DSG: Das Schweizer Datenschutzgesetz Verständlich Erklärt
Seit dem 1. September 2023 gilt in der Schweiz das vollständig revidierte Datenschutzgesetz (revDSG). Es modernisiert den Schweizer Datenschutz, stärkt die Rechte der betroffenen Personen und bringt zahlreiche neue Pflichten für Unternehmen mit sich. Dieser Leitfaden erklärt das DSG verständlich – von den Grundprinzipien bis zu den konkreten Umsetzungspflichten.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Schweizer Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz, das den Umgang mit Personendaten in der Schweiz regelt. Es schützt die Persönlichkeit und die Grundrechte natürlicher Personen, deren Daten bearbeitet werden, und gilt sowohl für private Personen und Unternehmen als auch für Bundesorgane.
Die revidierte Fassung (revDSG) trat am 1. September 2023 in Kraft und ersetzte das Gesetz von 1992. Ziel der Revision war es, den Schweizer Datenschutz an die europäische Datenschutz-Grundverordnung (DSGVO) anzunähern, die Angemessenheitsanerkennung durch die EU zu sichern und die Bestimmungen des modernisierten Übereinkommens 108 des Europarats umzusetzen.
Die wichtigsten Rechtsquellen im Überblick
- Bundesgesetz über den Datenschutz (DSG): Das eigentliche Gesetz mit den materiellen Bestimmungen.
- Verordnung über den Datenschutz (DSV): Konkretisiert die Pflichten, etwa zu technischen Massnahmen und Datensicherheit.
- Verordnung über die Datenschutzzertifizierungen (VDSZ): Regelt die Anforderungen an Zertifizierungen.
- Sektorspezifische Gesetze: Etwa im Gesundheits-, Banken- oder Telekommunikationsbereich.
Geltungsbereich: Wer muss das DSG einhalten?
Das DSG hat einen weiten persönlichen und räumlichen Anwendungsbereich. Es gilt für jede Bearbeitung von Personendaten natürlicher Personen durch private Personen oder Bundesorgane.
Persönlicher Geltungsbereich
Im Gegensatz zur alten Fassung schützt das revDSG ausschliesslich Daten natürlicher Personen. Daten juristischer Personen (Unternehmen, Vereine) fallen nicht mehr unter das Gesetz. Verpflichtet sind hingegen alle, die Personendaten bearbeiten – vom Einzelunternehmer bis zum Grosskonzern.
Räumlicher Geltungsbereich (Marktortprinzip)
Das DSG gilt nicht nur für Bearbeitungen in der Schweiz, sondern auch extraterritorial. Ein ausländisches Unternehmen, das sich mit seinen Angeboten an Personen in der Schweiz richtet oder deren Verhalten beobachtet, muss das DSG einhalten – ähnlich wie das Marktortprinzip der DSGVO.
Zentrale Begriffe des DSG
Um das DSG korrekt anzuwenden, müssen die zentralen Legaldefinitionen verstanden werden. Die wichtigsten Begriffe finden sich in Artikel 5 DSG.
Personendaten und besonders schützenswerte Personendaten
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu zählen Name, Adresse, E-Mail, IP-Adresse, Foto oder auch ein Online-Verhaltensprofil.
Besonders schützenswerte Personendaten geniessen einen erhöhten Schutz. Dazu gehören:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Gesundheitsdaten, Daten zur Intimsphäre oder zur Rassenzugehörigkeit
- Genetische und biometrische Daten zur eindeutigen Identifikation
- Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen
- Daten über Massnahmen der sozialen Hilfe
Verantwortlicher und Auftragsbearbeiter
Der Verantwortliche entscheidet über Zweck und Mittel der Datenbearbeitung. Der Auftragsbearbeiter bearbeitet Daten im Auftrag des Verantwortlichen – etwa ein Cloud-Anbieter oder externer IT-Dienstleister. Beide tragen unterschiedliche Pflichten.
Die Grundsätze der Datenbearbeitung
Artikel 6 DSG legt die zentralen Bearbeitungsgrundsätze fest. Jede Datenbearbeitung muss diese Prinzipien erfüllen – sie sind das Fundament rechtskonformer Verarbeitung.
- Rechtmässigkeit: Die Bearbeitung muss auf einer gültigen Rechtsgrundlage beruhen.
- Treu und Glauben: Die Bearbeitung darf nicht heimlich oder irreführend erfolgen.
- Verhältnismässigkeit: Nur so viele Daten bearbeiten wie nötig.
- Zweckbindung: Daten dürfen nur für den ursprünglich angegebenen oder einen vereinbaren Zweck bearbeitet werden.
- Transparenz: Betroffene Personen müssen über die Bearbeitung informiert werden.
- Richtigkeit: Daten müssen korrekt und aktuell gehalten werden.
- Datensicherheit: Angemessene technische und organisatorische Massnahmen sind erforderlich.
Pflichten von Unternehmen nach revDSG
Das revDSG bringt zahlreiche neue oder verschärfte Pflichten für Verantwortliche mit sich. Diese müssen aktiv umgesetzt und dokumentiert werden.
1. Informationspflicht
Bei jeder Beschaffung von Personendaten muss die betroffene Person vorgängig informiert werden. Die Datenschutzerklärung muss mindestens enthalten:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger oder Empfängerkategorien
- Bei Datenexport: Zielland und Garantien
2. Verzeichnis der Bearbeitungstätigkeiten
Verantwortliche und Auftragsbearbeiter müssen ein Bearbeitungsverzeichnis führen. Unternehmen mit weniger als 250 Mitarbeitenden sind unter bestimmten Bedingungen ausgenommen, sofern die Bearbeitung kein hohes Risiko birgt.
3. Datenschutz-Folgenabschätzung (DSFA)
Bei Bearbeitungen mit hohem Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden. Beispiele sind umfangreiche Profilbildung oder systematische Überwachung.
4. Meldepflicht bei Datenschutzverletzungen
Verletzungen der Datensicherheit, die zu einem hohen Risiko für die Persönlichkeit führen, sind dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich zu melden. Auftragsbearbeiter müssen den Verantwortlichen unverzüglich informieren.
5. Privacy by Design und Privacy by Default
Datenschutz muss bereits bei der Planung von Systemen mitgedacht werden (by Design) und datenschutzfreundliche Voreinstellungen sind Standard (by Default).
Rechte der betroffenen Personen
Das DSG gewährt betroffenen Personen umfassende Rechte gegenüber Verantwortlichen. Diese Rechte können grundsätzlich kostenlos und ohne Begründung ausgeübt werden.
| Recht | Inhalt | Frist |
|---|---|---|
| Auskunftsrecht (Art. 25) | Auskunft über bearbeitete Daten und deren Herkunft | 30 Tage |
| Recht auf Datenherausgabe/-übertragung (Art. 28) | Datenportabilität in gängigem Format | 30 Tage |
| Recht auf Berichtigung (Art. 32) | Korrektur falscher Daten | Unverzüglich |
| Recht auf Löschung/Vernichtung | Löschung bei fehlender Rechtsgrundlage | Unverzüglich |
| Widerspruchsrecht | Widerspruch gegen bestimmte Bearbeitungen | Sofort wirksam |
Wer mehr über die Unterschiede zur europäischen Regelung erfahren möchte, findet im Beitrag DSG vs DSGVO: Die wichtigsten Unterschiede einen detaillierten Vergleich.
Datenexport ins Ausland
Die Bekanntgabe von Personendaten ins Ausland ist nur unter bestimmten Voraussetzungen zulässig. Der Bundesrat führt eine Liste von Ländern mit angemessenem Datenschutz – darunter alle EU/EWR-Staaten sowie weitere Drittländer.
Übermittlung in Länder ohne angemessenes Datenschutzniveau
Fehlt eine Angemessenheitsentscheidung, sind zusätzliche Garantien notwendig:
- Standardvertragsklauseln (vom EDÖB genehmigt oder erlassen)
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Spezifische vertragliche Garantien
- Einwilligung der betroffenen Person im Einzelfall
Schweiz–USA Data Privacy Framework
Seit September 2024 anerkennt die Schweiz die USA als Land mit angemessenem Datenschutzniveau für Unternehmen, die sich dem Swiss–U.S. Data Privacy Framework angeschlossen haben. Für andere US-Empfänger sind weiterhin zusätzliche Garantien erforderlich.
Der EDÖB – Die Schweizer Aufsichtsbehörde
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zentrale Aufsichtsbehörde des Bundes. Mit dem revDSG wurden seine Kompetenzen deutlich erweitert.
Befugnisse des EDÖB
- Eröffnung von Untersuchungen von Amtes wegen oder auf Anzeige
- Anordnung verbindlicher Massnahmen (etwa Anpassung, Sistierung oder Löschung)
- Empfehlungen und Stellungnahmen
- Genehmigung von Standardvertragsklauseln und BCR
- Zusammenarbeit mit ausländischen Aufsichtsbehörden
Sanktionen bei Verstössen
Eine wesentliche Neuerung des revDSG ist das verschärfte Sanktionssystem. Im Unterschied zur DSGVO werden im Schweizer Recht primär natürliche Personen – also verantwortliche Personen im Unternehmen – mit Bussen belegt, nicht das Unternehmen selbst.
Strafbestimmungen im Überblick
| Verstoss | Maximale Busse | Adressat |
|---|---|---|
| Verletzung Informations-, Auskunfts- und Mitwirkungspflichten | CHF 250'000 | Privatperson |
| Verletzung Sorgfaltspflichten (z.B. Datenexport, Auftragsbearbeitung) | CHF 250'000 | Privatperson |
| Verletzung beruflicher Schweigepflicht | CHF 250'000 | Privatperson |
| Missachtung Verfügungen des EDÖB | CHF 250'000 | Privatperson |
| Subsidiäre Unternehmensbusse (bei Ermittlungsaufwand) | CHF 50'000 | Unternehmen |
Verfolgt werden die Verstösse durch die kantonalen Strafverfolgungsbehörden, nur auf Antrag.
Praktische Umsetzung im Unternehmen
Die Einhaltung des DSG erfordert ein strukturiertes Vorgehen. Folgende Schritte haben sich in der Praxis bewährt:
- Bestandsaufnahme: Welche Daten werden zu welchem Zweck bearbeitet?
- Bearbeitungsverzeichnis erstellen und laufend aktualisieren.
- Datenschutzerklärung anpassen – auf Webseite, in Apps und Formularen.
- Verträge mit Auftragsbearbeitern prüfen und aktualisieren.
- Technische und organisatorische Massnahmen implementieren – inklusive starker Passwörter und Verschlüsselung. Hilfreiche Tipps finden Sie im Leitfaden zur Passwortsicherheit 2026.
- Mitarbeitende schulen – Datenschutz ist Teamaufgabe.
- Meldeprozesse für Datenschutzverletzungen definieren.
- Regelmässige Audits durchführen.
Datenschutz im digitalen Marketing
Auch im Marketing greifen die DSG-Regeln. Wer Links teilt, Klicks misst oder Kampagnen auswertet, bearbeitet potenziell Personendaten. Datenschutzfreundliche Tools wie Lunyb ermöglichen es, URLs zu kürzen und Klick-Statistiken zu erheben, ohne übermässig viele personenbezogene Informationen zu sammeln. Wer Tracking professionell aufsetzen möchte, findet im Beitrag Die besten Link-Tracking-Tools 2026 einen Vergleich. Eine praktische Anleitung bietet zudem der Artikel URL kürzen: So funktioniert es richtig.
DSG im internationalen Kontext
Obwohl das revDSG der DSGVO stark angenähert wurde, gibt es weiterhin wesentliche Unterschiede – etwa beim Sanktionsregime, beim Schutz juristischer Personen und bei einzelnen Begrifflichkeiten. Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, müssen beide Regelwerke beachten. Ein detaillierter Blick auf die deutsche Perspektive findet sich im Artikel Datenschutz in Deutschland: Ihre Rechte im Überblick 2026.
FAQ – Häufig gestellte Fragen zum DSG
Wann ist das revidierte DSG in Kraft getreten?
Das revidierte Datenschutzgesetz (revDSG) trat am 1. September 2023 in Kraft. Es gab keine Übergangsfrist – seither müssen alle Bearbeitungen den neuen Bestimmungen entsprechen. Die Verordnung über den Datenschutz (DSV) konkretisiert die Anforderungen.
Muss mein Unternehmen einen Datenschutzberater ernennen?
Anders als die DSGVO kennt das DSG keine zwingende Pflicht zur Bestellung eines Datenschutzberaters. Die Ernennung ist freiwillig, bietet aber Vorteile: Bei einer DSFA muss kein externer Berater oder der EDÖB konsultiert werden. Bundesorgane sind hingegen verpflichtet, eine beratende Person zu bestellen.
Was ist der Unterschied zwischen DSG und DSGVO?
Beide Gesetze regeln Datenschutz ähnlich, unterscheiden sich aber unter anderem in folgenden Punkten: Das DSG schützt nur natürliche Personen (DSGVO nur natürliche, aber strenger), Sanktionen treffen primär Privatpersonen statt Unternehmen, es gibt keine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten und die Meldefristen sind weniger streng formuliert.
Gilt das DSG auch für ausländische Unternehmen?
Ja. Das DSG gilt extraterritorial. Sobald ein ausländisches Unternehmen Personen in der Schweiz Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, muss es das DSG einhalten. In bestimmten Fällen ist sogar die Bestellung einer Vertretung in der Schweiz erforderlich.
Welche Bussen drohen bei Verstössen gegen das DSG?
Privatpersonen (verantwortliche Mitarbeitende) können mit Bussen bis zu CHF 250'000 belegt werden. Subsidiär kann auch das Unternehmen mit bis zu CHF 50'000 gebüsst werden, wenn die Ermittlung der verantwortlichen Person unverhältnismässig wäre. Verstösse werden auf Antrag durch kantonale Strafverfolgungsbehörden verfolgt.
Fazit
Das revidierte Schweizer Datenschutzgesetz bringt die Schweiz auf modernes Datenschutzniveau und sichert den freien Datenverkehr mit der EU. Für Unternehmen bedeutet dies konkrete Pflichten – von der Datenschutzerklärung über das Bearbeitungsverzeichnis bis zu klaren Meldeprozessen bei Datenschutzverletzungen. Wer die Grundsätze versteht und systematisch umsetzt, schützt nicht nur die Persönlichkeitsrechte der betroffenen Personen, sondern auch das eigene Unternehmen vor Bussen und Reputationsschäden. Datenschutz ist heute Wettbewerbsfaktor und Vertrauensgrundlage zugleich.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSG vs DSGVO: Die Wichtigsten Unterschiede Einfach Erklärt
Das Schweizer DSG und die EU-DSGVO verfolgen ähnliche Ziele, unterscheiden sich aber in Sanktionen, Pflichten und Geltungsbereich deutlich. Dieser Artikel erklärt alle wichtigen Unterschiede und gibt Unternehmen eine praktische Orientierung für die rechtskonforme Umsetzung 2026.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Sie möchten eine Datenschutzbeschwerde bei der BfDI einreichen, wissen aber nicht wie? Diese Schritt-für-Schritt-Anleitung führt Sie durch Vorbereitung, Einreichung und Nachverfolgung – inklusive Fristen, Formularen und praktischen Tipps für maximale Erfolgsaussichten.
DSGVO in Österreich: Ihre Rechte als Betroffene 2026
Die DSGVO gibt Ihnen in Österreich umfassende Rechte: Auskunft, Löschung, Widerspruch und mehr. Dieser Leitfaden 2026 erklärt verständlich, welche Ansprüche Sie haben und wie Sie diese Schritt für Schritt durchsetzen – inklusive Musterformulierungen und FAQ.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Die Österreichische Datenschutzbehörde (DSB) ist Ihre zentrale Anlaufstelle bei Datenschutzverletzungen. Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde nach DSGVO einreichen, welche Fristen gelten und welche Ergebnisse Sie realistisch erwarten können.