DSG vs DSGVO: Die Unterschiede Verstehen – Schweiz & EU 2026
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Es wurde stark an die europäische Datenschutz-Grundverordnung (DSGVO) angepasst – ist aber dennoch nicht identisch. Wer Daten in der Schweiz verarbeitet oder von der Schweiz aus mit EU-Bürgern in Kontakt steht, muss beide Regelwerke kennen. In diesem umfassenden Leitfaden erklären wir Ihnen die wichtigsten Unterschiede zwischen DSG und DSGVO, welche Pflichten Sie als Unternehmen treffen und welche Rechte Sie als betroffene Person haben.
Was ist das Schweizer Datenschutzgesetz (DSG)?
Das revidierte Schweizer Datenschutzgesetz (revDSG) ist das zentrale Gesetz zum Schutz personenbezogener Daten in der Schweiz. Es regelt, wie private Personen, Unternehmen und Bundesorgane mit Personendaten umgehen dürfen. Das Gesetz wurde umfassend modernisiert, um den Datenschutz an internationale Standards – insbesondere an die EU-DSGVO – anzugleichen und die Anerkennung der Schweiz als sicheres Drittland durch die EU zu sichern.
Geltungsbereich des DSG
Das DSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch private Personen sowie durch Bundesorgane. Wichtig: Im Gegensatz zur DSGVO schützt das DSG ausschließlich Daten natürlicher Personen, nicht jedoch Daten juristischer Personen wie Aktiengesellschaften oder GmbHs.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Sie schafft einen einheitlichen Rechtsrahmen für den Schutz personenbezogener Daten in der Europäischen Union und gilt extraterritorial: Auch Unternehmen außerhalb der EU müssen sie einhalten, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten.
DSG vs DSGVO: Die wichtigsten Unterschiede im Überblick
Auch wenn das revidierte DSG inhaltlich stark an die DSGVO angelehnt wurde, gibt es zentrale Unterschiede in Begrifflichkeiten, Pflichten und Sanktionen. Die folgende Tabelle gibt einen kompakten Überblick:
| Kriterium | Schweizer DSG (revDSG) | EU-DSGVO |
|---|---|---|
| Inkrafttreten | 1. September 2023 | 25. Mai 2018 |
| Schutz juristischer Personen | Nein (nur natürliche Personen) | Nein (nur natürliche Personen) |
| Maximale Bußgelder | CHF 250.000 (gegen verantwortliche Privatperson) | 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes |
| Adressat der Strafe | Natürliche Person (Geschäftsleitung) | Unternehmen |
| Datenschutzbeauftragter | Empfohlen, nicht verpflichtend | Pflicht in bestimmten Fällen |
| Datenschutz-Folgenabschätzung | Bei hohem Risiko erforderlich | Bei hohem Risiko erforderlich |
| Meldefrist Datenpanne | So rasch als möglich | 72 Stunden |
| Aufsichtsbehörde | EDÖB | Nationale Datenschutzbehörden |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Datenherausgabe | Identische Kernrechte plus Widerspruch, Einschränkung |
Begriffliche Unterschiede zwischen DSG und DSGVO
Viele zentrale Begriffe sind im DSG anders bezeichnet als in der DSGVO, auch wenn sie teilweise ähnliche Konzepte beschreiben. Diese sprachlichen Unterschiede sind in der Praxis wichtig, um Verträge, Datenschutzerklärungen und interne Richtlinien korrekt zu formulieren.
Wichtige Begriffe im Vergleich
- Personendaten (DSG) vs. personenbezogene Daten (DSGVO)
- Bearbeitung (DSG) vs. Verarbeitung (DSGVO)
- Verantwortlicher (beide identisch)
- Auftragsbearbeiter (DSG) vs. Auftragsverarbeiter (DSGVO)
- Besonders schützenswerte Personendaten (DSG) vs. besondere Kategorien personenbezogener Daten (DSGVO)
Bußgelder und Sanktionen: Ein zentraler Unterschied
Einer der gravierendsten Unterschiede zwischen DSG und DSGVO liegt im Sanktionssystem. Während die DSGVO Bußgelder gegen Unternehmen vorsieht, richten sich Strafen im DSG primär gegen verantwortliche natürliche Personen.
Strafen nach Schweizer DSG
Bei vorsätzlicher Verletzung können Bußen von bis zu CHF 250.000 verhängt werden – allerdings gegen die verantwortliche Privatperson, also typischerweise gegen die Geschäftsleitung oder den Datenschutzverantwortlichen im Unternehmen. Strafbar sind beispielsweise:
- Verletzung der Informationspflichten
- Verletzung der Auskunftspflicht gegenüber Betroffenen
- Verletzung der Sorgfaltspflichten bei Datenexport ins Ausland
- Missachtung von Anordnungen des EDÖB
Strafen nach DSGVO
Die DSGVO sieht zweistufige Bußgelder vor: bis zu 10 Mio. EUR bzw. 2 % des weltweiten Jahresumsatzes für leichtere Verstöße und bis zu 20 Mio. EUR bzw. 4 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße. Die Höhe richtet sich nach Faktoren wie Schwere, Dauer und Anzahl der Betroffenen. Mehr zu Datenpannen und Notfallmaßnahmen lesen Sie in unserem Notfall-Leitfaden zu Datenlecks.
Pflichten für Unternehmen: DSG vs DSGVO
Beide Regelwerke verlangen von Unternehmen umfangreiche organisatorische und technische Maßnahmen. Die wichtigsten Pflichten unterscheiden sich jedoch im Detail.
1. Verzeichnis der Bearbeitungstätigkeiten
Sowohl DSG als auch DSGVO verlangen ein Verzeichnis aller Datenbearbeitungen bzw. -verarbeitungen. Das DSG sieht jedoch Ausnahmen für KMU mit weniger als 250 Mitarbeitenden vor, sofern keine umfangreiche Bearbeitung sensibler Daten erfolgt – ähnlich wie Art. 30 Abs. 5 DSGVO.
2. Informationspflichten
Das revidierte DSG hat die Informationspflichten gegenüber Betroffenen deutlich verschärft und an die DSGVO angeglichen. Unternehmen müssen aktiv über Zweck, Empfänger und Art der bearbeiteten Daten informieren – nicht nur bei besonders schützenswerten Daten wie unter dem alten DSG.
3. Datenschutz-Folgenabschätzung (DSFA)
Beide Gesetze verlangen eine DSFA, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person mit sich bringt. Beispiele sind systematische Überwachung, Profiling oder die Bearbeitung großer Mengen sensibler Daten.
4. Meldung von Datenschutzverletzungen
Hier gibt es einen klaren Unterschied: Während die DSGVO eine starre 72-Stunden-Frist vorgibt, fordert das DSG eine Meldung „so rasch als möglich“ – aber nur, wenn ein hohes Risiko für die betroffenen Personen besteht. In der Praxis bedeutet das oft eine kürzere oder vergleichbare Reaktionszeit.
Rechte der betroffenen Personen
Die Rechte betroffener Personen sind unter beiden Regelwerken weitgehend deckungsgleich, weisen aber Unterschiede in der Ausgestaltung auf.
Gemeinsame Kernrechte
- Auskunftsrecht: Wissen, welche Daten gespeichert sind
- Berichtigungsrecht: Korrektur falscher Daten
- Löschungsrecht: Recht auf Vergessenwerden
- Datenportabilität: Datenherausgabe in maschinenlesbarem Format
Mehr zur Durchsetzung des Löschungsrechts erfahren Sie in unserem Artikel zum Recht auf Vergessenwerden. Eine ausführliche Darstellung der Betroffenenrechte unter der DSGVO finden Sie in unserem Beitrag zu den DSGVO-Rechten in Österreich.
Unterschiede bei den Betroffenenrechten
Die DSGVO kennt zusätzlich das ausdrückliche Widerspruchsrecht (Art. 21 DSGVO) und das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Im DSG sind diese Rechte zwar nicht explizit in dieser Form geregelt, ergeben sich aber teilweise aus den allgemeinen Grundsätzen wie Verhältnismäßigkeit und Zweckbindung.
Datentransfer ins Ausland: Strenge Regeln in beiden Regelwerken
Sowohl DSG als auch DSGVO regeln den Transfer personenbezogener Daten in Drittstaaten streng. Eine Datenübermittlung ist nur zulässig, wenn das Empfängerland einen angemessenen Schutz gewährleistet oder geeignete Garantien (z. B. Standardvertragsklauseln) vorliegen.
Liste sicherer Drittstaaten
Der Schweizer Bundesrat führt eine Liste der Staaten mit angemessenem Datenschutzniveau – darunter alle EU/EWR-Staaten. Umgekehrt erkennt die EU die Schweiz als sicheres Drittland an, was den Datentransfer zwischen beiden Räumen erleichtert.
Wann gilt welches Gesetz für Schweizer Unternehmen?
Schweizer Unternehmen unterliegen grundsätzlich dem DSG. Sobald sie jedoch Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten (z. B. durch Tracking, Newsletter, Online-Shop mit Lieferung in die EU), müssen sie zusätzlich die DSGVO einhalten. In der Praxis bedeutet das für viele international tätige Unternehmen eine doppelte Compliance.
Praxisbeispiele
- Lokale Bäckerei in Zürich: Nur DSG anwendbar
- Schweizer Online-Shop mit Lieferung nach Deutschland: DSG und DSGVO
- Schweizer SaaS-Anbieter mit EU-Kunden: DSG und DSGVO
- Deutsche Firma mit Schweizer Tochtergesellschaft: Beide Regelwerke je nach Tätigkeit
Datenschutz im digitalen Alltag: Praktische Tipps
Unabhängig davon, ob DSG oder DSGVO Anwendung findet, sollten Unternehmen und Privatpersonen einige Grundprinzipien beachten, um Datenschutzverletzungen vorzubeugen.
Maßnahmen für Unternehmen
- Aktualisieren Sie regelmäßig Ihre Datenschutzerklärung
- Schulen Sie Mitarbeitende zum Umgang mit Personendaten
- Setzen Sie auf datenschutzfreundliche Tools und Anbieter
- Verwenden Sie sichere Kommunikationskanäle
- Prüfen Sie Ihre Auftragsverarbeitungsverträge
Maßnahmen für Privatpersonen
Auch im privaten Umgang mit Links und Online-Diensten lohnt sich Vorsicht. Beim Teilen von URLs in E-Mails, sozialen Netzwerken oder Marketingkampagnen sollten Sie auf datenschutzkonforme Dienste setzen. Tools wie Lunyb bieten als URL-Kürzungsdienst datenschutzfreundliche Optionen, die DSG- und DSGVO-konform betrieben werden können – einen umfassenden Vergleich finden Sie in unserem Artikel zu den besten URL-Kürzungsdiensten 2026. Achten Sie zudem auf Quishing und QR-Code-Betrug, da diese zunehmend datenschutzrelevante Angriffsvektoren darstellen.
Aufsichtsbehörden: EDÖB vs. nationale Datenschutzbehörden
In der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die zentrale Aufsichtsbehörde. In der EU gibt es pro Mitgliedstaat eine eigene Behörde – in Deutschland beispielsweise den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden.
Befugnisse im Vergleich
| Befugnis | EDÖB (Schweiz) | EU-Datenschutzbehörden |
|---|---|---|
| Untersuchungen einleiten | Ja | Ja |
| Verbindliche Anordnungen | Ja (neu seit revDSG) | Ja |
| Direkte Bußgelder verhängen | Nein (Strafverfahren nötig) | Ja |
| Datenbearbeitung untersagen | Ja | Ja |
Fazit: DSG und DSGVO – ähnlich, aber nicht identisch
Das revidierte Schweizer DSG hat den Datenschutz in der Schweiz auf ein ähnliches Niveau wie die DSGVO gehoben. Wer die DSGVO bereits umsetzt, ist mit dem DSG weitgehend konform – muss aber Detailunterschiede beachten, insbesondere bei Begrifflichkeiten, Sanktionsadressaten und Meldefristen. Für international tätige Unternehmen empfiehlt sich eine integrierte Compliance-Strategie, die beide Regelwerke abdeckt. So minimieren Sie rechtliche Risiken und schaffen Vertrauen bei Kunden und Geschäftspartnern.
Häufig gestellte Fragen (FAQ)
Gilt das DSG auch für ausländische Unternehmen?
Ja. Das revidierte DSG hat ein Marktortprinzip: Unternehmen mit Sitz im Ausland unterliegen dem DSG, wenn sich ihre Datenbearbeitung in der Schweiz auswirkt – etwa bei Online-Shops oder Dienstleistungen, die sich an Schweizer Kunden richten.
Brauche ich als Schweizer Unternehmen einen Datenschutzbeauftragten?
Nach DSG ist ein Datenschutzberater empfohlen, aber nicht zwingend vorgeschrieben. Sobald Sie jedoch unter die DSGVO fallen (z. B. bei EU-Kunden), kann ein Datenschutzbeauftragter Pflicht sein, etwa bei umfangreicher systematischer Überwachung oder Verarbeitung sensibler Daten.
Welches Gesetz ist strenger – DSG oder DSGVO?
In den meisten Bereichen ist die DSGVO strenger, insbesondere bei Bußgeldern und der starren 72-Stunden-Meldefrist. Das DSG ist in einzelnen Punkten flexibler, etwa bei der Meldung von Datenpannen, geht aber bei der persönlichen strafrechtlichen Verantwortung der Geschäftsleitung weiter.
Wie hoch sind die Bußgelder bei einem Verstoß gegen das DSG?
Bei vorsätzlichen Verstößen drohen Bußen bis zu CHF 250.000 – allerdings gegen die verantwortliche Privatperson, nicht gegen das Unternehmen. Im Vergleich zur DSGVO (bis 20 Mio. EUR oder 4 % des Jahresumsatzes) wirken die Schweizer Strafen niedriger, treffen aber Personen direkt.
Muss ich meine Datenschutzerklärung an das neue DSG anpassen?
Ja. Mit Inkrafttreten des revDSG am 1. September 2023 mussten Datenschutzerklärungen aktualisiert werden, insbesondere zu Informationspflichten, Datentransfers ins Ausland und Betroffenenrechten. Wer eine DSGVO-konforme Erklärung hat, muss diese um schweizspezifische Aspekte (z. B. EDÖB als Aufsichtsbehörde, Hinweis auf revDSG) ergänzen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO gibt Ihnen als Österreicher acht zentrale Rechte gegenüber Unternehmen und Behörden. Dieser Leitfaden erklärt Auskunft, Löschung, Widerspruch und Co. praxisnah – inklusive Mustertexten und dem Beschwerdeweg zur Datenschutzbehörde.
KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das KI-Gesetz der EU verändert ab 2025 fundamental, wie Unternehmen Künstliche Intelligenz entwickeln und einsetzen dürfen. Wir erklären die vier Risikoklassen, den Zeitplan, drohende Bußgelder bis 35 Mio. € und welche Pflichten konkret auf Sie zukommen.
EDÖB: So Reichen Sie eine Beschwerde Ein - Anleitung 2026
Sie möchten eine Beschwerde beim Eidgenössischen Datenschutzbeauftragten (EDÖB) einreichen? Dieser umfassende Leitfaden erklärt Schritt für Schritt, wann und wie Sie sich beim EDÖB beschweren können. Mit praktischen Tipps und allen wichtigen Kontaktdaten für 2026.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO und regelt den Umgang mit personenbezogenen Daten in Österreich. Dieser umfassende Leitfaden erklärt Ihre Rechte, die Pflichten von Unternehmen sowie die wichtigsten Bestimmungen verständlich und praxisnah.