Datenschutz für Schweizer Unternehmen: Leitfaden zum revDSG 2026
Seit dem Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) am 1. September 2023 stehen Schweizer Unternehmen vor neuen rechtlichen Anforderungen. Wer personenbezogene Daten verarbeitet, muss heute strengere Pflichten erfüllen, höhere Bussen fürchten und sich gleichzeitig im internationalen Umfeld mit der europäischen DSGVO auseinandersetzen. Dieser Leitfaden zeigt Ihnen, wie Schweizer Unternehmen den Datenschutz rechtssicher und praxisnah umsetzen.
Was bedeutet Datenschutz für Schweizer Unternehmen?
Datenschutz für Schweizer Unternehmen umfasst alle technischen, organisatorischen und rechtlichen Massnahmen, die nötig sind, um personenbezogene Daten von Kunden, Mitarbeitenden und Geschäftspartnern gemäss dem revidierten Datenschutzgesetz (revDSG) zu schützen. Das Gesetz gilt für jede Bearbeitung von Personendaten durch private Personen oder Bundesorgane in der Schweiz.
Im Unterschied zur EU-DSGVO sieht das revDSG keine generelle Meldepflicht oder zwingende Datenschutz-Folgenabschätzung in allen Fällen vor, schützt jedoch erstmals auch genetische und biometrische Daten als besonders schützenswerte Personendaten. Verstösse können neu mit Bussen bis zu CHF 250'000 gegen verantwortliche Privatpersonen geahndet werden.
Rechtsgrundlagen: revDSG, DSGVO und sektorspezifische Gesetze
Schweizer Unternehmen bewegen sich in einem doppelten Regelwerk. Wer ausschliesslich Schweizer Kundinnen und Kunden bedient, muss primär das revDSG einhalten. Sobald jedoch Daten von EU-Bürgern verarbeitet werden – etwa durch Online-Shops oder grenzüberschreitende Dienstleistungen – greift zusätzlich die DSGVO.
Die wichtigsten Schweizer Regelwerke im Überblick
- revDSG (Bundesgesetz über den Datenschutz): Allgemeine Grundlage für die Bearbeitung von Personendaten.
- DSV (Datenschutzverordnung): Konkretisiert technische und organisatorische Anforderungen.
- FMG (Fernmeldegesetz): Relevant für Telekommunikations- und Online-Dienste.
- BankG, VAG, KAG: Sektorspezifische Pflichten für Banken, Versicherungen und Vermögensverwalter.
- EPDG: Regelt den Umgang mit elektronischen Patientendossiers im Gesundheitswesen.
Vergleich: revDSG vs. DSGVO
| Merkmal | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Bearbeitungsverzeichnis | Pflicht (KMU <250 MA mit Ausnahmen) | Pflicht (mit Ausnahmen) |
| Datenschutzbeauftragter | Empfohlen, nicht zwingend | Teilweise zwingend |
| Meldepflicht bei Datenschutzverletzung | Wenn hohes Risiko | Innert 72 Stunden |
| Maximale Busse | CHF 250'000 (gegen Personen) | Bis 20 Mio. EUR oder 4 % Umsatz |
| Genetische/biometrische Daten | Besonders schützenswert | Besonders schützenswert |
| Datenschutz-Folgenabschätzung | Bei hohem Risiko | Bei hohem Risiko |
Die zentralen Pflichten nach revDSG
Das revDSG verpflichtet Unternehmen zu zahlreichen konkreten Massnahmen. Die Umsetzung sollte systematisch erfolgen, um Compliance-Lücken zu vermeiden.
1. Informationspflicht gegenüber Betroffenen
Unternehmen müssen die betroffenen Personen aktiv darüber informieren, welche Daten zu welchem Zweck bearbeitet werden. Eine transparente Datenschutzerklärung auf der Website ist heute Pflicht – auch für kleine Firmen mit einer einfachen Kontaktseite.
2. Bearbeitungsverzeichnis führen
Jedes Unternehmen mit über 250 Mitarbeitenden oder mit umfangreicher Bearbeitung sensibler Daten muss ein Verzeichnis aller Bearbeitungstätigkeiten führen. Auch kleinere Firmen sollten ein solches Verzeichnis pflegen – es ist die Basis für jede Datenschutz-Strategie.
3. Datensicherheit gewährleisten
Die DSV verlangt angemessene technische und organisatorische Massnahmen (TOM). Dazu gehören Zugriffskontrollen, Verschlüsselung, Backups und ein Berechtigungskonzept. Mitarbeitende sollten regelmässig prüfen, ob ihre Zugangsdaten kompromittiert wurden – ein Test, ob ein Passwort geleakt wurde, gehört zur Basishygiene.
4. Meldung von Datenschutzverletzungen
Liegt ein hohes Risiko für die betroffenen Personen vor, muss der Vorfall so rasch als möglich an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) gemeldet werden. Eine konkrete 72-Stunden-Frist wie in der DSGVO existiert nicht, dennoch ist Eile geboten.
5. Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko – etwa Profiling, Videoüberwachung oder grossflächiger Verarbeitung sensibler Daten – ist eine DSFA durchzuführen. Sie dokumentiert die Risiken und die getroffenen Schutzmassnahmen.
6. Auftragsbearbeitung regeln
Werden Daten an Dienstleister wie Cloud-Anbieter, IT-Provider oder Marketing-Agenturen weitergegeben, braucht es einen schriftlichen Auftragsbearbeitungsvertrag (ABV). Bei Datenübermittlungen ins Ausland sind zusätzlich Standardvertragsklauseln oder ein angemessenes Schutzniveau im Empfängerland erforderlich.
Datenschutz praktisch umsetzen: Eine 8-Schritte-Checkliste
Die folgende Checkliste hilft Schweizer Unternehmen, den Datenschutz strukturiert anzugehen:
- Bestandsaufnahme: Erfassen Sie alle Datenbearbeitungen im Unternehmen (Kunden, Mitarbeitende, Lieferanten, Newsletter).
- Bearbeitungsverzeichnis erstellen: Dokumentieren Sie Zweck, Datenkategorien, Empfänger und Aufbewahrungsfristen.
- Datenschutzerklärung aktualisieren: Veröffentlichen Sie eine revDSG-konforme Erklärung auf der Website.
- Auftragsbearbeitungsverträge abschliessen: Prüfen Sie alle externen Dienstleister.
- TOM definieren: Verschlüsselung, Passwortrichtlinien, Zwei-Faktor-Authentifizierung, Backups.
- Mitarbeitende schulen: Sensibilisierung mindestens einmal pro Jahr.
- Notfallplan etablieren: Klare Prozesse für den Fall einer Datenschutzverletzung.
- Regelmässige Überprüfung: Datenschutz ist ein laufender Prozess, kein einmaliges Projekt.
Technische Schutzmassnahmen für Schweizer KMU
Die technische Umsetzung des Datenschutzes muss verhältnismässig sein. Ein lokales Architekturbüro hat andere Anforderungen als ein Online-Versandhandel. Folgende Massnahmen bilden jedoch das Fundament für jedes Unternehmen.
Verschlüsselung und sichere Kommunikation
Alle Websites müssen über HTTPS laufen, E-Mails mit sensiblen Inhalten sollten verschlüsselt werden (S/MIME oder PGP). Für die Übermittlung von Dokumenten eignen sich Schweizer Anbieter wie Tresorit, Infomaniak kDrive oder Proton Drive, die ihre Server in der Schweiz oder EU betreiben.
Zugriffs- und Berechtigungskonzept
Das Prinzip der minimalen Berechtigung (Least Privilege) sollte selbstverständlich sein: Mitarbeitende erhalten nur Zugriff auf Daten, die sie für ihre Tätigkeit tatsächlich benötigen. Single Sign-On (SSO) und Zwei-Faktor-Authentifizierung sind heute Standard.
Sicheres Linkmanagement
Wenn Unternehmen Links in E-Mails, Newslettern oder Social-Media-Posts teilen, sollten sie auf datenschutzfreundliche Werkzeuge setzen. Ein in der EU/Schweiz gehosteter URL-Shortener wie Lunyb erlaubt es, Links zu kürzen, deren Performance zu messen und gleichzeitig die DSGVO/revDSG-Vorgaben einzuhalten. Einen detaillierten Vergleich finden Sie in unserem Artikel zu den besten URL-Kürzungsdiensten in der Schweiz.
Mobile Geräte und Tracking
Geschäftshandys sind heute ein häufig übersehenes Datenschutzrisiko. Tracker in Apps können sensible Standort- und Verhaltensdaten an Drittfirmen senden. Unternehmen sollten klare Richtlinien für die Geräteverwaltung definieren und Mitarbeitende anleiten, Tracker auf dem Handy zu blockieren.
Internationale Datenübermittlungen
Werden Personendaten ins Ausland übermittelt, gilt das Drei-Stufen-Prinzip:
- Angemessenes Schutzniveau im Empfängerland: Der Bundesrat führt eine Liste der Länder mit angemessenem Datenschutzniveau (EU, UK, Kanada, Japan etc.).
- Geeignete Garantien: Bei Übermittlungen in andere Länder (z.B. USA) sind Standardvertragsklauseln, verbindliche unternehmensinterne Datenschutzvorschriften oder das Swiss-US Data Privacy Framework erforderlich.
- Ausnahmen: Einwilligung, Vertragserfüllung oder Wahrung lebenswichtiger Interessen können in Einzelfällen genügen.
Besondere Vorsicht ist bei US-Cloud-Diensten geboten, da der CLOUD Act amerikanischen Behörden Zugriff auf Daten ermöglichen kann, auch wenn diese auf europäischen Servern liegen.
Bussen und Haftung: Was kostet ein Verstoss?
Das revDSG sieht Bussen bis zu CHF 250'000 vor – allerdings gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen selbst. Strafbar sind unter anderem:
- Verletzung der Informations- und Auskunftspflicht
- Missachtung der Sorgfaltspflicht bei der Datensicherheit
- Verletzung der beruflichen Schweigepflicht
- Verstoss gegen Anordnungen des EDÖB
Zusätzlich drohen zivilrechtliche Ansprüche der Betroffenen (Schadenersatz, Genugtuung) und erhebliche Reputationsschäden. Im internationalen Geschäft können DSGVO-Bussen mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes drohen.
Datenschutz und Marketing
Marketingaktivitäten sind besonders datenschutzsensibel. Newsletter-Versand braucht eine ausdrückliche Einwilligung (Double-Opt-In), Cookies zur Reichweitenanalyse erfordern transparente Information, und der Einsatz von Werbenetzwerken setzt eine sorgfältige Auswahl der Anbieter voraus.
Cookie-Banner richtig umsetzen
Während das revDSG keine explizite Cookie-Einwilligungspflicht kennt, ergibt sich diese aus dem Fernmeldegesetz für nicht-essenzielle Cookies. Bei EU-Besuchern gilt zudem die ePrivacy-Richtlinie. Praktische Empfehlung: Ein zweistufiges Banner mit echter Wahlmöglichkeit ("Akzeptieren" und "Ablehnen" gleichwertig).
Personenbezogene Bilder und Fotos
Mitarbeiterfotos, Eventbilder oder Kundenreferenzen unterliegen ebenfalls dem Datenschutz. Vor Veröffentlichung ist eine Einwilligung erforderlich. Wer prüfen möchte, wo eigene Firmenbilder im Internet auftauchen, kann die umgekehrte Bildersuche nutzen.
Datenbroker und Drittanbieter
Schweizer Unternehmen sollten genau wissen, welche Dienstleister Zugang zu ihren Daten haben. Besonders kritisch sind Datenbroker, die Personendaten kommerziell handeln. In unserem Beitrag über Datenbroker und den Verkauf von Daten zeigen wir, wie diese Märkte funktionieren und welche Schutzmöglichkeiten bestehen.
Die Rolle des Datenschutzberaters (DSB)
Anders als die DSGVO sieht das revDSG keinen verpflichtenden Datenschutzbeauftragten vor. Die Bestellung eines DSB bringt jedoch Vorteile: Bei Bearbeitungen mit hohem Risiko kann auf die Konsultation des EDÖB verzichtet werden, wenn ein qualifizierter DSB im Unternehmen vorhanden ist. Für mittelständische Unternehmen ist oft ein externer Berater die effiziente Lösung.
Häufig gestellte Fragen (FAQ)
Gilt das revDSG auch für Einzelfirmen und kleine KMU?
Ja, das revDSG gilt grundsätzlich für jede Person und jedes Unternehmen, das in der Schweiz Personendaten bearbeitet – unabhängig von der Grösse. Kleinunternehmen profitieren jedoch von einigen Erleichterungen, etwa bei der Pflicht zum Bearbeitungsverzeichnis (Ausnahme bei weniger als 250 Mitarbeitenden und geringem Risiko).
Müssen Schweizer Unternehmen auch die DSGVO einhalten?
Ja, sobald sie Personendaten von Personen in der EU bearbeiten – etwa durch einen Online-Shop, der EU-Kunden beliefert, oder durch gezieltes Marketing im EU-Raum. In diesen Fällen gelten beide Regelwerke parallel. In der Praxis ist die DSGVO etwas strenger, sodass eine DSGVO-konforme Umsetzung oft auch das revDSG abdeckt.
Was muss eine Datenschutzerklärung zwingend enthalten?
Pflichtangaben sind: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszwecke, Kategorien der Empfänger, allfällige Datenübermittlungen ins Ausland sowie die Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung). Bei Cookies und Tracking-Tools sind diese ebenfalls transparent aufzuführen.
Wann muss ein Datenschutzvorfall gemeldet werden?
Sobald ein voraussichtlich hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen besteht, ist der Vorfall so rasch als möglich dem EDÖB zu melden. Beispiele: gehackte Kundendatenbank, verlorener unverschlüsselter Laptop mit sensiblen Daten oder fehlversandte E-Mails mit grossen Datenmengen.
Wie lange müssen Personendaten aufbewahrt werden?
Es gibt keine einheitliche Frist. Massgebend ist der Bearbeitungszweck: Sobald dieser entfällt, müssen Daten gelöscht oder anonymisiert werden. Gleichzeitig bestehen gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre für Buchhaltungsbelege nach OR). Eine klare Löschkonzeption ist daher zentral.
Fazit
Datenschutz ist für Schweizer Unternehmen heute kein Nebenthema mehr, sondern ein Kernbestandteil der Unternehmensführung. Das revDSG verlangt eine systematische Auseinandersetzung mit dem Umgang mit Personendaten – von der Datenschutzerklärung über das Bearbeitungsverzeichnis bis zu technischen Schutzmassnahmen. Wer Datenschutz proaktiv angeht, reduziert nicht nur das Bussen- und Haftungsrisiko, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern – ein Wettbewerbsvorteil, der in einer datengetriebenen Wirtschaft immer wichtiger wird.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Datenbroker: Wer Verkauft Ihre Daten und Wie Sie Sich Wehren 2026
Datenbroker handeln täglich mit den persönlichen Daten von Millionen Deutschen – oft ohne deren Wissen. Erfahren Sie, welche Unternehmen Ihre Daten verkaufen und wie Sie mit der DSGVO Ihre Rechte durchsetzen und Ihre Daten löschen lassen.
Digitaler Fussabdruck: So Kontrollieren Sie Ihn (Leitfaden 2026)
Jeder Klick, jede Suche, jeder Post hinterlässt Spuren im Netz. Erfahren Sie, wie Sie Ihren digitalen Fussabdruck systematisch aufspüren, kontrollieren und langfristig reduzieren – mit konkreten Schritten und Tools für 2026.
KI und Datenschutz 2026: Was Sich Durch EU AI Act & DSGVO Ändert
2026 verändert sich der KI-Datenschutz grundlegend: Der EU AI Act wird operativ anwendbar, die DSGVO wird strenger ausgelegt und Unternehmen müssen neue Pflichten erfüllen. Dieser Leitfaden zeigt alle Änderungen, Fristen und Rechte im Detail.
Recht auf Vergessenwerden: So Stellen Sie den Antrag Korrekt (2026)
Das Recht auf Vergessenwerden nach Artikel 17 DSGVO erlaubt es Ihnen, die Löschung Ihrer personenbezogenen Daten zu verlangen. In diesem Leitfaden zeigen wir Ihnen Schritt für Schritt, wie Sie einen wirksamen Antrag formulieren – inklusive Musterbrief, Fristen und Tipps bei Ablehnung.