit. b DSG). Mit natürlichen Personen sind alle Menschen gemeint, nicht aber Unternehmen, Organisationen oder Behörden.

Wer eine Website betreibt, bearbeitet fast immer Personendaten. So können bereits IP-Adressen, die in Server-Logdateien erfasst werden, Personendaten darstellen. Es ist kaum denkbar, eine Website zu betreiben, ohne Personendaten zu bearbeiten.

Im Datenschutzrecht gilt immer der Grundsatz der Transparenz:

Betroffene Personen sollen erkennen können, dass jemand ihre Daten beschafft. Betroffene Personen sollen sich ferner informieren können, wer genau ihre Daten wofür, wie und wo bearbeitet sowie was ihre Ansprüche und Rechte sind. Das gilt auch für Besucher:innen einer Website.

Das gängige Mittel, um die Besucher:innen einer Website über die Beschaffung und sonstige Bearbeitung ihrer Personendaten zu informieren, ist die Veröffentlichung einer Datenschutzerklärung.

Mit dem neuen Datenschutzgesetz in der Schweiz und der europäischen Datenschutz-Grundverordnung (DSGVO) wurde jeweils eine allgemeine Informationspflicht eingeführt.

Wer eine Website betreibt und die Daten von Besucher:innen aus der Schweiz oder aus der Europäischen Union (EU) und dem übrigen Europäischen Wirtschaftsraum (EWR) bearbeitet, muss die jeweilige Informationspflicht erfüllen. Aus schweizerischer Sicht gilt für eine Website immer das DSG und häufig teilweise die DSGVO, nämlich für Besucher:innen aus Europa.

Eine vergleichbare Informationspflicht gibt es auch anderswo auf der Welt, beispielsweise im Vereinigten Königreich oder im amerikanischen Bundesstaat Kalifornien.

Eine Datenschutzerklärung ist, wie der Name sagt, eine Erklärung. Es geht um die Möglichkeit für betroffene Personen, sich zu informieren. Manchmal wird deshalb die Datenschutzerklärung auch als «Datenschutzhinweis» oder als «Datenschutzinformation» bezeichnet.

Hingegen ist eine Datenschutzerklärung kein Vertrag, in den eingewilligt werden muss. Es ist ein häufiger Fehler, die Einwilligung in eine Datenschutzerklärung zu fordern, allenfalls sogar ausdrücklich mit einem Kästchen. Wenn die Datenschutzerklärung gar noch als «Datenschutzbedingungen» oder «Datenschutzrichtlinie» bezeichnet wird, droht die Datenschutzerklärung zu Allgemeinen Geschäftsbedingungen (AGB) zu werden. Aus der Erklärung wird ein Vertragswerk mit hohen rechtlichen Anforderungen.

Sprachlich falsch ist die Bezeichnung einer Datenschutzerklärung als «Datenschutzpolitik». Es handelt sich um eine Fehlübersetzung der englischen Bezeichnung «Privacy Policy».

Welche Informationen muss eine Datenschutzerklärung enthalten?

Die betroffenen Personen – bei einer Website die Besucher:innen – müssen sich informieren können, welche Daten über sie von wem, wie, wofür und wo bearbeitet werden. Sie müssen ausserdem erfahren können, was ihre Ansprüche und Rechte gemäss dem anwendbaren Datenschutzrecht sind.

Gemäss dem schweizerischen Datenschutzrecht sind mindestens folgende Angaben erforderlich (Art. 19 Abs. 1 DSG):

• Identität und Kontaktdaten der oder des Verantwortlichen, also der Betreiberin oder des Betreibers der Website (Firma oder Name, Postadresse, E-Mail-Adresse)
• Zweck oder Zwecke, für den oder die Personendaten bearbeitet werden
• Empfänger:innen oder Kategorien der Empfänger:innen, denen Personendaten bekannt gegeben werden

Dazu kommen immer Angaben über Ansprüche und Rechte, die betroffene Personen anmelden können. Beispiele sind das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Widerspruch oder das Recht auf Anzeige oder Beschwerde bei einer Datenschutz-Aufsichtsbehörde wie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz.

Je nach Verantwortlicher oder Verantwortlichem und je nach Bearbeitung von Personendaten können folgende weiteren Angaben erforderlich sein:

• Kategorien der beschafften Personendaten, sofern diese Personendaten nicht direkt bei den betroffenen Personen beschafft werden
• Bekanntgabe von Personendaten in andere Staaten («Daten-Export») und wie dabei der Datenschutz gewährleistet wird
• Kontaktdaten einer allfälligen Datenschutzberaterin oder eines allfälligen Datenschutzberaters (Art. 10 DSG)
• Kontaktdaten einer allfälligen schweizerischen Datenschutz-Vertretung (Art. 14 DSG)
• Offenlegung von allfälligen automatisierten Einzelentscheidungen und dem Recht auf die Prüfung solcher Entscheidungen durch einen Menschen (Art. 21 DSG)

Gemäss dem europäischen Datenschutzrecht sind weitere Angaben erforderlich (Art. 13 DSGVO):

• Rechtsgrundlagen für die Bearbeitung von Personendaten, beispielsweise die Einwilligung der betroffenen Personen oder die überwiegenden berechtigten Interessen des oder der Verantwortlichen (Art. 6 DSGVO)
• Kontaktdaten einer allfälligen Datenschutzbeauftragten oder eines allfälligen Datenschutzbeauftragten
• Kontaktdaten einer allfälligen EU-Datenschutz-Vertretung (Art. 27 DSGVO)
• Dauer der Speicherung von Personendaten oder Kriterien für die Festlegung der Speicherdauer
• Offenlegung von allfälligem Profiling (Art. 22 DSGVO)

Unabhängig von der Bearbeitung von Personendaten sollte in Datenschutzerklärungen über die Verwendung von Cookies informiert werden.

Die Information der betroffenen Personen muss immer «in präziser, transparenter, verständlicher und leicht zugänglicher Form» (Art. 13 DSV) bzw. «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» (Art. 12 Abs. 1 DSGVO) erfolgen.

Das DSG in der Schweiz geht bei der Informationspflicht weniger weit als die DSGVO in Europa.

Dennoch ist es empfehlenswert, sich für Datenschutzerklärungen, die nur Website-Besucher:innen aus der Schweiz betreffen, an der DSGVO als «Gold-Standard» zu orientieren. Mit einer solchen Datenschutzerklärung geniesst man eine hohe Rechtssicherheit gegenüber Website-Besucher:innen aus aller Welt.

Es gibt unterschiedliche Meinungen, wie genau die Informationspflicht gemäss DSG und DSGVO umgesetzt werden muss.

Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist deshalb nicht nur eine Rechtsfrage, sondern gleichzeitig eine Stilfrage.

Datenschutz-Aufsichtsbehörden fordern oft sehr ausführliche und mehrstufige Datenschutzerklärungen. Rechtlich gesehen gibt es jedoch erheblichen Spielraum bei der Gestaltung.

Eine rechtssichere Datenschutzerklärung sollte alle Punkte gemäss den gesetzlichen Vorgaben umfassen. Website-Betreiber:innen riskieren ansonsten den unerwünschten Kontakt mit betroffenen Personen und mit Datenschutz-Aufsichtsbehörden. In der EU drohen Bussen für Unternehmen und Organisationen von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes (Art. 83 DSGVO). In der Schweiz können einzelne verantwortliche Personen mit einer Busse von bis zu 250’000 Franken bestraft werden (Art. 60 DSG).

Immerhin müssen Website-Betreiber:innen normalerweise nicht mit kostenpflichtigen Abmahnungen rechnen, selbst wenn Abmahnungen im Datenschutzrecht grundsätzlich möglich sind.

In jedem Fall ist es wichtig, dass eine Datenschutzerklärung immer aktuell, richtig und vollständig ist. Eine Datenschutzerklärung sollte ein bis zwei Mal pro Jahr und bei wesentlichen Änderungen der Bearbeitung von Personendaten aktualisiert werden.

Um den Inhalt einer Datenschutzerklärung nicht ausufern zu lassen, kann auf ausgewählte weiterführende Informationen verlinkt werden, zum Beispiel auf die Informationen von Dritten, deren Dienste in eine Website eingebunden werden. Es muss nicht jeder Dienst erwähnt oder verlinkt werden. Bei Diensten mit einem besonders vielseitigen Funktionsumfang oder mit besonderen Risiken ist eine Erwähnung und Verlinkung aber sinnvoll.

Für die Übersichtlichkeit hilft ein Inhaltsverzeichnis am Anfang der Datenschutzerklärung.

Viele Datenschutzerklärungen sind mit einem Datum versehen. Das ist nur sinnvoll, wenn eine Datenschutzerklärung regelmässig aktualisiert wird. Ansonsten ist eine Datenschutzerklärung auf den ersten Blick als veraltet erkennbar.

So findet man immer noch viele Datenschutzerklärungen, die den 25. Mai 2018 oder den 1. September 2023 als Datum nennen. Ab diesen Daten musste die Informationspflicht gemäss DSGVO bzw. DSG umgesetzt werden, weshalb viele Datenschutzerklärungen an diesen Tagen erstellt oder zuletzt aktualisiert wurden.

Was sind die typischen Inhalte einer Datenschutzerklärung?

Jede Website ist anders und damit auch die Datenschutzerklärung. Es gibt aber – ausgehend von der gesetzlichen Informationspflicht – typische Inhalte, die in (fast) jeder Datenschutzerklärung aufgeführt werden müssen.

In der Datenschutzerklärung muss die oder der Verantwortliche genannt werden, bei einer Website die Betreiberin oder der Betreiber. Normalerweise handelt es sich um die gleichen Angaben wie im Impressum: Firma oder Name, Postadresse, E-Mail-Adresse.

Bei schweizerischen Websites, die sich auch an Besucher:innen aus Deutschland, aus dem Fürstentum Liechtenstein und dem sonstigen Europäischen Wirtschaftsraum (EWR) richten, ist fast immer eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO erforderlich. In der Datenschutzerklärung muss die EU-Datenschutz-Vertretung mit ihren Kontaktangaben genannt werden.

Verantwortliche, die über eine:n Datenschutzberater:in oder eine:n Datenschutzbeauftragt:en verfügen, müssen darüber in der Datenschutzerklärung informieren. Es muss keine Firma und kein Name genannt werden, sondern es genügt eine generische Angabe wie «Datenschutzbeauftragter». Die Kontaktangaben müssen unabhängig von jenen der oder des Verantwortlichen sein.

Bei fast allen Websites werden Personendaten mit Cookies und Server-Logdateien bearbeitet. Darüber sollte – mindestens in allgemeiner Form – informiert werden.

Ferner sollte über die verwendeten Kommunikationskanäle informiert werden. Dazu gehören die Bearbeitung von Personendaten mit einem Chatbot oder Kontaktformular, aber beispielsweise auch der Newsletter-Versand. Bei einem Massenversand per E-Mail oder Instant Messaging muss grundsätzlich die Einwilligung der Empfänger:innen eingeholt werden.

Weiter sollte über Dienste von Dritten, die in eine Website eingebunden sind, informiert werden. Dazu zählen Dienste für Analytics und Tracking wie Google Analytics und Hotjar, Inhalte und Plugins von Social Media-Plattformen wie Instagram, LinkedIn oder TikTok, Newsletter-Dienste wie CleverReach oder MailChimp sowie Dienste für Kartenmaterial, Schriftarten oder Videos wie Google Maps, Adobe Fonts oder Vimeo und YouTube. Auch Website-Komponenten, die bei Dritten gehostet werden, sollten erwähnt werden, beispielsweise die Verwendung von jQuery.com oder der Spamschutz mit einem CAPTCHA-Dienst wie Google reCAPTCHA.

Bei Diensten von Dritten im Ausland muss – wie überhaupt beim «Daten-Export» – informiert werden, inwiefern im betreffenden Ausland ein angemessener oder geeigneter Datenschutz gewährleistet ist. Aus schweizerischer Sicht stammen fast alle Dienste, die in Websites eingebunden sind, von Diensten im Ausland.

Einfach ist dieser Punkt für Dienste im EWR, denn die Schweiz und der EWR bilden einen gemeinsamen Datenraum. Ein Angemessenheitsbeschluss der Europäischen Kommission ermöglicht den freien Datenverkehr zwischen der Schweiz und dem EWR.

Bei Diensten in den USA ist hingegen – wenn überhaupt – der Datenschutz nur gewährleistet, wenn sich das jeweilige Unternehmen freiwillig dem Data Privacy Framework (DPF) unterworfen hat oder vertragliche Absicherungen bestehen. Die vertragliche Absicherung erfolgt mit Standarddatenschutzklauseln der Europäischen Kommission, die – mit wenigen Anpassungen – auch für die Schweiz verwendet werden können. Der «Daten-Export» in die USA sollte sicherheitshalber immer auch mit Standarddatenschutzklauseln abgesichert werden und nicht allein mit dem DPF. Das DPF kann jederzeit für ungültig erklärt werden.

Bei einigen Diensten von Dritten sind die Website-Betreiber:innen gemeinsam mit den Dritten verantwortlich, zum Beispiel bei Social Plugins von Facebook. Eine solche gemeinsame Verantwortlichkeit gilt mutmasslich für alle Dienste, bei denen Personendaten nicht ausschliesslich im Auftrag der Website-Betreiber:innen bearbeitet werden, das heisst insbesondere für fast alle kostenlosen Dienste von Dritten.

Wo in der Welt ein angemessener Datenschutz besteht, findet man für die Schweiz auf einer bundesrätlichen Liste und für den EWR auf einer Webseite der Europäischen Kommission. In der «Data Privacy Framework List» sind die amerikanischen Unternehmen eingetragen, die grundsätzlich einen angemessenen Datenschutz gewährleisten möchten.

Welche Dienste von Dritten werden überhaupt verwendet?

Viele Website-Betreiber:innen wissen nicht, welche Personendaten im Zusammenhang mit ihrer Website beschafft und anderweitig bearbeitet werden.

Wer eine Website selbst entwickelt und pflegt, sollte eigentlich wissen, welche Personendaten wie, wofür und wo bearbeitet werden. Allerdings binden einige Website-Betreiber:innen unzählige Dienste von Dritten gedankenlos ein. Teilweise enthalten Plugins, wie sie insbesondere im WordPress-Umfeld beliebt sind, ungefragt Dienste von Dritten. Viele Dritt-Dienste werden zum Teil von Anbietern von Website-Baukästen wie Wix eingebunden.

Wer eine Web-Agentur mit der Entwicklung und Pflege einer Website beauftragt hat, sollte von dieser die benötigten Angaben erhalten, zum Beispiel die genaue Konfiguration von Google Analytics. Website-Betreiber:innen dürfen von einer Agentur keine (kompetente) Rechtsberatung erwarten, aber eine Agentur sollte die Bearbeitung von Personendaten auf einer Website und die eingebundenen Dienste von Dritten immer dokumentieren. Eine Agentur sollte ausserdem die Veröffentlichung und Verlinkung einer Datenschutzerklärung vorsehen.

Letztlich sind alle Website-Betreiber:innen selbst dafür verantwortlich, den Datenschutz auf ihrer Website zu gewährleisten. Dazu gehört die Veröffentlichung einer aktuellen, richtigen und vollständigen Datenschutzerklärung.

Einiges an Informationen über Dienste von Dritten, die in die eigene Website eingebunden sind, kann man durch eigenes Surfen auf der Website herausfinden. So sind beispielsweise Karten, Videos und Werbung von Google-Diensten wie AdSense, Maps und YouTube problemlos sichtbar. Fortgeschrittene Website-Betreiber:innen nutzen die Browser-Konsole oder Content-Blocker wie uBlock Origin, um weitere Informationen zu erhalten.

Ausserdem gibt es nützliche Online-Dienste, die versuchen, die Bearbeitung von Personendaten auf einer Website zu ermitteln. Beispiele sind Webbkoll, «DSGVO-Beschwerde» oder BuiltWith.

Viele Anbieter von Dritt-Diensten, unter anderem Google, schreiben die Information der betroffenen Personen ausdrücklich vor. Die Nutzungsbedingungen für Google Analytics beispielsweise konkretisieren die Informationspflicht unter Ziffer 7 über den Datenschutz.

Wie erstellst du am einfachsten eine Datenschutzerklärung?

Das Wissen, welche Personendaten auf einer Website beschafft und wofür, wie und wo sie bearbeitet werden, müssen Website-Betreiber:innen in Form einer Datenschutzerklärung sammeln und veröffentlichen.

Website-Betreiber:innen müssen ausserdem über die Ansprüche und Rechte der betroffenen Personen informieren. Am dafür notwendigen Wissen führt für eine rechtssichere Datenschutzerklärung kein Weg vorbei.

Auf einleitende Texte im Stil von «Der Schutz Ihrer Daten ist uns wichtig» oder «Gemäss Artikel 13 der Bundesverfassung» sollte bei Datenschutzerklärungen verzichtet werden. Solche Texte haben rechtlich keine Bedeutung und wirken auf die meisten Besucher:innen einer Website nicht glaubwürdig.

Die Sprache der Datenschutzerklärung sollte der Sprache der Website entsprechen. Bei einer mehrsprachigen Website ist es empfehlenswert, die Datenschutzerklärung in allen Sprachen der Website anzubieten oder auf Übersetzungsmöglichkeiten hinzuweisen. Mit DeepL, Google Translate oder KI-Diensten stehen den Nutzer:innen viele kostenlose Möglichkeiten für Übersetzungen im Internet zur Verfügung.

Wer selbst nicht weiss, wie man eine Datenschutzerklärung erstellt und keine Fachperson beauftragen möchte, nutzt mit Vorteil ein Muster oder eine Vorlage.

Muster und Vorlagen für Datenschutzerklärungen gibt es in zwei gängigen Varianten: Es gibt einerseits Muster und Vorlagen sowie andererseits sogenannte Datenschutz-Generatoren.

Muster und Vorlagen für Datenschutzerklärungen

Datenschutz-Aufsichtsbehörden sowie Fachpersonen und Unternehmen, die im Datenschutzrecht tätig sind, veröffentlichen oder verkaufen eigene Muster und Vorlagen.

Muster gibt es beispielsweise bei der Datenschutzstelle Fürstentum Liechtenstein, beim Ministerium des Innern des Landes Nordrhein-Westfalen in Deutschland oder von Prof. Dr. Thomas Hoeren an der deutschen Universität Münster. In der Schweiz finden sich Vorlagen beispielsweise bei DSAT.

Die Qualität der Muster und Vorlage ist unterschiedlich. Es ist sinnvoll, jeweils zu prüfen, wann ein Muster oder eine Vorlage zuletzt aktualisiert wurde.

Datenschutz-Generatoren für Datenschutzerklärungen

Mit sogenannten Datenschutz-Generatoren können Datenschutzerklärungen online erstellt werden. Gemeint sind eigentlich Generatoren für Datenschutzerklärungen, aber der Begriff «Datenschutz-Generator» hat sich durchgesetzt.

Für das Erstellen der Datenschutzerklärung mit einem Datenschutz-Generator muss normalerweise ausgewählt oder beantwortet werden, wer welche Personendaten wofür, wie und wo bearbeitet. Aufgrund der Auswahl oder Antworten wird eine Datenschutzerklärung erstellt.

Die meisten Datenschutz-Generatoren sind kostenlos, da sie als Werbung für andere – kostenpflichtige – Angebote genutzt werden. Manchmal darf eine kostenlos erstellte Datenschutzerklärung nur verwendet werden, wenn auf den Generator-Anbieter verlinkt wird.

Einige Datenschutz-Generatoren sind kostenpflichtig, weil sie aktuell gehalten sowie ergänzt und verbessert werden. Solche Datenschutz-Generatoren dienen nicht der Werbung, sondern sind eigenständige Angebote.

Viele Datenschutz-Generatoren werden – für Fachpersonen sichtbar – nicht mehr gepflegt, aber immer noch angeboten. Mit einigen älteren Generatoren kann gar keine allgemeine Datenschutzerklärung erstellt werden, wie sie heute erforderlich ist.

Besondere Alarmzeichen sind, wenn nicht mehr verfügbare Angebote wie das eingestellte Google+ ausgewählt werden können oder nicht mehr existierende Anbieter von Diensten wie die Google Inc. oder gar die YouTube LLC genannt werden. Ein weiteres Warnzeichen ist, wenn für den «Daten-Export» in die USA noch auf die früheren Regelungen «Privacy Shield» und «Safe Harbor» verwiesen wird.

Bei deutschen Datenschutz-Generatoren besteht aus schweizerischer Sicht das Problem, dass Besonderheiten in der Schweiz nicht oder nicht ausreichend berücksichtigt werden. Das gilt sogar für Generatoren, deren Anbieter ausdrücklich versprechen, das schweizerische Datenschutzrecht einzuhalten.

Deutsche Generatoren gehen normalerweise davon aus, dass die europäische Datenschutz-Grundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG) anwendbar sind. Wenn Website-Betreiber:innen eine solche Datenschutzerklärung veröffentlichen, unterstellen sie sich freiwillig und vollumfänglich dem ausländischen Recht, ohne dazu verpflichtet zu sein und ohne es einzuhalten.

Einige Datenschutz-Generatoren versprechen, Datenschutzerklärungen vollständig oder weitgehend automatisch erstellen zu können. Solche Generatoren «scannen» Websites und erstellen Datenschutzerklärungen aus den gesammelten Informationen. Das ist bequem, stösst aber an Grenzen, weil nicht alle erforderlichen Informationen für einen solchen «Scanner» sichtbar sind.

Datenschutz-Generatoren, die nicht aktuell gehalten werden, nicht zur Schweiz passen oder zu viel versprechen, waren für mich schon vor Jahren der Anlass, mich mit meiner Anwaltskanzlei am Datenschutz-Generator von Datenschutzpartner* zu beteiligen.

Dieser Datenschutz-Generator richtet sich ausdrücklich an Verantwortliche in der Schweiz und berücksichtigt das anwendbare schweizerische oder europäische Datenschutzrecht für die jeweilige Website. Erstellte Datenschutzerklärungen werden gehostet und können direkt verlinkt werden, stehen aber auch als HTML-Quelltext und PDF-Datei zur Verfügung. Der Datenschutz-Generator wird fortlaufend gepflegt*, um die Aktualität und Richtigkeit der erstellten Datenschutzerklärung zu gewährleisten.

Manche Website-Betreiber:innen versuchen, ihre Datenschutzerklärungen mit Hilfe von ChatGPT, Gemini und anderen KI-Diensten zu erstellen. Ein solcher Versuch ist selbstverständlich möglich, bedingt aber das Fachwissen, um das Ergebnis beurteilen zu können. Das Gleiche gilt für Website-Betreiber:innen, die sich von den Datenschutzerklärungen auf anderen Websites «inspirieren» lassen. Auf solchen Wegen gelangt viel Unsinn in Datenschutzerklärungen. Sogar Behörden und grosse Unternehmen veröffentlichen zum Teil fehlerhafte Datenschutzerklärungen.

Die Veröffentlichung einer erstellten Datenschutzerklärung sollte auf einer eigenen Seite erfolgen und nicht gemeinsam mit dem Impressum oder gar als Teil der Allgemeinen Geschäftsbedingungen (AGB).

Die veröffentlichte Datenschutzerklärung sollte auf jeder einzelnen Webseite einer Website verlinkt werden, üblicherweise als «Datenschutz» oder «Datenschutzerklärung» in der Fusszeile.

Was sind häufige Fehler bei Datenschutzerklärungen?

Im Zusammenhang mit veröffentlichten Datenschutzerklärungen sind viele Fehler zu beobachten. Viele Website-Betreiber:innen überschätzen ihre eigenen Fähigkeiten.

Der Fehler, dass gar keine Datenschutzerklärung vorhanden ist, kommt inzwischen selten vor.

Dafür sind folgende Fehler häufig zu beobachten:

• Schweizerische Websites unterstellen sich freiwillig und vollständig der europäischen Datenschutz-Grundverordnung (DSGVO) und sonstigem ausländischem Recht, halten aber die entsprechenden Pflichten nicht ein.
• Der Inhalt der Datenschutzerklärung ist sichtbar veraltet, allenfalls allein schon aufgrund einer uralten Datumsangabe.
• Der Weblink zur Datenschutzerklärung ist auf der Website nicht auffindbar, beispielsweise weil der Weblink in einem Menü versteckt ist.
• Der Weblink zur Datenschutzerklärung wird verdeckt, beispielsweise durch einen Chatbot oder durch ein Cookie-Banner.
• Der Inhalt der Datenschutzerklärung ist unvollständig, häufig betroffen sind eingebundene Dienste von Dritten.
• Der Inhalt der Datenschutzerklärung ist falsch, beispielsweise wird eine Anonymisierung von IP-Adressen behauptet, die gar nicht erfolgt.
• Die Datenschutzerklärung behauptet Einwilligungen, die nicht erteilt wurden und allein durch die Erwähnung in der Datenschutzerklärung auch nicht rechtswirksam erteilt werden können; erforderliche Einwilligungen sollten immer unabhängig von einer Datenschutzerklärung eingeholt werden, beispielsweise mit einem Cookie-Banner.
• Es wird die (ausdrückliche) Einwilligung in die Datenschutzerklärung verlangt, wodurch diese einen vertraglichen Charakter erhält oder gar zu Allgemeinen Geschäftsbedingungen (AGB) wird.
• Erwähnte oder verlinkte Widerspruchsmöglichkeiten funktionieren nicht, beispielsweise Google Analytics, wo das frühere «Opt-out» mit einem JavaScript-Weblink nicht mehr verfügbar ist.
• Allfällige Facebook-Seiten oder die sonstige Social Media-Präsenz werden in der Datenschutzerklärung nicht erwähnt oder es geht vergessen, die Datenschutzerklärung auf der eigenen Social Media-Präsenz zu verlinken.
• Schweizerische Websites, die teilweise die DSGVO einhalten müssen, haben keinen EU-Datenschutz-Vertreter benannt oder haben die Angaben aus einer fremden Datenschutzerklärung kopiert, ohne selbst einen Vertreter benannt zu haben.
• Die Datenschutzerklärung wurde einmal erstellt und danach nicht mehr gepflegt, so dass sie im Laufe der Zeit immer mehr Fehler enthält.

Perfekte Datenschutzerklärungen: Don’t panic!

Für Datenschutzerklärungen gilt wie häufig im Recht: Don’t panic!

Für Website-Betreiber:innen führt (fast) kein Weg daran vorbei, eine aktuelle, richtige und vollständige Datenschutzerklärung zu erstellen, zu veröffentlichen und zu pflegen.

Die Datenschutzerklärung ist ein wichtiger Teil der sichtbaren Datenschutz-Compliance. Die perfekte Datenschutzerklärung gibt es aber leider nicht, denn dafür ist das Datenschutzrecht zu ausufernd und widersprüchlich.

Datenschutzerklärungen sollen betroffenen Personen ermöglichen, sich bei Bedarf über die Beschaffung und sonstige Bearbeitung ihrer Daten zu informieren. Betroffene Personen sollen ausserdem wissen können, welche Ansprüche und Rechte sie haben, beispielsweise das Recht auf Auskunft.

Um diese Informationspflicht mit einer veröffentlichten Datenschutzerklärung zu erfüllen, müssen Website-Betreiber:innen wissen, welche Personendaten auf ihren Websites beschafft und anderweitig bearbeitet werden.

Mit diesem Wissen kann eine Datenschutzerklärung erstellt und veröffentlicht werden, die normalerweise gut genug ist, sofern die Hinweise in diesem Gastbeitrag befolgt und häufige Fehler vermieden werden.

Wer die Rechtssicherheit verbessern möchte, verwendet einen etablierten Datenschutz-Generator oder beaufragt eine qualifizierte Fachperson. Eine solche Fachperson kann eine erstellte Datenschutzerklärung auch auf ihre Aktualität, Richtigkeit und Vollständigkeit prüfen.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes profitierst du sogar von 10 % Rabatt im ersten Jahr.

Titelbild: Benham Norouzi/Unsplash

Ob in Website-Designs, Interfaces von Web-Applikationen oder Social-Media-Posts, Icons sind allgegenwärtig. Auf diesen Websites solltest du vorbeischauen, wenn du Icons für dein nächstes Projekt benötigst.

Heroicons

Die handgemachten SVG-Icons der Tailwind-CSS-Macher*innen kannst du direkt per Mausklick als SVG oder JSX kopieren. Oder in deinem React- oder Vue-Projekt als Library einbinden. Die zurzeit 316 Icons stehen unter der MIT-Lizenz zur Verfügung und werden regelmässig aktualisiert.

Material Design Icons

Das Design-System «Material» von Google ist bekannt. Passenderweise liefert Google gleich auch noch über 900 Icons im Material-Design zur Verwendung im Web, sowie für Android- und iOS-Projekte. Die Icons stehen unter der Open-Source-Lizenz «Apache License Version 2.0» zum Download bereit und sind auch als Figma-Plugin erhältlich.

Noun Project

The Noun Project hat grossgesteckte Ziele und will nichts weniger, als alle Bildsprachen unserer Welt zusammenbringen. Über 7 Millionen Icons hat die Noun-Project-Community inzwischen online gestellt. Du kannst die Icons unter einer Creative-Commons-Lizenz mit Attribution nutzen, findest auf der Website aber auch kostenpflichtige Abos, die dir noch mehr Funktionen und die Nutzung der Icons ohne Attribution bieten.

Smashing Magazine

Das Design-Magazin «Smashing Magazine» hält immer wieder Freebies bereit, die einen Blick wert sind. Der regelmässige Besuch der Kategorie lohnt sich also.

Flaticon

Über 18 Millionen Icons sind bei Flaticon zu finden. Einen Teil davon kannst du unter einer speziellen Flaticon-Lizenz und mit Namensnennung kostenlos nutzen. In der Premium-Version bietet dir Flaticon zudem weitere Funktionen und eine attributionsfreie Nutzung der Icons.

Captain Icon

Mario ist Captain Icon. Der Spanier bietet über 350 Icons zum Download, die du unter einer Creative-Commons-Lizenz nutzen kannst.

Good Stuff No Nonsense

Bei Good Stuff No Nonsense findest du Icon-Packs zu vielen verschiedenen Themen. Neben einigen kostenlosen Packs bietet dir die Website auch kostenpflichtige Sammlungen.

Dribbble

In der Design-Community Dribbble findest du, ausser jeder Menge Inspiration, unter dem Suchbegriff «free icons» eine riesige Auswahl an hochstehenden Icon-Kreationen.

Iconfinder

Rund 6 Millionen SVG-Icons sind in der Datenbank von Iconfinder abgelegt. Du kannst die Icons nach verschiedenen Kriterien filtern. Die kostenlosen Varianten sind unter verschiedenen Lizenzen verfügbar. Mit den kostenpflichtigen Abos kannst du die Icons unter der hauseigenen Iconfinder-Lizenz nutzen.

GraphicBurger

GraphicBurger bietet dir neben anderen Design-Elementen wie Mock-Ups oder UI-Kits auch eine Auswahl an qualitativ hochstehenden Icons. Du kannst die Icons unter einer GraphicBurger-eigenen Lizenz kostenlos nutzen.

Icons8

Für die Icons von Icons8 kannst du vor dem Download die gewünschten Grössen auswählen und für die verschiedenen Formate passende Einstellungen hinterlegen. Du kannst die Icons kostenlos nutzen, wenn du einen Link zur Icons8-Website setzt. Auch als Figma-Plugin sind die Icons verfügbar.

Zondicons

Zondicons sind SVG-Icons, die für den Einsatz in digitalen Produkten wie Websites oder Apps entwickelt wurden. Die Icons des Kanadiers Steve Schoger kannst du unter einer Creative-Commons-Lizenz nutzen.

IconStore

IconStore, ein Projekt der Leute hinter CodyHouse, bietet Premium-Icons von ausgewählten Designer*innen. Die Icons sind unter einer eigenen Lizenz kostenlos nutzbar.

Feather

«Simply beautiful open source icons» verspricht Feather. Du kannst die Farbe, Strichstärke und Grösse der Icons noch vor dem Download anpassen.

Font Awesome

Font Awesome nennt sich selbst das beliebteste Icon-Set im Web und ist mehr als nur eine Sammlung schöner Icons. Mit einem eigenen Content-Delivery-Network (CDN), mit dem du die Icons direkt auf deiner Website einbinden kannst und einem grossen Fundus an Anleitungen ist Font Awesome ein regelrechtes Icon-Ökosystem. Mittlerweile ist bereits Version 6 des beliebten Tools erschienen.

Clarity

Clarity ist ein ganzes Design-System des Technologie-Unternehmens VMware. Ein Teil des Systems ist die Icon-Bibliothek, die du mit npm in deinen Projekten einbinden kannst. Alternativ kannst du die MIT-lizenzierten Icons auch im SVG-Format direkt herunterladen.

Bootstrap Icons

Eine kostenlose Icon-Sammlung mit hoher Qualität und Open-Source-Lizenz, die über 2000 Symbole enthält. Du kannst sie auf jede erdenkliche Art und Weise einbinden – als SVG, SVG-Sprite oder Web-Schriftart. Nutze sie mit oder ohne Bootstrap in all deinen Projekten.

Icon Archive

Das Icon Archive winkt mit 800’000 kostenlosen Icons und über 2500 Icon-Packs. Für den Download benötigst du weder einen Login noch ein kostenpflichtiges Abo.

Deine Icon-Tipps?

Bleibt zum Schluss die Frage: Wie verwaltet man eigentlich seine stetig grösser werdende Iconsammlung? Wir nutzen dafür gerne IconJar für macOS. Passenderweise bieten die Macher*innen von IconJar gleich selbst eine Sammlung von kostenlosen und kostenpflichtigen Icon-Sets an.

Kennst du weitere, hier nicht erwähnte Icons-Websites, die in keiner gut sortierten Linkliste fehlen dürfen? Dann hinterlasse uns deinen Kommentar. Wir freuen uns über deine Tipps.