facebook-pixel

Datenschutz für Schweizer Unternehmen: Der Komplette Leitfaden 2026

L
Lunyb Sicherheitsteam
··8 min read

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für Schweizer Unternehmen bedeutet das: strengere Pflichten, höhere Bussgelder und ein deutlich professionelleres Datenschutzmanagement. Wer 2026 noch immer keine klare Compliance-Strategie hat, riskiert nicht nur Sanktionen bis 250'000 CHF, sondern auch massive Reputationsschäden.

Dieser Leitfaden fasst alle wesentlichen Anforderungen zusammen und zeigt konkret, wie Sie Ihr Unternehmen datenschutzkonform aufstellen – von der KMU-Bäckerei bis zum internationalen Konzern.

Was ist das revidierte Datenschutzgesetz (revDSG)?

Das revidierte Datenschutzgesetz (revDSG) ist das seit 1. September 2023 geltende Schweizer Datenschutzrecht. Es ersetzt das alte DSG von 1992 und passt den Schweizer Datenschutz weitgehend an die europäische DSGVO an, behält aber eigene Besonderheiten bei.

Die wichtigsten Neuerungen für Unternehmen im Überblick:

  • Erweiterte Informationspflichten gegenüber betroffenen Personen
  • Pflicht zum Bearbeitungsverzeichnis für die meisten Unternehmen
  • Datenschutz-Folgenabschätzung (DSFA) bei hohen Risiken
  • Meldepflicht bei Datenpannen an den EDÖB
  • Persönliche Bussen bis 250'000 CHF gegen verantwortliche natürliche Personen
  • Privacy by Design und Privacy by Default als gesetzliche Anforderung

Anders als die DSGVO richten sich Bussen im revDSG primär gegen natürliche Personen (Geschäftsführung, Datenschutzverantwortliche), nicht gegen das Unternehmen selbst. Das erhöht den persönlichen Druck auf Entscheidungsträger erheblich.

Für welche Schweizer Unternehmen gilt das revDSG?

Das revDSG gilt grundsätzlich für alle Unternehmen mit Sitz in der Schweiz, unabhängig von ihrer Grösse. Auch ausländische Unternehmen sind betroffen, sobald sie Personendaten von Personen in der Schweiz bearbeiten – etwa über einen Webshop oder eine App.

Besondere Regelungen für KMU

Kleine und mittlere Unternehmen erhalten in einem Punkt Erleichterung: KMU mit weniger als 250 Mitarbeitenden sind vom Bearbeitungsverzeichnis befreit, sofern ihre Datenbearbeitung nur ein geringes Risiko für die Persönlichkeit der betroffenen Personen darstellt. Bearbeitet ein KMU jedoch besonders schützenswerte Personendaten (z. B. Gesundheitsdaten) oder führt Profiling durch, entfällt diese Ausnahme.

Extraterritoriale Wirkung

Selbst deutsche oder österreichische Firmen ohne Schweizer Niederlassung müssen das revDSG beachten, wenn sich ihre Geschäftstätigkeit auf die Schweiz auswirkt. In diesen Fällen muss zudem ein Vertreter in der Schweiz benannt werden.

Die 8 zentralen Pflichten für Schweizer Unternehmen

Um revDSG-konform zu arbeiten, müssen Sie folgende Pflichten strukturiert umsetzen:

  1. Bearbeitungsverzeichnis erstellen – Dokumentation aller Datenbearbeitungen inklusive Zweck, Kategorien und Aufbewahrungsfristen.
  2. Datenschutzerklärung aktualisieren – Transparente, verständliche Information über alle Datenbearbeitungen auf Ihrer Website.
  3. Rechtsgrundlagen prüfen – Einwilligung, Vertragserfüllung oder überwiegendes Interesse rechtfertigen die Bearbeitung.
  4. Betroffenenrechte umsetzen – Auskunft, Berichtigung, Löschung und Datenübertragbarkeit müssen innerhalb von 30 Tagen bearbeitet werden.
  5. Auftragsbearbeitungsverträge (ADV) abschliessen – Mit allen Dienstleistern, die in Ihrem Auftrag Daten bearbeiten (z. B. Cloud-Anbieter).
  6. Technische und organisatorische Massnahmen (TOM) – Verschlüsselung, Zugriffskontrollen, Backups und Mitarbeiterschulungen.
  7. Meldeprozess für Datenpannen – Meldung an EDÖB innerhalb angemessener Frist, wenn ein hohes Risiko besteht.
  8. Datenschutz-Folgenabschätzung (DSFA) – Vor risikoreichen Bearbeitungen wie Profiling oder umfassenden Videoüberwachungen.

Bearbeitungsverzeichnis: Das Herzstück der Compliance

Das Bearbeitungsverzeichnis ist ein internes Dokument, in dem alle Datenbearbeitungen des Unternehmens systematisch erfasst werden. Es ist die Grundlage jeder seriösen Datenschutzarbeit.

Pflichtinhalte des Verzeichnisses

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Kategorien betroffener Personen (Kunden, Mitarbeitende, etc.)
  • Kategorien bearbeiteter Personendaten
  • Empfänger der Daten
  • Aufbewahrungsdauer
  • Datenexporte ins Ausland und deren Rechtsgrundlage
  • Allgemeine Beschreibung der Sicherheitsmassnahmen

In der Praxis genügt eine Excel-Tabelle oder ein spezialisiertes Tool. Wichtig ist, dass das Verzeichnis lebt: Bei jeder neuen Datenbearbeitung (neues CRM, neuer Newsletter-Anbieter) muss es aktualisiert werden.

Datenexporte ins Ausland: Was Sie beachten müssen

Personendaten dürfen nur dann ins Ausland übermittelt werden, wenn dort ein angemessener Datenschutz gewährleistet ist. Der Bundesrat führt eine Liste der Staaten mit angemessenem Datenschutzniveau.

Umgang mit den USA und anderen Drittstaaten

Die USA gelten aktuell nur unter Bedingungen als sicheres Drittland (Swiss-US Data Privacy Framework). Für Übertragungen in unsichere Drittstaaten benötigen Sie:

  • Standardvertragsklauseln (SCC) des EDÖB
  • Ergänzende Massnahmen wie Verschlüsselung
  • Transfer Impact Assessment (TIA)
  • Oder eine ausdrückliche Einwilligung der betroffenen Person

Besonders relevant ist das Thema für Unternehmen, die US-Cloud-Dienste wie Microsoft 365, Google Workspace oder AWS nutzen. Hier lohnt sich der Blick auf Schweizer oder EU-Alternativen.

Vergleich: revDSG vs. DSGVO

Viele Schweizer Unternehmen sind auch von der DSGVO betroffen. Der folgende Vergleich zeigt die wichtigsten Unterschiede:

Aspekt revDSG (Schweiz) DSGVO (EU)
Maximale Busse 250'000 CHF (gegen natürliche Personen) 20 Mio. EUR oder 4% des Jahresumsatzes
Datenschutzbeauftragter Freiwillig empfohlen Pflicht bei bestimmten Kriterien
Meldefrist Datenpanne "So rasch als möglich" 72 Stunden
Anwendungsbereich juristische Personen Nur natürliche Personen geschützt Nur natürliche Personen geschützt
Aufsichtsbehörde EDÖB Nationale Datenschutzbehörden
Rechtsgrundlage nötig? Nur bei Persönlichkeitsverletzung Immer erforderlich

Unternehmen, die bereits DSGVO-konform arbeiten, erfüllen den grössten Teil der revDSG-Anforderungen automatisch. Umgekehrt reicht revDSG-Compliance nicht aus, wenn Sie EU-Kunden bedienen.

Umsetzung in 7 Schritten: So werden Sie compliant

Der folgende Fahrplan hat sich in der Beratungspraxis bewährt:

  1. Ist-Analyse durchführen: Welche Daten bearbeiten Sie? Wo? Mit welchen Tools? Mit welchen Dienstleistern?
  2. Bearbeitungsverzeichnis erstellen: Systematische Erfassung aller Bearbeitungen.
  3. Datenschutzerklärung überarbeiten: Klar, verständlich, vollständig – auf Website, in Verträgen, in E-Mail-Signaturen.
  4. Verträge prüfen: ADV mit allen relevanten Dienstleistern abschliessen oder aktualisieren.
  5. Technische Massnahmen umsetzen: Verschlüsselung, Zugriffskontrollen, sichere Passwörter, Zwei-Faktor-Authentifizierung.
  6. Mitarbeitende schulen: Sensibilisierung für Datenschutz, Phishing und sichere Datenverarbeitung.
  7. Prozesse etablieren: Löschkonzept, Auskunftsprozess, Meldeprozess bei Datenpannen.

Ein häufig unterschätzter Aspekt: Auch Marketing-Aktivitäten müssen datenschutzkonform sein. Wer beispielsweise auf sozialen Medien Kampagnen fährt und Interessenten auf Landingpages leitet, sollte Tracking-Links und Weiterleitungen sorgfältig prüfen. Datensparsame Werkzeuge wie Lunyb ermöglichen dabei kurze, sichere Links, ohne umfangreiche Nutzerprofile aufzubauen – ein wichtiger Baustein für Privacy by Default. Wer eine übersichtliche Linkstruktur aufbauen will, findet in unserer Anleitung zur Link-in-Bio-Seite konkrete Hinweise.

Technische Massnahmen: Was ist Stand der Technik?

Das revDSG verlangt, dass Sie Personendaten mit "angemessenen technischen und organisatorischen Massnahmen" schützen. Was das konkret bedeutet, hängt vom Risiko ab. Als Minimum gelten heute:

Technische Massnahmen

  • Verschlüsselung aller Datenübertragungen (TLS/HTTPS)
  • Verschlüsselung sensibler Daten auch im ruhenden Zustand
  • Zwei-Faktor-Authentifizierung für alle geschäftskritischen Systeme
  • Regelmässige Backups und Wiederherstellungstests
  • Aktuelle Antiviren- und Endpoint-Protection-Lösungen
  • Sichere DNS-Konfiguration und Netzwerksegmentierung
  • Zeitnahe Sicherheitsupdates aller Systeme

Organisatorische Massnahmen

  • Berechtigungskonzept mit Need-to-know-Prinzip
  • Regelmässige Mitarbeiterschulungen
  • Klare Regelungen zu Homeoffice und BYOD
  • Notfallpläne für Cybervorfälle
  • Vertraulichkeitsverpflichtungen für Mitarbeitende

Besonders gefährlich sind Phishing-Angriffe, die immer noch die häufigste Ursache für Datenpannen sind. Unser Leitfaden zu Phishing-Angriffe erkennen und vermeiden liefert konkrete Prüfschritte für Mitarbeitende. Ebenso lohnt sich ein Blick auf Warnzeichen kompromittierter Mobilgeräte, gerade bei BYOD-Konzepten.

Datenpannen: Was tun im Ernstfall?

Eine Datenpanne (Verlust, unberechtigter Zugriff, versehentliche Offenlegung) ist gemäss revDSG dem EDÖB zu melden, sobald ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen besteht.

Der Meldeprozess in 5 Schritten

  1. Vorfall dokumentieren: Was ist passiert? Welche Daten sind betroffen? Wie viele Personen?
  2. Risikobewertung: Besteht ein hohes Risiko für die betroffenen Personen?
  3. EDÖB informieren: Online-Formular ausfüllen, so rasch als möglich.
  4. Betroffene benachrichtigen: Bei hohem Risiko direkt informieren.
  5. Ursachenanalyse und Prävention: Massnahmen zur Verhinderung zukünftiger Vorfälle.

Werden Rechte betroffener Personen verletzt und akzeptiert das Unternehmen keine Korrektur, können diese eine Beschwerde beim EDÖB einreichen. Als Unternehmen sollten Sie diesen Prozess kennen, um proaktiv reagieren zu können.

Bussgelder und Haftung: Was droht bei Verstössen?

Anders als in der EU richten sich die Bussen im revDSG hauptsächlich gegen natürliche Personen – nicht gegen die Firma. Das bedeutet: Geschäftsführer, Datenschutzverantwortliche und IT-Leiter tragen persönliches Risiko.

Bussen bis 250'000 CHF drohen bei vorsätzlichen Verstössen gegen:

  • Informationspflichten
  • Auskunftspflichten
  • Sorgfaltspflichten bei Datenexporten
  • Mindestanforderungen an die Datensicherheit
  • Mitwirkungspflichten gegenüber dem EDÖB

Hinzu kommen zivilrechtliche Schadenersatzansprüche betroffener Personen sowie erhebliche Reputationsschäden. Für börsenkotierte Unternehmen können Datenpannen zusätzlich meldepflichtige Ad-hoc-Ereignisse darstellen.

Grenzüberschreitende Compliance: Schweiz, EU und Österreich

Wenn Ihr Unternehmen international tätig ist, müssen Sie mehrere Datenschutzregime parallel beachten. Für den DACH-Raum sind neben dem revDSG die DSGVO und ihre nationalen Umsetzungen relevant. Ein Blick über die Grenze lohnt sich: Unsere Analyse zum Datenschutzgesetz Österreich zeigt die dortigen Besonderheiten.

Praktische Empfehlung: Etablieren Sie einen einheitlichen "höchsten gemeinsamen Nenner" – also Prozesse, die gleichzeitig revDSG, DSGVO und branchenspezifischen Anforderungen genügen. Das spart langfristig Kosten und reduziert Fehler.

FAQ – Häufige Fragen zum Datenschutz für Schweizer Unternehmen

Braucht mein KMU einen Datenschutzbeauftragten?

Nein, das revDSG schreibt keinen Datenschutzbeauftragten (DSB) zwingend vor. Der EDÖB empfiehlt aber, einen internen Verantwortlichen ("Berater für den Datenschutz") zu benennen. Ist Ihr Unternehmen auch DSGVO-pflichtig, kann ein DSB dennoch verpflichtend sein.

Ab welcher Unternehmensgrösse muss ich ein Bearbeitungsverzeichnis führen?

Grundsätzlich alle Unternehmen. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung nur ein geringes Risiko darstellt. Bearbeiten Sie besonders schützenswerte Daten oder betreiben Profiling, entfällt diese Ausnahme unabhängig von der Grösse.

Wie lange muss ich Personendaten aufbewahren?

Das revDSG verlangt, dass Daten nur so lange aufbewahrt werden, wie es der Zweck erfordert. Gleichzeitig gelten branchenspezifische Aufbewahrungspflichten (z. B. 10 Jahre für Buchhaltungsunterlagen nach OR). Ein Löschkonzept mit klaren Fristen pro Datenkategorie ist Pflicht.

Was kostet die revDSG-Umsetzung für ein typisches KMU?

Die Kosten variieren stark. Für ein KMU mit 20–50 Mitarbeitenden liegt der einmalige Aufwand meist zwischen 5'000 und 20'000 CHF, hinzu kommt laufender Aufwand für Pflege und Schulungen. Wer intern über Ressourcen verfügt, kann die Kosten deutlich senken.

Muss ich meine bestehende Datenschutzerklärung anpassen?

Höchstwahrscheinlich ja. Das revDSG hat die Informationspflichten deutlich erweitert. Alte Datenschutzerklärungen aus der Zeit vor September 2023 entsprechen in der Regel nicht mehr den Anforderungen. Prüfen Sie insbesondere die Angaben zu Datenexporten, Empfängerkategorien und Betroffenenrechten.

Fazit

Datenschutz ist für Schweizer Unternehmen 2026 keine Kür mehr, sondern harter Compliance-Alltag. Mit dem revDSG hat der Gesetzgeber die Anforderungen deutlich verschärft – gleichzeitig eröffnet konsequenter Datenschutz Chancen: Vertrauen bei Kunden, Wettbewerbsvorteile im Vergabewesen und ein spürbar niedrigeres Risiko für kostspielige Zwischenfälle. Wer die Umsetzung strategisch angeht, systematisch dokumentiert und Mitarbeitende einbindet, ist auch bei künftigen Verschärfungen gut aufgestellt.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles