DSG: Das Schweizer Datenschutzgesetz Erklärt (2026)
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Es modernisiert den Datenschutz grundlegend, stärkt die Rechte betroffener Personen und stellt Unternehmen vor neue Pflichten. Dieser Leitfaden erklärt das Schweizer Datenschutzgesetz umfassend – von den Grundprinzipien über Bearbeitungspflichten bis hin zu drohenden Sanktionen.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Schweizer Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz, das den Schutz der Persönlichkeit und der Grundrechte natürlicher Personen regelt, deren Personendaten bearbeitet werden. Die revidierte Fassung (revDSG) trat am 1. September 2023 in Kraft und ersetzt das alte Datenschutzgesetz von 1992.
Das DSG verfolgt einen klaren Zweck: Es soll die informationelle Selbstbestimmung der Menschen in der Schweiz sichern und gleichzeitig den freien Datenverkehr mit der Europäischen Union ermöglichen. Die Anerkennung der Schweiz als Land mit angemessenem Datenschutzniveau durch die EU war einer der wichtigsten Treiber der Revision.
Zuständige Aufsichtsbehörde auf Bundesebene ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Dieser überwacht die Einhaltung des Gesetzes durch private Personen und Bundesorgane.
Für wen gilt das DSG?
Das revDSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
- Private Personen und Unternehmen mit Sitz in der Schweiz
- Bundesorgane
- Ausländische Unternehmen, deren Datenbearbeitung sich auf Personen in der Schweiz auswirkt (extraterritoriale Wirkung)
Wichtig: Im Gegensatz zur DSGVO schützt das revDSG ausschliesslich Daten natürlicher Personen – Daten juristischer Personen sind nicht mehr erfasst. Dies ist eine bedeutende Änderung gegenüber dem alten DSG.
Die wichtigsten Grundsätze des DSG
Das revDSG basiert auf bewährten Datenschutzprinzipien, die jede Datenbearbeitung in der Schweiz prägen. Diese Grundsätze müssen bei jeder Verarbeitung von Personendaten beachtet werden.
1. Rechtmässigkeit und Treu und Glauben
Personendaten dürfen nur rechtmässig bearbeitet werden. Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
2. Zweckbindung
Daten dürfen nur zu einem bestimmten, für die betroffene Person erkennbaren Zweck bearbeitet werden. Eine spätere Zweckänderung bedarf einer eigenen Rechtsgrundlage.
3. Verhältnismässigkeit
Es dürfen nur diejenigen Daten bearbeitet werden, die für den Zweck tatsächlich erforderlich sind – das Prinzip der Datenminimierung.
4. Richtigkeit
Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Unrichtige oder unvollständige Daten sind zu berichtigen oder zu vernichten.
5. Datensicherheit
Personendaten müssen durch angemessene technische und organisatorische Massnahmen vor unbefugtem Bearbeiten geschützt werden. Dies umfasst Verschlüsselung, Zugriffskontrollen und sichere Authentifizierung – etwa mit modernen Passwort-Managern.
6. Transparenz
Die Beschaffung von Personendaten und insbesondere der Bearbeitungszweck müssen für die betroffene Person erkennbar sein.
Neue Pflichten für Unternehmen unter dem revDSG
Das revidierte DSG führt mehrere neue Pflichten ein, die für Unternehmen erheblichen organisatorischen Aufwand bedeuten können.
Informationspflicht bei der Datenbeschaffung
Verantwortliche müssen betroffene Personen aktiv über die Beschaffung von Personendaten informieren. Folgende Informationen sind mindestens mitzuteilen:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger oder Kategorien von Empfängern, denen Daten bekanntgegeben werden
- Bei Bekanntgabe ins Ausland: das Empfängerland und allfällige Garantien
Verzeichnis der Bearbeitungstätigkeiten
Unternehmen müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausnahmen gelten für KMU mit weniger als 250 Mitarbeitenden, sofern ihre Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit mit sich bringt.
Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko für die Persönlichkeit oder Grundrechte muss vorgängig eine DSFA durchgeführt werden. Typische Anwendungsfälle:
- Umfangreiche Bearbeitung besonders schützenswerter Personendaten
- Systematische Überwachung grosser öffentlicher Bereiche
- Profiling mit hohem Risiko
Meldepflicht bei Datenschutzverletzungen
Datenschutzverletzungen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte führen, müssen dem EDÖB "so rasch wie möglich" gemeldet werden. Die DSGVO sieht hier eine Frist von 72 Stunden vor – das revDSG ist bewusst flexibler formuliert.
Privacy by Design und Privacy by Default
Datenschutz muss bereits bei der Planung von Systemen und Prozessen mitgedacht werden. Voreinstellungen müssen datenschutzfreundlich sein.
Rechte der betroffenen Personen
Das revDSG stärkt die Rechte der Personen, deren Daten bearbeitet werden. Diese Rechte sind im Alltag oft die wichtigste Schnittstelle zwischen Bürgerinnen, Bürgern und datenbearbeitenden Stellen.
| Recht | Inhalt | Artikel revDSG |
|---|---|---|
| Auskunftsrecht | Erfahren, welche Daten über die eigene Person bearbeitet werden | Art. 25 |
| Recht auf Datenherausgabe und Übertragung | Daten in einem gängigen elektronischen Format erhalten | Art. 28 |
| Berichtigungsrecht | Unrichtige Daten korrigieren lassen | Art. 32 |
| Widerspruchsrecht | Bearbeitung untersagen lassen | Art. 30 |
| Recht bei automatisierten Einzelentscheidungen | Information und Stellungnahme bei automatisierten Entscheiden | Art. 21 |
Das Auskunftsrecht in der Praxis
Das Auskunftsrecht ist das wichtigste Werkzeug für betroffene Personen. Unternehmen müssen innerhalb von 30 Tagen kostenlos Auskunft erteilen über bearbeitete Daten, Bearbeitungszweck, Aufbewahrungsdauer, Datenquellen und Empfänger.
Besonders schützenswerte Personendaten
Das revDSG definiert spezielle Kategorien von Daten, die einen erhöhten Schutz geniessen. Dazu gehören neu auch genetische und biometrische Daten.
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Daten über Gesundheit, Intimsphäre oder Zugehörigkeit zu einer Rasse oder Ethnie
- Genetische Daten
- Biometrische Daten, die eine natürliche Person eindeutig identifizieren
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
- Daten über Massnahmen der sozialen Hilfe
Für diese Daten gelten strengere Anforderungen an die Einwilligung und die Sicherheitsmassnahmen.
Datenbekanntgabe ins Ausland
Die Übermittlung von Personendaten ins Ausland ist nur zulässig, wenn der Bundesrat festgestellt hat, dass das Empfängerland einen angemessenen Schutz gewährleistet. Die Liste angemessener Staaten umfasst unter anderem alle EU/EWR-Staaten.
Bei Übermittlungen in nicht-angemessene Länder (z.B. USA) sind zusätzliche Garantien erforderlich:
- Standarddatenschutzklauseln des EDÖB oder anerkannte Klauseln (z.B. EU-Standardvertragsklauseln)
- Verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules)
- Spezifische Garantien bei vertraglichen Vereinbarungen mit Bundesorganen
Sanktionen und Bussen unter dem revDSG
Eine der bedeutendsten Neuerungen ist das verschärfte Sanktionsregime. Im Gegensatz zur DSGVO, die gegen Unternehmen verhängt wird, richten sich DSG-Bussen primär gegen verantwortliche natürliche Personen.
Bussen bis zu CHF 250'000 drohen bei vorsätzlichen Verstössen gegen:
- Informations-, Auskunfts- und Mitwirkungspflichten
- Sorgfaltspflichten (z.B. Datenbekanntgabe ins Ausland ohne Garantien)
- Berufliche Schweigepflicht
- Verfügungen des EDÖB
Bei Unternehmen kann die Busse direkt gegen das Unternehmen verhängt werden, wenn die Ermittlung der verantwortlichen Person einen unverhältnismässigen Aufwand bedeuten würde – allerdings nur bis maximal CHF 50'000.
DSG vs. DSGVO: Die wichtigsten Unterschiede
Obwohl das revDSG stark an die DSGVO angelehnt ist, bestehen wichtige Unterschiede. Eine ausführliche Gegenüberstellung finden Sie in unserem Leitfaden DSG vs. DSGVO.
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Nur natürliche Personen | Nur natürliche Personen |
| Maximale Busse | CHF 250'000 (gegen Person) | EUR 20 Mio. oder 4% Umsatz (gegen Unternehmen) |
| Meldefrist Datenpanne | So rasch wie möglich | 72 Stunden |
| Datenschutzbeauftragter | Freiwillig (Berater empfohlen) | Teilweise verpflichtend |
| Einwilligung | Ausdrücklich nur bei sensiblen Daten | Strenger geregelt |
Praktische Umsetzung: Checkliste für Unternehmen
Die folgende Checkliste hilft Schweizer Unternehmen, die DSG-Konformität systematisch sicherzustellen.
- Bestandsaufnahme: Erstellen Sie ein vollständiges Verzeichnis aller Bearbeitungstätigkeiten
- Datenschutzerklärung: Aktualisieren Sie Ihre Datenschutzerklärung auf der Website und in Verträgen
- Auftragsbearbeitungsverträge: Überprüfen und ergänzen Sie Verträge mit allen Dienstleistern, die für Sie Daten bearbeiten
- Prozesse einrichten: Definieren Sie klare Abläufe für Auskunftsbegehren, Datenpannen und Datenexporte
- Technische Massnahmen: Implementieren Sie Verschlüsselung, Zugriffskontrollen und sichere Authentifizierung
- Mitarbeitende schulen: Regelmässige Datenschutzschulungen für alle Mitarbeitenden mit Datenkontakt
- DSFA durchführen: Bei risikoreichen Bearbeitungen vorgängige Datenschutz-Folgenabschätzung
- Datenbearbeiter ins Ausland prüfen: Garantien für Datentransfers in Drittstaaten dokumentieren
Sichere Tools für die DSG-Konformität
Bei der digitalen Kommunikation und beim Teilen von Links sollten Schweizer Unternehmen auf datenschutzfreundliche Werkzeuge setzen. Dienste wie Lunyb ermöglichen das Erstellen kurzer, sicherer Links ohne übermässige Datenerhebung – ideal, wenn Sie Marketing-Links oder Dokumentenfreigaben mit Datenschutz im Hinterkopf gestalten möchten. Ebenso wichtig: starke Passwörter, mehrstufige Authentifizierung und verschlüsselte Kommunikation gehören zum technischen Mindestschutz nach Art. 8 revDSG.
Besonderheiten für KMU und Selbstständige
Auch kleine Unternehmen und Selbstständige unterliegen dem revDSG. Es gibt jedoch einige Erleichterungen:
- Befreiung vom Bearbeitungsverzeichnis bei weniger als 250 Mitarbeitenden und geringem Risiko
- Kein verpflichtender Datenschutzberater (im Gegensatz zur DSGVO)
- Verhältnismässigkeitsprinzip bei technisch-organisatorischen Massnahmen
Für die Auseinandersetzung mit weiteren regionalen Datenschutzthemen empfehlen wir auch unseren Beitrag zum Datenschutz in Deutschland sowie unseren Leitfaden zur Cybersicherheit für KMU, der viele praxisnahe Tipps enthält, die auch für Schweizer Unternehmen relevant sind.
Das DSG im privaten Alltag
Das revDSG schützt nicht nur in Geschäftsbeziehungen, sondern auch im privaten Bereich. Wenn Sie beispielsweise Ihren Standort mit der Familie teilen, bewegen Sie sich in einem datenschutzrelevanten Bereich. Achten Sie auf:
- Bewussten Umgang mit der Weitergabe persönlicher Daten
- Regelmässige Überprüfung von App-Berechtigungen
- Nutzung verschlüsselter Kommunikationsdienste
- Aktivierung der Zwei-Faktor-Authentifizierung bei wichtigen Konten
Ausblick: Datenschutz in der Schweiz 2026 und darüber hinaus
Das Datenschutzrecht entwickelt sich kontinuierlich weiter. Aktuelle Herausforderungen sind künstliche Intelligenz, automatisierte Entscheidungssysteme und globale Datenflüsse. Der EDÖB hat 2024 und 2025 vermehrt Stellungnahmen zu KI-Systemen veröffentlicht, und mit dem geplanten EU AI Act dürften sich auch in der Schweiz Anpassungen anbahnen.
Unternehmen sollten Datenschutz nicht als einmaliges Projekt, sondern als kontinuierlichen Prozess verstehen. Regelmässige Audits, Schulungen und Anpassungen an neue technologische Entwicklungen sind unverzichtbar.
FAQ: Häufige Fragen zum Schweizer Datenschutzgesetz
Gilt das DSG auch für ausländische Unternehmen?
Ja, das revDSG gilt extraterritorial: Ausländische Unternehmen müssen das DSG einhalten, wenn ihre Datenbearbeitung sich in der Schweiz auswirkt – etwa wenn sie Personen in der Schweiz Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.
Brauche ich als Schweizer Unternehmen einen Datenschutzberater?
Nein, das revDSG schreibt keinen verpflichtenden Datenschutzberater vor. Die Bestellung einer datenschutzberatenden Person ist jedoch ausdrücklich empfohlen, da sie bei Datenschutz-Folgenabschätzungen eine erleichterte Konsultation des EDÖB ermöglicht.
Was passiert bei einem Verstoss gegen das DSG?
Verstösse können zu Bussen von bis zu CHF 250'000 gegen verantwortliche Privatpersonen führen. Zusätzlich kann der EDÖB Verfügungen erlassen, etwa zur Anpassung oder Einstellung bestimmter Bearbeitungen. Auch zivilrechtliche Ansprüche betroffener Personen sind möglich.
Wie unterscheidet sich das revDSG vom alten DSG?
Die wichtigsten Änderungen sind: Schutz nur noch natürlicher Personen, neue Informations- und Meldepflichten, verschärfte Sanktionen, Privacy by Design/Default, ausgeweitete Definition besonders schützenswerter Daten und stärkere Auskunftsrechte für betroffene Personen.
Muss ich Cookies auf meiner Website ein Banner setzen?
Das revDSG selbst schreibt – anders als die ePrivacy-Richtlinie der EU – kein verpflichtendes Cookie-Banner vor. Allerdings besteht eine Informationspflicht über die Datenbearbeitung. Wer auch EU-Nutzer anspricht, muss zusätzlich die DSGVO und ePrivacy-Vorgaben beachten und in der Regel ein Consent-Banner einsetzen.
Kann ich beim EDÖB eine Beschwerde einreichen?
Ja, jede Person kann beim EDÖB eine Anzeige erstatten, wenn sie eine Verletzung des Datenschutzes vermutet. Der EDÖB prüft den Fall und kann eine Untersuchung einleiten. Allerdings ist der EDÖB keine Schlichtungsstelle für Einzelfälle – zivilrechtliche Ansprüche müssen direkt vor Gericht geltend gemacht werden.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde bei der BfDI einreichen. Vollständige Anleitung mit Fristen, Formularen und praktischen Tipps für eine erfolgreiche Durchsetzung Ihrer Datenschutzrechte nach DSGVO.
DSG vs DSGVO: Die Unterschiede Verstehen - Leitfaden 2026
Das Schweizer DSG und die EU-DSGVO regeln beide den Datenschutz, unterscheiden sich aber in wichtigen Details. Dieser Vergleich zeigt die zentralen Unterschiede bei Sanktionen, Rechtsgrundlagen und Pflichten und gibt praktische Empfehlungen für die Compliance 2026.
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO gibt Ihnen in Österreich weitreichende Datenschutzrechte – von Auskunft bis Löschung. Dieser umfassende Leitfaden erklärt alle acht Betroffenenrechte, Fristen und zeigt Schritt für Schritt, wie Sie Ihre Rechte gegenüber Unternehmen und Behörden durchsetzen.
Datenschutzgesetz Österreich Erklärt: DSG, DSGVO und Ihre Rechte 2026
Das österreichische Datenschutzgesetz (DSG) regelt zusammen mit der DSGVO den Schutz personenbezogener Daten. Dieser umfassende Leitfaden erklärt Rechte, Pflichten und Bußgelder verständlich. Erfahren Sie, wie Sie Ihre Datenschutzrechte 2026 effektiv durchsetzen.