Datenschutz für Schweizer Unternehmen: Leitfaden 2026 (revDSG)
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für Schweizer Unternehmen bedeutet dies deutlich erweiterte Pflichten, höhere Bussen und einen stärkeren Fokus auf Transparenz, Rechenschaft und technische Sicherheit. Dieser Leitfaden zeigt, welche Anforderungen 2026 gelten, wie sich revDSG und EU-DSGVO unterscheiden und welche konkreten Massnahmen Sie in Ihrem KMU oder Konzern umsetzen sollten.
Was bedeutet Datenschutz für Schweizer Unternehmen?
Datenschutz für Schweizer Unternehmen umfasst alle rechtlichen, organisatorischen und technischen Pflichten zum Schutz von Personendaten gemäss dem revidierten Datenschutzgesetz (revDSG) und der Datenschutzverordnung (DSV). Betroffen sind grundsätzlich alle Unternehmen mit Sitz in der Schweiz – unabhängig von ihrer Grösse – sobald sie Daten natürlicher Personen bearbeiten.
Wichtig: Auch ausländische Unternehmen müssen das revDSG einhalten, wenn ihre Datenbearbeitung sich in der Schweiz auswirkt. Umgekehrt unterliegen Schweizer Unternehmen häufig zusätzlich der EU-DSGVO, sobald sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten.
Die wichtigsten Grundprinzipien
- Rechtmässigkeit: Datenbearbeitung muss auf einer rechtlichen Grundlage beruhen.
- Treu und Glauben: Keine versteckten oder irreführenden Bearbeitungen.
- Verhältnismässigkeit: Nur so viele Daten wie nötig.
- Zweckbindung: Daten nur für den ursprünglich kommunizierten Zweck verwenden.
- Transparenz: Betroffene müssen wissen, was mit ihren Daten geschieht.
- Datensicherheit: Angemessene technische und organisatorische Massnahmen (TOM).
revDSG vs. DSGVO: Die wichtigsten Unterschiede
Schweizer Unternehmen, die international tätig sind, müssen beide Regelwerke kennen. Die folgende Tabelle gibt einen Überblick über die zentralen Unterschiede:
| Kriterium | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Nur natürliche Personen | Nur natürliche Personen |
| Maximale Busse | Bis CHF 250'000 (gegen verantwortliche Personen) | Bis 20 Mio. EUR oder 4 % des Jahresumsatzes |
| Datenschutz-Folgenabschätzung (DSFA) | Pflicht bei hohem Risiko | Pflicht bei hohem Risiko |
| Datenschutzberater | Empfohlen, nicht zwingend | DSB Pflicht in bestimmten Fällen |
| Meldung Datenpannen | So rasch als möglich an EDÖB | Innert 72 Stunden an Aufsichtsbehörde |
| Bearbeitungsverzeichnis | Pflicht (KMU <250 MA mit Ausnahmen) | Pflicht (KMU <250 MA mit Ausnahmen) |
| Privacy by Design | Ja | Ja |
| Auskunftsrecht | Ja, kostenlos | Ja, kostenlos |
Ein wesentlicher Unterschied: Im Schweizer Recht werden Bussen primär gegen die verantwortlichen natürlichen Personen (z. B. Geschäftsführer) ausgesprochen – nicht gegen das Unternehmen selbst. Das erhöht die persönliche Verantwortung der Führungsebene erheblich.
Pflichten von Schweizer Unternehmen im Detail
1. Bearbeitungsverzeichnis führen
Jedes Unternehmen muss ein Verzeichnis aller Bearbeitungstätigkeiten führen. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, sofern die Bearbeitung kein hohes Risiko für die Persönlichkeit der betroffenen Personen darstellt. Das Verzeichnis enthält:
- Identität des Verantwortlichen
- Bearbeitungszweck
- Kategorien der betroffenen Personen und Daten
- Empfänger oder Empfängerkategorien
- Aufbewahrungsdauer
- Allgemeine Beschreibung der Sicherheitsmassnahmen
- Bei Drittlandtransfers: Zielstaat und Garantien
2. Informationspflicht erweitern
Beim Beschaffen von Personendaten muss das Unternehmen die betroffene Person aktiv informieren – nicht erst auf Anfrage. Eine transparente, leicht verständliche Datenschutzerklärung auf der Website ist Pflicht.
3. Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA ist zwingend, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person mit sich bringt – etwa bei systematischer Überwachung, umfangreicher Bearbeitung besonders schützenswerter Daten oder automatisierten Einzelentscheidungen.
4. Meldung von Datensicherheitsverletzungen
Datenpannen mit voraussichtlich hohem Risiko müssen so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Betroffene Personen sind ebenfalls zu informieren, sofern dies zu ihrem Schutz erforderlich ist.
5. Auftragsbearbeitung regeln
Werden Daten von Dritten bearbeitet (Cloud-Anbieter, IT-Dienstleister, Marketing-Agenturen), braucht es einen Auftragsbearbeitungsvertrag (ADV/AVV). Der Auftraggeber bleibt für die Einhaltung des Datenschutzes verantwortlich.
6. Datentransfer ins Ausland
Die Übermittlung in Staaten ohne angemessenes Datenschutzniveau (gemäss Liste des Bundesrats) erfordert zusätzliche Garantien wie Standardvertragsklauseln, verbindliche Unternehmensregeln (BCR) oder ausdrückliche Einwilligung.
Technische und organisatorische Massnahmen (TOM)
Angemessene Sicherheit ist das Herzstück jeder Datenschutz-Compliance. Schweizer Unternehmen müssen TOM implementieren, die dem Stand der Technik, den Bearbeitungsrisiken und der Sensibilität der Daten entsprechen.
Empfohlene technische Massnahmen
- Verschlüsselung: TLS 1.3 für Transport, AES-256 für ruhende Daten
- Zugriffskontrolle: Rollenbasierte Berechtigungen (RBAC), Least-Privilege-Prinzip
- Multi-Faktor-Authentifizierung (MFA) für alle Admin- und Remote-Zugriffe
- Patch-Management: Regelmässige Sicherheitsupdates innert 30 Tagen
- Backup & Recovery: 3-2-1-Strategie mit Offline-Kopie
- Logging und Monitoring: Zentrale SIEM-Lösung
- Endpoint-Protection: EDR statt klassischem Antivirus
- Netzwerksegmentierung und Firewall-Regelwerk
Organisatorische Massnahmen
- Schriftliche Datenschutzrichtlinie und IT-Sicherheitskonzept
- Regelmässige Mitarbeiterschulungen (mindestens jährlich)
- Vertraulichkeitsverpflichtungen in Arbeitsverträgen
- Klare Prozesse für Auskunfts- und Löschbegehren
- Incident-Response-Plan mit definierten Eskalationswegen
- Lieferantenbewertung und regelmässige Audits
Auch der Umgang mit Tracking-Technologien ist relevant: Cookies, Pixel und Drittanbieter-Skripte können Personendaten an Datenbroker weiterleiten. Lesen Sie dazu unseren Beitrag Datenbroker: Wer Verkauft Ihre Daten und Wie Sie Sich Schützen, um die Risiken in Ihrer Marketing-Infrastruktur besser einzuschätzen.
Datenschutz im Marketing und auf der Website
Marketingdaten sind in Schweizer Unternehmen häufig die grösste Datenschutz-Baustelle. Drei Bereiche verdienen besondere Aufmerksamkeit:
Cookies und Tracking
Anders als die EU verlangt das revDSG für Cookies keine explizite Opt-in-Einwilligung. Dennoch gilt eine umfassende Informationspflicht. Wer EU-Besucher hat, braucht ohnehin ein Consent-Management-Tool. Zusätzlich empfiehlt sich serverseitiges Tracking, um Datenflüsse besser zu kontrollieren.
E-Mail-Marketing
Newsletter benötigen gemäss UWG eine vorgängige Einwilligung (Opt-in). Double-Opt-in ist Standard. Bei jedem Versand muss eine einfache Abmeldemöglichkeit vorhanden sein.
Link-Tracking und Kampagnen
Bei der Auswertung von Kampagnen sollten Sie auf datenschutzfreundliche Tools achten, die keine ungewollten Profile bilden. Kurzlinkdienste mit transparenter Datenpolitik wie Lunyb ermöglichen es Schweizer Unternehmen, Klick-Statistiken auf Kampagnenebene auszuwerten, ohne unnötige Personendaten zu sammeln – ein gutes Beispiel für datensparsames Marketing im Sinne des revDSG.
Mitarbeiterdatenschutz
Im Arbeitsverhältnis bearbeiten Unternehmen besonders viele Personendaten – von Bewerbungsunterlagen über Lohnabrechnungen bis hin zu Leistungsdaten. Wichtige Regeln:
- Bewerbungsunterlagen abgelehnter Kandidaten innert 3–6 Monaten löschen
- Mitarbeiterüberwachung nur mit klarer Rechtsgrundlage und Information
- Private Internetnutzung am Arbeitsplatz transparent regeln
- BYOD-Konzepte mit klarer Trennung beruflicher und privater Daten
- Standortdaten (z. B. von Firmenfahrzeugen) restriktiv handhaben
Tipp: Auch private Nutzung von Standortdiensten betrifft Mitarbeiter. Unser Ratgeber Standort Sicher mit der Familie Teilen hilft Ihren Mitarbeitenden, auch privat datenschutzbewusst zu handeln.
Sanktionen und Risiken bei Verstössen
Das revDSG sieht strenge Sanktionen vor, die in der Praxis vor allem die Geschäftsführung treffen:
| Verstoss | Maximale Sanktion | Adressat |
|---|---|---|
| Verletzung der Informationspflicht | CHF 250'000 | Verantwortliche Person |
| Verletzung Auskunftspflicht | CHF 250'000 | Verantwortliche Person |
| Verletzung Sorgfaltspflicht (TOM) | CHF 250'000 | Verantwortliche Person |
| Verletzung Berufsgeheimnis | CHF 250'000 | Verantwortliche Person |
| Missachtung EDÖB-Verfügung | CHF 250'000 | Verantwortliche Person |
Hinzu kommen Reputationsschäden, Schadenersatzforderungen betroffener Personen sowie Vertragsstrafen aus B2B-Beziehungen. Datenpannen können zudem zu Untersuchungen durch den EDÖB führen.
Compliance-Checkliste für Schweizer Unternehmen 2026
Nutzen Sie diese Schritt-für-Schritt-Checkliste zur Standortbestimmung:
- Datenbestand erfassen: Welche Personendaten werden wo, wie lange und warum bearbeitet?
- Bearbeitungsverzeichnis erstellen oder aktualisieren
- Datenschutzerklärung überarbeiten (Website, Apps, Verträge)
- Auftragsbearbeitungsverträge prüfen mit allen Dienstleistern
- Drittlandtransfers identifizieren und absichern
- TOM dokumentieren und an Risiken anpassen
- Prozess für Betroffenenrechte definieren (Auskunft, Löschung, Berichtigung)
- Incident-Response-Plan für Datenpannen erstellen
- Mitarbeiterschulungen durchführen und dokumentieren
- Jährliches Audit einplanen
Ergänzend sollten Sie regelmässig prüfen, ob Zugangsdaten Ihrer Firmenkonten in Datenlecks aufgetaucht sind. Eine Anleitung finden Sie hier: Wurde Mein Passwort Geleakt? So Prüfen Sie es in 5 Minuten. Für mobile Geräte empfiehlt sich zusätzlich der Beitrag Tracker auf dem Handy Blockieren.
Besonderheiten für grenzüberschreitende Unternehmen
Schweizer Firmen mit Niederlassungen oder Kunden in der EU müssen DSGVO und revDSG parallel einhalten. In der Praxis bedeutet das:
- Bestellung eines DSGVO-Vertreters in der EU (Art. 27 DSGVO), wenn keine Niederlassung in der EU besteht
- Beachtung kürzerer Meldefristen für Datenpannen (72 Stunden)
- Einrichtung eines Datenschutzbeauftragten (DSB) bei umfangreicher Bearbeitung sensibler Daten
- Beachtung lokaler Aufsichtsbehörden – etwa bei Beschwerden in Österreich (Beschwerde bei der österreichischen Datenschutzbehörde) oder Deutschland
Empfehlung: Setzen Sie auf das strengere Regime als Mindeststandard – meist die DSGVO – und dokumentieren Sie revDSG-spezifische Anpassungen separat.
Fazit: Datenschutz als Wettbewerbsvorteil
Datenschutz ist für Schweizer Unternehmen längst kein lästiges Compliance-Thema mehr, sondern ein echter Wettbewerbsvorteil. Kunden, Partner und Mitarbeitende erwarten einen verantwortungsvollen Umgang mit ihren Daten. Wer revDSG-Compliance professionell umsetzt, reduziert nicht nur Haftungs- und Reputationsrisiken, sondern stärkt auch das Vertrauen in seine Marke. Beginnen Sie 2026 mit einer Standortbestimmung anhand der Checkliste, priorisieren Sie Quick Wins (Datenschutzerklärung, ADV-Verträge, MFA) und etablieren Sie Datenschutz als kontinuierlichen Prozess – nicht als einmaliges Projekt.
Häufig gestellte Fragen (FAQ)
Gilt das revDSG auch für Kleinstunternehmen und Einzelfirmen?
Ja. Das revDSG gilt grundsätzlich für jedes Unternehmen, das Personendaten bearbeitet – unabhängig von der Grösse. Erleichterungen gibt es jedoch für KMU mit weniger als 250 Mitarbeitenden, etwa beim Bearbeitungsverzeichnis, sofern keine besonders sensiblen Daten oder Hochrisiko-Bearbeitungen vorliegen.
Muss jedes Schweizer Unternehmen einen Datenschutzberater ernennen?
Nein, im Gegensatz zur DSGVO ist die Ernennung eines Datenschutzberaters in der Schweiz freiwillig. Sie wird jedoch ausdrücklich empfohlen und ist bei Bearbeitung sensibler Daten oder umfangreicher Profilerstellung in der Praxis nahezu unverzichtbar.
Wie schnell muss eine Datenpanne dem EDÖB gemeldet werden?
Das revDSG verlangt eine Meldung „so rasch als möglich“, sofern die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Eine fixe Frist wie die 72 Stunden der DSGVO besteht nicht, in der Praxis sollte dennoch innert 72 Stunden gemeldet werden.
Dürfen Schweizer Unternehmen US-Cloud-Dienste nutzen?
Ja, aber mit zusätzlichen Garantien. Die USA stehen aktuell auf der Liste der Staaten mit angemessenem Datenschutzniveau für Unternehmen, die unter dem Swiss-U.S. Data Privacy Framework zertifiziert sind. Für nicht-zertifizierte Anbieter braucht es Standardvertragsklauseln und eine Transfer Impact Assessment (TIA).
Wie hoch sind die Bussen bei einem revDSG-Verstoss tatsächlich?
Die maximale Busse beträgt CHF 250'000 und richtet sich gegen die verantwortliche natürliche Person, in der Regel die Geschäftsleitung. Bei Vorsatz, fehlender Sorgfalt oder wiederholten Verstössen werden höhere Strafen ausgesprochen. Hinzu können zivilrechtliche Schadenersatzforderungen betroffener Personen kommen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Online-Privatsphäre in Österreich Schützen: Der Komplette Leitfaden 2026
Die Online-Privatsphäre in Österreich zu schützen ist 2026 wichtiger denn je. Dieser Leitfaden zeigt konkrete Maßnahmen, rechtliche Grundlagen nach DSGVO und die besten Tools für Privatpersonen und Unternehmen. So nehmen Sie Ihre digitale Selbstbestimmung aktiv in die Hand.
Digitaler Fußabdruck: So Kontrollieren Sie Ihn 2026
Ihr digitaler Fußabdruck wächst täglich – oft ohne Ihr Wissen. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie Datenspuren auffinden, gezielt reduzieren und langfristig kontrollieren. Mit konkreten Tools, DSGVO-Rechten und einer praxistauglichen Routine.
Datenbroker: Wer Verkauft Ihre Daten und Wie Sie Sich Schützen
Datenbroker sammeln und verkaufen jährlich Milliarden persönlicher Datensätze – oft ohne Ihr Wissen. Dieser Artikel erklärt, welche Unternehmen Ihre Daten handeln, welche Rechte Ihnen die DSGVO einräumt und wie Sie aktiv gegen den Handel mit Ihren Informationen vorgehen können.
Recht auf Vergessenwerden: So stellen Sie den Antrag (2026)
Das Recht auf Vergessenwerden nach Art. 17 DSGVO erlaubt Ihnen die Löschung personenbezogener Daten zu verlangen. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie einen rechtssicheren Antrag stellen – mit Mustertext, Fristen und Vorgehen bei Ablehnung.