Datenschutz für Schweizer Unternehmen 2026: Der Praxis-Leitfaden
Seit dem 1. September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (revDSG). Es bringt strengere Pflichten, höhere Bussen und eine deutliche Annäherung an die europäische Datenschutz-Grundverordnung (DSGVO). Für Schweizer Unternehmen – vom Einzelunternehmen bis zum Konzern – bedeutet das: Datenschutz ist 2026 kein optionales Thema mehr, sondern eine geschäftskritische Pflicht. Dieser Leitfaden zeigt Ihnen praxisnah, was Sie wissen und tun müssen.
Was ist das revidierte Datenschutzgesetz (revDSG)?
Das revidierte Datenschutzgesetz ist das zentrale Schweizer Bundesgesetz zum Schutz der Persönlichkeit und der Grundrechte natürlicher Personen, deren Daten bearbeitet werden. Es ersetzt das alte DSG von 1992 und wurde an internationale Standards – insbesondere die DSGVO – angepasst, damit die Schweiz weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt bleibt.
Anders als die DSGVO schützt das revDSG ausschliesslich die Daten natürlicher Personen – Daten juristischer Personen sind nicht mehr umfasst. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Wichtigste Neuerungen im Überblick
- Erweiterte Informationspflicht: Jede Beschaffung von Personendaten muss transparent kommuniziert werden.
- Verzeichnis der Bearbeitungstätigkeiten: Pflicht für die meisten Unternehmen.
- Datenschutz-Folgenabschätzung (DSFA): Bei hohen Risiken zwingend.
- Meldepflicht bei Datenschutzverletzungen: So rasch als möglich an den EDÖB.
- Privacy by Design & by Default: Datenschutz muss von Anfang an mitgedacht werden.
- Persönliche Bussen bis CHF 250'000: Treffen verantwortliche natürliche Personen, nicht nur das Unternehmen.
Für wen gilt das revDSG?
Das revDSG gilt für alle privaten Personen und Bundesorgane, die Personendaten von Personen in der Schweiz bearbeiten. Entscheidend ist nicht der Unternehmenssitz, sondern das Auswirkungsprinzip: Auch ausländische Firmen müssen das revDSG einhalten, sofern sich ihre Datenbearbeitung in der Schweiz auswirkt.
Schweizer Unternehmen, die zudem Daten von Personen aus dem EU/EWR-Raum bearbeiten, unterliegen parallel auch der DSGVO. In der Praxis bedeutet das: Wer DSGVO-konform arbeitet, erfüllt meist auch das revDSG – aber nicht umgekehrt, denn es gibt subtile Unterschiede.
revDSG vs. DSGVO: Die wichtigsten Unterschiede
| Kriterium | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geschützte Daten | Nur natürliche Personen | Nur natürliche Personen |
| Rechtsgrundlage für Bearbeitung | Grundsätzlich erlaubt, sofern keine Persönlichkeitsverletzung | Erfordert ausdrückliche Rechtsgrundlage (Art. 6) |
| Datenschutzbeauftragter (DSB) | Empfohlen, nicht zwingend | Pflicht in vielen Fällen |
| Bussen | Bis CHF 250'000 (gegen Privatpersonen) | Bis 4 % Jahresumsatz oder 20 Mio. EUR |
| Meldefrist Datenpanne | So rasch als möglich | 72 Stunden |
| Sensible Daten | Inkl. genetische & biometrische Daten | Ähnlicher Katalog |
| Datenexport | Liste sicherer Staaten durch Bundesrat | Angemessenheitsbeschluss durch EU-Kommission |
Die 8 zentralen Pflichten für Schweizer Unternehmen
Folgende Pflichten sollten Sie 2026 zwingend umgesetzt haben, um Bussen und Reputationsschäden zu vermeiden.
1. Datenschutzerklärung auf der Website
Jede Website mit Schweizer Bezug benötigt eine vollständige, leicht verständliche Datenschutzerklärung. Sie muss Identität des Verantwortlichen, Bearbeitungszwecke, Empfängerkategorien, Bekanntgabe ins Ausland und Betroffenenrechte enthalten.
2. Verzeichnis der Bearbeitungstätigkeiten (VBT)
Unternehmen mit über 250 Mitarbeitenden oder mit umfangreicher Bearbeitung sensibler Daten müssen ein VBT führen. In der Praxis empfiehlt sich das auch für KMU – es ist die Grundlage jedes Datenschutzkonzepts.
3. Informationspflicht bei Datenbeschaffung
Beim Erheben von Personendaten – ob via Webformular, im Laden oder am Telefon – muss die betroffene Person aktiv informiert werden. Versteckte Hinweise reichen nicht.
4. Auftragsdatenbearbeitung (ADB) regeln
Setzen Sie Cloud-Dienste, externe IT, Newsletter-Tools oder Marketing-Agenturen ein, brauchen Sie schriftliche Verträge zur Auftragsbearbeitung. Achten Sie besonders auf Anbieter ausserhalb der Schweiz/EU.
5. Sicherheit der Datenbearbeitung
Technische und organisatorische Massnahmen (TOMs) sind Pflicht: Verschlüsselung, Zugriffskontrolle, Backups, Berechtigungskonzepte, regelmässige Schulungen. Ein Thema, das auch im Kontext der Cybersicherheit für KMU ausführlich behandelt wird – die Empfehlungen gelten weitgehend auch für Schweizer Betriebe.
6. Meldung von Datenschutzverletzungen
Verletzungen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der Betroffenen führen, müssen Sie dem EDÖB melden. Dokumentieren Sie jeden Vorfall – auch nicht meldepflichtige.
7. Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko – etwa Profiling, grossflächige Videoüberwachung oder neue KI-Anwendungen – ist eine DSFA durchzuführen. Gerade im Zusammenspiel mit dem KI-Gesetz der EU wird dies für Unternehmen mit europäischen Kunden 2026 noch wichtiger.
8. Wahrung der Betroffenenrechte
Betroffene haben Recht auf Auskunft, Berichtigung, Löschung und Datenherausgabe. Stellen Sie sicher, dass Anfragen innert 30 Tagen kostenlos beantwortet werden können.
Bussen und Sanktionen: Was kostet ein Verstoss?
Eine Besonderheit des revDSG: Bussen treffen primär natürliche Personen – also etwa Geschäftsführer, IT-Leiter oder Datenschutzbeauftragte – und nicht nur das Unternehmen selbst. Der Strafrahmen reicht bis CHF 250'000 pro Verstoss.
Bestraft werden insbesondere:
- Verletzung der Informations-, Auskunfts- und Mitwirkungspflichten
- Verletzung der Sorgfaltspflichten (z. B. mangelnder Auftragsbearbeitungsvertrag)
- Verletzung der Geheimhaltungspflicht
- Missachtung von Verfügungen des EDÖB
Hinzu kommen zivilrechtliche Schadenersatzansprüche und – oft schmerzhafter als die Busse – Reputationsverluste durch öffentliche Verfahren oder Medienberichte.
Praktische Umsetzung: Schritt-für-Schritt-Roadmap
Die Umsetzung des revDSG muss kein Mammutprojekt sein. Folgende Reihenfolge hat sich in der Praxis bewährt:
- Bestandsaufnahme: Welche Personendaten bearbeiten Sie wo, von wem, wozu?
- Verzeichnis der Bearbeitungstätigkeiten erstellen – die Grundlage für alles Weitere.
- Risikoanalyse: Wo bestehen erhöhte Risiken? Wo braucht es eine DSFA?
- Datenschutzerklärung & Cookie-Banner aktualisieren.
- Auftragsbearbeitungsverträge mit allen Dienstleistern abschliessen.
- TOMs implementieren: Verschlüsselung, MFA, Zugriffskonzepte, Backup-Strategie.
- Prozesse definieren für Auskunftsbegehren und Datenpannen.
- Mitarbeitende schulen – mindestens jährlich.
- Internes Datenschutz-Controlling: Mindestens jährlich überprüfen und dokumentieren.
Datenschutz und Marketing: Newsletter, Tracking, URL-Shortener
Marketing ist eines der heikelsten Datenschutzthemen. E-Mail-Marketing erfordert eine gültige Einwilligung (Double-Opt-In ist Standard), Tracking-Tools wie Google Analytics benötigen einen Rechtsgrund und einen ADB-Vertrag, und Cookies müssen transparent kommuniziert werden.
Auch beim Versand von Links – etwa in Newslettern, SMS-Kampagnen oder QR-Codes – stellt sich die Frage nach datenschutzkonformen Tools. Klassische amerikanische URL-Shortener bergen Risiken, weil Klickdaten in den USA verarbeitet werden. Ein Schweiz- bzw. EU-freundlicher Dienst wie Lunyb ermöglicht das Kürzen und Verfolgen von Links unter Berücksichtigung von revDSG- und DSGVO-Anforderungen – mit klaren Datenflüssen und ohne überflüssige Datensammlung. Wer verschiedene Anbieter vergleichen möchte, findet im Beitrag zu den besten URL-Kürzungsdiensten sowie der Bitly-Preisanalyse hilfreiche Vergleichswerte.
Datenexport ins Ausland: Was ist erlaubt?
Personendaten dürfen nur dann ins Ausland bekanntgegeben werden, wenn das Zielland einen angemessenen Datenschutz gewährleistet. Der Bundesrat führt eine Liste solcher Staaten – die EU/EWR-Länder gehören dazu, die USA grundsätzlich nicht.
Für Datenexporte in unsichere Staaten brauchen Sie:
- Standardvertragsklauseln (SCC) inkl. Schweizer Anpassungen, oder
- verbindliche unternehmensinterne Datenschutzvorschriften (BCR), oder
- eine ausdrückliche Einwilligung der betroffenen Person.
Für US-Anbieter empfiehlt sich zusätzlich eine Prüfung, ob diese am Swiss-U.S. Data Privacy Framework teilnehmen – seit 2024 ein wichtiger Mechanismus für Datentransfers in die USA.
Was tun bei einer Beschwerde oder Datenpanne?
Beschwerden von Kunden, Mitarbeitenden oder Konkurrenten können beim EDÖB eingereicht werden. Wie der Prozess konkret abläuft, beschreibt unser Artikel EDÖB-Beschwerde einreichen ausführlich.
Bei einer eigenen Datenpanne sollten Sie wie folgt vorgehen:
- Vorfall sofort eindämmen (Systeme isolieren, Passwörter zurücksetzen).
- Risikoanalyse durchführen: Welche Daten, welches Risiko für Betroffene?
- Bei hohem Risiko: Meldung an den EDÖB so rasch als möglich.
- Falls erforderlich: Information der Betroffenen.
- Vorfall dokumentieren – auch wenn nicht meldepflichtig.
- Lessons Learned und Anpassung der TOMs.
Datenschutzbeauftragter: Pflicht oder Kür?
Anders als die DSGVO sieht das revDSG keine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) vor. Wer aber freiwillig einen DSB benannt und beim EDÖB registriert hat, kann auf die Konsultation des EDÖB bei DSFA verzichten – ein praktischer Vorteil.
Empfohlen ist ein DSB insbesondere für:
- Unternehmen mit umfangreicher Bearbeitung sensibler Daten (Gesundheit, Finanzen)
- Firmen mit grossem Kundenstamm
- Unternehmen, die parallel der DSGVO unterliegen (dort oft Pflicht)
Häufig gestellte Fragen (FAQ)
Gilt die DSGVO auch für reine Schweizer Unternehmen?
Nur dann, wenn das Unternehmen Waren oder Dienstleistungen gezielt an Personen im EU/EWR-Raum anbietet oder deren Verhalten beobachtet. Ein lokales Geschäft in Bern, das nur Schweizer Kunden bedient, unterliegt nicht der DSGVO – wohl aber dem revDSG.
Brauche ich als KMU einen Datenschutzbeauftragten?
Nicht zwingend. Das revDSG verlangt keinen DSB. Praktisch sinnvoll ist die Benennung einer verantwortlichen Person dennoch – schon, um klare Zuständigkeiten zu haben. Bei DSGVO-Pflicht (z. B. EU-Kunden) kann ein DSB jedoch zwingend sein.
Wie hoch sind die Bussen für KMU realistisch?
Der EDÖB verfolgt keine flächendeckende Bussenpolitik wie EU-Behörden. Bussen werden primär bei vorsätzlichen Verstössen, Beschwerden oder Wiederholungstätern ausgesprochen – können dann aber bis CHF 250'000 betragen und treffen die verantwortliche natürliche Person.
Muss ich Auskunftsbegehren immer kostenlos beantworten?
Ja, grundsätzlich sind Auskünfte innert 30 Tagen kostenlos zu erteilen. Eine Kostenbeteiligung ist nur in Ausnahmefällen zulässig – etwa bei offensichtlich missbräuchlichen oder besonders aufwändigen Anfragen.
Wie lange muss ich Personendaten aufbewahren?
Es gilt der Grundsatz der Datenminimierung: Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck erforderlich sind. Steuer- und handelsrechtliche Aufbewahrungspflichten (i. d. R. 10 Jahre) gehen vor. Definieren Sie für jede Datenkategorie eine klare Löschfrist.
Fazit
Datenschutz ist für Schweizer Unternehmen 2026 zur Pflichtaufgabe geworden – mit klaren rechtlichen, finanziellen und reputativen Konsequenzen bei Verstössen. Die gute Nachricht: Wer strukturiert vorgeht, ein Bearbeitungsverzeichnis pflegt, klare Prozesse für Betroffenenrechte und Datenpannen etabliert und seine Mitarbeitenden schult, hat bereits 80 % der Anforderungen erfüllt.
Sehen Sie Datenschutz nicht als Bürde, sondern als Vertrauensargument: Schweizer Kundinnen und Kunden schätzen seriösen Umgang mit ihren Daten – und machen ihn zunehmend zum Entscheidungskriterium. Investieren Sie jetzt in saubere Strukturen, dann ist das revDSG kein Risiko, sondern ein Wettbewerbsvorteil.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
KI und Datenschutz: Was Sich 2026 Ändert - Neue Regelungen und Compliance-Anforderungen
2026 bringt wegweisende Änderungen für KI und Datenschutz: Der EU AI Act tritt vollständig in Kraft und schafft neue Compliance-Anforderungen. Unternehmen müssen ihre KI-Systeme an erweiterte DSGVO-Bestimmungen und spezifische AI Act-Regelungen anpassen.
KI und Datenschutz: Was Sich 2026 Ändert - Vollständiger Leitfaden für Deutschland
Das Jahr 2026 bringt entscheidende Änderungen im Bereich KI und Datenschutz mit sich. Der vollständig in Kraft tretende EU AI Act und erweiterte DSGVO-Bestimmungen schaffen neue rechtliche Rahmenbedingungen für Unternehmen, die KI-Systeme entwickeln oder einsetzen.
Digitaler Fußabdruck: So Kontrollieren Sie Ihn - Vollständiger Leitfaden 2026
Erfahren Sie, wie Sie Ihren digitalen Fußabdruck kontrollieren und Ihre Online-Privatsphäre schützen können. Praktische Strategien zur Verwaltung digitaler Spuren und Datenschutz-Tipps für Deutschland.
Datenschutz in Deutschland: Ihre Rechte im Überblick - Vollständiger Leitfaden 2026
Erfahren Sie alles über Ihre Datenschutzrechte in Deutschland nach DSGVO. Comprehensive Übersicht über Betroffenenrechte, BfDI-Zuständigkeiten und praktische Durchsetzung Ihrer Ansprüche.