DSG vs DSGVO: Die Unterschiede Verstehen (Leitfaden 2026)
Das revidierte Schweizer Datenschutzgesetz (revDSG) und die europäische Datenschutz-Grundverordnung (DSGVO) verfolgen dasselbe Ziel: den Schutz personenbezogener Daten natürlicher Personen. Trotz vieler Parallelen bestehen jedoch entscheidende Unterschiede in Anwendungsbereich, Pflichten und Sanktionen, die Schweizer Unternehmen kennen müssen.
Seit dem 1. September 2023 ist das totalrevidierte DSG in Kraft. Es wurde bewusst an die DSGVO angenähert, um die Angemessenheit der Schweiz als sicheres Drittland zu wahren. Doch die Angleichung ist nicht vollständig – wer beide Regelwerke einhalten muss, sollte die Feinheiten verstehen. Dieser Leitfaden erklärt die zentralen Unterschiede zwischen DSG und DSGVO und zeigt, welche Regeln für Ihr Unternehmen relevant sind.
DSG und DSGVO im Überblick
Das Schweizer Datenschutzgesetz (DSG) ist das nationale Regelwerk der Schweiz zum Schutz personenbezogener Daten. Es wird ergänzt durch die Verordnung zum DSG (VDSG) und beaufsichtigt vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie wird durch nationale Aufsichtsbehörden – in Deutschland z.B. den BfDI und die Landesdatenschutzbeauftragten – durchgesetzt.
Warum wurde das DSG revidiert?
Die Revision des DSG hatte drei zentrale Ziele:
- Erhalt des Angemessenheitsbeschlusses der EU-Kommission, damit Daten weiterhin ohne Zusatzgarantien in die Schweiz fliessen dürfen.
- Modernisierung im Hinblick auf digitale Geschäftsmodelle, Cloud Computing und internationale Datenströme.
- Stärkung der Rechte betroffener Personen durch mehr Transparenz und erweiterte Auskunftsrechte.
Anwendungsbereich: Wer ist betroffen?
Ein zentraler Unterschied liegt im territorialen und persönlichen Anwendungsbereich beider Gesetze.
Anwendungsbereich des DSG
Das revDSG gilt für die Bearbeitung von Personendaten durch private Personen und Bundesorgane in der Schweiz. Es findet auch Anwendung, wenn sich eine Bearbeitung im Ausland in der Schweiz auswirkt (Auswirkungsprinzip). Ein wichtiger Punkt: Das DSG schützt nur natürliche Personen, nicht mehr wie zuvor auch juristische Personen.
Anwendungsbereich der DSGVO
Die DSGVO gilt räumlich in allen EU- und EWR-Staaten. Zusätzlich greift das Marktortprinzip nach Art. 3 DSGVO: Unternehmen mit Sitz ausserhalb der EU unterliegen der DSGVO, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten überwachen. Ein Schweizer Onlineshop, der aktiv Kunden in Deutschland ansprechen möchte, muss deshalb regelmässig beide Regelwerke beachten.
Zentrale Begriffe im Vergleich
| Begriff DSGVO | Begriff DSG | Bedeutung |
|---|---|---|
| Personenbezogene Daten | Personendaten | Alle Informationen zu einer identifizierbaren Person |
| Verarbeitung | Bearbeitung | Jeder Umgang mit Daten (Erheben, Speichern, Nutzen, Löschen) |
| Verantwortlicher | Verantwortlicher | Stelle, die über Zweck und Mittel entscheidet |
| Auftragsverarbeiter | Auftragsbearbeiter | Externer Dienstleister, der Daten im Auftrag bearbeitet |
| Besondere Kategorien | Besonders schützenswerte Personendaten | Gesundheit, Religion, biometrische Daten etc. |
Die wichtigsten inhaltlichen Unterschiede
1. Rechtsgrundlage der Bearbeitung
Die DSGVO verlangt in Art. 6 eine explizite Rechtsgrundlage (z.B. Einwilligung, Vertrag, berechtigtes Interesse). Ohne eine solche ist jede Verarbeitung verboten (Verbotsprinzip mit Erlaubnisvorbehalt).
Das DSG folgt einem umgekehrten Ansatz: Die Bearbeitung von Personendaten ist grundsätzlich erlaubt, solange die Bearbeitungsgrundsätze (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung) eingehalten werden. Eine ausdrückliche Rechtsgrundlage ist erst dann nötig, wenn eine Persönlichkeitsverletzung vorliegt – etwa bei besonders schützenswerten Daten oder gegen den Willen der betroffenen Person.
2. Bussen und Sanktionen
Hier zeigt sich ein markanter systematischer Unterschied:
- DSGVO: Bussen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – gegen das Unternehmen.
- DSG: Bussen bis 250'000 CHF – aber gegen die verantwortliche natürliche Person, in der Regel die Geschäftsleitung.
Während die DSGVO also Unternehmen wirtschaftlich empfindlich trifft, richtet sich das DSG direkt gegen Verantwortliche. Das erhöht den Druck auf die individuelle Compliance-Verantwortung im Management.
3. Datenschutzbeauftragte(r)
Die DSGVO verpflichtet in Art. 37 zur Bestellung eines Datenschutzbeauftragten (DSB) in bestimmten Fällen – etwa bei umfangreicher Verarbeitung besonderer Kategorien oder systematischer Überwachung.
Das DSG kennt den Datenschutzberater (Art. 10 revDSG). Dessen Bestellung ist für private Unternehmen jedoch freiwillig – schafft aber Vorteile: Bei einer hohen Risiko-Datenschutz-Folgenabschätzung entfällt die Konsultationspflicht des EDÖB, wenn ein interner Berater konsultiert wurde.
4. Meldepflicht bei Datenschutzverletzungen
Beide Gesetze verlangen eine Meldung von Datenpannen, unterscheiden sich aber in Frist und Schwellenwert:
| Kriterium | DSGVO | DSG |
|---|---|---|
| Frist | 72 Stunden | "So rasch als möglich" |
| Schwelle | Ausser bei geringem Risiko | Nur bei hohem Risiko für die Persönlichkeit |
| Behörde | Zuständige Aufsichtsbehörde | EDÖB |
| Betroffene informieren | Bei hohem Risiko | Wenn zum Schutz erforderlich |
5. Bearbeitungsverzeichnis
Sowohl DSGVO als auch DSG verlangen ein Verzeichnis der Bearbeitungstätigkeiten. Das DSG sieht in der VDSG jedoch eine Ausnahme für KMU vor: Unternehmen mit weniger als 250 Mitarbeitenden und geringem Risiko sind befreit. Die DSGVO kennt eine ähnliche, aber engere Ausnahme (Art. 30 Abs. 5 DSGVO).
6. Datenschutz-Folgenabschätzung (DSFA)
Beide Gesetze fordern eine DSFA bei hohem Risiko. Ein Unterschied: Nach DSG muss der EDÖB nur konsultiert werden, wenn trotz Massnahmen ein hohes Restrisiko bleibt. Wurde ein Datenschutzberater konsultiert, kann diese Meldung entfallen. Die DSGVO ist hier strikter.
7. Rechte der betroffenen Personen
Die Kernrechte sind weitgehend deckungsgleich:
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung / Vernichtung
- Recht auf Datenherausgabe / Datenübertragbarkeit
- Widerspruchsrecht gegen bestimmte Bearbeitungen
Unterschiede bestehen im Detail: Die DSGVO gewährt ausdrücklich ein Recht auf Einschränkung der Verarbeitung (Art. 18), das im DSG so nicht formuliert ist. Zudem hat das Auskunftsrecht nach DSG einen breiteren Umfang – auch die Herkunft der Daten und die Aufbewahrungsdauer müssen angegeben werden.
8. Profiling und automatisierte Einzelentscheidungen
Das DSG hat den Begriff "Profiling mit hohem Risiko" neu eingeführt (Art. 5 lit. g revDSG). Dies umfasst Profiling, das ein hohes Risiko für Persönlichkeit oder Grundrechte darstellt. Solches Profiling wird ähnlich streng behandelt wie besonders schützenswerte Daten. Die DSGVO regelt automatisierte Entscheidungen in Art. 22, ohne ein spezielles "Hochrisikoprofiling" zu definieren.
9. Datenexport ins Ausland
Beide Regelwerke erlauben Datenübermittlungen ins Ausland nur unter Bedingungen: Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules oder Einwilligung. Der Bundesrat führt eine eigene Länderliste. Für Übermittlungen in die USA gilt seit 2024 das Swiss-U.S. Data Privacy Framework als Grundlage – analog zum EU-U.S. DPF.
Praktische Auswirkungen für Schweizer Unternehmen
Für viele Schweizer KMU stellt sich die Frage: Reicht die DSG-Compliance – oder muss ich auch die DSGVO einhalten? Die Antwort hängt vom Geschäftsmodell ab.
Wann Sie beide Regelwerke einhalten müssen
- Sie haben Kunden oder Nutzer in der EU/im EWR.
- Sie betreiben eine Website, die aktiv EU-Bürger anspricht (z.B. Sprache, Währung, Lieferungen).
- Sie beobachten das Verhalten von Personen in der EU (z.B. Tracking, Retargeting).
- Sie haben Mitarbeitende oder Niederlassungen in der EU.
In diesen Fällen empfiehlt sich ein integriertes Datenschutzmanagement, das den strengeren Anforderungen der DSGVO folgt – so decken Sie automatisch das DSG mit ab. Details zur Umsetzung finden Sie in unserem Praxisleitfaden für Schweizer Unternehmen.
Pflichtdokumentation im Vergleich
| Dokument | DSG | DSGVO |
|---|---|---|
| Bearbeitungsverzeichnis | Ja (mit KMU-Ausnahme) | Ja (Art. 30) |
| Datenschutzerklärung | Ja, erweitert | Ja (Art. 13/14) |
| Auftragsbearbeitungsverträge | Ja | Ja (Art. 28) |
| DSFA | Bei hohem Risiko | Bei hohem Risiko |
| Meldung Datenpanne | An EDÖB | An Aufsichtsbehörde |
| Datenschutzbeauftragter | Freiwillig | Bedingt Pflicht |
Technische Massnahmen: Was beide Gesetze verlangen
Sowohl DSG als auch DSGVO fordern angemessene technische und organisatorische Massnahmen (TOM) zur Datensicherheit. Dazu gehören:
- Verschlüsselung von Daten bei Übertragung und Speicherung
- Zugriffskontrollen und rollenbasierte Berechtigungen
- Pseudonymisierung wo sinnvoll
- Regelmässige Backups und Wiederherstellungstests
- Protokollierung von Zugriffen auf sensible Daten
- Schulung der Mitarbeitenden
- Incident-Response-Plan für den Ernstfall
Auch bei scheinbar kleinen Themen wie dem Versand von Links in Kommunikation und Marketing sollten Sie auf datenschutzkonforme Werkzeuge achten. Ein URL-Kürzer wie Lunyb ermöglicht es, Links sicher zu teilen, ohne persönliche Empfängerdaten an unnötige Drittanbieter preiszugeben – ein kleiner, aber praktischer Baustein Ihrer Datensparsamkeit.
Häufige Fehler bei der Umsetzung
Erfahrungen aus Prüfungen des EDÖB und europäischer Aufsichtsbehörden zeigen wiederkehrende Schwachstellen:
- Unvollständige Datenschutzerklärung: Empfängerkategorien, Aufbewahrungsdauer und Drittlandtransfers fehlen häufig.
- Fehlende Auftragsbearbeitungsverträge mit Cloud-Anbietern und externen Dienstleistern.
- Cookies ohne Einwilligung: Tracking-Cookies werden gesetzt, bevor die Zustimmung erteilt wurde.
- Kein Löschkonzept: Daten werden unbefristet gespeichert, obwohl der Zweck längst erfüllt ist.
- Ungeschulte Mitarbeitende, die auf Phishing-Angriffe hereinfallen. Sensibilisieren Sie Ihr Team – unser Leitfaden zu Phishing-Angriffen hilft dabei.
Blick über die Grenze: Österreich und Deutschland
In Österreich und Deutschland gilt die DSGVO direkt, ergänzt um nationale Gesetze (DSG Österreich, BDSG Deutschland). Für Schweizer Unternehmen mit Kunden in diesen Ländern gelten die dortigen Aufsichtsbehörden als Ansprechpartner. Weitere Details zur österreichischen Perspektive finden Sie in unserem Artikel zur Online-Privatsphäre in Österreich.
Checkliste: DSG- und DSGVO-Compliance in 10 Schritten
- Bestandsaufnahme aller Datenbearbeitungen erstellen
- Bearbeitungsverzeichnis aufsetzen und pflegen
- Datenschutzerklärung nach DSG und DSGVO anpassen
- Rechtsgrundlagen für alle Bearbeitungen definieren
- Auftragsbearbeitungsverträge mit allen Dienstleistern abschliessen
- TOM dokumentieren und regelmässig prüfen
- Prozess für Betroffenenanfragen etablieren (30-Tage-Frist)
- Incident-Response-Plan für Datenpannen erstellen
- Mitarbeitende schulen und Awareness fördern
- Datenschutzberater bestellen (empfohlen, auch wenn freiwillig)
Fazit
DSG und DSGVO teilen viele Grundprinzipien – Datensparsamkeit, Transparenz, Zweckbindung und starke Betroffenenrechte. Die Unterschiede liegen im Detail: strafrechtliche vs. verwaltungsrechtliche Sanktionen, Verbotsprinzip vs. Erlaubnisprinzip, Pflichten für Datenschutzbeauftragte. Für viele international tätige Schweizer Unternehmen ist es effizient, sich am strengeren Standard der DSGVO zu orientieren und die spezifischen DSG-Anforderungen ergänzend zu erfüllen.
Datenschutz ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Wer heute klare Strukturen schafft, gewinnt nicht nur rechtliche Sicherheit, sondern auch das Vertrauen von Kunden und Partnern.
Häufig gestellte Fragen (FAQ)
Muss mein Schweizer KMU die DSGVO einhalten?
Nur, wenn Sie aktiv Kunden in der EU ansprechen, Waren dorthin liefern oder das Verhalten von EU-Bürgern beobachten. Ein reiner Schweizer Betrieb ohne EU-Bezug unterliegt nur dem DSG. Sobald jedoch ein Onlineshop deutschsprachige Kunden aus Deutschland oder Österreich adressiert, gilt in der Regel auch die DSGVO.
Wie hoch sind die Bussen nach revidiertem DSG?
Bis zu 250'000 CHF pro Verstoss. Wichtig: Die Bussen richten sich nicht gegen das Unternehmen, sondern gegen verantwortliche natürliche Personen – meist Mitglieder der Geschäftsleitung. Das erhöht die persönliche Verantwortung erheblich im Vergleich zu unternehmensbezogenen DSGVO-Bussen.
Brauche ich einen Datenschutzbeauftragten nach DSG?
Für private Unternehmen ist die Bestellung eines Datenschutzberaters freiwillig. Sie ist jedoch empfehlenswert, weil sie bei einer DSFA mit hohem Restrisiko die Konsultationspflicht des EDÖB ersetzt. Unter der DSGVO kann eine Pflicht bestehen – etwa bei umfangreicher Verarbeitung besonderer Datenkategorien.
Was ist der Unterschied zwischen Personendaten und personenbezogenen Daten?
Rein sprachlich – inhaltlich sind beide Begriffe deckungsgleich. Das DSG spricht von "Personendaten", die DSGVO von "personenbezogenen Daten". Beide bezeichnen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Wie lange muss ich Datenpannen aufbewahren und dokumentieren?
Sowohl DSG als auch DSGVO verlangen eine Dokumentation aller Datenpannen – unabhängig davon, ob eine Meldung an die Aufsichtsbehörde nötig war. Als Faustregel gilt: mindestens so lange, wie Ansprüche der Betroffenen verjähren können (in der Schweiz meist 10 Jahre, in der EU je nach nationalem Recht).
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die DSGVO verleiht Ihnen als Betroffener in Österreich acht zentrale Rechte – von Auskunft bis Widerspruch. Dieser Leitfaden erklärt Ihre Ansprüche verständlich, zeigt praxisnahe Musteranfragen und beschreibt, wie Sie sich bei Verstößen effektiv wehren.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das Datenschutzgesetz Österreich regelt gemeinsam mit der DSGVO den Umgang mit personenbezogenen Daten. Dieser Leitfaden erklärt Rechte, Pflichten, Meldefristen und Strafen – praxisnah für 2026. Ihre Checkliste für rechtssichere Compliance in Österreich.
KI-Gesetz der EU 2026: Was sich für Unternehmen jetzt ändert
Das KI-Gesetz der EU verändert ab 2026 grundlegend, wie Unternehmen künstliche Intelligenz einsetzen dürfen. Erfahren Sie in diesem Praxis-Leitfaden, welche Pflichten, Fristen und Bußgelder gelten – und wie Sie Ihr Unternehmen mit einer 8-Schritte-Checkliste rechtssicher aufstellen.
DSGVO Einfach Erklärt 2026: Der Praxis-Leitfaden für Unternehmen
Die DSGVO ist seit 2018 in Kraft – doch 2026 bringt durch KI-Verordnung, Data Act und neue Rechtsprechung erhebliche Änderungen. Dieser Leitfaden erklärt verständlich, was Unternehmen jetzt wissen müssen, welche Pflichten gelten und wie Sie hohe Bußgelder vermeiden.