DSG vs DSGVO: Die Wichtigsten Unterschiede Einfach Erklärt
Seit dem 1. September 2023 gilt in der Schweiz das vollständig revidierte Datenschutzgesetz (revDSG). Parallel dazu existiert in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Beide Regelwerke verfolgen ähnliche Ziele, unterscheiden sich jedoch in entscheidenden Punkten. Wer in der Schweiz tätig ist, mit europäischen Kunden arbeitet oder grenzüberschreitende Dienste anbietet, muss beide Regime kennen und korrekt anwenden.
Dieser Artikel erklärt Ihnen die zentralen Unterschiede zwischen dem Schweizer DSG und der EU-DSGVO, zeigt praktische Beispiele und gibt Ihnen eine klare Orientierung für die Praxis.
Was ist das Schweizer DSG?
Das Bundesgesetz über den Datenschutz (DSG) ist das zentrale Schweizer Gesetz zum Schutz personenbezogener Daten. Es regelt die Bearbeitung von Personendaten durch private Personen und Bundesorgane. Die revidierte Fassung (revDSG) trat am 1. September 2023 in Kraft und wurde stark an europäische Standards angeglichen, ohne jedoch identisch mit der DSGVO zu sein.
Wichtige Eckdaten zum DSG
- Inkrafttreten der Revision: 1. September 2023
- Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
- Geltungsbereich: Schweiz, mit extraterritorialer Wirkung bei Inlandsbezug
- Schutzgegenstand: Ausschliesslich Daten natürlicher Personen (juristische Personen sind nicht mehr geschützt)
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar anwendbar. Sie schafft einen einheitlichen Datenschutzrahmen für alle Mitgliedstaaten und hat aufgrund ihrer extraterritorialen Reichweite weltweite Wirkung. In Deutschland überwacht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gemeinsam mit den Landesdatenschutzbehörden die Einhaltung.
Kerncharakteristika der DSGVO
- Anwendung seit: 25. Mai 2018
- Geltungsbereich: EU/EWR sowie extraterritorial bei Marktortprinzip
- Bussgeldrahmen: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
- Direkte Anwendbarkeit: In allen Mitgliedstaaten ohne nationale Umsetzung
DSG vs DSGVO: Die wichtigsten Unterschiede im Überblick
Obwohl beide Regelwerke ähnliche Schutzziele verfolgen, gibt es deutliche Unterschiede in Umfang, Sanktionen und Pflichten. Die folgende Tabelle gibt Ihnen einen schnellen Überblick:
| Kriterium | Schweizer DSG (revidiert) | EU-DSGVO |
|---|---|---|
| Inkrafttreten | 1. September 2023 | 25. Mai 2018 |
| Geschützte Personen | Nur natürliche Personen | Nur natürliche Personen |
| Aufsichtsbehörde | EDÖB | Nationale Behörden (z.B. BfDI) |
| Maximale Bussen | Bis 250'000 CHF (gegen natürliche Personen) | Bis 20 Mio. EUR oder 4% Jahresumsatz |
| Sanktionsadressat | Verantwortliche natürliche Person | Unternehmen direkt |
| Datenschutzbeauftragter | Empfohlen, nicht zwingend | Pflicht in bestimmten Fällen |
| Verzeichnis Bearbeitungstätigkeiten | Pflicht (mit KMU-Ausnahmen) | Pflicht (mit KMU-Ausnahmen) |
| Meldepflicht Datenpanne | So rasch als möglich | Innerhalb 72 Stunden |
| Datenschutz-Folgenabschätzung | Pflicht bei hohem Risiko | Pflicht bei hohem Risiko |
Geltungsbereich: Wer ist betroffen?
Ein zentraler Unterschied liegt im territorialen Anwendungsbereich. Beide Regelwerke kennen das sogenannte Auswirkungsprinzip, wenden es jedoch unterschiedlich an.
DSG: Schweizer Inlandsbezug
Das DSG gilt für alle Datenbearbeitungen, die sich in der Schweiz auswirken – auch wenn sie im Ausland erfolgen. Ein deutsches Unternehmen, das Schweizer Kunden bedient, kann also unter das DSG fallen. In bestimmten Fällen muss sogar ein Vertreter in der Schweiz benannt werden.
DSGVO: Marktortprinzip
Die DSGVO greift, sobald Sie Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Ein Schweizer Onlineshop, der Kunden in Deutschland oder Österreich beliefert, unterliegt damit beiden Regelwerken gleichzeitig.
Sanktionen: Wo es richtig wehtut
Die Unterschiede bei den Sanktionen sind erheblich und für viele Unternehmen das prägnanteste Merkmal beider Regime.
Schweizer Bussen-System
Das DSG sieht Bussen von bis zu 250'000 CHF vor – allerdings richten sich diese gegen die verantwortliche natürliche Person (in der Regel Geschäftsleitung oder beauftragte Personen), nicht gegen das Unternehmen selbst. Dies ist eine schweizerische Besonderheit, die in Geschäftsleitungen für besondere Aufmerksamkeit sorgt, da Bussen aus dem Privatvermögen zu bezahlen sind.
DSGVO-Bussen
Die DSGVO arbeitet mit unternehmensbezogenen Bussen. Diese können bis zu 20 Millionen Euro oder 4% des weltweiten Konzernjahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Die bisher höchsten verhängten Bussen lagen im dreistelligen Millionenbereich.
Informationspflichten und Betroffenenrechte
Beide Gesetze gewähren betroffenen Personen umfassende Rechte. Die DSGVO ist hier jedoch detaillierter ausgestaltet.
Gemeinsame Betroffenenrechte
- Auskunftsrecht: Welche Daten werden zu welchem Zweck bearbeitet?
- Berichtigungsrecht: Korrektur unrichtiger Daten
- Löschungsrecht: Entfernung nicht mehr benötigter Daten
- Datenübertragbarkeit: Herausgabe in maschinenlesbarem Format
- Widerspruchsrecht: Gegen bestimmte Bearbeitungen
Unterschiede bei der Einwilligung
Während die DSGVO sehr strenge Anforderungen an die Einwilligung stellt (ausdrücklich, informiert, freiwillig, dokumentiert), ist das DSG hier flexibler. Eine ausdrückliche Einwilligung ist im DSG nur bei besonders schützenswerten Personendaten oder Profiling mit hohem Risiko erforderlich.
Pflichten für Unternehmen
Beide Regelwerke verlangen von Unternehmen aktive Datenschutz-Massnahmen. Hier die wichtigsten Pflichten im Vergleich:
Verzeichnis der Bearbeitungstätigkeiten
Sowohl DSG als auch DSGVO verlangen ein Verzeichnis aller Datenbearbeitungen. Befreit sind in beiden Regimen KMU mit weniger als 250 Mitarbeitenden, sofern die Bearbeitung kein hohes Risiko darstellt.
Datenschutz-Folgenabschätzung (DSFA)
Bei Datenbearbeitungen mit hohem Risiko – etwa bei umfassendem Profiling, systematischer Überwachung oder Bearbeitung sensibler Daten in grossem Umfang – ist eine vorgängige Folgenabschätzung Pflicht. Die Anforderungen sind in beiden Regelwerken sehr ähnlich.
Meldung von Datenpannen
- DSGVO: Meldung an Aufsichtsbehörde innerhalb von 72 Stunden, Betroffene bei hohem Risiko
- DSG: Meldung an EDÖB "so rasch als möglich" bei voraussichtlich hohem Risiko
Datenübermittlung ins Ausland
Ein kritisches Thema für international tätige Unternehmen ist der grenzüberschreitende Datentransfer. Beide Regelwerke verlangen ein angemessenes Schutzniveau im Empfängerland.
Angemessenheitsbeschlüsse
Die Schweiz führt eine eigene Liste von Ländern mit angemessenem Datenschutz. Diese deckt sich weitgehend, aber nicht vollständig mit der EU-Liste. In Länder ohne angemessenes Schutzniveau (z.B. teilweise USA) sind Standardvertragsklauseln oder andere Garantien erforderlich.
Praktische Konsequenzen
Wenn Sie Ihre Webseite über internationale Dienste betreiben oder Marketing-Tools einsetzen, sollten Sie auf Anbieter mit DSG- und DSGVO-konformer Datenverarbeitung achten. Bei Diensten wie Link-Verkürzern und Tracking-Tools lohnt sich der Blick auf den Serverstandort und die Datenschutzpraxis. Plattformen wie Lunyb bieten beispielsweise transparente Datenschutzrichtlinien, die sowohl Schweizer als auch europäische Anforderungen berücksichtigen. Mehr zum Vergleich finden Sie in unserem Artikel zu den besten URL-Kürzungsdiensten 2026.
Besonders schützenswerte Personendaten
Beide Regelwerke definieren bestimmte Datenkategorien als besonders sensibel und stellen erhöhte Anforderungen an deren Bearbeitung.
Vergleich der sensiblen Datenkategorien
| Datenkategorie | DSG | DSGVO |
|---|---|---|
| Religiöse/weltanschauliche Ansichten | Ja | Ja |
| Gesundheitsdaten | Ja | Ja |
| Biometrische Daten | Ja (zur Identifikation) | Ja (zur Identifikation) |
| Genetische Daten | Ja | Ja |
| Daten zu sozialen Hilfsmassnahmen | Ja | Nein (Schweizer Besonderheit) |
| Daten zu administrativen/strafrechtlichen Verfolgungen | Ja | Teilweise |
Praktische Umsetzung im Unternehmen
Für Schweizer Unternehmen, die auch europäische Kunden bedienen, empfiehlt sich eine kombinierte Compliance-Strategie. Da die DSGVO in vielen Bereichen strenger ist, schafft die Erfüllung ihrer Anforderungen oft automatisch auch DSG-Konformität.
Pragmatische Checkliste
- Datenfluss-Analyse durchführen: Welche Daten werden wann, wo und wozu bearbeitet?
- Bearbeitungsverzeichnis erstellen: Auch bei KMU-Befreiung empfehlenswert
- Datenschutzerklärung anpassen: Transparent, verständlich, vollständig
- Auftragsbearbeitungsverträge prüfen: Mit allen externen Dienstleistern
- Technische Massnahmen umsetzen: Verschlüsselung, Zugriffskontrolle, Backups
- Mitarbeitende schulen: Regelmässig zu Datenschutz und Informationssicherheit
- Meldeprozesse etablieren: Für Datenpannen und Betroffenenanfragen
Tracking und Analytics datenschutzkonform
Besonders im Marketing-Bereich sind die Anforderungen hoch. Wenn Sie Kampagnen tracken oder Links analysieren möchten, sollten Sie auf datenschutzfreundliche Anbieter achten. In unserem Vergleich der besten Link-Tracking-Tools 2026 finden Sie eine Übersicht konformer Lösungen.
Häufige Missverständnisse rund um DSG und DSGVO
In der Praxis kursieren einige Mythen, die wir hier kurz richtigstellen möchten:
"Das DSG ist eine schwächere Version der DSGVO"
Das stimmt nicht pauschal. Das DSG hat eigene Besonderheiten und ist in einigen Punkten sogar strenger – etwa bei der persönlichen Verantwortlichkeit von Geschäftsleitungsmitgliedern.
"Für Kleinunternehmen gilt das alles nicht"
Falsch. Beide Regelwerke gelten grundsätzlich für alle Unternehmen, die Personendaten bearbeiten. Es gibt nur punktuelle Erleichterungen, etwa beim Bearbeitungsverzeichnis.
"Mit Schweizer Servern bin ich auf der sicheren Seite"
Der Serverstandort ist nur ein Aspekt. Entscheidend sind Rechtsgrundlage, Zweckbindung, Datensicherheit und Transparenz gegenüber Betroffenen.
FAQ: Häufige Fragen zu DSG und DSGVO
Gilt für mein Schweizer KMU automatisch auch die DSGVO?
Nur, wenn Sie Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (z.B. via Webtracking). Ein rein binnenmarktorientiertes Schweizer KMU unterliegt in der Regel nur dem DSG.
Wer haftet bei einem Datenschutzverstoss in der Schweiz?
Im Gegensatz zur DSGVO richten sich Schweizer Bussen primär gegen verantwortliche natürliche Personen – meist Geschäftsleitungsmitglieder oder explizit datenschutzverantwortliche Personen. Die Busse muss aus dem Privatvermögen bezahlt werden.
Muss ich einen Datenschutzbeauftragten benennen?
Unter der DSGVO ist ein Datenschutzbeauftragter in bestimmten Fällen Pflicht (Behörden, umfangreiche Überwachung, sensible Daten in grossem Umfang). Das DSG kennt den "Datenschutzberater" als freiwillige Funktion, die jedoch Erleichterungen bringt.
Wie lange darf ich Personendaten aufbewahren?
Beide Regelwerke fordern, dass Daten nur so lange aufbewahrt werden, wie sie für den Bearbeitungszweck erforderlich sind. Konkrete Aufbewahrungsfristen ergeben sich oft aus anderen Gesetzen (z.B. Buchhaltungspflichten von 10 Jahren).
Was passiert, wenn ich gegen das DSG verstosse?
Neben Bussen drohen Reputationsschäden, zivilrechtliche Klagen Betroffener und Untersuchungen durch den EDÖB. Bei der DSGVO können zusätzlich erhebliche Unternehmensbussen verhängt werden, die existenzbedrohend sein können.
Fazit: Beide Regelwerke ernst nehmen
Das revidierte Schweizer DSG und die DSGVO sind heute eng aneinander angeglichen, weisen aber wichtige Unterschiede auf. Wer beide Regime parallel beachten muss, sollte sich an den jeweils strengeren Anforderungen orientieren – das spart Aufwand und sorgt für maximale Rechtssicherheit.
Investieren Sie in solide Prozesse, dokumentieren Sie Ihre Datenbearbeitungen sorgfältig und schaffen Sie Transparenz gegenüber Betroffenen. So nutzen Sie Datenschutz nicht nur als Compliance-Pflicht, sondern als Vertrauenssignal und Wettbewerbsvorteil. Weitere praktische Einblicke finden Sie in unseren Artikeln zu den besten URL-Kürzungsdiensten in Österreich und zur umgekehrten Bildersuche 2026.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Sie möchten eine Datenschutzbeschwerde bei der BfDI einreichen, wissen aber nicht wie? Diese Schritt-für-Schritt-Anleitung führt Sie durch Vorbereitung, Einreichung und Nachverfolgung – inklusive Fristen, Formularen und praktischen Tipps für maximale Erfolgsaussichten.
DSGVO in Österreich: Ihre Rechte als Betroffene 2026
Die DSGVO gibt Ihnen in Österreich umfassende Rechte: Auskunft, Löschung, Widerspruch und mehr. Dieser Leitfaden 2026 erklärt verständlich, welche Ansprüche Sie haben und wie Sie diese Schritt für Schritt durchsetzen – inklusive Musterformulierungen und FAQ.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Die Österreichische Datenschutzbehörde (DSB) ist Ihre zentrale Anlaufstelle bei Datenschutzverletzungen. Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde nach DSGVO einreichen, welche Fristen gelten und welche Ergebnisse Sie realistisch erwarten können.
KI-Gesetz der EU: Was Sich 2026 Ändert – Der Komplette Leitfaden
Das EU-KI-Gesetz verändert grundlegend den Einsatz Künstlicher Intelligenz in Europa. Erfahren Sie, welche Risikoklassen gelten, welche Pflichten Unternehmen erfüllen müssen und welche Rechte Bürger künftig haben. Ein umfassender Leitfaden zum AI Act mit allen Fristen bis 2027.