DSG: Das Schweizer Datenschutzgesetz Erklärt (Leitfaden 2026)
Seit dem 1. September 2023 gilt in der Schweiz das vollständig revidierte Datenschutzgesetz (revDSG). Es modernisiert das bisherige Recht aus dem Jahr 1992, stärkt die Rechte betroffener Personen und bringt Schweizer Unternehmen näher an europäische Standards heran, ohne mit der DSGVO deckungsgleich zu sein. Dieser Leitfaden erklärt die wichtigsten Regelungen des Schweizer Datenschutzgesetzes praxisnah – für Unternehmen, Vereine und Privatpersonen.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Schweizer Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz zum Schutz der Persönlichkeit und der Grundrechte natürlicher Personen bei der Bearbeitung ihrer Personendaten. Es regelt, wie Behörden und private Personen mit Personendaten umgehen dürfen und welche Rechte betroffene Personen haben.
Am 25. September 2020 verabschiedete das Schweizer Parlament die Totalrevision. Nach einer Übergangsfrist trat das neue Gesetz zusammen mit der revidierten Datenschutzverordnung (DSV) am 1. September 2023 in Kraft. Damit soll die Schweiz weiterhin als Land mit einem angemessenen Datenschutzniveau im Sinne der DSGVO anerkannt bleiben – eine entscheidende Voraussetzung für den freien Datenfluss mit der EU.
Wer ist vom revDSG betroffen?
Das Gesetz gilt für:
- Private Personen und Unternehmen in der Schweiz, die Personendaten bearbeiten
- Schweizer Bundesbehörden (nicht jedoch kantonale und kommunale Behörden – diese unterstehen kantonalem Recht)
- Ausländische Unternehmen, deren Datenbearbeitung sich auf Personen in der Schweiz auswirkt (Marktortprinzip)
Anders als die DSGVO schützt das revDSG ausschliesslich Daten natürlicher Personen. Der frühere Schutz juristischer Personen entfällt.
Die wichtigsten Grundprinzipien des DSG
Das revDSG baut auf klassischen Datenschutzgrundsätzen auf, die bei jeder Datenbearbeitung eingehalten werden müssen:
- Rechtmässigkeit: Personendaten dürfen nur rechtmässig beschafft werden.
- Treu und Glauben: Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
- Zweckbindung: Daten dürfen nur zu einem erkennbaren, bei der Beschaffung angegebenen Zweck bearbeitet werden.
- Verhältnismässigkeit: Es dürfen nur so viele Daten bearbeitet werden, wie für den Zweck notwendig sind.
- Richtigkeit: Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern.
- Datensicherheit: Angemessene technische und organisatorische Massnahmen (TOM) sind Pflicht.
- Transparenz: Betroffene Personen müssen über die Datenbearbeitung informiert werden.
Neuerungen im revidierten DSG
Die Revision hat das Datenschutzrecht in der Schweiz grundlegend modernisiert. Die wichtigsten Änderungen im Überblick:
1. Erweiterte Informationspflichten
Bei jeder Beschaffung von Personendaten – nicht mehr nur bei besonders schützenswerten Daten – müssen betroffene Personen aktiv informiert werden. Die Datenschutzerklärung wird damit zur Pflicht für praktisch jede Website und jedes Unternehmen.
2. Verzeichnis der Bearbeitungstätigkeiten
Unternehmen und Bundesorgane müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, sofern ihre Datenbearbeitung nur ein geringes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
3. Datenschutz-Folgenabschätzung (DSFA)
Vor risikoreichen Datenbearbeitungen – etwa bei umfangreicher Bearbeitung besonders schützenswerter Daten oder systematischer Überwachung – muss eine Folgenabschätzung erstellt werden.
4. Meldepflicht bei Datenpannen
Datensicherheitsverletzungen mit voraussichtlich hohem Risiko für betroffene Personen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich gemeldet werden. Anders als bei der DSGVO gibt es keine starre 72-Stunden-Frist.
5. Privacy by Design und by Default
Datenschutz muss bereits bei der technischen Konzeption von Systemen mitgedacht werden. Standardeinstellungen müssen datenschutzfreundlich sein.
6. Neue Kategorie: Genetische und biometrische Daten
Genetische Daten sowie biometrische Daten, die eine Person eindeutig identifizieren, gelten neu als besonders schützenswerte Personendaten.
7. Profiling mit hohem Risiko
Das Gesetz führt den Begriff des "Profiling mit hohem Risiko" ein. Dieses erfordert eine ausdrückliche Einwilligung, wenn es auf eine solche gestützt wird.
Rechte der betroffenen Personen
Betroffene Personen haben nach dem revDSG umfangreiche Rechte, die sie gegenüber jedem Verantwortlichen geltend machen können:
Auskunftsrecht (Art. 25 revDSG)
Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die Auskunft muss innert 30 Tagen und grundsätzlich kostenlos erteilt werden.
Recht auf Datenherausgabe und Datenübertragbarkeit
Personen können verlangen, dass ihnen ihre Daten in einem gängigen elektronischen Format herausgegeben oder direkt an einen anderen Verantwortlichen übertragen werden.
Recht auf Berichtigung, Löschung und Sperrung
Unrichtige Daten müssen berichtigt werden. Bei fehlender Rechtsgrundlage können Betroffene die Löschung oder Vernichtung ihrer Daten verlangen.
Widerspruchsrecht
Betroffene können gegen bestimmte Datenbearbeitungen Widerspruch einlegen, insbesondere bei automatisierten Einzelentscheidungen.
DSG vs. DSGVO: Der direkte Vergleich
Obwohl das revDSG in weiten Teilen an die DSGVO angeglichen wurde, bestehen wichtige Unterschiede. Die folgende Tabelle zeigt die zentralen Punkte:
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Schutzobjekt | Nur natürliche Personen | Nur natürliche Personen |
| Rechtsgrundlage für Bearbeitung | Grundsätzlich erlaubt, ausser bei Persönlichkeitsverletzung | Benötigt aktive Rechtsgrundlage (Art. 6 DSGVO) |
| Meldefrist bei Datenpannen | "So rasch als möglich" | 72 Stunden |
| Maximale Busse | CHF 250'000 (gegen Privatperson) | Bis 20 Mio. EUR oder 4% Weltumsatz |
| Sanktionsadressat | Verantwortliche natürliche Person | Unternehmen |
| Datenschutzbeauftragter | Freiwillig ("Datenschutzberater") | In bestimmten Fällen Pflicht |
| Aufsichtsbehörde | EDÖB (Bund) | Nationale Datenschutzbehörden |
| Auftragsverarbeiter | "Auftragsbearbeiter" | Auftragsverarbeiter |
Ein zentraler Unterschied: Das Prinzip der Zulässigkeit
Während die DSGVO ein Verbot mit Erlaubnisvorbehalt kennt (jede Bearbeitung ist verboten, ausser sie ist ausdrücklich erlaubt), verfolgt das revDSG einen umgekehrten Ansatz: Datenbearbeitung ist grundsätzlich zulässig, solange sie die Grundsätze einhält und die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt.
Bussen und Sanktionen unter dem revDSG
Eine der auffälligsten Besonderheiten des Schweizer Systems: Bussen richten sich in der Regel gegen verantwortliche natürliche Personen – nicht gegen das Unternehmen selbst. Vorsätzliche Verstösse können mit einer Busse von bis zu 250'000 Franken geahndet werden.
Bussenwürdige Verstösse (Auswahl)
- Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten
- Missachtung von Mindestanforderungen an die Datensicherheit
- Unerlaubte Bekanntgabe von Personendaten ins Ausland
- Verletzung der Sorgfaltspflichten bei Beizug eines Auftragsbearbeiters
- Vorsätzlich falsche Auskunftserteilung
Für Unternehmen gilt: Können Verstösse nicht klar einer bestimmten Person zugerechnet werden, kann das Unternehmen selbst mit bis zu 50'000 Franken gebüsst werden – deutlich weniger als in der EU.
Datentransfer ins Ausland
Die Bekanntgabe von Personendaten ins Ausland ist nach Art. 16 revDSG nur zulässig, wenn im Empfängerland ein angemessener Datenschutz gewährleistet ist. Der Bundesrat führt eine Länderliste. Für Länder ohne angemessenen Schutz müssen zusätzliche Garantien vorliegen, etwa:
- Standardvertragsklauseln (SCC), genehmigt oder anerkannt vom EDÖB
- Verbindliche interne Datenschutzvorschriften (BCR)
- Ausdrückliche Einwilligung der betroffenen Person
- Spezifische gesetzliche Ausnahmen
Praktische Umsetzung im Unternehmen
Für Schweizer Unternehmen empfiehlt sich ein strukturiertes Vorgehen zur DSG-Compliance:
- Datenaudit durchführen: Erfassen Sie alle Datenbearbeitungen im Unternehmen.
- Bearbeitungsverzeichnis erstellen: Auch KMU sollten dies aus Nachweisgründen führen.
- Datenschutzerklärung aktualisieren: Sie muss den erweiterten Informationspflichten genügen.
- Prozesse für Betroffenenrechte einrichten: Auskunftsersuchen müssen effizient bearbeitet werden können.
- Auftragsbearbeiter-Verträge prüfen: Bestehende ADV-Verträge müssen an das revDSG angepasst werden.
- Technische und organisatorische Massnahmen dokumentieren: Verschlüsselung, Zugriffskontrollen, Backups.
- Meldeprozess für Datenpannen etablieren: Wer meldet was in welcher Frist an den EDÖB?
- Mitarbeitende schulen: Datenschutz ist ein Kulturthema.
Werkzeuge, die Compliance unterstützen
Zur Umsetzung des revDSG gehören auch scheinbar kleine Details. Wer beispielsweise Marketing-Links teilt, sollte auf Anbieter achten, die datenschutzkonform arbeiten. Der Schweizer Nutzern zugängliche Dienst Lunyb ist ein datenschutzfreundlicher URL-Kürzer, der ohne unnötiges Tracking auskommt – eine Alternative zu US-Anbietern, wie sie auch in unserem Vergleich der besten URL-Kürzungsdienste beschrieben wird.
Weitere praktische Sicherheitsthemen behandeln unsere Leitfäden zur Passwortsicherheit sowie dazu, was Google über Sie weiss.
Die Rolle des EDÖB
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zentrale Aufsichtsbehörde für den Datenschutz auf Bundesebene. Mit dem revDSG wurden seine Kompetenzen deutlich gestärkt.
Befugnisse des EDÖB
- Eröffnung von Untersuchungen von Amtes wegen oder auf Anzeige hin
- Erlass verbindlicher Verfügungen (bisher konnte er nur Empfehlungen aussprechen)
- Anordnung von Massnahmen: Anpassung, Unterbrechung oder Abbruch einer Datenbearbeitung
- Anzeige strafbarer Handlungen bei den Strafverfolgungsbehörden
- Beratung von Bundesorganen und Privaten
Betroffene Personen können sich mit einer Anzeige an den EDÖB wenden, wenn sie eine Verletzung von Datenschutzbestimmungen vermuten. Wer sich für den Beschwerdeweg in einem Nachbarland interessiert, findet in unserem Beitrag zur Beschwerde bei der österreichischen Datenschutzbehörde einen anschaulichen Vergleich.
Häufige Fehler bei der DSG-Umsetzung
In der Praxis lassen sich einige typische Stolperfallen beobachten:
- Veraltete Datenschutzerklärungen: Viele Websites betreiben immer noch Texte auf Basis des alten DSG.
- Fehlende AVV mit Cloud-Anbietern: Wer Google Workspace, Microsoft 365 oder ähnliche Dienste nutzt, benötigt vertragliche Grundlagen.
- Unklare Zuständigkeiten: Ohne benannte Verantwortlichkeit für Datenschutz bleiben Prozesse liegen.
- Ungeprüfte Datentransfers ins Ausland: Besonders bei US-Diensten braucht es zusätzliche Garantien.
- Fehlende Datensicherheitsmassnahmen: Verschlüsselung, MFA und Backups sind Grundvoraussetzung.
DSG und Marketing: Was ist noch erlaubt?
E-Mail-Marketing, Newsletter, Werbe-Tracking – all das bleibt möglich, unterliegt aber strengen Anforderungen. Für Direktmarketing per E-Mail gilt in der Schweiz zusätzlich das Bundesgesetz gegen den unlauteren Wettbewerb (UWG), das grundsätzlich eine Einwilligung verlangt. Analyse-Cookies und Tracking-Pixel müssen transparent kommuniziert und – gemäss weit verbreiteter Praxis – mit Einwilligung eingesetzt werden, insbesondere wenn EU-Bürger betroffen sind.
Ausblick: Wohin entwickelt sich das Schweizer Datenschutzrecht?
Mit dem revDSG hat die Schweiz einen wichtigen Schritt Richtung Europa gemacht. Die EU-Kommission hat die Schweiz auch 2024 als Land mit angemessenem Datenschutzniveau bestätigt. Gleichzeitig entwickelt sich das Recht laufend weiter: Themen wie KI-Regulierung, Data Governance und internationale Datentransfers werden das Datenschutzrecht auch in den nächsten Jahren prägen.
FAQ – Häufig gestellte Fragen zum revDSG
Gilt das Schweizer Datenschutzgesetz auch für ausländische Unternehmen?
Ja. Nach dem Marktortprinzip erfasst das revDSG auch ausländische Unternehmen, wenn sich ihre Datenbearbeitung in der Schweiz auswirkt – etwa weil sie Waren oder Dienstleistungen an Personen in der Schweiz anbieten oder deren Verhalten beobachten. Solche Unternehmen müssen zudem eine Vertretung in der Schweiz benennen, wenn sie regelmässig oder in grossem Umfang besonders schützenswerte Daten bearbeiten.
Muss jedes Schweizer Unternehmen einen Datenschutzbeauftragten ernennen?
Nein. Anders als die DSGVO kennt das revDSG keine allgemeine Pflicht zur Ernennung. Das Gesetz sieht lediglich die freiwillige Benennung eines "Datenschutzberaters" vor. Für Bundesorgane ist die Ernennung hingegen verpflichtend. Trotzdem empfiehlt es sich für viele Unternehmen, eine verantwortliche Person zu bestimmen – schon aus organisatorischen Gründen.
Was passiert bei einer Datenpanne konkret?
Wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, muss der EDÖB "so rasch als möglich" informiert werden. Zusätzlich sind die betroffenen Personen zu informieren, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt. Die Meldung sollte Art des Vorfalls, Folgen und getroffene Massnahmen enthalten.
Reicht eine DSGVO-konforme Datenschutzerklärung für die Schweiz aus?
In vielen Fällen ja, aber nicht immer. Eine DSGVO-Datenschutzerklärung deckt die meisten Anforderungen des revDSG ab, sollte jedoch schweizspezifisch ergänzt werden: Verweis auf das revDSG statt nur auf die DSGVO, Nennung des EDÖB als Aufsichtsbehörde, Schweizer Kontaktadresse sowie allenfalls Hinweise auf die Vertretung in der Schweiz. Eine reine Kopie der EU-Erklärung ist nicht optimal.
Wie hoch sind die tatsächlich verhängten Bussen bisher?
Bislang sind die effektiv verhängten Bussen unter dem revDSG moderat. Das Schweizer Sanktionssystem zielt weniger auf Abschreckung durch Höhe, sondern eher auf persönliche Verantwortung von Führungspersonen. Wesentlich stärker wirken in der Praxis Reputationsrisiken, Zivilklagen betroffener Personen sowie mögliche Anordnungen des EDÖB, die eine ganze Datenbearbeitung stoppen können.
Fazit
Das revidierte Schweizer Datenschutzgesetz bringt substanzielle Neuerungen und nähert die Schweiz an europäische Standards an – bewahrt aber wichtige Eigenheiten wie das grundsätzliche Zulässigkeitsprinzip und die persönliche Bussenpflicht. Für Unternehmen bedeutet das: Auch ohne DSGVO-Anwendbarkeit führt am Datenschutz kein Weg mehr vorbei. Wer proaktiv handelt, transparente Prozesse einrichtet und Datenschutz als Vertrauensfaktor gegenüber Kundinnen und Kunden versteht, wird vom neuen Recht mehr profitieren als darunter leiden.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Die österreichische Datenschutzbehörde (DSB) prüft Beschwerden zu DSGVO-Verstößen kostenfrei. Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde einreichen, welche Fristen gelten und wie Sie Ihre Erfolgsaussichten maximieren.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Sie möchten eine Datenschutzbeschwerde bei der BfDI einreichen? Unser Schritt-für-Schritt-Leitfaden zeigt Ihnen, welche Voraussetzungen gelten, wie Sie Beweise sammeln und Ihre Beschwerde nach Art. 77 DSGVO wirksam formulieren – inklusive Muster und häufigen Fehlern.
DSG vs DSGVO: Die Unterschiede Verstehen (Leitfaden 2026)
Das revidierte Schweizer DSG und die europäische DSGVO verfolgen ähnliche Ziele, unterscheiden sich aber in Anwendungsbereich, Pflichten und Sanktionen. Dieser Leitfaden erklärt die zentralen Unterschiede und zeigt, welche Regeln für Schweizer Unternehmen wirklich gelten.
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO verleiht Ihnen als Betroffener in Österreich acht zentrale Rechte – von Auskunft bis Widerspruch. Dieser Leitfaden erklärt Ihre Ansprüche verständlich, zeigt praxisnahe Musteranfragen und beschreibt, wie Sie sich bei Verstößen effektiv wehren.