facebook-pixel

DSG vs DSGVO: Die Unterschiede Verstehen (Leitfaden 2026)

L
Lunyb Sicherheitsteam
··8 min read

Das revidierte Schweizer Datenschutzgesetz (revDSG) und die europäische Datenschutz-Grundverordnung (DSGVO) verfolgen dasselbe Ziel: den Schutz personenbezogener Daten natürlicher Personen. Trotz vieler Parallelen bestehen jedoch entscheidende Unterschiede in Anwendungsbereich, Pflichten und Sanktionen, die Schweizer Unternehmen kennen müssen.

Seit dem 1. September 2023 ist das totalrevidierte DSG in Kraft. Es wurde bewusst an die DSGVO angenähert, um die Angemessenheit der Schweiz als sicheres Drittland zu wahren. Doch die Angleichung ist nicht vollständig – wer beide Regelwerke einhalten muss, sollte die Feinheiten verstehen. Dieser Leitfaden erklärt die zentralen Unterschiede zwischen DSG und DSGVO und zeigt, welche Regeln für Ihr Unternehmen relevant sind.

DSG und DSGVO im Überblick

Das Schweizer Datenschutzgesetz (DSG) ist das nationale Regelwerk der Schweiz zum Schutz personenbezogener Daten. Es wird ergänzt durch die Verordnung zum DSG (VDSG) und beaufsichtigt vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie wird durch nationale Aufsichtsbehörden – in Deutschland z.B. den BfDI und die Landesdatenschutzbeauftragten – durchgesetzt.

Warum wurde das DSG revidiert?

Die Revision des DSG hatte drei zentrale Ziele:

  1. Erhalt des Angemessenheitsbeschlusses der EU-Kommission, damit Daten weiterhin ohne Zusatzgarantien in die Schweiz fliessen dürfen.
  2. Modernisierung im Hinblick auf digitale Geschäftsmodelle, Cloud Computing und internationale Datenströme.
  3. Stärkung der Rechte betroffener Personen durch mehr Transparenz und erweiterte Auskunftsrechte.

Anwendungsbereich: Wer ist betroffen?

Ein zentraler Unterschied liegt im territorialen und persönlichen Anwendungsbereich beider Gesetze.

Anwendungsbereich des DSG

Das revDSG gilt für die Bearbeitung von Personendaten durch private Personen und Bundesorgane in der Schweiz. Es findet auch Anwendung, wenn sich eine Bearbeitung im Ausland in der Schweiz auswirkt (Auswirkungsprinzip). Ein wichtiger Punkt: Das DSG schützt nur natürliche Personen, nicht mehr wie zuvor auch juristische Personen.

Anwendungsbereich der DSGVO

Die DSGVO gilt räumlich in allen EU- und EWR-Staaten. Zusätzlich greift das Marktortprinzip nach Art. 3 DSGVO: Unternehmen mit Sitz ausserhalb der EU unterliegen der DSGVO, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten überwachen. Ein Schweizer Onlineshop, der aktiv Kunden in Deutschland ansprechen möchte, muss deshalb regelmässig beide Regelwerke beachten.

Zentrale Begriffe im Vergleich

Begriff DSGVO Begriff DSG Bedeutung
Personenbezogene DatenPersonendatenAlle Informationen zu einer identifizierbaren Person
VerarbeitungBearbeitungJeder Umgang mit Daten (Erheben, Speichern, Nutzen, Löschen)
VerantwortlicherVerantwortlicherStelle, die über Zweck und Mittel entscheidet
AuftragsverarbeiterAuftragsbearbeiterExterner Dienstleister, der Daten im Auftrag bearbeitet
Besondere KategorienBesonders schützenswerte PersonendatenGesundheit, Religion, biometrische Daten etc.

Die wichtigsten inhaltlichen Unterschiede

1. Rechtsgrundlage der Bearbeitung

Die DSGVO verlangt in Art. 6 eine explizite Rechtsgrundlage (z.B. Einwilligung, Vertrag, berechtigtes Interesse). Ohne eine solche ist jede Verarbeitung verboten (Verbotsprinzip mit Erlaubnisvorbehalt).

Das DSG folgt einem umgekehrten Ansatz: Die Bearbeitung von Personendaten ist grundsätzlich erlaubt, solange die Bearbeitungsgrundsätze (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung) eingehalten werden. Eine ausdrückliche Rechtsgrundlage ist erst dann nötig, wenn eine Persönlichkeitsverletzung vorliegt – etwa bei besonders schützenswerten Daten oder gegen den Willen der betroffenen Person.

2. Bussen und Sanktionen

Hier zeigt sich ein markanter systematischer Unterschied:

  • DSGVO: Bussen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – gegen das Unternehmen.
  • DSG: Bussen bis 250'000 CHF – aber gegen die verantwortliche natürliche Person, in der Regel die Geschäftsleitung.

Während die DSGVO also Unternehmen wirtschaftlich empfindlich trifft, richtet sich das DSG direkt gegen Verantwortliche. Das erhöht den Druck auf die individuelle Compliance-Verantwortung im Management.

3. Datenschutzbeauftragte(r)

Die DSGVO verpflichtet in Art. 37 zur Bestellung eines Datenschutzbeauftragten (DSB) in bestimmten Fällen – etwa bei umfangreicher Verarbeitung besonderer Kategorien oder systematischer Überwachung.

Das DSG kennt den Datenschutzberater (Art. 10 revDSG). Dessen Bestellung ist für private Unternehmen jedoch freiwillig – schafft aber Vorteile: Bei einer hohen Risiko-Datenschutz-Folgenabschätzung entfällt die Konsultationspflicht des EDÖB, wenn ein interner Berater konsultiert wurde.

4. Meldepflicht bei Datenschutzverletzungen

Beide Gesetze verlangen eine Meldung von Datenpannen, unterscheiden sich aber in Frist und Schwellenwert:

KriteriumDSGVODSG
Frist72 Stunden"So rasch als möglich"
SchwelleAusser bei geringem RisikoNur bei hohem Risiko für die Persönlichkeit
BehördeZuständige AufsichtsbehördeEDÖB
Betroffene informierenBei hohem RisikoWenn zum Schutz erforderlich

5. Bearbeitungsverzeichnis

Sowohl DSGVO als auch DSG verlangen ein Verzeichnis der Bearbeitungstätigkeiten. Das DSG sieht in der VDSG jedoch eine Ausnahme für KMU vor: Unternehmen mit weniger als 250 Mitarbeitenden und geringem Risiko sind befreit. Die DSGVO kennt eine ähnliche, aber engere Ausnahme (Art. 30 Abs. 5 DSGVO).

6. Datenschutz-Folgenabschätzung (DSFA)

Beide Gesetze fordern eine DSFA bei hohem Risiko. Ein Unterschied: Nach DSG muss der EDÖB nur konsultiert werden, wenn trotz Massnahmen ein hohes Restrisiko bleibt. Wurde ein Datenschutzberater konsultiert, kann diese Meldung entfallen. Die DSGVO ist hier strikter.

7. Rechte der betroffenen Personen

Die Kernrechte sind weitgehend deckungsgleich:

  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung / Vernichtung
  • Recht auf Datenherausgabe / Datenübertragbarkeit
  • Widerspruchsrecht gegen bestimmte Bearbeitungen

Unterschiede bestehen im Detail: Die DSGVO gewährt ausdrücklich ein Recht auf Einschränkung der Verarbeitung (Art. 18), das im DSG so nicht formuliert ist. Zudem hat das Auskunftsrecht nach DSG einen breiteren Umfang – auch die Herkunft der Daten und die Aufbewahrungsdauer müssen angegeben werden.

8. Profiling und automatisierte Einzelentscheidungen

Das DSG hat den Begriff "Profiling mit hohem Risiko" neu eingeführt (Art. 5 lit. g revDSG). Dies umfasst Profiling, das ein hohes Risiko für Persönlichkeit oder Grundrechte darstellt. Solches Profiling wird ähnlich streng behandelt wie besonders schützenswerte Daten. Die DSGVO regelt automatisierte Entscheidungen in Art. 22, ohne ein spezielles "Hochrisikoprofiling" zu definieren.

9. Datenexport ins Ausland

Beide Regelwerke erlauben Datenübermittlungen ins Ausland nur unter Bedingungen: Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules oder Einwilligung. Der Bundesrat führt eine eigene Länderliste. Für Übermittlungen in die USA gilt seit 2024 das Swiss-U.S. Data Privacy Framework als Grundlage – analog zum EU-U.S. DPF.

Praktische Auswirkungen für Schweizer Unternehmen

Für viele Schweizer KMU stellt sich die Frage: Reicht die DSG-Compliance – oder muss ich auch die DSGVO einhalten? Die Antwort hängt vom Geschäftsmodell ab.

Wann Sie beide Regelwerke einhalten müssen

  1. Sie haben Kunden oder Nutzer in der EU/im EWR.
  2. Sie betreiben eine Website, die aktiv EU-Bürger anspricht (z.B. Sprache, Währung, Lieferungen).
  3. Sie beobachten das Verhalten von Personen in der EU (z.B. Tracking, Retargeting).
  4. Sie haben Mitarbeitende oder Niederlassungen in der EU.

In diesen Fällen empfiehlt sich ein integriertes Datenschutzmanagement, das den strengeren Anforderungen der DSGVO folgt – so decken Sie automatisch das DSG mit ab. Details zur Umsetzung finden Sie in unserem Praxisleitfaden für Schweizer Unternehmen.

Pflichtdokumentation im Vergleich

DokumentDSGDSGVO
BearbeitungsverzeichnisJa (mit KMU-Ausnahme)Ja (Art. 30)
DatenschutzerklärungJa, erweitertJa (Art. 13/14)
AuftragsbearbeitungsverträgeJaJa (Art. 28)
DSFABei hohem RisikoBei hohem Risiko
Meldung DatenpanneAn EDÖBAn Aufsichtsbehörde
DatenschutzbeauftragterFreiwilligBedingt Pflicht

Technische Massnahmen: Was beide Gesetze verlangen

Sowohl DSG als auch DSGVO fordern angemessene technische und organisatorische Massnahmen (TOM) zur Datensicherheit. Dazu gehören:

  • Verschlüsselung von Daten bei Übertragung und Speicherung
  • Zugriffskontrollen und rollenbasierte Berechtigungen
  • Pseudonymisierung wo sinnvoll
  • Regelmässige Backups und Wiederherstellungstests
  • Protokollierung von Zugriffen auf sensible Daten
  • Schulung der Mitarbeitenden
  • Incident-Response-Plan für den Ernstfall

Auch bei scheinbar kleinen Themen wie dem Versand von Links in Kommunikation und Marketing sollten Sie auf datenschutzkonforme Werkzeuge achten. Ein URL-Kürzer wie Lunyb ermöglicht es, Links sicher zu teilen, ohne persönliche Empfängerdaten an unnötige Drittanbieter preiszugeben – ein kleiner, aber praktischer Baustein Ihrer Datensparsamkeit.

Häufige Fehler bei der Umsetzung

Erfahrungen aus Prüfungen des EDÖB und europäischer Aufsichtsbehörden zeigen wiederkehrende Schwachstellen:

  1. Unvollständige Datenschutzerklärung: Empfängerkategorien, Aufbewahrungsdauer und Drittlandtransfers fehlen häufig.
  2. Fehlende Auftragsbearbeitungsverträge mit Cloud-Anbietern und externen Dienstleistern.
  3. Cookies ohne Einwilligung: Tracking-Cookies werden gesetzt, bevor die Zustimmung erteilt wurde.
  4. Kein Löschkonzept: Daten werden unbefristet gespeichert, obwohl der Zweck längst erfüllt ist.
  5. Ungeschulte Mitarbeitende, die auf Phishing-Angriffe hereinfallen. Sensibilisieren Sie Ihr Team – unser Leitfaden zu Phishing-Angriffen hilft dabei.

Blick über die Grenze: Österreich und Deutschland

In Österreich und Deutschland gilt die DSGVO direkt, ergänzt um nationale Gesetze (DSG Österreich, BDSG Deutschland). Für Schweizer Unternehmen mit Kunden in diesen Ländern gelten die dortigen Aufsichtsbehörden als Ansprechpartner. Weitere Details zur österreichischen Perspektive finden Sie in unserem Artikel zur Online-Privatsphäre in Österreich.

Checkliste: DSG- und DSGVO-Compliance in 10 Schritten

  1. Bestandsaufnahme aller Datenbearbeitungen erstellen
  2. Bearbeitungsverzeichnis aufsetzen und pflegen
  3. Datenschutzerklärung nach DSG und DSGVO anpassen
  4. Rechtsgrundlagen für alle Bearbeitungen definieren
  5. Auftragsbearbeitungsverträge mit allen Dienstleistern abschliessen
  6. TOM dokumentieren und regelmässig prüfen
  7. Prozess für Betroffenenanfragen etablieren (30-Tage-Frist)
  8. Incident-Response-Plan für Datenpannen erstellen
  9. Mitarbeitende schulen und Awareness fördern
  10. Datenschutzberater bestellen (empfohlen, auch wenn freiwillig)

Fazit

DSG und DSGVO teilen viele Grundprinzipien – Datensparsamkeit, Transparenz, Zweckbindung und starke Betroffenenrechte. Die Unterschiede liegen im Detail: strafrechtliche vs. verwaltungsrechtliche Sanktionen, Verbotsprinzip vs. Erlaubnisprinzip, Pflichten für Datenschutzbeauftragte. Für viele international tätige Schweizer Unternehmen ist es effizient, sich am strengeren Standard der DSGVO zu orientieren und die spezifischen DSG-Anforderungen ergänzend zu erfüllen.

Datenschutz ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Wer heute klare Strukturen schafft, gewinnt nicht nur rechtliche Sicherheit, sondern auch das Vertrauen von Kunden und Partnern.

Häufig gestellte Fragen (FAQ)

Muss mein Schweizer KMU die DSGVO einhalten?

Nur, wenn Sie aktiv Kunden in der EU ansprechen, Waren dorthin liefern oder das Verhalten von EU-Bürgern beobachten. Ein reiner Schweizer Betrieb ohne EU-Bezug unterliegt nur dem DSG. Sobald jedoch ein Onlineshop deutschsprachige Kunden aus Deutschland oder Österreich adressiert, gilt in der Regel auch die DSGVO.

Wie hoch sind die Bussen nach revidiertem DSG?

Bis zu 250'000 CHF pro Verstoss. Wichtig: Die Bussen richten sich nicht gegen das Unternehmen, sondern gegen verantwortliche natürliche Personen – meist Mitglieder der Geschäftsleitung. Das erhöht die persönliche Verantwortung erheblich im Vergleich zu unternehmensbezogenen DSGVO-Bussen.

Brauche ich einen Datenschutzbeauftragten nach DSG?

Für private Unternehmen ist die Bestellung eines Datenschutzberaters freiwillig. Sie ist jedoch empfehlenswert, weil sie bei einer DSFA mit hohem Restrisiko die Konsultationspflicht des EDÖB ersetzt. Unter der DSGVO kann eine Pflicht bestehen – etwa bei umfangreicher Verarbeitung besonderer Datenkategorien.

Was ist der Unterschied zwischen Personendaten und personenbezogenen Daten?

Rein sprachlich – inhaltlich sind beide Begriffe deckungsgleich. Das DSG spricht von "Personendaten", die DSGVO von "personenbezogenen Daten". Beide bezeichnen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Wie lange muss ich Datenpannen aufbewahren und dokumentieren?

Sowohl DSG als auch DSGVO verlangen eine Dokumentation aller Datenpannen – unabhängig davon, ob eine Meldung an die Aufsichtsbehörde nötig war. Als Faustregel gilt: mindestens so lange, wie Ansprüche der Betroffenen verjähren können (in der Schweiz meist 10 Jahre, in der EU je nach nationalem Recht).

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles