DSG: Das Schweizer Datenschutzgesetz einfach erklärt (2026)
Das revidierte Schweizer Datenschutzgesetz (revDSG) regelt seit dem 1. September 2023, wie Unternehmen und Behörden in der Schweiz personenbezogene Daten bearbeiten dürfen. Es bringt zahlreiche Neuerungen, die sich an der europäischen DSGVO orientieren – aber dennoch eigene Schweizer Wege gehen. Dieser Leitfaden erklärt verständlich, was das DSG ist, welche Pflichten daraus entstehen und worauf Unternehmen und Privatpersonen achten sollten.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Bundesgesetz über den Datenschutz (DSG) ist das zentrale Schweizer Gesetz zum Schutz der Persönlichkeit und der Grundrechte von Personen, deren Daten bearbeitet werden. Es gilt für die Bearbeitung von Personendaten durch private Personen, Unternehmen und Bundesorgane.
Die Totalrevision des DSG wurde vom Schweizer Parlament am 25. September 2020 verabschiedet und trat zusammen mit der neuen Datenschutzverordnung (DSV) am 1. September 2023 in Kraft. Ziel ist es, das Schweizer Datenschutzrecht an die technologische Entwicklung anzupassen und die Gleichwertigkeit mit dem europäischen Datenschutzniveau (DSGVO) sicherzustellen – eine Voraussetzung für den freien Datenverkehr mit der EU.
Warum wurde das DSG revidiert?
Das alte DSG stammte aus dem Jahr 1992 und war den heutigen Realitäten von Cloud Computing, künstlicher Intelligenz und globalem Datenverkehr nicht mehr gewachsen. Drei Hauptgründe trieben die Revision an:
- Anpassung an die DSGVO: Erhalt des Angemessenheitsbeschlusses der EU.
- Modernisierung: Berücksichtigung neuer Technologien und Geschäftsmodelle.
- Stärkung der Rechte: Mehr Transparenz und Kontrolle für betroffene Personen.
Für wen gilt das DSG?
Das DSG findet Anwendung auf jede Bearbeitung von Personendaten – unabhängig davon, ob sie automatisiert erfolgt oder nicht. Es betrifft sowohl private Unternehmen als auch Bundesorgane.
Räumlicher Geltungsbereich
Wie die DSGVO verfolgt auch das DSG das Auswirkungsprinzip: Das Gesetz gilt für alle Sachverhalte, die sich in der Schweiz auswirken – selbst wenn das verantwortliche Unternehmen seinen Sitz im Ausland hat. Ein US-amerikanischer Online-Shop, der Kundinnen in der Schweiz beliefert, fällt also genauso unter das DSG wie ein Schweizer KMU.
Wer ist betroffen?
- Schweizer Unternehmen jeder Grösse, die Personendaten bearbeiten
- Ausländische Unternehmen mit Geschäftsaktivitäten in der Schweiz
- Vereine, Stiftungen und andere Organisationen
- Bundesorgane (Kantone und Gemeinden haben eigene kantonale Datenschutzgesetze)
- Selbstständige und Freiberufler
Die wichtigsten Grundsätze des DSG
Das DSG basiert auf mehreren zentralen Bearbeitungsgrundsätzen, die bei jeder Datenbearbeitung beachtet werden müssen.
1. Rechtmässigkeit und Treu und Glauben
Personendaten dürfen nur rechtmässig bearbeitet werden. Die Bearbeitung muss verhältnismässig sein und nach Treu und Glauben erfolgen.
2. Zweckbindung
Daten dürfen nur zu einem bestimmten, für die betroffene Person erkennbaren Zweck beschafft werden. Eine spätere Verwendung für andere Zwecke ist nur eingeschränkt zulässig.
3. Verhältnismässigkeit
Es dürfen nur so viele Daten bearbeitet werden, wie für den jeweiligen Zweck tatsächlich erforderlich sind – das Prinzip der Datenminimierung.
4. Richtigkeit
Wer Personendaten bearbeitet, muss sich über die Richtigkeit der Daten vergewissern und unrichtige oder unvollständige Daten korrigieren.
5. Datensicherheit
Personendaten müssen durch angemessene technische und organisatorische Massnahmen (TOM) vor unbefugtem Zugriff, Verlust oder Veränderung geschützt werden.
6. Transparenz
Die Beschaffung von Personendaten und insbesondere der Bearbeitungszweck müssen für die betroffene Person erkennbar sein.
Pflichten für Unternehmen nach dem revDSG
Das revidierte DSG bringt für Unternehmen eine Reihe neuer oder verschärfter Pflichten mit sich. Hier die wichtigsten im Überblick:
Informationspflicht erweitert
Verantwortliche müssen die betroffenen Personen aktiv über jede Beschaffung von Personendaten informieren – nicht nur bei besonders schützenswerten Daten wie bisher. Mindestens müssen mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger oder Empfängerkategorien
- Bei Datentransfer ins Ausland: das Empfängerland und die Garantien
Verzeichnis der Bearbeitungstätigkeiten
Verantwortliche und Auftragsbearbeiter müssen ein Verzeichnis aller Bearbeitungstätigkeiten führen. Ausnahme: KMU mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung ein geringes Risiko für die Persönlichkeit der betroffenen Personen darstellt, sind davon befreit.
Meldepflicht bei Datenschutzverletzungen
Datensicherheitsverletzungen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» gemeldet werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Anders als die 72-Stunden-Frist der DSGVO ist die Schweizer Frist offener formuliert – in der Praxis sollte aber zügig gehandelt werden.
Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko für die Persönlichkeit – etwa beim Einsatz neuer Technologien, Profiling mit hohem Risiko oder umfangreicher Bearbeitung besonders schützenswerter Daten – ist vorgängig eine DSFA durchzuführen.
Privacy by Design und by Default
Bereits bei der Planung von Systemen und Prozessen müssen Datenschutzaspekte berücksichtigt werden. Die Voreinstellungen müssen so datenschutzfreundlich wie möglich sein.
DSG vs. DSGVO: Die wichtigsten Unterschiede
Das DSG ist stark an die DSGVO angelehnt, weist aber durchaus eigene Akzente auf. Die folgende Tabelle vergleicht die zentralen Aspekte:
| Aspekt | Schweizer DSG | EU-DSGVO |
|---|---|---|
| Anwendung auf juristische Personen | Nein (nur natürliche Personen) | Nein (nur natürliche Personen) |
| Meldefrist bei Datenpannen | «So rasch als möglich» | 72 Stunden |
| Maximale Busse | CHF 250'000 (gegen Privatpersonen) | Bis 20 Mio. EUR oder 4% Umsatz |
| Datenschutzbeauftragter | Empfohlen, nicht zwingend | Pflicht bei bestimmten Voraussetzungen |
| Einwilligung | Nur in bestimmten Fällen nötig | Häufig erforderliche Rechtsgrundlage |
| Rechtsgrundlagen | Bearbeitung grundsätzlich erlaubt | Explizite Rechtsgrundlage nötig (Art. 6) |
| Besonders schützenswerte Daten | Inkl. Daten zu sozialen Hilfsmassnahmen | Eigener Katalog (Art. 9) |
| Aufsichtsbehörde | EDÖB | Nationale Datenschutzbehörden |
Ein wichtiger Unterschied: Während die DSGVO eine Rechtsgrundlage für jede Bearbeitung verlangt, ist im DSG die Bearbeitung grundsätzlich erlaubt, solange die Bearbeitungsgrundsätze eingehalten werden und keine Persönlichkeitsverletzung vorliegt. Mehr zur DSGVO erfahren Sie in unserem DSGVO-Leitfaden 2026.
Rechte der betroffenen Personen
Das DSG stärkt die Rechte der Personen, deren Daten bearbeitet werden, erheblich.
Auskunftsrecht
Jede Person kann beim Verantwortlichen Auskunft verlangen, ob und welche Daten über sie bearbeitet werden. Die Auskunft ist grundsätzlich kostenlos und muss innerhalb von 30 Tagen erteilt werden.
Recht auf Datenherausgabe und -übertragung
Neu ist das Recht auf Herausgabe der eigenen Daten in einem gängigen elektronischen Format sowie auf Übertragung an einen anderen Verantwortlichen – ähnlich der Datenportabilität der DSGVO.
Berichtigung, Löschung und Sperrung
Betroffene Personen können die Berichtigung unrichtiger Daten verlangen sowie unter bestimmten Voraussetzungen deren Löschung oder Sperrung.
Widerspruchsrecht
Gegen bestimmte Datenbearbeitungen – insbesondere für Direktmarketing – kann jederzeit Widerspruch eingelegt werden.
Schutz vor automatisierten Einzelentscheidungen
Werden Entscheidungen ausschliesslich automatisiert getroffen und haben sie eine erhebliche Wirkung für die betroffene Person (z. B. Kreditentscheide), muss diese darüber informiert werden und kann eine Überprüfung durch einen Menschen verlangen. Wie sich solche automatisierten Entscheidungen 2026 entwickeln, lesen Sie im Artikel KI und Datenschutz 2026.
Sanktionen und Bussen nach dem revDSG
Das neue DSG sieht deutlich verschärfte Sanktionen vor – allerdings mit einer Schweizer Besonderheit: Bussen werden nicht gegen das Unternehmen, sondern gegen die verantwortlichen natürlichen Personen ausgesprochen.
Mögliche Bussen
- Bis CHF 250'000 bei vorsätzlicher Verletzung der Informations-, Auskunfts- oder Mitwirkungspflichten
- Bis CHF 250'000 bei vorsätzlicher Missachtung der Anforderungen an Datentransfers ins Ausland
- Bis CHF 250'000 bei vorsätzlicher Verletzung der Mindestanforderungen an die Datensicherheit
- Bei subsidiärer Unternehmenshaftung: bis CHF 50'000, wenn die Ermittlung der verantwortlichen Person unverhältnismässigen Aufwand bedeuten würde
Anders als bei der DSGVO entstehen die Bussen nur bei Vorsatz, nicht bei Fahrlässigkeit. Dennoch sollten Unternehmen das Risiko nicht unterschätzen, denn betroffen sein können Geschäftsführer, Verwaltungsräte und Datenschutzverantwortliche persönlich.
Datentransfer ins Ausland
Die Übermittlung von Personendaten ins Ausland ist nur zulässig, wenn der Schutz der Persönlichkeit auch dort gewährleistet ist.
Länderliste des Bundesrats
Der Bundesrat führt eine Liste mit Staaten, deren Gesetzgebung einen angemessenen Schutz gewährleistet. Dazu zählen alle EU- und EWR-Staaten sowie weitere Länder wie Argentinien, Kanada (kommerzielle Organisationen), Israel, Japan, Neuseeland und Uruguay.
Übermittlung in Drittstaaten
Bei Transfers in Länder ohne angemessenen Schutz – etwa die USA – braucht es zusätzliche Garantien:
- Standardvertragsklauseln (vom EDÖB anerkannt)
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Spezifische Schutzmechanismen wie das Swiss-US Data Privacy Framework
- Einwilligung der betroffenen Person im Einzelfall
Praktische Umsetzung im Unternehmen
Wie können Schweizer Unternehmen das DSG konkret umsetzen? Hier ein praxisorientierter Fahrplan:
Schritt 1: Bestandsaufnahme
Erstellen Sie eine Übersicht aller Datenbearbeitungen: Welche Daten werden zu welchem Zweck bearbeitet? Wer hat Zugriff? Wohin werden Daten übermittelt?
Schritt 2: Verzeichnis der Bearbeitungstätigkeiten
Sofern Sie nicht unter die KMU-Ausnahme fallen, legen Sie ein vollständiges Verzeichnis an. Auch betroffene KMU profitieren von einer freiwilligen Dokumentation.
Schritt 3: Datenschutzerklärung anpassen
Aktualisieren Sie Ihre Datenschutzerklärung auf der Website und in allen Formularen entsprechend den erweiterten Informationspflichten.
Schritt 4: Technische und organisatorische Massnahmen
Überprüfen Sie Ihre Datensicherheit: Verschlüsselung, Zugriffskontrollen, Berechtigungskonzepte, Backups, Mitarbeiterschulungen. Eine zentrale Rolle spielt hier auch moderne Passwortsicherheit.
Schritt 5: Prozesse für Betroffenenrechte
Definieren Sie, wie Sie Auskunfts-, Löschungs- und Berichtigungsanfragen innerhalb der 30-Tage-Frist bearbeiten.
Schritt 6: Verträge prüfen
Schliessen Sie mit allen Auftragsbearbeitern (z. B. Cloud-Anbietern, Newsletter-Diensten) entsprechende Auftragsbearbeitungsverträge ab.
Schritt 7: Marketing-Tools und Tracking
Marketing-Tools wie URL-Shortener oder Analytics müssen DSG-konform eingesetzt werden. Wer auf datenschutzfreundliche Schweizer Lösungen setzt, ist klar im Vorteil. Dienste wie Lunyb bieten beispielsweise einen privatsphärefreundlichen URL-Shortener mit transparenter Datenverarbeitung – eine sinnvolle Alternative zu Tracking-intensiven internationalen Anbietern. Mehr dazu in unserem Vergleich der besten Link-Tracking-Tools 2026 sowie unserer Übersicht zu kostenlosen Bitly-Alternativen.
Die Rolle des EDÖB
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zentrale Aufsichtsbehörde für das DSG. Mit der Revision wurden seine Kompetenzen deutlich ausgeweitet:
- Einleitung formeller Untersuchungen von Amtes wegen
- Verfügung verbindlicher Anordnungen, etwa Bearbeitungsverbote
- Anhörung von Auskunftspersonen und Zeugen
- Veröffentlichung von Untersuchungsergebnissen
Der EDÖB ist auch zentrale Anlaufstelle für Meldungen von Datenschutzverletzungen und für Anfragen von Unternehmen und Privatpersonen.
Häufige Fehler bei der DSG-Umsetzung
In der Praxis sehen wir immer wieder dieselben Fehler:
- Veraltete Datenschutzerklärungen: Viele Websites haben nach dem 1. September 2023 ihre Erklärungen nicht aktualisiert.
- Fehlende Auftragsbearbeitungsverträge: Besonders bei Cloud-Diensten und Marketing-Tools.
- Unklare Verantwortlichkeiten: Niemand fühlt sich für Datenschutz zuständig.
- Vernachlässigte Datensicherheit: Schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung.
- Keine Prozesse für Datenpannen: Im Ernstfall fehlt der Notfallplan.
FAQ: Häufig gestellte Fragen zum DSG
Gilt das DSG auch für mein Schweizer KMU?
Ja, das DSG gilt für alle Unternehmen unabhängig von der Grösse. Kleine Unternehmen profitieren jedoch von Erleichterungen, etwa der Befreiung von der Pflicht zur Führung eines Bearbeitungsverzeichnisses (bei weniger als 250 Mitarbeitenden und geringem Risiko).
Was ist der Unterschied zwischen DSG und DSGVO?
Das DSG ist das Schweizer Datenschutzgesetz, die DSGVO die EU-Verordnung. Beide sind ähnlich aufgebaut, aber das DSG ist in einigen Punkten weniger streng (z. B. keine generelle Pflicht zur Rechtsgrundlage). Wenn Sie Daten von EU-Bürgern bearbeiten, müssen Sie zusätzlich die DSGVO einhalten.
Brauche ich einen Datenschutzbeauftragten nach DSG?
Anders als die DSGVO sieht das DSG keine zwingende Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Die Bestellung ist aber empfohlen und bringt Erleichterungen mit sich, etwa bei der Konsultationspflicht des EDÖB nach einer Datenschutz-Folgenabschätzung.
Wie hoch sind die Bussen bei einem DSG-Verstoss?
Die Bussen können bis zu CHF 250'000 betragen, werden aber gegen die verantwortlichen natürlichen Personen verhängt – nicht gegen das Unternehmen. Voraussetzung ist vorsätzliches Handeln; fahrlässige Verstösse werden grundsätzlich nicht gebüsst.
Was muss ich bei einem Datenleck (Data Breach) tun?
Sobald eine Datenschutzverletzung wahrscheinlich ein hohes Risiko für die betroffenen Personen darstellt, müssen Sie dem EDÖB «so rasch als möglich» Meldung erstatten. Zusätzlich müssen Sie unter Umständen die betroffenen Personen direkt informieren. Dokumentieren Sie zudem alle Vorfälle intern, auch wenn keine Meldepflicht besteht.
Fazit
Das revidierte Schweizer Datenschutzgesetz bringt das Schweizer Datenschutzrecht auf einen modernen, mit der DSGVO weitgehend kompatiblen Stand. Für Unternehmen bedeutet das erweiterte Pflichten, aber auch klare Spielregeln im Umgang mit Personendaten. Wer die Grundsätze ernst nimmt, transparente Prozesse etabliert und auf datenschutzfreundliche Tools setzt, schafft Vertrauen bei Kunden und reduziert rechtliche Risiken deutlich. Die Investition in einen sauberen Datenschutz lohnt sich – nicht nur wegen drohender Bussen, sondern als echter Wettbewerbsvorteil im digitalen Zeitalter.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO einfach erklärt 2026: Der verständliche Leitfaden
Die DSGVO ist auch 2026 das zentrale Regelwerk für Datenschutz in Europa. Dieser Leitfaden erklärt Grundprinzipien, Ihre Rechte als Betroffener, Pflichten für Unternehmen und aktuelle Entwicklungen verständlich und praxisnah.
EDÖB-Beschwerde einreichen: Ihre Schritt-für-Schritt-Anleitung 2026
Wenn Ihre Datenschutzrechte in der Schweiz verletzt werden, ist eine Beschwerde beim EDÖB der wirksamste aufsichtsrechtliche Weg. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie 2026 eine erfolgreiche Anzeige einreichen, welche Beweise nötig sind und welche Verfahrensschritte folgen.
DSG vs DSGVO: Die Unterschiede verstehen – Leitfaden 2026
Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit September 2023 – doch viele Unternehmen müssen zusätzlich die DSGVO einhalten. Dieser Leitfaden erklärt die zentralen Unterschiede mit Vergleichstabelle und liefert praktische Umsetzungshinweise für 2026.
DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die DSGVO gibt Ihnen in Österreich weitreichende Rechte: Auskunft, Löschung, Berichtigung und mehr. Dieser Leitfaden erklärt verständlich, welche Ansprüche Sie haben und wie Sie diese gegenüber Unternehmen und Behörden durchsetzen. Inklusive Mustervorgehen für Beschwerden bei der Datenschutzbehörde.