DSG: Das Schweizer Datenschutzgesetz Erklärt – Leitfaden 2026
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Bundesgesetz über den Datenschutz (revDSG). Es bringt das Schweizer Datenschutzrecht näher an die europäische DSGVO heran, behält aber wichtige Eigenheiten bei. Dieser umfassende Leitfaden erklärt Ihnen, was das DSG regelt, welche Pflichten Unternehmen haben, welche Rechte Sie als Betroffene Person besitzen und wie sich das Schweizer Recht von der EU-Verordnung unterscheidet.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das Datenschutzgesetz (DSG) ist das zentrale Bundesgesetz der Schweiz zum Schutz der Persönlichkeit und der Grundrechte natürlicher Personen, über die Personendaten bearbeitet werden. Es regelt, wie öffentliche und private Stellen mit personenbezogenen Daten umgehen dürfen und stellt sicher, dass jede Person die Kontrolle über ihre eigenen Daten behält.
Das ursprüngliche DSG stammt aus dem Jahr 1992. Die Totalrevision, oft als revDSG oder nDSG bezeichnet, trat am 1. September 2023 in Kraft. Ziel der Revision war es, den Datenschutz an die digitale Realität anzupassen, das Schutzniveau zu erhöhen und die Anerkennung als angemessenes Drittland durch die EU sicherzustellen.
Rechtsgrundlagen im Überblick
- Bundesgesetz über den Datenschutz (DSG, SR 235.1) – Hauptgesetz
- Datenschutzverordnung (DSV) – Ausführungsbestimmungen
- Verordnung über Datenschutzzertifizierungen (VDSZ)
- Kantonale Datenschutzgesetze – für kantonale und kommunale Behörden
Wer ist vom DSG betroffen?
Das DSG gilt für die Bearbeitung von Personendaten durch private Personen und Bundesorgane. Im Gegensatz zur DSGVO schützt das DSG ausschliesslich Daten natürlicher Personen – Daten juristischer Personen sind seit der Revision nicht mehr erfasst.
Räumlicher Anwendungsbereich
Das Gesetz gilt nach dem sogenannten Auswirkungsprinzip auch für ausländische Unternehmen, sofern deren Datenbearbeitung Auswirkungen in der Schweiz hat. Ein deutsches oder österreichisches Unternehmen, das gezielt Schweizer Kunden bedient, muss das DSG ebenso einhalten wie die DSGVO.
Definition: Personendaten
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu zählen Name, Adresse, E-Mail, IP-Adresse, Standortdaten, Cookies und biometrische Merkmale.
Besonders schützenswerte Personendaten umfassen:
- Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Gesundheits-, Intim- und Rassendaten
- Daten über Strafverfolgung und Sanktionen
- Massnahmen der sozialen Hilfe
- Genetische und biometrische Daten (NEU im revDSG)
Die wichtigsten Grundsätze des DSG
Das DSG basiert auf sieben zentralen Bearbeitungsgrundsätzen, die jede Datenverarbeitung beachten muss.
- Rechtmässigkeit: Die Bearbeitung muss auf einer Rechtsgrundlage beruhen.
- Treu und Glauben: Datenbearbeitung muss fair und transparent erfolgen.
- Verhältnismässigkeit: Nur Daten erheben, die wirklich nötig sind.
- Zweckbindung: Daten nur für den ursprünglichen, erkennbaren Zweck nutzen.
- Erkennbarkeit/Transparenz: Betroffene müssen über die Bearbeitung informiert werden.
- Richtigkeit: Daten müssen korrekt und aktuell sein.
- Datensicherheit: Angemessene technische und organisatorische Massnahmen sind Pflicht.
Rechte der betroffenen Personen
Das revDSG stärkt die Rechte der Bürgerinnen und Bürger erheblich. Sie haben gegenüber jedem Unternehmen, das Ihre Daten bearbeitet, folgende Ansprüche:
Auskunftsrecht (Art. 25 DSG)
Jede Person kann kostenlos Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden. Die Antwort muss innerhalb von 30 Tagen erfolgen und folgende Informationen enthalten: bearbeitete Daten, Zweck, Aufbewahrungsdauer, Empfänger und Herkunft der Daten.
Recht auf Datenherausgabe und -übertragung
Neu im revDSG: Sie können Ihre Daten in einem gängigen elektronischen Format herausverlangen oder direkt an einen anderen Verantwortlichen übertragen lassen.
Berichtigung und Löschung
Falsche Daten müssen korrigiert, unrechtmässig bearbeitete Daten gelöscht werden. Anders als die DSGVO kennt das DSG kein explizites "Recht auf Vergessenwerden", erreicht aber über das Persönlichkeitsrecht (ZGB) ähnliche Wirkung.
Widerspruchsrecht
Sie können der Bearbeitung Ihrer Daten widersprechen, insbesondere bei Direktwerbung und automatisierten Einzelentscheidungen.
Pflichten für Unternehmen unter dem revDSG
Das revidierte Gesetz bringt für Unternehmen substanzielle neue Pflichten mit sich. Eine Nichteinhaltung kann zu hohen Bussen für die verantwortlichen Personen führen.
1. Informationspflicht
Bei jeder Beschaffung von Personendaten – nicht mehr nur bei besonders schützenswerten – muss aktiv informiert werden über: Identität des Verantwortlichen, Bearbeitungszweck, Empfänger und ggf. Drittlandtransfer.
2. Verzeichnis der Bearbeitungstätigkeiten
Verantwortliche und Auftragsbearbeiter müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausnahme: Unternehmen mit weniger als 250 Mitarbeitenden sind befreit, sofern die Bearbeitung nur ein geringes Risiko birgt.
3. Datenschutz-Folgenabschätzung (DSFA)
Bei hohem Risiko für die Persönlichkeit oder Grundrechte muss vorab eine DSFA durchgeführt werden – etwa beim Einsatz neuer Technologien, umfangreicher Profilerstellung oder Bearbeitung besonders schützenswerter Daten.
4. Meldung von Datenschutzverletzungen
Datenpannen mit voraussichtlich hohem Risiko müssen so rasch als möglich dem EDÖB gemeldet werden. Im Vergleich zur DSGVO-Frist von 72 Stunden ist die Schweizer Regelung flexibler formuliert, aber inhaltlich vergleichbar.
5. Privacy by Design und by Default
Datenschutz muss bereits bei der Konzeption von Systemen berücksichtigt werden. Voreinstellungen müssen datenschutzfreundlich sein.
6. Auftragsbearbeitung
Die Übertragung der Datenbearbeitung an Dritte ist nur mit vertraglicher Grundlage zulässig. Subunternehmer benötigen eine Genehmigung des Verantwortlichen.
DSG vs. DSGVO: Die wichtigsten Unterschiede
Obwohl das revDSG stark an die DSGVO angelehnt ist, bestehen weiterhin praxisrelevante Unterschiede. Die folgende Tabelle zeigt die zentralen Abweichungen:
| Kriterium | Schweizer DSG (revDSG) | EU-DSGVO |
|---|---|---|
| Geschützte Personen | Nur natürliche Personen | Nur natürliche Personen |
| Maximale Busse | Bis CHF 250'000 (gegen verantwortliche Person) | Bis 20 Mio. EUR oder 4% Jahresumsatz (Unternehmen) |
| Sanktionsadressat | Natürliche Person (Geschäftsleitung) | Unternehmen |
| Datenschutzbeauftragter | Freiwillig ("Berater") | In bestimmten Fällen Pflicht |
| Meldefrist Datenpanne | So rasch als möglich | Innerhalb 72 Stunden |
| Einwilligung | Nicht generell erforderlich | Eine von sechs Rechtsgrundlagen |
| Aufsichtsbehörde | EDÖB | Nationale Behörden (z.B. BfDI) |
Besonderheit: Sanktionen treffen Personen, nicht Firmen
Eine Schweizer Eigenheit: Bussen bis CHF 250'000 richten sich gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen. Geschäftsleitungsmitglieder haften persönlich für vorsätzliche Verstösse. Dies erhöht den Druck auf das Management deutlich.
Der EDÖB: Aufsichtsbehörde der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die unabhängige Aufsichtsbehörde des Bundes. Mit dem revDSG erhielt der EDÖB neue Kompetenzen.
Aufgaben und Befugnisse
- Untersuchungen von Amtes wegen oder auf Anzeige
- Verbindliche Verfügungen zur Anpassung oder Einstellung der Bearbeitung
- Beratung von Bundesorganen und Privaten
- Sensibilisierung der Öffentlichkeit
- Internationale Zusammenarbeit mit Behörden wie der BfDI
Wer in Deutschland eine ähnliche Beschwerde einreichen möchte, findet in unserem Leitfaden BfDI Beschwerde einreichen eine Schritt-für-Schritt-Anleitung.
Datentransfer ins Ausland
Die Übermittlung von Personendaten ins Ausland ist nur zulässig, wenn das Empfängerland einen angemessenen Schutz gewährleistet. Der Bundesrat führt eine Liste von Staaten mit angemessenem Schutzniveau – darunter alle EU/EWR-Staaten.
Mögliche Garantien bei Drittländern
- Standardvertragsklauseln (vom EDÖB anerkannte SCC der EU)
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Spezifische Garantien wie das Swiss-US Data Privacy Framework
- Ausdrückliche Einwilligung der betroffenen Person
Praktische Umsetzung im Unternehmen
Wie setzen Sie das DSG konkret um? Die folgende Checkliste zeigt die wichtigsten Schritte:
- Bestandsaufnahme: Welche Personendaten werden wo bearbeitet?
- Verzeichnis erstellen: Bearbeitungstätigkeiten dokumentieren.
- Datenschutzerklärung aktualisieren: Transparente Information für Webseitenbesucher und Kunden.
- Verträge prüfen: Auftragsbearbeitungsverträge mit allen Dienstleistern abschliessen.
- Risikoanalyse: Bei hohem Risiko DSFA durchführen.
- Technische Massnahmen: Verschlüsselung, Zugriffskontrolle, Backups.
- Schulungen: Mitarbeitende sensibilisieren.
- Meldeprozesse: Vorgehen bei Datenpannen definieren.
Tools mit DSG-konformer Datenverarbeitung wählen
Nutzen Sie wo möglich Schweizer oder europäische Anbieter, deren Server-Standort und Datenschutzpraxis transparent sind. Bei der URL-Verkürzung etwa bietet Lunyb als datenschutzfreundliche Alternative klare Datenschutzpraktiken ohne aggressives Tracking – ein Beispiel für die in unserem Vergleich Bitly Alternative kostenlos 2026 beschriebenen privatsphärefreundlichen Dienste.
Datenschutz für Privatpersonen in der Schweiz
Auch als Privatperson sollten Sie Ihre Rechte aktiv wahrnehmen. Viele Schweizer wissen nicht, wie umfassend ihre Daten gehandelt werden – ein Problem, das wir im Artikel Datenbroker: Wer verkauft Ihre Daten ausführlich behandeln.
Praktische Tipps zum Selbstschutz
- Auskunftsrecht regelmässig nutzen, besonders bei Versicherungen, Banken und Tech-Konzernen
- Cookie-Banner bewusst handhaben und unnötige Tracker ablehnen
- Starke, einzigartige Passwörter und Zwei-Faktor-Authentifizierung verwenden
- Verdächtige Aktivitäten auf Geräten ernst nehmen – siehe Anzeichen für ein gehacktes Handy
- Bei Datenmissbrauch Beschwerde beim EDÖB einreichen
Auch in benachbarten Ländern lohnt sich ein Blick: Unser Ratgeber zur Online-Privatsphäre in Österreich zeigt, wie ähnliche Schutzkonzepte dort umgesetzt werden.
Sanktionen und Risiken bei Verstössen
Verstösse gegen das DSG können sowohl strafrechtliche als auch zivilrechtliche Konsequenzen haben.
Strafbestimmungen
- Bis CHF 250'000 Busse bei vorsätzlicher Verletzung von Informations-, Auskunfts- und Sorgfaltspflichten
- Bis CHF 250'000 Busse bei Verletzung der Mindestanforderungen an die Datensicherheit
- Bis CHF 250'000 Busse bei vorsätzlicher Missachtung von Verfügungen des EDÖB
Wichtig: Die Strafverfolgung erfolgt durch die kantonalen Strafverfolgungsbehörden, nicht durch den EDÖB. Reputationsschäden und Schadenersatzforderungen kommen oft hinzu.
Ausblick: Datenschutz in der Schweiz 2026 und darüber hinaus
Das revDSG ist erst der Anfang. Themen wie Künstliche Intelligenz, automatisierte Entscheidungen und Profiling werden den Datenschutz weiter prägen. Der EDÖB hat bereits angekündigt, KI-Systeme verstärkt zu prüfen. Unternehmen sollten ihre Compliance-Strukturen kontinuierlich anpassen und Datenschutz als Wettbewerbsvorteil verstehen – nicht als Bürokratielast.
Häufig gestellte Fragen (FAQ)
Gilt das Schweizer DSG auch für ausländische Unternehmen?
Ja. Sobald die Datenbearbeitung Auswirkungen in der Schweiz hat – etwa weil ein deutsches Unternehmen Schweizer Kunden bedient – findet das DSG Anwendung. Diese Unternehmen müssen unter Umständen einen Vertreter in der Schweiz benennen.
Brauche ich als Schweizer Unternehmen einen Datenschutzbeauftragten?
Nein, anders als bei der DSGVO ist die Bestellung eines Datenschutzbeauftragten (im DSG "Datenschutzberater" genannt) freiwillig. Eine Benennung kann jedoch Vorteile bringen, etwa den Verzicht auf eine Konsultation des EDÖB bei DSFA mit hohem Risiko.
Was ist der Unterschied zwischen DSG und revDSG?
Das ursprüngliche DSG von 1992 wurde durch das revidierte DSG (revDSG) per 1. September 2023 abgelöst. Das revDSG bringt strengere Pflichten, neue Rechte (z.B. Datenportabilität), die Erfassung genetischer und biometrischer Daten als besonders schützenswert sowie die persönliche Strafbarkeit von Verantwortlichen mit sich.
Wie reiche ich eine Beschwerde beim EDÖB ein?
Eine Anzeige kann formlos schriftlich oder über das Online-Formular auf edoeb.admin.ch eingereicht werden. Beschreiben Sie den Sachverhalt, nennen Sie das betroffene Unternehmen und legen Sie Beweise wie E-Mails oder Screenshots bei. Der EDÖB entscheidet anschliessend, ob er eine Untersuchung eröffnet.
Sind Cookies unter dem DSG einwilligungspflichtig?
Das DSG kennt im Gegensatz zur ePrivacy-Richtlinie der EU keine generelle Einwilligungspflicht für Cookies. Eine transparente Information genügt grundsätzlich. Sobald jedoch Schweizer Webseiten EU-Bürger ansprechen, gilt die DSGVO mit ihren strengeren Cookie-Regeln zusätzlich – in der Praxis nutzen daher die meisten Schweizer Anbieter Cookie-Banner.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Sie möchten eine Datenschutzbeschwerde bei der BfDI einreichen, wissen aber nicht wie? Dieser Schritt-für-Schritt-Leitfaden zeigt Ihnen 2026, wie Sie Ihre Rechte nach Art. 77 DSGVO effektiv durchsetzen – inklusive Mustertext, Fristen und häufigen Fehlern.
DSG vs DSGVO: Die Unterschiede Verstehen – Schweiz & EU 2026
Seit September 2023 gilt das revidierte Schweizer DSG – stark an die EU-DSGVO angelehnt, aber nicht identisch. Wir erklären alle Unterschiede in Begriffen, Pflichten, Bußgeldern und Betroffenenrechten und zeigen, wann welches Gesetz greift.
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO gibt Ihnen als Österreicher acht zentrale Rechte gegenüber Unternehmen und Behörden. Dieser Leitfaden erklärt Auskunft, Löschung, Widerspruch und Co. praxisnah – inklusive Mustertexten und dem Beschwerdeweg zur Datenschutzbehörde.
KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das KI-Gesetz der EU verändert ab 2025 fundamental, wie Unternehmen Künstliche Intelligenz entwickeln und einsetzen dürfen. Wir erklären die vier Risikoklassen, den Zeitplan, drohende Bußgelder bis 35 Mio. € und welche Pflichten konkret auf Sie zukommen.