DSG vs DSGVO: Die Unterschiede Verstehen - Leitfaden 2026
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Es bringt die Schweiz näher an die europäische Datenschutz-Grundverordnung (DSGVO) heran, behält aber wichtige Eigenheiten. Wer in beiden Rechtsräumen tätig ist, muss die Unterschiede genau kennen, um teure Bussen und Reputationsschäden zu vermeiden. Dieser Leitfaden erklärt die zentralen Differenzen zwischen DSG und DSGVO im Detail.
Was sind DSG und DSGVO?
Das DSG (Datenschutzgesetz) ist das nationale Schweizer Datenschutzrecht, das den Umgang mit Personendaten in der Schweiz regelt. Die DSGVO (Datenschutz-Grundverordnung) ist die europäische Verordnung, die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar gilt.
Beide Regelwerke verfolgen dasselbe Ziel: den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Der Weg dorthin und die konkrete Ausgestaltung unterscheiden sich jedoch in mehreren wichtigen Punkten.
Geltungsbereich des revDSG
Das revidierte Schweizer DSG gilt für die Bearbeitung von Personendaten durch private Personen und Bundesorgane in der Schweiz. Das Marktortprinzip bewirkt zudem, dass auch ausländische Unternehmen erfasst werden, sobald ihre Datenbearbeitung sich in der Schweiz auswirkt.
Geltungsbereich der DSGVO
Die DSGVO gilt für alle Unternehmen, die in der EU niedergelassen sind oder Waren bzw. Dienstleistungen an EU-Bürger anbieten. Auch Schweizer Unternehmen, die EU-Kunden bedienen oder deren Verhalten beobachten, fallen darunter.
Die wichtigsten Unterschiede im Überblick
| Kriterium | DSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| In Kraft seit | 1. September 2023 (revidiert) | 25. Mai 2018 |
| Anwendungsbereich Daten | Nur natürliche Personen | Nur natürliche Personen |
| Maximale Busse | CHF 250'000 (gegen Privatpersonen) | 20 Mio. EUR oder 4% des Jahresumsatzes |
| Adressat der Sanktion | Verantwortliche natürliche Person | Unternehmen |
| Datenschutzbeauftragter | Empfohlen, nicht zwingend | Pflicht bei bestimmten Tätigkeiten |
| Meldepflicht bei Datenpanne | So rasch als möglich an EDÖB | Binnen 72 Stunden an Aufsichtsbehörde |
| Aufsichtsbehörde | EDÖB | Nationale Datenschutzbehörden |
| Rechtsgrundlage erforderlich | Nicht zwingend (Verbot mit Erlaubnisvorbehalt fehlt) | Ja, Art. 6 DSGVO |
Sanktionen: Wer wird bestraft?
Einer der grössten Unterschiede liegt im Sanktionssystem. Die DSGVO sanktioniert Unternehmen mit Bussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Das Schweizer DSG hingegen verfolgt einen radikal anderen Ansatz: Es bestraft nicht das Unternehmen, sondern die verantwortliche natürliche Person mit Bussen bis zu CHF 250'000.
Diese persönliche Verantwortung von Geschäftsleitung und Datenschutzverantwortlichen ist für Schweizer Unternehmen ein klares Warnsignal. Wer als Geschäftsführer Datenschutzpflichten vorsätzlich verletzt, kann persönlich zur Kasse gebeten werden – ein Risiko, das viele unterschätzen.
Welche Verstösse werden sanktioniert?
- Verletzung der Informationspflicht gegenüber betroffenen Personen
- Verletzung der Auskunfts-, Mitteilungs- und Mitwirkungspflichten
- Verletzung der Sorgfaltspflichten (z. B. bei Auslandbekanntgabe)
- Missachtung von Mindestanforderungen an die Datensicherheit
- Verletzung der beruflichen Schweigepflicht
Rechtsgrundlagen: Verbotsprinzip vs. Erlaubnisprinzip
Die DSGVO folgt dem Verbotsprinzip mit Erlaubnisvorbehalt: Jede Datenverarbeitung ist grundsätzlich verboten, es sei denn, eine der sechs Rechtsgrundlagen aus Art. 6 DSGVO (Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtiges Interesse, öffentliches Interesse, berechtigtes Interesse) ist erfüllt.
Das Schweizer DSG kennt dieses strikte Verbotsprinzip nicht. Personendaten dürfen grundsätzlich bearbeitet werden, solange die Bearbeitungsgrundsätze (Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Transparenz) eingehalten werden. Erst bei einer Persönlichkeitsverletzung muss ein Rechtfertigungsgrund vorliegen.
Praktische Konsequenzen
Für viele Standardverarbeitungen ist die Schweizer Lösung pragmatischer. Bei sensiblen Personendaten oder grenzüberschreitenden Sachverhalten lohnt es sich jedoch fast immer, sich am höheren DSGVO-Standard zu orientieren – insbesondere weil viele Schweizer Unternehmen ohnehin Kunden im EU-Raum bedienen.
Besonders schützenswerte Personendaten
Beide Gesetze definieren Kategorien von Daten, die einen erhöhten Schutz geniessen. Das DSG hat diese Liste mit der Revision erweitert.
Besonders schützenswerte Daten nach DSG
- Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
- Gesundheit, Intimsphäre, Rassen- oder ethnische Zugehörigkeit
- Genetische Daten
- Biometrische Daten, die eine Person eindeutig identifizieren
- Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen
- Daten über Massnahmen der sozialen Hilfe
Besondere Kategorien nach DSGVO (Art. 9)
Die DSGVO definiert ähnliche Kategorien, schliesst aber Daten zu strafrechtlichen Verurteilungen aus Art. 9 aus und regelt diese separat in Art. 10. Auch die Sexualität wird in der DSGVO explizit als geschützt aufgeführt.
Informationspflichten im Vergleich
Das revidierte DSG hat die Informationspflichten gegenüber der alten Fassung deutlich erweitert und damit der DSGVO angenähert. Beide Gesetze verlangen, dass Betroffene transparent über die Datenbearbeitung informiert werden.
Was muss kommuniziert werden?
- Identität und Kontaktdaten des Verantwortlichen
- Zweck der Bearbeitung
- Kategorien der bearbeiteten Personendaten
- Empfänger oder Kategorien von Empfängern
- Bei Auslandbekanntgabe: Empfängerstaat und Garantien
- Aufbewahrungsdauer (DSGVO) bzw. Bearbeitungsdauer (DSG)
- Rechte der betroffenen Personen
Die DSGVO geht im Detail weiter und verlangt zusätzlich Angaben zur Rechtsgrundlage, zum Datenschutzbeauftragten und zum Beschwerderecht bei der Aufsichtsbehörde.
Betroffenenrechte: DSG vs. DSGVO
| Recht | DSG | DSGVO |
|---|---|---|
| Auskunftsrecht | Ja (Art. 25) | Ja (Art. 15) |
| Recht auf Berichtigung | Ja | Ja (Art. 16) |
| Recht auf Löschung | Ja, über Persönlichkeitsschutz | Ja (Art. 17, "Recht auf Vergessenwerden") |
| Recht auf Datenübertragbarkeit | Ja (Art. 28) | Ja (Art. 20) |
| Widerspruchsrecht | Eingeschränkt | Ja (Art. 21) |
| Recht auf Einschränkung | Nein explizit | Ja (Art. 18) |
| Schutz vor automatisierten Einzelentscheidungen | Ja (Art. 21) | Ja (Art. 22) |
Datenschutzfolgenabschätzung (DSFA)
Beide Regelwerke verlangen eine Datenschutzfolgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte mit sich bringt. Das DSG (Art. 22) und die DSGVO (Art. 35) sind sich hier strukturell ähnlich.
Wann ist eine DSFA erforderlich?
- Umfangreiche Bearbeitung besonders schützenswerter Daten
- Systematische Überwachung öffentlich zugänglicher Bereiche
- Profiling mit erheblichen Auswirkungen auf die Person
- Einsatz neuer Technologien mit unklarem Risikoprofil
Auslandbekanntgabe von Personendaten
Beide Gesetze regeln die Übermittlung von Daten ins Ausland streng. Eine Bekanntgabe ist nur zulässig, wenn das Empfängerland einen angemessenen Datenschutz gewährleistet oder geeignete Garantien bestehen.
Anerkannte Drittländer
Der Bundesrat führt eine Liste angemessener Drittstaaten. Die EU-Kommission veröffentlicht ihrerseits Angemessenheitsbeschlüsse. Beide Listen überschneiden sich weitgehend, sind aber nicht identisch.
Standardvertragsklauseln (SCC)
Wenn keine Angemessenheit besteht, können Standardvertragsklauseln genutzt werden. Die Schweiz hat eigene Klauseln vom EDÖB anerkannt; die EU-Kommission hat 2021 neue SCC veröffentlicht. Für viele Schweizer Unternehmen bedeutet das: Sie müssen je nach Datenfluss unterschiedliche Vertragswerke einsetzen.
Meldepflicht bei Datenpannen
Ein klarer Unterschied besteht bei den Fristen für die Meldung von Datenschutzverletzungen. Die DSGVO setzt die strenge 72-Stunden-Frist, das DSG verlangt eine Meldung «so rasch als möglich». In der Praxis sollten Schweizer Unternehmen sich dennoch an der 72-Stunden-Logik orientieren, um auf der sicheren Seite zu sein.
Ein praktischer erster Schritt für jedes Unternehmen ist die Überprüfung, ob bereits Datenlecks bestehen. In unserem Leitfaden «Wurde mein Passwort geleakt» zeigen wir, wie Sie systematisch prüfen können, ob Anmeldedaten kompromittiert wurden.
Verzeichnis der Bearbeitungstätigkeiten
Beide Gesetze verlangen ein Verzeichnis aller Datenbearbeitungstätigkeiten. Die DSGVO sieht Ausnahmen für Unternehmen unter 250 Mitarbeitenden vor, sofern keine risikoreiche Bearbeitung erfolgt. Das DSG befreit KMU mit weniger als 250 Mitarbeitenden grundsätzlich, ausser bei umfangreicher Bearbeitung besonders schützenswerter Daten oder Profiling mit hohem Risiko.
Datenschutz in der Praxis umsetzen
Die theoretischen Unterschiede zwischen DSG und DSGVO sind eine Sache – die praktische Umsetzung eine andere. Für Schweizer Unternehmen, die häufig in beiden Rechtsräumen agieren, empfiehlt sich ein integrierter Compliance-Ansatz.
Schritt-für-Schritt-Plan
- Dateninventur: Welche Personendaten werden wo, wie und warum bearbeitet?
- Rechtsgrundlagen klären: Für DSGVO zwingend, für DSG bei sensiblen Bearbeitungen sinnvoll
- Datenschutzerklärung erstellen: Erfüllung der Informationspflichten beider Gesetze
- Auftragsbearbeitungsverträge prüfen: Mit allen Dienstleistern abschliessen
- Technische Massnahmen umsetzen: Verschlüsselung, Pseudonymisierung, Zugangskontrollen
- Prozesse für Betroffenenrechte etablieren: Auskunft, Berichtigung, Löschung systematisieren
- Meldewege definieren: Was passiert bei einer Datenpanne?
- Mitarbeiterschulungen: Sensibilisierung ist der wichtigste Schutz
Einen vertieften Leitfaden für die Praxis finden Sie in unserem Beitrag «Datenschutz für Schweizer Unternehmen». Wer beim Marketing datenschutzfreundliche Tools sucht, kann auf privatsphäreorientierte Dienste wie Lunyb setzen, dessen Link-Verkürzer ohne aufdringliches Tracking auskommt – nützlich, wenn Sie auch bei URL-Kürzungen auf Datenschutz achten möchten.
Datenschutzberater und Datenschutzbeauftragter
Die DSGVO verlangt zwingend einen Datenschutzbeauftragten (DSB), wenn Kerntätigkeit eine umfangreiche regelmässige Überwachung oder Bearbeitung besonders sensibler Daten umfasst. Das DSG verwendet den Begriff «Datenschutzberater» und macht dessen Ernennung freiwillig – wer ihn meldet, kann jedoch Vorteile wie eine vereinfachte DSFA-Prüfung nutzen.
Cookies und Tracking
Während die DSGVO in Verbindung mit der ePrivacy-Richtlinie strenge Anforderungen an Cookie-Banner stellt (aktive Einwilligung vor jedem nicht-essenziellen Cookie), ist die Schweizer Rechtslage weniger streng. Das DSG verlangt vor allem Transparenz; eine explizite Opt-in-Lösung ist nicht zwingend erforderlich.
Für Privatpersonen, die sich vor übermässigem Tracking schützen möchten, lohnt ein Blick auf unseren Ratgeber «Tracker auf dem Handy blockieren». Wer zudem unter ständigen Spam-Anrufen leidet, findet auch dort konkrete Schutzmassnahmen.
Welches Gesetz gilt für mich?
Die Frage nach dem anwendbaren Recht ist nicht immer einfach. Drei Szenarien helfen bei der Einordnung:
Szenario 1: Schweizer Unternehmen, nur Schweizer Kunden
Hier gilt primär das revDSG. Die DSGVO kommt nur ins Spiel, wenn EU-Bürger gezielt angesprochen werden.
Szenario 2: Schweizer Unternehmen mit EU-Kunden
Beide Regelwerke sind relevant. Die DSGVO greift über das Marktortprinzip; das DSG gilt zusätzlich für die Schweizer Aktivitäten. Ein EU-Vertreter nach Art. 27 DSGVO kann nötig werden.
Szenario 3: EU-Unternehmen mit Schweizer Kunden
Die DSGVO gilt für das EU-Unternehmen ohnehin. Das DSG kann zusätzlich greifen, insbesondere wenn die Bearbeitung in der Schweiz spürbare Auswirkungen hat. Ein Schweizer Vertreter kann erforderlich sein.
Häufig gestellte Fragen (FAQ)
Ist das Schweizer DSG strenger als die DSGVO?
Nein, in den meisten Punkten ist das DSG weniger streng als die DSGVO. Es fehlt das Verbotsprinzip mit Erlaubnisvorbehalt, und die Bussen sind niedriger. Allerdings sanktioniert das DSG natürliche Personen statt Unternehmen, was die persönliche Verantwortung erhöht.
Muss ich als KMU die DSGVO einhalten?
Wenn Sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten, gilt die DSGVO unabhängig von der Unternehmensgrösse. Ein Online-Shop, der nach Deutschland liefert, fällt also klar unter die DSGVO.
Was ist der Unterschied zwischen DSG und revDSG?
Das alte DSG stammte aus dem Jahr 1992. Das revidierte DSG (revDSG) trat am 1. September 2023 in Kraft und brachte die Schweiz näher an die DSGVO. Wenn heute von DSG gesprochen wird, ist faktisch immer das revDSG gemeint.
Wer ist die Aufsichtsbehörde in der Schweiz?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zuständige Aufsichtsbehörde auf Bundesebene. Für die kantonale Verwaltung gibt es zusätzlich kantonale Datenschutzbeauftragte.
Brauche ich eine Datenschutzerklärung auf meiner Website?
Ja, beide Gesetze verlangen Transparenz gegenüber den betroffenen Personen. Eine Datenschutzerklärung ist heute für praktisch jede Website Pflicht – sowohl unter dem revDSG als auch unter der DSGVO.
Fazit
DSG und DSGVO verfolgen dasselbe Ziel, gehen aber unterschiedliche Wege. Die DSGVO ist insgesamt strenger und sanktioniert Unternehmen mit drakonischen Bussen. Das DSG ist pragmatischer, knüpft die Sanktionen jedoch an die persönliche Verantwortung von Entscheidungsträgern. Für Unternehmen, die in beiden Rechtsräumen tätig sind, empfiehlt sich eine Orientierung am höheren DSGVO-Standard – das vereinfacht die Compliance und minimiert Risiken in beiden Welten.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO gibt Ihnen in Österreich weitreichende Datenschutzrechte – von Auskunft bis Löschung. Dieser umfassende Leitfaden erklärt alle acht Betroffenenrechte, Fristen und zeigt Schritt für Schritt, wie Sie Ihre Rechte gegenüber Unternehmen und Behörden durchsetzen.
Datenschutzgesetz Österreich Erklärt: DSG, DSGVO und Ihre Rechte 2026
Das österreichische Datenschutzgesetz (DSG) regelt zusammen mit der DSGVO den Schutz personenbezogener Daten. Dieser umfassende Leitfaden erklärt Rechte, Pflichten und Bußgelder verständlich. Erfahren Sie, wie Sie Ihre Datenschutzrechte 2026 effektiv durchsetzen.
KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das EU KI-Gesetz verändert ab 2025 grundlegend, wie künstliche Intelligenz in Europa eingesetzt werden darf. Erfahren Sie alles über Risikoklassen, Pflichten, Fristen und Bußgelder – sowie wie Sie Ihr Unternehmen rechtzeitig vorbereiten.
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Unternehmen und Privatpersonen
Die DSGVO im Jahr 2026 verständlich erklärt: Erfahren Sie alles über Grundprinzipien, Betroffenenrechte, Unternehmenspflichten und aktuelle Neuerungen. Mit praktischer Checkliste für die Umsetzung und Tipps für Privatpersonen.