DSG vs DSGVO: Die Unterschiede Verstehen (Schweiz 2026)
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für viele Schweizer Unternehmen stellt sich seither die Frage: Reicht die Einhaltung des DSG aus, oder gilt zusätzlich die EU-DSGVO? Und wo genau liegen die Unterschiede? Dieser Leitfaden erklärt DSG vs DSGVO Unterschiede kompakt, praxisnah und rechtssicher.
Was ist das DSG und was ist die DSGVO?
Das DSG (Datenschutzgesetz) ist das nationale Schweizer Gesetz zum Schutz personenbezogener Daten. Die DSGVO (Datenschutz-Grundverordnung) ist die EU-weite Verordnung 2016/679, die seit 25. Mai 2018 in allen EU- und EWR-Staaten unmittelbar gilt.
Beide Regelwerke verfolgen das gleiche Ziel: den Schutz der Privatsphäre natürlicher Personen bei der Bearbeitung ihrer Daten. Die Schweiz hat ihr DSG bewusst an die DSGVO angeglichen, um die sogenannte «Angemessenheitsentscheidung» der EU-Kommission zu bewahren. Dennoch bestehen wesentliche Unterschiede in Geltungsbereich, Pflichten und Sanktionen.
Der historische Kontext
Das ursprüngliche Schweizer DSG stammt aus dem Jahr 1992 und war für das digitale Zeitalter nicht mehr ausreichend. Nach mehrjähriger parlamentarischer Beratung trat das totalrevidierte DSG am 1. September 2023 in Kraft. Ohne diese Revision hätte die Schweiz ihren Status als «sicheres Drittland» für EU-Datentransfers verlieren können – mit gravierenden wirtschaftlichen Folgen.
Geltungsbereich: Wer muss was einhalten?
Ein zentraler Unterschied liegt im territorialen Anwendungsbereich. Das DSG gilt grundsätzlich für Datenbearbeitungen mit Auswirkungen in der Schweiz. Die DSGVO hingegen wendet das «Marktortprinzip» an: Sie gilt für jedes Unternehmen weltweit, das Waren oder Dienstleistungen an Personen in der EU anbietet oder deren Verhalten beobachtet.
Praktische Folgen für Schweizer Unternehmen
Ein Schweizer Onlineshop, der Kunden in Deutschland, Österreich oder Frankreich beliefert, muss sowohl das DSG als auch die DSGVO einhalten. Ein rein binnenorientierter lokaler Handwerksbetrieb hingegen ist in der Regel nur an das DSG gebunden.
- Prüfen Sie, ob Sie EU-Kunden aktiv ansprechen (z.B. durch mehrsprachige Website, Euro-Preise, EU-Versand).
- Analysieren Sie, ob Sie Nutzerverhalten von EU-Bürgern tracken (Cookies, Analytics).
- Dokumentieren Sie das Ergebnis schriftlich als Basis Ihrer Compliance-Strategie.
DSG vs DSGVO: Die wichtigsten Unterschiede im Überblick
| Kriterium | DSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltung für juristische Personen | Nein (seit Revision 2023) | Nein |
| Territorialer Anwendungsbereich | Auswirkungsprinzip | Marktortprinzip (global) |
| Rechtsgrundlage nötig? | Nein, aber Rechtfertigung bei Persönlichkeitsverletzung | Ja, immer (Art. 6 DSGVO) |
| Meldefrist Datenpanne | «So rasch als möglich» | 72 Stunden |
| Datenschutzbeauftragter | Freiwillig (Berater empfohlen) | Pflicht in bestimmten Fällen |
| Maximales Bussgeld | CHF 250'000 (gegen Privatpersonen) | 20 Mio. EUR oder 4% Jahresumsatz |
| Adressat der Sanktion | Verantwortliche natürliche Person | Unternehmen |
| Aufsichtsbehörde | EDÖB | Nationale Datenschutzbehörden |
| Bearbeitungsverzeichnis | Pflicht (mit KMU-Ausnahme <250 MA) | Pflicht (mit ähnlicher Ausnahme) |
| Datenschutz-Folgenabschätzung | Ja, bei hohem Risiko | Ja, bei hohem Risiko |
Rechtsgrundlage: Der fundamentale Unterschied
Dies ist einer der wichtigsten konzeptionellen Unterschiede. Die DSGVO folgt dem Verbotsprinzip mit Erlaubnisvorbehalt: Jede Datenbearbeitung ist grundsätzlich verboten, ausser eine der sechs Rechtsgrundlagen aus Art. 6 DSGVO greift (z.B. Einwilligung, Vertrag, berechtigtes Interesse).
Das DSG folgt dem Erlaubnisprinzip: Datenbearbeitung ist grundsätzlich erlaubt, solange sie die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt. Erst wenn eine Persönlichkeitsverletzung vorliegt, braucht es einen Rechtfertigungsgrund.
Was das in der Praxis bedeutet
Für Schweizer Unternehmen ist die Hürde für zulässige Datenbearbeitungen tendenziell tiefer. Dennoch: Wer transparent kommuniziert und die Grundsätze der Verhältnismässigkeit, Zweckbindung und Datensicherheit einhält, erfüllt beide Regelwerke.
Betroffenenrechte: Weitgehend harmonisiert
Sowohl DSG als auch DSGVO gewähren betroffenen Personen umfassende Rechte. Die Unterschiede sind hier gering, was für Unternehmen die Umsetzung erleichtert.
Rechte nach DSG
- Auskunftsrecht (Art. 25 DSG)
- Recht auf Datenherausgabe und -übertragung (Art. 28 DSG)
- Recht auf Berichtigung, Löschung und Vernichtung
- Widerspruchsrecht gegen bestimmte Bearbeitungen
- Recht auf Information bei automatisierten Einzelentscheidungen (Art. 21 DSG)
Rechte nach DSGVO
- Auskunftsrecht (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung / «Vergessenwerden» (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
Wer bereits ein DSGVO-konformes Auskunftsverfahren etabliert hat, erfüllt die DSG-Anforderungen automatisch mit. Mehr zu ähnlichen Rechten finden Sie in unserem Artikel zum Datenschutz in Deutschland.
Sensible Daten: Definition und Schutz
Beide Gesetze definieren besonders schützenswerte Daten. Das DSG geht hier in einem Punkt sogar weiter als die DSGVO.
Besonders schützenswerte Personendaten nach DSG
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Daten über die Gesundheit, Intimsphäre oder Rassenzugehörigkeit
- Genetische Daten
- Biometrische Daten, die eine Person eindeutig identifizieren
- Daten über administrative und strafrechtliche Verfolgungen
- Daten über Massnahmen der sozialen Hilfe (DSG-spezifisch)
Die Kategorie «soziale Hilfe» kennt die DSGVO nicht explizit – ein Beispiel für eine spezifisch schweizerische Ergänzung.
Meldepflichten bei Datenpannen
Ein weiterer wichtiger Unterschied betrifft die Meldung von Sicherheitsvorfällen. Die DSGVO verlangt eine Meldung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Das DSG spricht von «so rasch als möglich» (Art. 24 DSG) – eine weichere Formulierung, die aber in der Praxis vergleichbare Reaktionszeiten erfordert.
Zudem gilt nach DSG die Meldepflicht nur, wenn die Verletzung «voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt». Die DSGVO verlangt eine Meldung bereits bei «Risiko» – ohne Qualifikation «hoch».
Praktische Umsetzung im Notfall
- Vorfall erkennen und dokumentieren
- Umfang und Betroffene ermitteln (welche Daten, wie viele Personen)
- Risikobewertung durchführen
- Bei hohem Risiko: EDÖB (Schweiz) und/oder EU-Aufsichtsbehörde informieren
- Betroffene direkt benachrichtigen, falls hohes Risiko besteht
- Massnahmen zur Schadensbegrenzung einleiten
- Interne Nachbereitung und Prozessverbesserung dokumentieren
Sanktionen: Wer haftet und wie hoch?
Hier zeigt sich ein besonders auffälliger Unterschied. Die DSGVO sanktioniert primär Unternehmen mit Bussen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Das Schweizer DSG richtet Bussen bis CHF 250'000 hingegen gegen natürliche Personen – konkret gegen die verantwortlichen Führungskräfte oder Datenschutzverantwortlichen.
Diese persönliche Haftung sorgt in Schweizer Unternehmen für erhöhte Aufmerksamkeit auf Managementebene. Ein CEO, CFO oder Datenschutzverantwortlicher haftet persönlich, wenn er vorsätzlich gegen Melde-, Auskunfts- oder Sorgfaltspflichten verstösst.
Datentransfer ins Ausland
Beide Regelwerke regeln den Transfer personenbezogener Daten in Drittstaaten streng. Die Schweiz unterhält eine Liste von Staaten mit «angemessenem Datenschutzniveau», die weitgehend jener der EU entspricht.
Zulässige Transfermechanismen
- Angemessenheitsbeschluss (Land auf der Liste)
- Standardvertragsklauseln (Schweizer SCC vom EDÖB anerkannt)
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
- Ausdrückliche Einwilligung der betroffenen Person
- Ausnahmen für spezifische Situationen (Vertragserfüllung, Rechtsansprüche)
Wichtig: Die USA gelten weder für die Schweiz noch für die EU pauschal als sicher. Für Transfers in die USA sind zusätzliche Massnahmen (z.B. Data Privacy Framework, ergänzende technische Schutzmassnahmen) erforderlich.
Praktische Compliance-Strategie für Schweizer Unternehmen
Für die meisten Schweizer KMU, die auch EU-Kunden bedienen, empfiehlt sich eine integrierte Compliance-Strategie: Alle Prozesse werden nach dem strengeren Regelwerk (meist DSGVO) ausgerichtet. Dies vermeidet doppelte Strukturen und deckt automatisch beide Gesetze ab.
Konkrete Umsetzungsschritte
- Datenlandkarte erstellen: Welche personenbezogenen Daten werden wo verarbeitet?
- Bearbeitungsverzeichnis führen: Nach Art. 12 DSG bzw. Art. 30 DSGVO.
- Datenschutzerklärung aktualisieren: Beide Regelwerke berücksichtigen.
- Auftragsverarbeitungsverträge prüfen: Mit allen Dienstleistern (Cloud, Marketing-Tools, Analytics).
- Betroffenenrechte-Prozess etablieren: Auskunftsbegehren müssen innerhalb 30 Tagen beantwortet werden.
- Notfallplan für Datenpannen: Klare Verantwortlichkeiten und Meldeketten.
- Mitarbeitende schulen: Regelmässige Sensibilisierung insbesondere in HR, Marketing und IT.
Tools und technische Massnahmen
Datenschutz ist nicht nur ein juristisches, sondern auch ein technisches Thema. Verschlüsselung, Zugriffskontrollen und datensparsame Tools sind zentral. Wer beispielsweise Marketing-Links teilt, sollte auf datenschutzfreundliche Anbieter setzen. Der URL-Shortener von Lunyb etwa erhebt keine unnötigen Nutzerdaten und kann daher DSG- und DSGVO-konform eingesetzt werden – im Gegensatz zu manchen amerikanischen Alternativen. Einen Preisvergleich finden Sie in unserem Artikel zu Bitly-Preisen 2026.
Ergänzend lohnt es sich, auf mobilen Geräten das Blockieren von Trackern zu prüfen – sowohl für Firmen-Smartphones als auch für Privatgeräte im BYOD-Modell.
Aufsichtsbehörden im Vergleich
In der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die zuständige Behörde. Er kann seit der Revision 2023 verbindliche Verfügungen erlassen – eine deutliche Stärkung gegenüber dem alten Recht.
In der EU gibt es nationale Aufsichtsbehörden in jedem Mitgliedstaat (in Deutschland z.B. der BfDI auf Bundesebene sowie 16 Landesbehörden). Wie eine formelle Beschwerde funktioniert, zeigt unser Leitfaden zur BfDI-Beschwerde.
Besonderheiten für die DACH-Region
Unternehmen mit Kunden in Deutschland, Österreich und der Schweiz müssen alle drei Rechtsordnungen im Blick behalten. Deutschland und Österreich wenden die DSGVO an, ergänzt durch nationale Gesetze (BDSG bzw. österreichisches DSG). Die Schweiz hat ihr eigenes revDSG. Details zur österreichischen Praxis finden Sie in unserem Cybersicherheits-Leitfaden für österreichische KMU.
Fazit: Zwei Regelwerke, ein Ziel
DSG und DSGVO verfolgen dasselbe Ziel – den Schutz der informationellen Selbstbestimmung. Die Unterschiede liegen im Detail: Anwendungsbereich, Rechtsgrundlagen, Sanktionsadressaten und Meldepflichten. Für Schweizer Unternehmen mit EU-Bezug ist die Ausrichtung an der DSGVO meist der pragmatische Weg zur doppelten Compliance. Wichtig ist, dass Datenschutz nicht als lästige Pflicht, sondern als Vertrauensfaktor gegenüber Kunden verstanden wird. Wer transparent, datensparsam und sicher arbeitet, erfüllt beide Regelwerke – und stärkt gleichzeitig seine Marke.
Häufig gestellte Fragen (FAQ)
Muss ein Schweizer KMU ohne EU-Kunden die DSGVO einhalten?
Nein, grundsätzlich nicht. Wer ausschliesslich in der Schweiz tätig ist und keine Waren, Dienstleistungen oder Tracking an EU-Bürger richtet, unterliegt nur dem DSG. Sobald jedoch eine mehrsprachige Website EU-Kunden aktiv anspricht oder Analytics-Tools EU-Nutzer erfassen, greift die DSGVO parallel.
Wie hoch sind die maximalen Bussen nach DSG im Vergleich zur DSGVO?
Das DSG sieht Bussen bis CHF 250'000 gegen natürliche Personen (Führungskräfte) vor. Die DSGVO ermöglicht Bussen gegen Unternehmen bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Die DSGVO-Sanktionen sind also deutlich höher, treffen aber das Unternehmen; das DSG trifft die verantwortliche Person persönlich.
Brauche ich einen Datenschutzbeauftragten nach DSG?
Nein, das DSG kennt keine allgemeine Pflicht zur Bestellung eines Datenschutzbeauftragten. Es sieht jedoch die Möglichkeit vor, einen «Datenschutzberater» (Art. 10 DSG) zu ernennen, was in bestimmten Konstellationen Vorteile bringt (z.B. Verzicht auf Konsultation des EDÖB bei Folgenabschätzungen). Die DSGVO verlangt einen DSB nur in bestimmten Fällen (Kerntätigkeit umfangreiche Überwachung, sensible Daten).
Wie schnell muss ich eine Datenpanne melden?
Nach DSGVO innerhalb von 72 Stunden nach Kenntnis. Nach DSG «so rasch als möglich» – und nur, wenn ein hohes Risiko besteht. In der Praxis empfiehlt es sich, sich am 72-Stunden-Standard zu orientieren, um bei parallelen Zuständigkeiten auf der sicheren Seite zu sein.
Gilt das DSG auch für juristische Personen?
Nein. Seit der Revision 2023 schützt das DSG – wie die DSGVO – nur noch personenbezogene Daten natürlicher Personen. Daten über juristische Personen (z.B. Firmenadressen, Handelsregisterinformationen) fallen nicht mehr unter das DSG. Dies war eine wichtige Angleichung an die DSGVO.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Wenn Ihre Datenschutzrechte verletzt wurden, können Sie sich beim Bundesbeauftragten für den Datenschutz (BfDI) beschweren. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie eine Beschwerde korrekt einreichen, welche Unterlagen Sie benötigen und was Sie realistisch erwarten können.
DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die DSGVO gibt Ihnen als Bürgerin oder Bürger in Österreich acht zentrale Rechte – von der Auskunft bis zur Löschung. Dieser umfassende Leitfaden erklärt, wie Sie Ihre Rechte praktisch durchsetzen, Musteranträge stellen und sich bei der Datenschutzbehörde beschweren.
EDÖB Beschwerde Einreichen: Der Komplette Leitfaden für die Schweiz 2026
Erfahren Sie, wie Sie eine Beschwerde beim EDÖB einreichen. Dieser umfassende Leitfaden erklärt Voraussetzungen, Ablauf, Fristen und Ihre Rechte nach dem revidierten Schweizer Datenschutzgesetz Schritt für Schritt.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO auf nationaler Ebene und stellt Unternehmen vor zahlreiche Pflichten. Dieser Leitfaden erklärt Rechte, Pflichten, Bußgelder und praktische Umsetzung 2026.