DSG vs DSGVO: Die Unterschiede verstehen – Leitfaden 2026
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Gleichzeitig müssen viele Schweizer Unternehmen auch die EU-Datenschutz-Grundverordnung (DSGVO) beachten, sobald sie Daten von Personen in der EU bearbeiten. Wer in beiden Rechtsräumen tätig ist, steht vor der Frage: Wo liegen die konkreten Unterschiede – und wie setzt man beide Regelwerke effizient um?
Dieser Leitfaden erklärt die wichtigsten Abweichungen zwischen DSG und DSGVO, zeigt anhand einer Vergleichstabelle die zentralen Punkte und liefert praktische Hinweise zur Umsetzung im Schweizer Geschäftsalltag 2026.
Was ist das DSG und was ist die DSGVO?
Das Schweizer Datenschutzgesetz (DSG) ist das nationale Bundesgesetz über den Datenschutz. Die revidierte Fassung (revDSG) gilt seit dem 1. September 2023 und ersetzt das ursprüngliche DSG von 1992. Es regelt den Umgang mit Personendaten durch private Personen und Bundesorgane in der Schweiz.
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union gilt. Sie regelt die Verarbeitung personenbezogener Daten und schützt natürliche Personen im Europäischen Wirtschaftsraum (EWR).
Warum betreffen beide Gesetze viele Schweizer Unternehmen?
Schweizer Unternehmen unterliegen häufig beiden Regimen gleichzeitig. Das DSG gilt für alle Datenbearbeitungen in der Schweiz. Die DSGVO greift zusätzlich extraterritorial, wenn ein Schweizer Unternehmen:
- Waren oder Dienstleistungen an Personen in der EU anbietet,
- das Verhalten von Personen in der EU beobachtet (z. B. via Tracking, Analytics),
- eine Niederlassung in einem EU-Mitgliedstaat betreibt.
Ein E-Commerce-Shop in Zürich, der nach Deutschland liefert, muss also beide Gesetze einhalten – DSG für die Bearbeitung in der Schweiz, DSGVO für die EU-Kunden.
Die wichtigsten Unterschiede im Überblick
Trotz vieler Parallelen unterscheiden sich DSG und DSGVO in zentralen Punkten. Die folgende Tabelle stellt die wichtigsten Aspekte gegenüber.
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Nur natürliche Personen | Nur natürliche Personen (vorher auch juristische) |
| Inkrafttreten | 1. September 2023 | 25. Mai 2018 |
| Aufsichtsbehörde | EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) | Nationale Aufsichtsbehörden (z. B. BfDI, CNIL) |
| Maximale Bussen | Bis CHF 250'000 (gegen natürliche Personen) | Bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes |
| Sanktionsadressat | Primär verantwortliche natürliche Personen | Primär das Unternehmen |
| Datenschutzbeauftragter | Freiwillig (Datenschutzberater empfohlen) | Pflicht bei bestimmten Verarbeitungen |
| Verzeichnis Bearbeitungstätigkeiten | Pflicht (KMU mit < 250 MA teilweise befreit) | Pflicht (KMU mit < 250 MA teilweise befreit) |
| Meldung Datenpanne | So rasch als möglich an EDÖB | Innert 72 Stunden an Aufsichtsbehörde |
| Rechtsgrundlage | Keine explizite Einwilligung erforderlich (Privatpersonen) | Eine von sechs Rechtsgrundlagen nötig (Art. 6) |
| Datenschutz-Folgenabschätzung | Pflicht bei hohem Risiko | Pflicht bei hohem Risiko |
Rechtsgrundlagen für die Datenbearbeitung
Ein zentraler konzeptioneller Unterschied liegt in der Frage, wann eine Datenbearbeitung überhaupt zulässig ist.
DSGVO: Verbotsprinzip mit Erlaubnisvorbehalt
Die DSGVO folgt einem strikten Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine der sechs Rechtsgrundlagen nach Art. 6 DSGVO vor:
- Einwilligung der betroffenen Person
- Vertragserfüllung
- Rechtliche Verpflichtung
- Schutz lebenswichtiger Interessen
- Wahrnehmung einer Aufgabe im öffentlichen Interesse
- Berechtigte Interessen
DSG: Erlaubnisprinzip mit Rechtfertigungsvorbehalt
Das Schweizer DSG ist liberaler: Die Bearbeitung von Personendaten durch Privatpersonen ist grundsätzlich erlaubt, solange sie nicht widerrechtlich ist. Eine Rechtfertigung (Einwilligung, überwiegendes Interesse, Gesetz) ist erst dann nötig, wenn die Persönlichkeit der betroffenen Person verletzt wird – etwa bei Bearbeitung gegen den ausdrücklichen Willen oder bei besonders schützenswerten Daten.
Für die Praxis bedeutet das: Eine reine Kundenliste mit Name und E-Mail darf nach DSG ohne weitere Einwilligung geführt werden, sofern Transparenz besteht. Nach DSGVO braucht es zwingend eine Rechtsgrundlage – meist Vertragserfüllung oder berechtigtes Interesse.
Besonders schützenswerte Personendaten
Beide Gesetze definieren Kategorien von Daten, die besonderen Schutz geniessen, aber mit Unterschieden.
Erweiterung im revDSG
Das revidierte DSG hat den Katalog der besonders schützenswerten Daten erweitert. Neu fallen darunter auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren. Bislang umfasste die Kategorie:
- Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Gesundheits-, Intim- oder Rassenangaben
- Sozialhilfemassnahmen
- Administrative oder strafrechtliche Verfolgungen und Sanktionen
Sensible Daten nach DSGVO
Die DSGVO spricht von besonderen Kategorien personenbezogener Daten (Art. 9). Dazu gehören rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung.
Informationspflichten im Vergleich
Eine der grössten Neuerungen des revDSG ist die Ausweitung der Informationspflichten – hier hat sich die Schweiz stark an die DSGVO angenähert.
Was nach revDSG mitgeteilt werden muss
Verantwortliche müssen bei der Beschaffung von Personendaten mindestens informieren über:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger oder Kategorien von Empfängern bei Bekanntgabe
- Bei Auslandsbekanntgabe: Zielstaat und allfällige Garantien
Erweiterte Pflichten nach DSGVO
Die DSGVO geht in Art. 13 und 14 weiter und verlangt zusätzlich Angaben zur Rechtsgrundlage, zur Speicherdauer, zu den Betroffenenrechten, zum Beschwerderecht bei der Aufsichtsbehörde und gegebenenfalls zur automatisierten Entscheidungsfindung inklusive Profiling.
In der Praxis empfiehlt es sich, eine einheitliche Datenschutzerklärung zu führen, die beiden Regimen gerecht wird – das spart Aufwand und schafft Klarheit.
Rechte der betroffenen Personen
Beide Regelwerke gewähren Betroffenen vergleichbare Rechte, doch im Detail gibt es Unterschiede.
Gemeinsame Rechte
- Auskunftsrecht: Erfahren, welche Daten bearbeitet werden
- Berichtigung: Unrichtige Daten korrigieren lassen
- Löschung: Daten löschen lassen, wenn keine Bearbeitungsgrundlage mehr besteht
- Datenherausgabe/-übertragbarkeit: Daten in einem gängigen Format erhalten
Spezifika der DSGVO
Die DSGVO kennt zusätzlich ein explizites Widerspruchsrecht (Art. 21) gegen Bearbeitungen, die auf berechtigtem Interesse beruhen, sowie ein Recht auf Einschränkung der Verarbeitung (Art. 18). Diese Rechte sind im DSG nicht in derselben Form ausgestaltet.
Wer mehr über die konkrete Ausübung dieser Rechte erfahren möchte, findet weiterführende Informationen in unserem Beitrag zu DSGVO-Rechten im Überblick.
Datenpannen: Meldepflichten im Vergleich
Eine Datenpanne (Data Breach) liegt vor, wenn Personendaten unbeabsichtigt offengelegt, verloren oder unrechtmässig zugänglich gemacht werden. Die Meldepflichten unterscheiden sich deutlich.
Meldung nach revDSG
Der Verantwortliche muss dem EDÖB eine Verletzung der Datensicherheit so rasch als möglich melden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Eine starre 72-Stunden-Frist gibt es nicht.
Meldung nach DSGVO
Nach Art. 33 DSGVO muss die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden erfolgen – ausser die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Sanktionen und Durchsetzung
Hier zeigt sich einer der grössten praktischen Unterschiede zwischen den beiden Regelwerken.
Schweizer Bussenregime
Das revDSG sieht Bussen bis zu CHF 250'000 vor – allerdings primär gegen natürliche Personen, nicht gegen das Unternehmen selbst. Sanktioniert wird, wer vorsätzlich Auskunfts-, Informations- oder Mitwirkungspflichten verletzt oder Sorgfaltspflichten missachtet. Das macht die persönliche Verantwortung von Geschäftsleitungen besonders relevant.
DSGVO-Bussen
Die DSGVO kann Bussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Adressat ist das Unternehmen. Die hohen Bussen haben in den letzten Jahren zu mehreren spektakulären Fällen geführt.
Praktische Umsetzung für Schweizer Unternehmen
Wie geht ein Schweizer KMU pragmatisch vor, das beide Gesetze einhalten muss?
Schritt-für-Schritt-Vorgehen
- Datenbestand kartieren: Welche Personendaten werden bearbeitet, zu welchem Zweck, wo gespeichert?
- Verzeichnis der Bearbeitungstätigkeiten erstellen: Pflicht nach beiden Regelwerken (mit KMU-Ausnahmen).
- Datenschutzerklärung anpassen: Eine kombinierte Erklärung erfüllt beide Anforderungen.
- Auftragsbearbeitungsverträge prüfen: Mit allen Dienstleistern, die Daten bearbeiten.
- Technische und organisatorische Massnahmen: Verschlüsselung, Zugriffsmanagement, Backups.
- Prozess für Betroffenenanfragen: Wer beantwortet Auskunftsbegehren innert welcher Frist?
- Notfallplan für Datenpannen: Wer meldet wann an welche Behörde?
- Schulung der Mitarbeitenden: Sensibilisierung als laufender Prozess.
Tools für sichere Datenweitergabe
Wenn Sie im Marketing Links teilen oder Tracking-Daten erheben, achten Sie auf datenschutzkonforme Tools. Dienste wie Lunyb bieten URL-Verkürzung mit Fokus auf Privatsphäre und Transparenz – inklusive klarer Statistiken, ohne Nutzerprofile aufzubauen. Für branding-orientierte Kampagnen lohnt sich ein Blick auf unsere Anleitung zu gebrandeten Kurzlinks.
Datentransfer ins Ausland
Ein häufiges Praxisproblem ist die Datenübermittlung ins Ausland – etwa wenn Cloud-Dienste in den USA genutzt werden.
Vorgaben des revDSG
Eine Bekanntgabe ins Ausland ist nur zulässig, wenn der Zielstaat einen angemessenen Schutz bietet. Der Bundesrat führt eine Liste der anerkannten Staaten. Ist der Zielstaat nicht aufgeführt, braucht es geeignete Garantien (Standardvertragsklauseln, verbindliche Unternehmensregeln) oder eine Ausnahme.
DSGVO-Anforderungen
Die DSGVO folgt einem ähnlichen Konzept (Art. 44 ff.). Für Transfers in die USA gilt seit 2023 das EU-US Data Privacy Framework – Unternehmen, die zertifiziert sind, gelten als angemessen geschützt.
Cybersicherheit als gemeinsame Pflicht
Beide Regelwerke verlangen angemessene technische und organisatorische Massnahmen (TOM), um Personendaten zu schützen. Was «angemessen» heisst, hängt vom Risiko, vom Stand der Technik und von den Kosten ab.
Typische TOM umfassen Verschlüsselung im Ruhezustand und während der Übertragung, Zwei-Faktor-Authentifizierung, regelmässige Backups, Berechtigungskonzepte, Schulungen sowie ein dokumentiertes Incident-Response-Verfahren. Eine vertiefte Übersicht bietet unser Praxisleitfaden zur Cybersicherheit für KMU.
Vor- und Nachteile der beiden Regelwerke aus Unternehmenssicht
Vorteile DSG
- Liberaleres Erlaubnisprinzip – weniger Einwilligungsbürokratie
- Tiefere Bussen für Unternehmen
- Keine starre 72-Stunden-Meldefrist
- Schlankere Pflichten für kleine KMU
Nachteile DSG
- Persönliche Haftung von Verantwortlichen mit Bussen bis CHF 250'000
- Geringere Rechtssicherheit bei Auslegungsfragen (weniger Rechtsprechung)
- Trotzdem hoher Umsetzungsaufwand bei genauer Betrachtung
Vorteile DSGVO
- Einheitlicher Standard im gesamten EWR
- Umfangreiche Rechtsprechung und Behördenpraxis schafft Klarheit
- Klar geregelte Betroffenenrechte
Nachteile DSGVO
- Sehr hohe Bussen für Unternehmen
- Striktes Verbotsprinzip erfordert lückenlose Dokumentation
- Komplexe Vorgaben bei Drittstaatentransfers
Häufig gestellte Fragen (FAQ)
Muss mein Schweizer Unternehmen die DSGVO einhalten?
Ja, sobald Sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (z. B. via Webanalyse mit EU-Besuchern), greift die DSGVO zusätzlich zum DSG. Ein Online-Shop mit Lieferung in die EU oder eine Website mit gezielter Ansprache von EU-Kunden ist typischerweise betroffen.
Reicht eine Datenschutzerklärung für beide Gesetze?
Ja, mit der richtigen Gestaltung. Eine kombinierte Datenschutzerklärung, die alle Informationspflichten der DSGVO erfüllt, deckt automatisch auch die Anforderungen des revDSG ab, da letztere weniger umfangreich sind. So vermeiden Sie doppelten Pflegeaufwand.
Wer ist in der Schweiz die Aufsichtsbehörde?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überwacht die Einhaltung des DSG. Er kann seit dem revDSG verbindliche Verfügungen erlassen, Untersuchungen einleiten und Empfehlungen aussprechen. Für DSGVO-Verstösse sind die jeweiligen nationalen Aufsichtsbehörden in den EU-Staaten zuständig.
Brauche ich einen Datenschutzbeauftragten?
Nach revDSG ist ein Datenschutzberater für Private freiwillig, wird aber empfohlen. Nach DSGVO ist ein Datenschutzbeauftragter Pflicht, wenn die Kerntätigkeit umfangreiche regelmässige Überwachung umfasst oder besondere Datenkategorien in grossem Umfang verarbeitet werden. Prüfen Sie Ihre konkrete Situation sorgfältig.
Welche Bussen drohen bei Verstössen konkret?
Nach revDSG drohen Bussen bis CHF 250'000 – primär gegen verantwortliche natürliche Personen. Nach DSGVO können Unternehmen mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes gebüsst werden. In der Praxis sind hohe Bussen meist die Folge schwerwiegender oder wiederholter Verstösse, nicht einzelner Formfehler.
Fazit
DSG und DSGVO verfolgen dasselbe Ziel – den Schutz personenbezogener Daten – nutzen aber unterschiedliche Wege. Das revDSG ist liberaler im Ansatz, kennt aber persönliche Sanktionen. Die DSGVO ist strikter, aber adressiert primär Unternehmen mit teils empfindlichen Bussen.
Für Schweizer Unternehmen mit EU-Geschäft führt der pragmatische Weg über eine einheitliche Compliance-Strategie: Wer die DSGVO erfüllt, erfüllt automatisch auch das revDSG. Investieren Sie in saubere Dokumentation, technische Sicherheitsmassnahmen und Mitarbeiterschulung – das zahlt sich aus, unabhängig davon, welches Gesetz im Einzelfall greift.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die DSGVO gibt Ihnen in Österreich weitreichende Rechte: Auskunft, Löschung, Berichtigung und mehr. Dieser Leitfaden erklärt verständlich, welche Ansprüche Sie haben und wie Sie diese gegenüber Unternehmen und Behörden durchsetzen. Inklusive Mustervorgehen für Beschwerden bei der Datenschutzbehörde.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Erfahren Sie in dieser umfassenden Schritt-für-Schritt-Anleitung, wie Sie 2026 eine Beschwerde bei der BfDI einreichen. Mit Hinweisen zu Zuständigkeit, Formularen, Fristen und typischen Fehlern – damit Ihre Datenschutzbeschwerde erfolgreich bearbeitet wird.
Österreichische Datenschutzbehörde: Beschwerde Einreichen (Leitfaden 2026)
Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde bei der österreichischen Datenschutzbehörde einreichen. Mit Mustervorlage, Fristen und praxisnahen Tipps zur erfolgreichen Durchsetzung Ihrer DSGVO-Rechte im Jahr 2026.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt zusammen mit der DSGVO den Schutz personenbezogener Daten. Dieser Leitfaden erklärt Rechte, Pflichten, Bußgelder und praktische Umsetzung für Privatpersonen und Unternehmen verständlich und kompakt.