facebook-pixel

Datenschutz für Schweizer Unternehmen: Der Praxisleitfaden 2026

L
Lunyb Sicherheitsteam
··8 min read

Datenschutz ist für Schweizer Unternehmen längst keine reine Rechtsfrage mehr, sondern ein entscheidender Wettbewerbsfaktor. Seit der Revision des Bundesgesetzes über den Datenschutz (revDSG), das am 1. September 2023 in Kraft trat, gelten deutlich strengere Anforderungen. Wer als Unternehmen in der Schweiz Personendaten bearbeitet, muss ein umfassendes Datenschutzkonzept nachweisen können – unabhängig von Grösse oder Branche.

Dieser Leitfaden zeigt Ihnen praxisnah, welche Pflichten Sie 2026 erfüllen müssen, wie Sie Bussen vermeiden und welche technischen sowie organisatorischen Massnahmen wirklich schützen.

Was bedeutet Datenschutz für Schweizer Unternehmen?

Datenschutz umfasst alle rechtlichen und technischen Massnahmen, mit denen Unternehmen die Bearbeitung von Personendaten kontrollieren, absichern und dokumentieren. In der Schweiz bildet das revidierte Datenschutzgesetz (revDSG) zusammen mit der Verordnung (revDSV) den rechtlichen Rahmen, ergänzt durch die europäische DSGVO für Unternehmen mit EU-Kundinnen und -Kunden.

Konkret bedeutet das: Jedes Schweizer KMU, jede Grossfirma und jeder Verein, der Namen, E-Mail-Adressen, Kundennummern, Gesundheitsdaten oder ähnliche Informationen bearbeitet, unterliegt klaren gesetzlichen Pflichten.

Die drei zentralen Regelwerke im Überblick

  • revDSG (Schweiz): Gilt für alle in der Schweiz bearbeiteten Personendaten.
  • DSGVO (EU): Gilt zusätzlich, sobald Sie Personen in der EU aktiv ansprechen oder deren Verhalten beobachten.
  • Branchengesetze: Etwa das Bankengesetz, das KVG oder das Fernmeldegesetz mit zusätzlichen sektoralen Vorgaben.

Die wichtigsten Neuerungen des revDSG

Das revidierte Datenschutzgesetz hat den Schweizer Datenschutz näher an die DSGVO herangeführt, jedoch mit eigenen Akzenten. Wer bereits DSGVO-konform arbeitet, hat einen Vorsprung – muss aber trotzdem einige Schweizer Besonderheiten beachten.

Wesentliche Änderungen seit 2023

  1. Nur natürliche Personen geschützt: Anders als vorher fallen juristische Personen nicht mehr unter das Gesetz.
  2. Erweiterte Informationspflicht: Unternehmen müssen bei jeder Datenbeschaffung transparent informieren.
  3. Bearbeitungsverzeichnis: Pflicht für Unternehmen mit mehr als 250 Mitarbeitenden oder bei umfangreicher Bearbeitung sensibler Daten.
  4. Datenschutz-Folgenabschätzung (DSFA): Bei hohen Risiken für die betroffenen Personen zwingend.
  5. Meldepflicht bei Datenpannen: Meldung an den EDÖB "so rasch als möglich".
  6. Privacy by Design und by Default: Datenschutzfreundliche Voreinstellungen sind Pflicht.
  7. Höhere Bussen: Bis zu 250'000 CHF gegen verantwortliche Privatpersonen.

Wer muss das revDSG einhalten?

Das revDSG gilt für alle privaten Personen und Bundesorgane, die Personendaten bearbeiten – ohne Umsatz- oder Mitarbeiterschwelle. Das heisst: Vom Einzelunternehmen bis zum Konzern sind alle betroffen, sobald sie mit Kunden-, Mitarbeitenden- oder Lieferantendaten arbeiten.

Typische betroffene Bereiche im Unternehmen

  • Kundenverwaltung und CRM-Systeme
  • Marketing, Newsletter und Tracking
  • Personalwesen und Bewerbungsverfahren
  • Videoüberwachung in Geschäftsräumen
  • Cloud-Speicherung und internationale Datentransfers
  • Website-Analyse und Cookies

Bussen und Sanktionen: Was Sie riskieren

Die finanziellen Risiken bei Datenschutzverstössen sind unter dem revDSG deutlich gestiegen. Anders als bei der DSGVO richten sich Bussen jedoch nicht gegen das Unternehmen, sondern primär gegen die verantwortlichen natürlichen Personen – etwa Geschäftsführung oder Datenschutzverantwortliche.

Bussenübersicht 2026

VerstossMaximale BusseAdressat
Verletzung Informationspflicht250'000 CHFVerantwortliche Person
Verletzung Auskunftspflicht250'000 CHFVerantwortliche Person
Verletzung Sorgfaltspflicht (Datensicherheit)250'000 CHFVerantwortliche Person
Missachtung EDÖB-Verfügung250'000 CHFVerantwortliche Person
Unrechtmässige Bekanntgabe ins Ausland250'000 CHFVerantwortliche Person
Unternehmensbusse (subsidiär)50'000 CHFUnternehmen

Zusätzlich drohen bei DSGVO-Verstössen Bussen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes – und im schlimmsten Fall Reputationsschäden, die weit über die eigentliche Busse hinausgehen.

Die 10 wichtigsten Pflichten für Schweizer Unternehmen

Eine strukturierte Umsetzung senkt Risiken und schafft Vertrauen. Diese zehn Pflichten sollten Sie kennen und dokumentieren können.

1. Bearbeitungsverzeichnis führen

Ab 250 Mitarbeitenden oder bei sensibler Datenbearbeitung ist ein Verzeichnis der Bearbeitungstätigkeiten Pflicht. Auch kleinere Firmen sollten es aus Best-Practice-Gründen führen. Es dokumentiert Zweck, Kategorien und Empfänger der Daten.

2. Informationspflicht erfüllen

Bei jeder Datenbeschaffung müssen Betroffene über Identität des Verantwortlichen, Zweck, Empfängerkategorien und – bei Auslandstransfer – das Empfängerland informiert werden. In der Regel geschieht dies über eine gut sichtbare Datenschutzerklärung auf der Website.

3. Auskunftsrechte gewährleisten

Betroffene können jederzeit Auskunft über ihre bearbeiteten Daten verlangen. Die Antwort muss innert 30 Tagen und grundsätzlich kostenlos erfolgen. Etablieren Sie einen internen Prozess dafür.

4. Datensicherheit gewährleisten

Technische und organisatorische Massnahmen (TOM) müssen dem Risiko angemessen sein: Zugriffskontrollen, Verschlüsselung, Backups, Protokollierung, sichere Passwörter und Zwei-Faktor-Authentifizierung sind Standard.

5. Datenschutz-Folgenabschätzung durchführen

Bei hohen Risiken – etwa bei umfangreicher Profilbildung oder Bearbeitung sensibler Daten – ist eine DSFA vorgeschrieben. Sie analysiert Risiken und definiert Schutzmassnahmen.

6. Auftragsbearbeitungsverträge abschliessen

Wenn Sie Dienstleister wie Cloud-Anbieter, Newsletter-Tools oder Buchhaltungsdienste nutzen, benötigen Sie einen schriftlichen Auftragsbearbeitungsvertrag (ADV/AVV).

7. Internationale Datentransfers absichern

Datenexporte in Länder ohne angemessenes Datenschutzniveau erfordern Standardvertragsklauseln (SCC) oder andere Garantien. Prüfen Sie die EDÖB-Länderliste regelmässig.

8. Datenpannen melden

Bei einer Verletzung der Datensicherheit mit hohem Risiko für Betroffene muss der EDÖB "so rasch als möglich" informiert werden. Ein interner Meldeprozess spart im Ernstfall wertvolle Zeit.

9. Datenschutzberater ernennen (optional)

Private Unternehmen können freiwillig einen Datenschutzberater benennen. Dies erleichtert die Zusammenarbeit mit dem EDÖB und kann Bussenrisiken reduzieren.

10. Mitarbeitende schulen

Menschliche Fehler sind die häufigste Ursache für Datenpannen. Regelmässige Schulungen zu Phishing, Passworthygiene und Datenumgang sind unverzichtbar. Lesen Sie dazu auch unseren Leitfaden zu Phishing-Angriffen und wie Sie diese erkennen.

Technische Schutzmassnahmen in der Praxis

Rechtliche Compliance allein reicht nicht – ohne solide technische Schutzmassnahmen bleibt Datenschutz Theorie. Diese Bausteine sollten in jedem Schweizer Unternehmen etabliert sein.

Verschlüsselung end-to-end

Sowohl gespeicherte Daten (Data at Rest) als auch übertragene Daten (Data in Transit) müssen verschlüsselt sein. Standard sind AES-256 für Speicher und TLS 1.3 für Übertragungen.

Zugriffskontrolle und Berechtigungsmanagement

Das Prinzip der geringsten Berechtigung (Least Privilege) sorgt dafür, dass Mitarbeitende nur auf jene Daten zugreifen, die sie tatsächlich für ihre Arbeit brauchen. Rollenkonzepte und regelmässige Zugriffs-Reviews sind Pflicht.

Zwei-Faktor-Authentifizierung

2FA sollte für alle geschäftskritischen Zugänge – E-Mail, Cloud, CRM, Buchhaltung – aktiviert sein. Sie reduziert das Risiko von Kontoübernahmen um über 99 %.

Sichere URL-Verwaltung im Marketing

Wenn Ihr Unternehmen Kampagnen-Links teilt, sollten Sie einen datenschutzkonformen Kürzungsdienst nutzen, der keine unnötigen Nutzerdaten sammelt und in der Schweiz oder EU gehostet wird. Dienste wie Lunyb ermöglichen datenschutzfreundliches Link-Tracking mit transparenten Analytics – ideal für DSGVO- und revDSG-konformes Marketing. Vergleichen Sie dazu unseren Überblick der besten URL-Kürzungsdienste in der Schweiz.

Backup- und Wiederherstellungsstrategie

Die 3-2-1-Regel gilt weiterhin: drei Kopien, auf zwei verschiedenen Medien, davon eine an einem externen Standort. Testen Sie Wiederherstellungen mindestens quartalsweise.

Endgerätesicherheit

Mitarbeitergeräte sind oft das schwächste Glied. Mobile Device Management (MDM), aktuelle Betriebssysteme und Endpoint-Protection sind Pflicht. Wie Sie erkennen, ob ein Gerät bereits kompromittiert wurde, erfahren Sie im Artikel 10 Warnzeichen für ein gehacktes Handy.

revDSG vs. DSGVO: Der praktische Vergleich

Viele Schweizer Unternehmen bearbeiten Daten von EU-Bürgern und müssen daher beide Regelwerke einhalten. Der folgende Vergleich zeigt die wichtigsten Unterschiede.

KriteriumrevDSG (Schweiz)DSGVO (EU)
AnwendungsbereichNatürliche PersonenNatürliche Personen
Rechtsgrundlage nötig?Nein (Opt-out-System)Ja (6 Rechtsgrundlagen)
EinwilligungNur bei sensiblen DatenHäufig erforderlich
DatenschutzbeauftragterOptionalTeilweise Pflicht
BearbeitungsverzeichnisAb 250 MAGrundsätzlich Pflicht
Meldefrist Datenpanne"So rasch als möglich"72 Stunden
Max. Busse250'000 CHF (natürliche Person)20 Mio. EUR oder 4 % Umsatz

Vor- und Nachteile eines konsequenten Datenschutzmanagements

Vorteile

  • Vertrauensvorsprung: Kunden bevorzugen datenschutzfreundliche Anbieter.
  • Bussenvermeidung: Klare Prozesse reduzieren rechtliche Risiken massiv.
  • Bessere Datenqualität: Aufgeräumte Datenbestände führen zu besseren Entscheidungen.
  • Wettbewerbsvorteil B2B: Grosskunden verlangen zunehmend Datenschutz-Nachweise.
  • Sicherheitsgewinn: Datenschutzmassnahmen erhöhen automatisch die Cybersicherheit.

Nachteile

  • Initialaufwand: Erstumsetzung braucht Zeit und Budget.
  • Laufende Pflege: Prozesse und Dokumente müssen kontinuierlich aktualisiert werden.
  • Schulungsaufwand: Mitarbeitende müssen regelmässig sensibilisiert werden.
  • Einschränkungen bei Tools: Nicht jedes internationale SaaS ist DSGVO-konform.

Umsetzung in 7 Schritten: Ihre Checkliste

Nutzen Sie diese praxiserprobte Vorgehensweise, um Datenschutz strukturiert in Ihrem Unternehmen zu verankern.

  1. Bestandsaufnahme: Erfassen Sie alle Datenbearbeitungen, Systeme und Dienstleister.
  2. Risikoanalyse: Bewerten Sie Eintrittswahrscheinlichkeit und Schadenspotenzial pro Prozess.
  3. Dokumente erstellen: Datenschutzerklärung, Bearbeitungsverzeichnis, ADV-Vorlagen.
  4. Technische Massnahmen: Verschlüsselung, 2FA, Backups, Zugriffsrechte implementieren.
  5. Prozesse etablieren: Auskunftsanfragen, Datenpannenmeldungen, Löschkonzepte.
  6. Schulungen durchführen: Alle Mitarbeitenden regelmässig sensibilisieren.
  7. Regelmässiges Audit: Mindestens jährlich alle Massnahmen überprüfen.

Branchenspezifische Besonderheiten

Gesundheitswesen

Ärzte, Spitäler und Krankenkassen bearbeiten besonders schützenswerte Daten. Neben revDSG gilt das Berufsgeheimnis nach Art. 321 StGB sowie das KVG.

Finanzsektor

Banken und Versicherungen unterliegen zusätzlich dem Bankgeheimnis, dem FINMA-Rundschreiben zur operationellen Sicherheit und dem GwG. Auslandstransfers sind hier besonders sensibel.

E-Commerce und Marketing

Online-Händler müssen Cookie-Banner, Newsletter-Einwilligungen (DSGVO-Doppel-Opt-in bei EU-Kunden) und Retargeting sauber umsetzen. Auch Bewertungssysteme unterliegen dem Datenschutz.

HR und Personalwesen

Bewerbungsunterlagen dürfen nach Abschluss des Verfahrens nicht unbegrenzt aufbewahrt werden. Auch Zeiterfassung, Videoüberwachung und Mitarbeiter-Monitoring sind stark reguliert.

Datenschutz als Führungsaufgabe

Datenschutz ist nicht Sache der IT allein – er beginnt in der Geschäftsleitung. Verantwortung, Budget und regelmässige Reviews müssen auf oberster Ebene verankert sein. Nur so entsteht eine Kultur, in der Datenschutz gelebt und nicht bloss dokumentiert wird.

Auch für Mitarbeitende und Führungskräfte lohnt sich ein Blick über den Firmentellerrand: Persönliche digitale Hygiene wirkt sich direkt auf die Unternehmenssicherheit aus. Praktische Tipps finden Sie im Leitfaden zur Online-Privatsphäre sowie im Beitrag zum verschlüsselten Tresor für sensible Dateien.

Häufig gestellte Fragen (FAQ)

Gilt das revDSG auch für kleine Schweizer KMU?

Ja. Das revDSG kennt keine Mindestgrösse. Auch Einzelunternehmen und Kleinstfirmen müssen die grundlegenden Pflichten wie Informationspflicht, Datensicherheit und Auskunftsrecht erfüllen. Lediglich das Bearbeitungsverzeichnis ist unter bestimmten Voraussetzungen für kleinere Firmen fakultativ.

Muss ein Schweizer Unternehmen die DSGVO einhalten?

Grundsätzlich nein – ausser das Unternehmen bietet aktiv Waren oder Dienstleistungen für Personen in der EU an oder beobachtet deren Verhalten (z. B. durch Tracking). Sobald das der Fall ist, gilt die DSGVO zusätzlich zum revDSG.

Wie schnell muss eine Datenpanne gemeldet werden?

Das revDSG verlangt eine Meldung an den EDÖB "so rasch als möglich", sobald ein hohes Risiko für die betroffenen Personen besteht. Die DSGVO nennt konkret 72 Stunden. In der Praxis sollten Sie beide Fristen mit einem internen Notfallplan abdecken.

Was kostet die Umsetzung des revDSG für ein KMU?

Je nach Grösse und Digitalisierungsgrad liegen die Erstkosten zwischen 3'000 und 30'000 CHF. Laufende Kosten für Schulungen, Tools und externe Beratung betragen typischerweise 1'000 bis 10'000 CHF pro Jahr. Die Investition amortisiert sich schnell durch vermiedene Bussen und gestärktes Kundenvertrauen.

Brauchen wir einen Datenschutzbeauftragten?

Nach revDSG ist ein Datenschutzberater freiwillig, wird aber empfohlen. Wenn Sie zusätzlich der DSGVO unterliegen und umfangreich sensible Daten oder systematisches Monitoring betreiben, kann ein Datenschutzbeauftragter Pflicht sein. Externe DPO-Dienstleister sind für KMU oft die effizienteste Lösung.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles