Datenschutz für Schweizer Unternehmen: Vollständiger Leitfaden 2026
Seit der Inkraftsetzung des revidierten Datenschutzgesetzes (revDSG) am 1. September 2023 stehen Schweizer Unternehmen vor erheblich verschärften Anforderungen. Wer personenbezogene Daten bearbeitet, muss Transparenz, Sicherheit und Rechenschaftspflicht gewährleisten – andernfalls drohen Bussen bis zu 250'000 Franken. Dieser Leitfaden zeigt Ihnen, welche Pflichten gelten, wie Sie diese umsetzen und welche Stolperfallen Sie unbedingt vermeiden sollten.
Was bedeutet Datenschutz für Schweizer Unternehmen?
Datenschutz für Schweizer Unternehmen bezeichnet die Gesamtheit der gesetzlichen Pflichten, technischen Massnahmen und organisatorischen Prozesse zum Schutz personenbezogener Daten von Kunden, Mitarbeitenden und Geschäftspartnern. Rechtsgrundlage ist primär das revidierte Datenschutzgesetz (revDSG) sowie die Datenschutzverordnung (DSV). Unternehmen mit Bezug zur EU sind zusätzlich an die DSGVO gebunden.
Im Kern verlangt das revDSG, dass jede Datenbearbeitung rechtmässig, verhältnismässig, transparent und zweckgebunden erfolgt. Personendaten müssen sicher aufbewahrt, korrekt geführt und bei Wegfall des Bearbeitungszwecks gelöscht werden.
Wer ist vom revDSG betroffen?
Das revDSG gilt für alle Unternehmen mit Sitz in der Schweiz, die Personendaten bearbeiten – unabhängig von Grösse oder Branche. Zusätzlich erfasst es ausländische Unternehmen, deren Datenbearbeitung Auswirkungen in der Schweiz hat. Damit fällt praktisch jedes KMU, jeder Onlineshop, jede Praxis und jeder Verein unter das Gesetz.
Besondere Pflichten gelten für Unternehmen, die:
- besonders schützenswerte Personendaten bearbeiten (Gesundheit, Religion, biometrische Daten)
- Profiling mit hohem Risiko betreiben
- 250 oder mehr Mitarbeitende beschäftigen (Verzeichnis-Pflicht in vereinfachter Form)
- Daten ins Ausland übermitteln, insbesondere in Länder ohne angemessenes Datenschutzniveau
Die wichtigsten Pflichten im Überblick
1. Informationspflicht
Unternehmen müssen betroffene Personen aktiv und transparent über die Beschaffung ihrer Daten informieren – auch wenn Daten indirekt erhoben werden. Eine Datenschutzerklärung auf der Website ist Pflicht und muss Identität des Verantwortlichen, Bearbeitungszweck, Empfängerkategorien und allfällige Datenexporte ins Ausland klar benennen.
2. Verzeichnis der Bearbeitungstätigkeiten
Jedes Unternehmen mit mehr als 250 Mitarbeitenden – oder bei risikoreichen Bearbeitungen auch kleinere – muss ein Verzeichnis aller Datenbearbeitungen führen. Dieses enthält Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmassnahmen.
3. Datensicherheit
Verantwortliche müssen durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit gewährleisten. Dazu zählen Verschlüsselung, Zugriffskontrollen, regelmässige Backups, Penetrationstests und ein Berechtigungskonzept.
4. Meldung von Datenschutzverletzungen
Datenschutzverletzungen mit voraussichtlich hohem Risiko müssen so rasch als möglich dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) gemeldet werden. Anders als die DSGVO kennt das revDSG keine starre 72-Stunden-Frist, verlangt aber unverzügliches Handeln.
5. Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko – etwa beim Einsatz neuer Technologien, umfassendem Profiling oder grossflächiger Überwachung – ist eine DSFA durchzuführen und zu dokumentieren.
6. Auftragsbearbeitung
Wer Daten an Dienstleister auslagert (Cloud, Marketing-Tools, Lohnbuchhaltung), muss einen Auftragsbearbeitungsvertrag (ADV/AVV) abschliessen und sicherstellen, dass der Bearbeiter dieselbe Datensicherheit gewährleistet.
revDSG vs. DSGVO: Was ist anders?
Obwohl revDSG und DSGVO ähnliche Schutzziele verfolgen, bestehen wichtige Unterschiede. Eine ausführliche Gegenüberstellung finden Sie im Beitrag DSG vs DSGVO: Die Unterschiede verstehen.
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Maximale Busse | CHF 250'000 (gegen Privatpersonen) | 20 Mio. EUR oder 4 % Jahresumsatz |
| Verantwortlich für Busse | Verantwortliche Person | Unternehmen |
| Meldefrist Datenpanne | So rasch als möglich | 72 Stunden |
| Datenschutzbeauftragter | Empfohlen, nicht Pflicht | Pflicht ab bestimmter Grösse |
| Juristische Personen | Nicht geschützt | Nicht geschützt |
| Privacy by Design | Verankert | Verankert |
Checkliste: Datenschutz-Compliance in 10 Schritten
- Bestandsaufnahme: Welche Personendaten bearbeiten Sie wo und wozu?
- Verzeichnis erstellen: Dokumentieren Sie alle Bearbeitungstätigkeiten.
- Datenschutzerklärung aktualisieren: Klar, verständlich, vollständig.
- Einwilligungen prüfen: Für Newsletter, Tracking und besondere Daten.
- ADV abschliessen: Mit allen Cloud- und IT-Dienstleistern.
- TOM dokumentieren: Verschlüsselung, Zugriffskontrolle, Backup-Strategie.
- Mitarbeiter schulen: Sensibilisierung mindestens jährlich.
- Prozess für Betroffenenrechte: Auskunft, Berichtigung, Löschung.
- Meldeprozess für Datenpannen: Wer entscheidet, wer meldet?
- Regelmässige Audits: Mindestens jährlich überprüfen.
Bussen und Sanktionen: Was droht bei Verstössen?
Das revDSG sieht Bussen bis zu CHF 250'000 vor – allerdings gegen die verantwortliche natürliche Person (z. B. Geschäftsführer oder Datenschutzverantwortlicher), nicht gegen das Unternehmen selbst. Strafbar sind insbesondere:
- Vorsätzliche Verletzung der Informations- und Auskunftspflicht
- Verletzung der Sorgfaltspflicht bei der Auftragsbearbeitung
- Missachtung der Mindestsicherheitsanforderungen
- Verletzung der beruflichen Schweigepflicht
Hinzu kommen Reputationsschäden, zivilrechtliche Ansprüche Betroffener und Untersuchungen des EDÖB. Wenn Sie als Betroffener von einer Verletzung erfahren, können Sie eine offizielle Beschwerde einreichen.
Technische Massnahmen für KMU
Verschlüsselung und sichere Kommunikation
HTTPS auf der Website ist Pflicht, E-Mail-Verschlüsselung dringend empfohlen. Sensible Dokumente sollten nie unverschlüsselt per E-Mail versendet werden. Für sicheres Surfen unterwegs lohnt sich ein VPN – mehr dazu im Beitrag VPN kostenlos vs. bezahlt.
Sichere Links und Tracking-Schutz
Beim Versand von Links in Marketing-Kampagnen oder internen Kommunikationen sollten Schweizer Unternehmen auf datenschutzkonforme URL-Verkürzer setzen, die DSG-konform Daten in der Schweiz oder EU verarbeiten. Dienste wie Lunyb bieten Schweizer KMU eine datenschutzfreundliche Alternative mit transparenter Statistik und ohne ausuferndes Tracking. Eine Übersicht finden Sie unter Beste URL-Kurzungsdienste in der Schweiz 2026.
Zugriffskontrolle und Passwortmanagement
Setzen Sie auf Multi-Faktor-Authentifizierung, Rollenbasierte Zugriffsrechte und einen Passwort-Manager für das ganze Team. Ein einziges schwaches Passwort kann ausreichen, um Ihre gesamte Kundendatenbank zu kompromittieren.
Backup und Disaster Recovery
Folgen Sie der 3-2-1-Regel: drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, davon eine extern. Testen Sie Wiederherstellungen mindestens halbjährlich.
Datentransfer ins Ausland: Was Sie beachten müssen
Die Übermittlung von Personendaten in Länder ohne angemessenes Datenschutzniveau – darunter aktuell die USA ohne Swiss-US Data Privacy Framework-Zertifizierung – ist nur unter zusätzlichen Garantien erlaubt. Möglich sind:
- Standardvertragsklauseln (SCC) der EU, anerkannt vom EDÖB
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Einwilligung der betroffenen Person
- Zertifizierungen wie das Swiss-US Data Privacy Framework
Praktisch heisst das: Wer Microsoft 365, Google Workspace, AWS oder Mailchimp nutzt, sollte die Datenstandorte prüfen und entsprechende Verträge im Haus haben.
Mitarbeiterdatenschutz nicht vergessen
Auch Mitarbeiterdaten geniessen vollen Schutz. Heikel sind insbesondere:
- Bewerbungsunterlagen (Aufbewahrung max. 3-6 Monate nach Absage)
- Gesundheitsdaten (Arztzeugnisse separat, nur Personalverantwortliche)
- Überwachung am Arbeitsplatz (Videokameras, Logfiles)
- Bring Your Own Device (BYOD) – Trennung privater und geschäftlicher Daten
Informieren Sie Ihre Mitarbeitenden transparent in einem Personalreglement oder einer Mitarbeiter-Datenschutzerklärung.
Branchenspezifische Besonderheiten
Onlineshops und E-Commerce
Cookie-Banner mit echter Wahlmöglichkeit, Tracking nur mit Einwilligung, transparente Zahlungsabwicklung und klare AGB inkl. Widerrufsrecht sind das Minimum.
Gesundheitswesen
Patientendaten sind besonders schützenswert. Strikte Zugriffsbeschränkungen, Berufsgeheimnis (Art. 321 StGB) und sichere Archivierung sind essenziell.
Finanzdienstleister
Zusätzlich zum revDSG gelten Bankgeheimnis, FINMA-Vorgaben und das Geldwäschereigesetz – ein dichtes Regelwerk, das spezialisierte Compliance erfordert.
Den Datenschutzberater einsetzen
Auch wenn das revDSG keinen Datenschutzberater (DSB) zwingend vorschreibt, empfiehlt sich für mittlere und grössere Unternehmen die Bestellung eines internen oder externen DSB. Vorteile: Bei Bearbeitungen mit hohem Risiko kann auf eine vorgängige Konsultation des EDÖB verzichtet werden, wenn der DSB konsultiert wurde.
Häufig gestellte Fragen (FAQ)
Gilt das revDSG auch für Einzelunternehmen und Vereine?
Ja. Das revDSG gilt für jede Bearbeitung von Personendaten durch private Personen oder Bundesorgane – unabhängig von der Rechtsform. Auch ein Verein mit Mitgliederliste oder ein Einzelunternehmer mit Kundendatei muss die Grundprinzipien einhalten.
Brauche ich als KMU mit 20 Mitarbeitenden ein Bearbeitungsverzeichnis?
Grundsätzlich sind Unternehmen mit weniger als 250 Mitarbeitenden befreit – ausser sie bearbeiten besonders schützenswerte Personendaten in grossem Umfang oder betreiben risikoreiches Profiling. In der Praxis empfiehlt sich aber für jedes Unternehmen ein vereinfachtes Verzeichnis, schon zur Eigenkontrolle.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsbearbeiter?
Der Verantwortliche entscheidet über Zwecke und Mittel der Datenbearbeitung – also Sie als Unternehmen. Der Auftragsbearbeiter bearbeitet Daten in Ihrem Auftrag – etwa Ihr Cloud-Anbieter, Ihr Lohnbuchhalter oder Ihr Newsletter-Tool. Für jede Auslagerung brauchen Sie einen schriftlichen Vertrag.
Wie lange darf ich Kundendaten aufbewahren?
So lange, wie der Bearbeitungszweck es erfordert oder gesetzliche Aufbewahrungspflichten bestehen. Buchhaltungsbelege müssen 10 Jahre aufbewahrt werden, Marketing-Daten dagegen sollten nach Wegfall der Einwilligung oder Geschäftsbeziehung zeitnah gelöscht werden.
Muss ich Cookies wirklich mit Einwilligung versehen?
Für rein technisch notwendige Cookies (Warenkorb, Login) ist keine Einwilligung erforderlich. Für Tracking, Analyse und Marketing-Cookies hingegen schon – das gilt sowohl unter der DSGVO als auch praktisch unter dem revDSG. Ein gut konfigurierter Consent-Banner ist daher Pflicht für jeden Schweizer Onlineshop mit EU-Kundschaft.
Fazit
Datenschutz ist für Schweizer Unternehmen längst keine Kür mehr, sondern essenzielle Pflicht und gleichzeitig ein Wettbewerbsvorteil. Wer transparent kommuniziert, technisch sauber arbeitet und Mitarbeitende sensibilisiert, schützt nicht nur Betroffene, sondern auch sein eigenes Unternehmen vor Bussen und Reputationsschäden. Beginnen Sie noch heute mit der Bestandsaufnahme – jeder Tag ohne Datenschutz-Konzept ist ein Tag mit unnötigem Risiko.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Recht auf Vergessenwerden: So Stellen Sie den Antrag richtig 2026
Das Recht auf Vergessenwerden nach Artikel 17 DSGVO ermöglicht es Ihnen, die Löschung Ihrer personenbezogenen Daten zu verlangen. In diesem Leitfaden erfahren Sie, wie Sie einen wirksamen Antrag stellen, welche Fristen gelten und worauf Sie bei Google-Löschungen achten müssen.
KI und Datenschutz: Was Sich 2026 Ändert
2026 verändert sich das Verhältnis von KI und Datenschutz grundlegend. Der EU AI Act tritt in weiten Teilen in Kraft, die DSGVO wird ergänzt, und neue Pflichten kommen auf Unternehmen und Nutzer zu. Dieser Leitfaden erklärt, was sich konkret ändert und wie Sie sich schützen.
Digitaler Fußabdruck: So Kontrollieren Sie Ihn 2026
Jede Online-Aktivität hinterlässt Spuren – zusammen ergeben sie Ihren digitalen Fußabdruck. In diesem ausführlichen Leitfaden erfahren Sie in sieben Schritten, wie Sie Ihren digitalen Fußabdruck systematisch kontrollieren, reduzieren und Ihre DSGVO-Rechte effektiv durchsetzen.
Datenschutz in Deutschland: Ihre Rechte im Überblick 2026
Datenschutz ist in Deutschland ein Grundrecht – doch viele Bürgerinnen und Bürger kennen ihre konkreten Ansprüche nicht. Dieser Leitfaden erklärt verständlich, welche Rechte Ihnen DSGVO und BDSG einräumen und wie Sie diese im Alltag durchsetzen.