facebook-pixel

DSG: Das Schweizer Datenschutzgesetz Erklärt (Leitfaden 2026)

L
Lunyb Sicherheitsteam
··9 min read

Seit dem 1. September 2023 gilt in der Schweiz das vollständig revidierte Datenschutzgesetz (revDSG). Es modernisiert das bisherige Recht aus dem Jahr 1992, stärkt die Rechte betroffener Personen und bringt Schweizer Unternehmen näher an europäische Standards heran, ohne mit der DSGVO deckungsgleich zu sein. Dieser Leitfaden erklärt die wichtigsten Regelungen des Schweizer Datenschutzgesetzes praxisnah – für Unternehmen, Vereine und Privatpersonen.

Was ist das Schweizer Datenschutzgesetz (DSG)?

Das Schweizer Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz zum Schutz der Persönlichkeit und der Grundrechte natürlicher Personen bei der Bearbeitung ihrer Personendaten. Es regelt, wie Behörden und private Personen mit Personendaten umgehen dürfen und welche Rechte betroffene Personen haben.

Am 25. September 2020 verabschiedete das Schweizer Parlament die Totalrevision. Nach einer Übergangsfrist trat das neue Gesetz zusammen mit der revidierten Datenschutzverordnung (DSV) am 1. September 2023 in Kraft. Damit soll die Schweiz weiterhin als Land mit einem angemessenen Datenschutzniveau im Sinne der DSGVO anerkannt bleiben – eine entscheidende Voraussetzung für den freien Datenfluss mit der EU.

Wer ist vom revDSG betroffen?

Das Gesetz gilt für:

  • Private Personen und Unternehmen in der Schweiz, die Personendaten bearbeiten
  • Schweizer Bundesbehörden (nicht jedoch kantonale und kommunale Behörden – diese unterstehen kantonalem Recht)
  • Ausländische Unternehmen, deren Datenbearbeitung sich auf Personen in der Schweiz auswirkt (Marktortprinzip)

Anders als die DSGVO schützt das revDSG ausschliesslich Daten natürlicher Personen. Der frühere Schutz juristischer Personen entfällt.

Die wichtigsten Grundprinzipien des DSG

Das revDSG baut auf klassischen Datenschutzgrundsätzen auf, die bei jeder Datenbearbeitung eingehalten werden müssen:

  1. Rechtmässigkeit: Personendaten dürfen nur rechtmässig beschafft werden.
  2. Treu und Glauben: Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
  3. Zweckbindung: Daten dürfen nur zu einem erkennbaren, bei der Beschaffung angegebenen Zweck bearbeitet werden.
  4. Verhältnismässigkeit: Es dürfen nur so viele Daten bearbeitet werden, wie für den Zweck notwendig sind.
  5. Richtigkeit: Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern.
  6. Datensicherheit: Angemessene technische und organisatorische Massnahmen (TOM) sind Pflicht.
  7. Transparenz: Betroffene Personen müssen über die Datenbearbeitung informiert werden.

Neuerungen im revidierten DSG

Die Revision hat das Datenschutzrecht in der Schweiz grundlegend modernisiert. Die wichtigsten Änderungen im Überblick:

1. Erweiterte Informationspflichten

Bei jeder Beschaffung von Personendaten – nicht mehr nur bei besonders schützenswerten Daten – müssen betroffene Personen aktiv informiert werden. Die Datenschutzerklärung wird damit zur Pflicht für praktisch jede Website und jedes Unternehmen.

2. Verzeichnis der Bearbeitungstätigkeiten

Unternehmen und Bundesorgane müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausgenommen sind KMU mit weniger als 250 Mitarbeitenden, sofern ihre Datenbearbeitung nur ein geringes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.

3. Datenschutz-Folgenabschätzung (DSFA)

Vor risikoreichen Datenbearbeitungen – etwa bei umfangreicher Bearbeitung besonders schützenswerter Daten oder systematischer Überwachung – muss eine Folgenabschätzung erstellt werden.

4. Meldepflicht bei Datenpannen

Datensicherheitsverletzungen mit voraussichtlich hohem Risiko für betroffene Personen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich gemeldet werden. Anders als bei der DSGVO gibt es keine starre 72-Stunden-Frist.

5. Privacy by Design und by Default

Datenschutz muss bereits bei der technischen Konzeption von Systemen mitgedacht werden. Standardeinstellungen müssen datenschutzfreundlich sein.

6. Neue Kategorie: Genetische und biometrische Daten

Genetische Daten sowie biometrische Daten, die eine Person eindeutig identifizieren, gelten neu als besonders schützenswerte Personendaten.

7. Profiling mit hohem Risiko

Das Gesetz führt den Begriff des "Profiling mit hohem Risiko" ein. Dieses erfordert eine ausdrückliche Einwilligung, wenn es auf eine solche gestützt wird.

Rechte der betroffenen Personen

Betroffene Personen haben nach dem revDSG umfangreiche Rechte, die sie gegenüber jedem Verantwortlichen geltend machen können:

Auskunftsrecht (Art. 25 revDSG)

Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die Auskunft muss innert 30 Tagen und grundsätzlich kostenlos erteilt werden.

Recht auf Datenherausgabe und Datenübertragbarkeit

Personen können verlangen, dass ihnen ihre Daten in einem gängigen elektronischen Format herausgegeben oder direkt an einen anderen Verantwortlichen übertragen werden.

Recht auf Berichtigung, Löschung und Sperrung

Unrichtige Daten müssen berichtigt werden. Bei fehlender Rechtsgrundlage können Betroffene die Löschung oder Vernichtung ihrer Daten verlangen.

Widerspruchsrecht

Betroffene können gegen bestimmte Datenbearbeitungen Widerspruch einlegen, insbesondere bei automatisierten Einzelentscheidungen.

DSG vs. DSGVO: Der direkte Vergleich

Obwohl das revDSG in weiten Teilen an die DSGVO angeglichen wurde, bestehen wichtige Unterschiede. Die folgende Tabelle zeigt die zentralen Punkte:

Aspekt revDSG (Schweiz) DSGVO (EU)
Schutzobjekt Nur natürliche Personen Nur natürliche Personen
Rechtsgrundlage für Bearbeitung Grundsätzlich erlaubt, ausser bei Persönlichkeitsverletzung Benötigt aktive Rechtsgrundlage (Art. 6 DSGVO)
Meldefrist bei Datenpannen "So rasch als möglich" 72 Stunden
Maximale Busse CHF 250'000 (gegen Privatperson) Bis 20 Mio. EUR oder 4% Weltumsatz
Sanktionsadressat Verantwortliche natürliche Person Unternehmen
Datenschutzbeauftragter Freiwillig ("Datenschutzberater") In bestimmten Fällen Pflicht
Aufsichtsbehörde EDÖB (Bund) Nationale Datenschutzbehörden
Auftragsverarbeiter "Auftragsbearbeiter" Auftragsverarbeiter

Ein zentraler Unterschied: Das Prinzip der Zulässigkeit

Während die DSGVO ein Verbot mit Erlaubnisvorbehalt kennt (jede Bearbeitung ist verboten, ausser sie ist ausdrücklich erlaubt), verfolgt das revDSG einen umgekehrten Ansatz: Datenbearbeitung ist grundsätzlich zulässig, solange sie die Grundsätze einhält und die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt.

Bussen und Sanktionen unter dem revDSG

Eine der auffälligsten Besonderheiten des Schweizer Systems: Bussen richten sich in der Regel gegen verantwortliche natürliche Personen – nicht gegen das Unternehmen selbst. Vorsätzliche Verstösse können mit einer Busse von bis zu 250'000 Franken geahndet werden.

Bussenwürdige Verstösse (Auswahl)

  • Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten
  • Missachtung von Mindestanforderungen an die Datensicherheit
  • Unerlaubte Bekanntgabe von Personendaten ins Ausland
  • Verletzung der Sorgfaltspflichten bei Beizug eines Auftragsbearbeiters
  • Vorsätzlich falsche Auskunftserteilung

Für Unternehmen gilt: Können Verstösse nicht klar einer bestimmten Person zugerechnet werden, kann das Unternehmen selbst mit bis zu 50'000 Franken gebüsst werden – deutlich weniger als in der EU.

Datentransfer ins Ausland

Die Bekanntgabe von Personendaten ins Ausland ist nach Art. 16 revDSG nur zulässig, wenn im Empfängerland ein angemessener Datenschutz gewährleistet ist. Der Bundesrat führt eine Länderliste. Für Länder ohne angemessenen Schutz müssen zusätzliche Garantien vorliegen, etwa:

  • Standardvertragsklauseln (SCC), genehmigt oder anerkannt vom EDÖB
  • Verbindliche interne Datenschutzvorschriften (BCR)
  • Ausdrückliche Einwilligung der betroffenen Person
  • Spezifische gesetzliche Ausnahmen

Praktische Umsetzung im Unternehmen

Für Schweizer Unternehmen empfiehlt sich ein strukturiertes Vorgehen zur DSG-Compliance:

  1. Datenaudit durchführen: Erfassen Sie alle Datenbearbeitungen im Unternehmen.
  2. Bearbeitungsverzeichnis erstellen: Auch KMU sollten dies aus Nachweisgründen führen.
  3. Datenschutzerklärung aktualisieren: Sie muss den erweiterten Informationspflichten genügen.
  4. Prozesse für Betroffenenrechte einrichten: Auskunftsersuchen müssen effizient bearbeitet werden können.
  5. Auftragsbearbeiter-Verträge prüfen: Bestehende ADV-Verträge müssen an das revDSG angepasst werden.
  6. Technische und organisatorische Massnahmen dokumentieren: Verschlüsselung, Zugriffskontrollen, Backups.
  7. Meldeprozess für Datenpannen etablieren: Wer meldet was in welcher Frist an den EDÖB?
  8. Mitarbeitende schulen: Datenschutz ist ein Kulturthema.

Werkzeuge, die Compliance unterstützen

Zur Umsetzung des revDSG gehören auch scheinbar kleine Details. Wer beispielsweise Marketing-Links teilt, sollte auf Anbieter achten, die datenschutzkonform arbeiten. Der Schweizer Nutzern zugängliche Dienst Lunyb ist ein datenschutzfreundlicher URL-Kürzer, der ohne unnötiges Tracking auskommt – eine Alternative zu US-Anbietern, wie sie auch in unserem Vergleich der besten URL-Kürzungsdienste beschrieben wird.

Weitere praktische Sicherheitsthemen behandeln unsere Leitfäden zur Passwortsicherheit sowie dazu, was Google über Sie weiss.

Die Rolle des EDÖB

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zentrale Aufsichtsbehörde für den Datenschutz auf Bundesebene. Mit dem revDSG wurden seine Kompetenzen deutlich gestärkt.

Befugnisse des EDÖB

  • Eröffnung von Untersuchungen von Amtes wegen oder auf Anzeige hin
  • Erlass verbindlicher Verfügungen (bisher konnte er nur Empfehlungen aussprechen)
  • Anordnung von Massnahmen: Anpassung, Unterbrechung oder Abbruch einer Datenbearbeitung
  • Anzeige strafbarer Handlungen bei den Strafverfolgungsbehörden
  • Beratung von Bundesorganen und Privaten

Betroffene Personen können sich mit einer Anzeige an den EDÖB wenden, wenn sie eine Verletzung von Datenschutzbestimmungen vermuten. Wer sich für den Beschwerdeweg in einem Nachbarland interessiert, findet in unserem Beitrag zur Beschwerde bei der österreichischen Datenschutzbehörde einen anschaulichen Vergleich.

Häufige Fehler bei der DSG-Umsetzung

In der Praxis lassen sich einige typische Stolperfallen beobachten:

  • Veraltete Datenschutzerklärungen: Viele Websites betreiben immer noch Texte auf Basis des alten DSG.
  • Fehlende AVV mit Cloud-Anbietern: Wer Google Workspace, Microsoft 365 oder ähnliche Dienste nutzt, benötigt vertragliche Grundlagen.
  • Unklare Zuständigkeiten: Ohne benannte Verantwortlichkeit für Datenschutz bleiben Prozesse liegen.
  • Ungeprüfte Datentransfers ins Ausland: Besonders bei US-Diensten braucht es zusätzliche Garantien.
  • Fehlende Datensicherheitsmassnahmen: Verschlüsselung, MFA und Backups sind Grundvoraussetzung.

DSG und Marketing: Was ist noch erlaubt?

E-Mail-Marketing, Newsletter, Werbe-Tracking – all das bleibt möglich, unterliegt aber strengen Anforderungen. Für Direktmarketing per E-Mail gilt in der Schweiz zusätzlich das Bundesgesetz gegen den unlauteren Wettbewerb (UWG), das grundsätzlich eine Einwilligung verlangt. Analyse-Cookies und Tracking-Pixel müssen transparent kommuniziert und – gemäss weit verbreiteter Praxis – mit Einwilligung eingesetzt werden, insbesondere wenn EU-Bürger betroffen sind.

Ausblick: Wohin entwickelt sich das Schweizer Datenschutzrecht?

Mit dem revDSG hat die Schweiz einen wichtigen Schritt Richtung Europa gemacht. Die EU-Kommission hat die Schweiz auch 2024 als Land mit angemessenem Datenschutzniveau bestätigt. Gleichzeitig entwickelt sich das Recht laufend weiter: Themen wie KI-Regulierung, Data Governance und internationale Datentransfers werden das Datenschutzrecht auch in den nächsten Jahren prägen.

FAQ – Häufig gestellte Fragen zum revDSG

Gilt das Schweizer Datenschutzgesetz auch für ausländische Unternehmen?

Ja. Nach dem Marktortprinzip erfasst das revDSG auch ausländische Unternehmen, wenn sich ihre Datenbearbeitung in der Schweiz auswirkt – etwa weil sie Waren oder Dienstleistungen an Personen in der Schweiz anbieten oder deren Verhalten beobachten. Solche Unternehmen müssen zudem eine Vertretung in der Schweiz benennen, wenn sie regelmässig oder in grossem Umfang besonders schützenswerte Daten bearbeiten.

Muss jedes Schweizer Unternehmen einen Datenschutzbeauftragten ernennen?

Nein. Anders als die DSGVO kennt das revDSG keine allgemeine Pflicht zur Ernennung. Das Gesetz sieht lediglich die freiwillige Benennung eines "Datenschutzberaters" vor. Für Bundesorgane ist die Ernennung hingegen verpflichtend. Trotzdem empfiehlt es sich für viele Unternehmen, eine verantwortliche Person zu bestimmen – schon aus organisatorischen Gründen.

Was passiert bei einer Datenpanne konkret?

Wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, muss der EDÖB "so rasch als möglich" informiert werden. Zusätzlich sind die betroffenen Personen zu informieren, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt. Die Meldung sollte Art des Vorfalls, Folgen und getroffene Massnahmen enthalten.

Reicht eine DSGVO-konforme Datenschutzerklärung für die Schweiz aus?

In vielen Fällen ja, aber nicht immer. Eine DSGVO-Datenschutzerklärung deckt die meisten Anforderungen des revDSG ab, sollte jedoch schweizspezifisch ergänzt werden: Verweis auf das revDSG statt nur auf die DSGVO, Nennung des EDÖB als Aufsichtsbehörde, Schweizer Kontaktadresse sowie allenfalls Hinweise auf die Vertretung in der Schweiz. Eine reine Kopie der EU-Erklärung ist nicht optimal.

Wie hoch sind die tatsächlich verhängten Bussen bisher?

Bislang sind die effektiv verhängten Bussen unter dem revDSG moderat. Das Schweizer Sanktionssystem zielt weniger auf Abschreckung durch Höhe, sondern eher auf persönliche Verantwortung von Führungspersonen. Wesentlich stärker wirken in der Praxis Reputationsrisiken, Zivilklagen betroffener Personen sowie mögliche Anordnungen des EDÖB, die eine ganze Datenbearbeitung stoppen können.

Fazit

Das revidierte Schweizer Datenschutzgesetz bringt substanzielle Neuerungen und nähert die Schweiz an europäische Standards an – bewahrt aber wichtige Eigenheiten wie das grundsätzliche Zulässigkeitsprinzip und die persönliche Bussenpflicht. Für Unternehmen bedeutet das: Auch ohne DSGVO-Anwendbarkeit führt am Datenschutz kein Weg mehr vorbei. Wer proaktiv handelt, transparente Prozesse einrichtet und Datenschutz als Vertrauensfaktor gegenüber Kundinnen und Kunden versteht, wird vom neuen Recht mehr profitieren als darunter leiden.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles