DSG: Das Schweizer Datenschutzgesetz Einfach Erklärt (2026)
Seit dem 1. September 2023 gilt in der Schweiz das vollständig revidierte Datenschutzgesetz (revDSG). Es ist die wichtigste Modernisierung des Schweizer Datenschutzrechts seit über 30 Jahren und betrifft praktisch jedes Unternehmen, das Personendaten bearbeitet – ob mit Sitz in der Schweiz oder im Ausland. In diesem umfassenden Leitfaden erklären wir Ihnen, was das DSG regelt, welche Pflichten für Unternehmen gelten, welche Rechte Privatpersonen haben und wie sich das Schweizer Datenschutzgesetz von der europäischen DSGVO unterscheidet.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Schweizer Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz, das den Umgang mit Personendaten in der Schweiz regelt. Es schützt die Persönlichkeit und die Grundrechte von natürlichen Personen, deren Daten durch private Unternehmen oder Bundesorgane bearbeitet werden.
Das revidierte DSG (revDSG) trat am 1. September 2023 in Kraft und ersetzt das ursprüngliche Gesetz von 1992. Ergänzt wird es durch die Datenschutzverordnung (DSV) sowie die Verordnung über Datenschutzzertifizierungen (VDSZ). Die Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Ziele des revidierten DSG
- Stärkung der Selbstbestimmung: Mehr Transparenz und Kontrolle für Betroffene
- Anpassung an die digitale Realität: Berücksichtigung von Big Data, Profiling und KI
- Angleichung an die DSGVO: Sicherstellung der EU-Anerkennung als sicheres Drittland
- Wirksame Durchsetzung: Höhere Bussen und erweiterte Kompetenzen des EDÖB
Für wen gilt das DSG?
Das DSG hat einen weiten Anwendungsbereich. Es gilt für die Bearbeitung von Personendaten durch private Personen (inkl. Unternehmen) und Bundesorgane. Anders als das alte Recht schützt das revDSG ausschliesslich Daten natürlicher Personen – Daten juristischer Personen sind nicht mehr erfasst.
Extraterritoriale Wirkung
Das DSG gilt auch für ausländische Unternehmen, sofern sich deren Datenbearbeitung in der Schweiz auswirkt. Ein deutscher Online-Shop, der Schweizer Kunden bedient, muss das DSG also genauso einhalten wie ein Schweizer Unternehmen. Ausländische Unternehmen ohne Niederlassung in der Schweiz müssen unter Umständen einen Vertreter in der Schweiz benennen.
Die wichtigsten Grundsätze des DSG
Das revDSG basiert auf sieben zentralen Bearbeitungsgrundsätzen, die jedes Unternehmen kennen muss:
- Rechtmässigkeit: Daten dürfen nur rechtmässig bearbeitet werden.
- Treu und Glauben: Die Bearbeitung muss verhältnismässig sein.
- Zweckbindung: Daten dürfen nur für den angegebenen Zweck verwendet werden.
- Verhältnismässigkeit: Es dürfen nur erforderliche Daten erhoben werden.
- Richtigkeit: Daten müssen korrekt und aktuell sein.
- Datensicherheit: Geeignete technische und organisatorische Massnahmen sind Pflicht.
- Transparenz: Betroffene müssen über die Datenbearbeitung informiert werden.
Was sind Personendaten nach DSG?
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Standortdaten, Fotos und Online-Identifikatoren.
Besonders schützenswerte Personendaten
Das revDSG erweitert die Kategorie der besonders schützenswerten Personendaten. Hierzu zählen:
- Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Gesundheits-, Intim- und Rassenzugehörigkeitsdaten
- Genetische und biometrische Daten (NEU)
- Daten über administrative und strafrechtliche Verfolgungen
- Daten über Massnahmen der sozialen Hilfe
Pflichten für Unternehmen unter dem revDSG
Mit dem revidierten DSG kommen auf Unternehmen zahlreiche neue Pflichten zu. Hier die wichtigsten im Überblick:
1. Informationspflicht
Beim Erheben von Personendaten müssen Unternehmen die betroffene Person aktiv informieren – unabhängig davon, ob die Daten direkt oder indirekt erhoben werden. Die Datenschutzerklärung muss unter anderem enthalten:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger oder Kategorien von Empfängern
- Bei Auslandsübermittlung: Zielstaat und Schutzgarantien
2. Verzeichnis der Bearbeitungstätigkeiten
Verantwortliche und Auftragsbearbeiter müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, sofern die Datenbearbeitung ein geringes Risiko darstellt.
3. Meldepflicht bei Datenschutzverletzungen
Datenschutzverletzungen (Data Breaches), die zu einem hohen Risiko für die Persönlichkeit oder Grundrechte führen, müssen dem EDÖB so rasch als möglich gemeldet werden. Betroffene Personen sind zu informieren, wenn dies zu deren Schutz erforderlich ist.
4. Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko – etwa Profiling oder umfangreicher Bearbeitung besonders schützenswerter Daten – ist eine DSFA Pflicht.
5. Privacy by Design & by Default
Datenschutz muss bereits bei der technischen Konzeption und durch datenschutzfreundliche Voreinstellungen sichergestellt werden.
6. Auftragsbearbeitung
Die Übertragung der Datenbearbeitung an Dritte (z. B. Cloud-Anbieter) erfordert einen schriftlichen Auftragsbearbeitungsvertrag (ADV).
Rechte der betroffenen Personen
Das revDSG stärkt die Rechte der Betroffenen erheblich. Jede Person hat folgende Ansprüche gegenüber Unternehmen, die ihre Daten bearbeiten:
- Auskunftsrecht: Auskunft über die bearbeiteten Daten – grundsätzlich kostenlos innert 30 Tagen
- Recht auf Datenherausgabe und Datenübertragbarkeit (NEU): Herausgabe der Daten in einem gängigen elektronischen Format
- Berichtigungsrecht: Korrektur unrichtiger Daten
- Löschungsrecht: Vernichtung der Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht
- Widerspruchsrecht: Einwand gegen bestimmte Bearbeitungen
- Recht auf Information bei automatisierten Einzelentscheidungen: Insbesondere beim Profiling
Wenn Sie der Meinung sind, dass Ihre Rechte verletzt wurden, können Sie eine Beschwerde beim EDÖB einreichen.
DSG vs. DSGVO: Die wichtigsten Unterschiede
Obwohl das revDSG stark an die europäische DSGVO angelehnt ist, gibt es bedeutende Unterschiede. Die folgende Tabelle gibt einen Überblick:
| Merkmal | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Nur natürliche Personen | Nur natürliche Personen |
| Rechtsgrundlage | Keine explizite Liste erforderlich | 6 Rechtsgrundlagen (Art. 6) |
| Einwilligung | Nur in bestimmten Fällen nötig | Häufig notwendige Grundlage |
| Maximale Bussen | CHF 250'000 (gegen Personen) | Bis 20 Mio. EUR / 4 % Umsatz |
| Adressat der Sanktion | Natürliche Personen (Verantwortliche) | Unternehmen |
| Meldefrist Data Breach | "So rasch als möglich" | 72 Stunden |
| Datenschutzbeauftragter | Freiwillig (Datenschutzberater) | In vielen Fällen Pflicht |
| Aufsichtsbehörde | EDÖB | Nationale Datenschutzbehörden |
Für Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, empfiehlt sich oft eine Compliance nach dem strengeren Standard – meist der DSGVO. Mehr zum europäischen Pendant lesen Sie in unserem Artikel zum Datenschutz in Deutschland.
Sanktionen und Bussen nach DSG
Das revDSG kennt ein einzigartiges Sanktionssystem: Im Gegensatz zur DSGVO richten sich Bussen nicht gegen das Unternehmen, sondern gegen verantwortliche natürliche Personen – also in der Regel die Geschäftsleitung oder spezifisch verantwortliche Mitarbeitende.
Bussgeldtatbestände im Überblick
- Verletzung der Informationspflichten: Bis CHF 250'000
- Verletzung der Auskunfts- und Mitwirkungspflichten: Bis CHF 250'000
- Verletzung der Sorgfaltspflichten bei der Auslandsübermittlung: Bis CHF 250'000
- Missachtung von Verfügungen des EDÖB: Bis CHF 250'000
- Verletzung der beruflichen Schweigepflicht: Bis CHF 250'000
Hinzu kommen mögliche Schadensersatzforderungen betroffener Personen, Reputationsschäden und der Verlust von Geschäftsbeziehungen.
Datenübermittlung ins Ausland
Die Übermittlung von Personendaten ins Ausland ist nur zulässig, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Der Bundesrat führt eine Liste der Staaten mit angemessenem Schutzniveau – darunter alle EU/EWR-Staaten, das Vereinigte Königreich, Kanada und Japan.
Übermittlung in unsichere Drittstaaten
In Staaten ohne angemessenen Schutz (z. B. teilweise USA, China, Indien) ist die Übermittlung nur unter zusätzlichen Garantien zulässig, etwa:
- Standardvertragsklauseln (SCC)
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Ausdrückliche Einwilligung der betroffenen Person
- Schweiz-USA Data Privacy Framework (seit September 2024)
Praktische Umsetzung: 8 Schritte zur DSG-Compliance
Folgende Schritte helfen Ihrem Unternehmen, das revDSG umzusetzen:
- Datenbestand erfassen: Welche Personendaten werden wo, wie und warum bearbeitet?
- Verzeichnis der Bearbeitungstätigkeiten erstellen
- Datenschutzerklärung aktualisieren: Anpassung an die neuen Informationspflichten
- ADV mit Auftragsbearbeitern abschliessen (z. B. Cloud-Anbieter, Marketing-Tools)
- Technische und organisatorische Massnahmen (TOM) implementieren
- Prozesse für Betroffenenrechte etablieren (Auskunft, Löschung etc.)
- Meldeprozess für Datenschutzverletzungen definieren
- Mitarbeitende schulen und Datenschutzberater benennen (optional)
DSG und Marketing: Tracking, Cookies und URL-Shortener
Im Online-Marketing ist das DSG besonders relevant. Cookies, Tracking-Pixel und Analytics-Tools verarbeiten Personendaten – Transparenz ist daher Pflicht. Auch beim Einsatz von URL-Shortenern sollten Schweizer Unternehmen darauf achten, dass der Anbieter datenschutzkonform arbeitet, idealerweise mit Servern in der Schweiz oder der EU.
Datenschutzorientierte Schweizer Lösungen wie Lunyb bieten DSG-konforme URL-Shortener mit transparenter Datenverarbeitung und der Möglichkeit, gebrandete Kurzlinks zu erstellen, ohne Nutzer mit invasivem Tracking zu konfrontieren. Wer eine Alternative zu internationalen Anbietern sucht, findet in unserem Vergleich der besten Bitly-Alternativen 2026 passende Optionen. Lesen Sie auch unseren Leitfaden zum Erstellen gebrandeter Kurzlinks.
Häufige Fehler bei der DSG-Umsetzung
Auch knapp drei Jahre nach Inkrafttreten machen viele Unternehmen noch immer dieselben Fehler:
- Veraltete Datenschutzerklärungen ohne die neu erforderlichen Angaben
- Fehlende ADV mit Dienstleistern (insbesondere bei US-Tools wie Google Analytics)
- Kein Prozess für Auskunftsanfragen – die 30-Tage-Frist wird oft verpasst
- Unklare Verantwortlichkeiten – wer ist intern für Datenschutz zuständig?
- Vernachlässigte Mitarbeiterschulung – die häufigste Ursache von Data Breaches
Fazit: Das revDSG ernst nehmen
Das revidierte Schweizer Datenschutzgesetz hat den Datenschutz in der Schweiz auf ein modernes Niveau gehoben. Auch wenn die Bussen niedriger sind als unter der DSGVO, sind die persönliche Haftung der Verantwortlichen und das Reputationsrisiko erheblich. Unternehmen, die das DSG bisher vernachlässigt haben, sollten dringend handeln – die Aufsichtsbehörde EDÖB hat seit 2023 deutlich mehr Befugnisse und nutzt diese aktiv.
Datenschutz ist heute kein lästiges Pflichtprogramm mehr, sondern ein Wettbewerbsvorteil. Kunden und Geschäftspartner achten zunehmend darauf, mit wem sie ihre Daten teilen. Eine saubere DSG-Compliance schafft Vertrauen – und das ist im digitalen Zeitalter unbezahlbar.
Häufig gestellte Fragen (FAQ)
Seit wann gilt das revidierte DSG?
Das revidierte Datenschutzgesetz (revDSG) trat am 1. September 2023 in Kraft. Es gibt keine Übergangsfrist – die Pflichten gelten seither vollumfänglich für alle betroffenen Unternehmen.
Muss ich als Schweizer Unternehmen die DSGVO einhalten?
Ja, wenn Sie Personendaten von Personen in der EU bearbeiten – etwa durch Verkauf an EU-Kunden oder durch eine Website, die sich an EU-Bürger richtet. In diesem Fall müssen Sie sowohl das DSG als auch die DSGVO einhalten.
Wer muss einen Datenschutzberater bestellen?
Anders als die DSGVO sieht das DSG keine zwingende Bestellung eines Datenschutzbeauftragten (in der Schweiz "Datenschutzberater") vor. Die Bestellung ist freiwillig, kann aber Vorteile bringen, etwa beim Verzicht auf bestimmte DSFA-Konsultationen.
Wie hoch sind die Bussen unter dem revDSG?
Bussen können bis zu CHF 250'000 betragen. Wichtig: Sie richten sich primär gegen verantwortliche natürliche Personen (z. B. Geschäftsführer), nicht gegen das Unternehmen selbst. Subsidiär kann auch das Unternehmen gebüsst werden, wenn der Aufwand zur Identifikation der verantwortlichen Person unverhältnismässig wäre.
Was muss in einer DSG-konformen Datenschutzerklärung stehen?
Mindestens: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszwecke, Kategorien bearbeiteter Daten, Empfänger der Daten, bei Auslandsübermittlung der Zielstaat und die Schutzgarantien sowie Informationen zu den Betroffenenrechten. Die Sprache muss klar und verständlich sein.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
EDÖB Beschwerde Einreichen: So Gehen Sie Schritt für Schritt Vor (2026)
Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde beim EDÖB einreichen. Dieser umfassende Leitfaden 2026 erklärt Voraussetzungen, Ablauf, neue Befugnisse seit dem revDSG und liefert einen praxiserprobten Musterbrief für Ihre Datenschutzbeschwerde in der Schweiz.
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Verbraucher und Unternehmen
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft und prägt den Umgang mit personenbezogenen Daten in der EU. Dieser Leitfaden erklärt die wichtigsten Regelungen verständlich und zeigt, was sich 2026 für Sie ändert.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der DSGVO den Schutz personenbezogener Daten in Österreich. In diesem Leitfaden erklären wir die wichtigsten Bestimmungen, Rechte und Pflichten verständlich und praxisnah.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Erfahren Sie in dieser umfassenden Schritt-für-Schritt-Anleitung, wie Sie eine Beschwerde beim Bundesbeauftragten für den Datenschutz (BfDI) erfolgreich einreichen. Inklusive Formularen, Fristen und praktischen Tipps für 2026.