DSG Datenschutz Schweiz: Was KMU jetzt konkret umsetzen müssen
Das revidierte Datenschutzgesetz (revDSG) gilt seit September 2023 – und viele Schweizer KMU sind noch nicht compliant. Erfahre, welche Massnahmen du jetzt konkret umsetzen musst.
DSG Datenschutz Schweiz: Was KMU jetzt konkret umsetzen müssen
Seit dem 1. September 2023 gilt das revidierte Datenschutzgesetz (revDSG) in der Schweiz – und bei einer Verletzung drohen Bussen von bis zu CHF 250'000. Trotzdem hat laut einer Schätzung des SECO rund die Hälfte der Schweizer KMU die Pflichtanforderungen noch nicht vollständig umgesetzt.
TL;DR
- Das revDSG gilt seit September 2023 und betrifft praktisch jedes Schweizer Unternehmen.
- Bussen bis CHF 250'000 sind möglich – persönliche Haftung der Geschäftsleitung inklusive.
- Datenschutzerklärung, Verzeichnis der Bearbeitungstätigkeiten und DSFA sind Pflicht.
- Technische und organisatorische Massnahmen (TOMs) müssen dokumentiert sein.
Was ist das revDSG – und wen betrifft es?
Das revDSG (revidiertes Datenschutzgesetz, SR 235.1) ist das modernisierte Schweizer Datenschutzrecht, das die bisherige Fassung von 1992 ablöst und sich stark an der europäischen DSGVO orientiert. Es betrifft grundsätzlich jedes Unternehmen, das Personendaten von natürlichen Personen bearbeitet – also praktisch alle Schweizer KMU.
📊 ~50% der Schweizer KMU haben laut SECO-Schätzungen ihre Datenschutzdokumentation noch nicht vollständig auf das revDSG ausgerichtet. Quelle: SECO KMU-Monitor, 2023
Besonders betroffen sind Unternehmen, die:
- Kundendaten, Mitarbeiterdaten oder Lieferanteninformationen speichern
- Websites mit Tracking oder Kontaktformularen betreiben
- Clouddienste mit Sitz im Ausland nutzen (z. B. Microsoft 365, Salesforce)
Welche Pflichten musst du als KMU konkret erfüllen?
Das revDSG schreibt mehrere konkrete Massnahmen vor, die unabhängig von der Unternehmensgrösse gelten. Hier sind die wichtigsten Pflichten im Überblick:
1. Verzeichnis der Bearbeitungstätigkeiten
Jedes Unternehmen muss dokumentieren, welche Personendaten zu welchem Zweck bearbeitet werden. Dieses Verzeichnis ist intern zu führen und auf Anfrage dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorzulegen.
💡 Tipp: Starte mit einem einfachen Excel-Template. Der EDÖB bietet auf seiner Website kostenlose Mustervorlagen an, die du direkt anpassen kannst.
2. Datenschutzerklärung aktualisieren
Die Datenschutzerklärung auf deiner Website muss neu folgende Punkte abdecken:
- Identität und Kontaktdaten des Verantwortlichen
- Zweck und Rechtsgrundlage der Datenbearbeitung
- Empfänger der Daten (inkl. Auslandsübertragungen)
- Aufbewahrungsdauer
- Rechte der betroffenen Personen
3. Datenschutz-Folgenabschätzung (DSFA)
Wenn dein Unternehmen Daten in grossem Umfang oder besonders schützenswerte Personendaten bearbeitet, ist eine DSFA (Datenschutz-Folgenabschätzung) Pflicht. Das gilt z. B. bei Videoüberwachung, Profiling oder der Verarbeitung von Gesundheitsdaten.
⚠️ Wichtig: Bei einer DSFA musst du den EDÖB vorgängig konsultieren, wenn das Risiko für betroffene Personen hoch ist. Wer das unterlässt, riskiert Bussen.
Wie unterscheidet sich das revDSG von der DSGVO?
Viele IT-Manager kennen die europäische DSGVO bereits – und fragen sich, wie gross die Unterschiede zum revDSG wirklich sind. Die kurze Antwort: Die Grundprinzipien sind ähnlich, aber es gibt relevante Unterschiede.
| Kriterium | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Natürliche Personen | Natürliche Personen |
| Bussenhöhe | Bis CHF 250'000 (persönlich) | Bis EUR 20 Mio. / 4% Umsatz (Unternehmen) |
| DPO Pflicht | Freiwillig (empfohlen) | Pflicht für bestimmte Unternehmen |
| Meldepflicht Datenpanne | An EDÖB (wenn hohes Risiko) | An Behörde innert 72 Stunden |
| Profiling | Explizit geregelt | Explizit geregelt |
| Privacy by Design | Pflicht | Pflicht |
ℹ️ Hinweis: Das revDSG kennt keine Unternehmenshaftung wie die DSGVO. Gebüsst werden können die natürlichen Personen – also Geschäftsführerinnen, IT-Leiter oder konkret Verantwortliche. Das erhöht den persönlichen Druck erheblich.
Wie setzt du das revDSG Schritt für Schritt um?
Eine strukturierte Vorgehensweise hilft dir, compliant zu werden, ohne dein Team zu überlasten. Plane ca. 4–8 Wochen für eine vollständige Erstimplementierung ein.
- Bestandsaufnahme — Erfasse alle Datenflüsse im Unternehmen: Welche Personendaten werden wo, wie und von wem bearbeitet?
- Verzeichnis erstellen — Dokumentiere alle Bearbeitungstätigkeiten in einem Verzeichnis (Vorlage: edoeb.admin.ch).
- Datenschutzerklärung aktualisieren — Prüfe und überarbeite die Website-Datenschutzerklärung und interne Richtlinien.
- Verträge prüfen — Stelle sicher, dass Auftragsbearbeitungsverträge mit IT-Dienstleistern und Cloud-Providern vorhanden sind.
- TOMs dokumentieren — Halte technische und organisatorische Massnahmen (Verschlüsselung, Zugriffskontrollen, Backups) schriftlich fest.
- Mitarbeitende schulen — Datenschutz ist Chefsache und Teamaufgabe. Kurze, praxisnahe Schulungen reichen für den Anfang.
- DSFA prüfen — Analysiere, ob für einzelne Bearbeitungen eine Datenschutz-Folgenabschätzung nötig ist.
- Meldeprozess definieren — Lege intern fest, wie bei einer Datenpanne vorgegangen wird und wer den EDÖB informiert.
Bist du wirklich compliant? – Die Checkliste
- Verzeichnis der Bearbeitungstätigkeiten erstellt und aktuell
- Datenschutzerklärung auf Website aktualisiert
- Auftragsbearbeitungsverträge mit allen Dienstleistern vorhanden
- Datenschutz-Folgenabschätzung für risikoreiche Bearbeitungen durchgeführt
- Technische und organisatorische Massnahmen (TOMs) dokumentiert
- Prozess für Datenpannenmeldung definiert
- Mitarbeitende zum revDSG geschult
- Interne Datenschutzrichtlinie verabschiedet
🚨 Achtung: Viele Unternehmen übersehen die Pflicht, auch mündlich erteilte Datenschutzhinweise (z. B. am Telefon oder bei Vertragsabschluss) zu dokumentieren. Das kann bei einer Kontrolle zum Problem werden.
Fazit – Jetzt handeln, nicht warten
Das revDSG ist kein bürokratisches Papiertiger-Gesetz. Der EDÖB hat angekündigt, Untersuchungen einzuleiten, und die persönliche Haftbarkeit von Führungspersonen ist real. Die gute Nachricht: Mit einer strukturierten Vorgehensweise kannst du als KMU in wenigen Wochen compliant werden – ohne externe Grossberatung.
Der erste Schritt ist eine ehrliche Bestandsaufnahme deiner Datenflüsse. Der zweite: die richtige technische Unterstützung.
Auf IT-Provider.ch findest du über 200 geprüfte Schweizer IT-Anbieter, die dich bei der revDSG-Umsetzung unterstützen – von der Datenschutzberatung über sichere Cloud-Lösungen bis hin zu technischen Datenschutzmassnahmen.
Häufige Fragen zum revDSG für KMU
Gilt das revDSG auch für Kleinstunternehmen und Einzelfirmen?
Ja. Das revDSG gilt für alle natürlichen und juristischen Personen, die Personendaten bearbeiten. Einzig rein private Datenbearbeitungen sind ausgenommen. Auch ein Coiffeurbetrieb mit Kundendaten ist betroffen.
Was kostet eine Nichterfüllung des revDSG konkret?
Bei Verstössen gegen spezifische Auskunfts-, Melde- und Informationspflichten drohen Bussen bis CHF 250'000. Wichtig: Die Busse trifft die verantwortliche natürliche Person, nicht das Unternehmen als solches.
Brauche ich einen externen Datenschutzbeauftragten?
Nein, das revDSG schreibt keinen Datenschutzbeauftragten vor. Die Ernennung wird aber empfohlen, insbesondere wenn du regelmässig grosse Mengen Personendaten bearbeitest. Ein externer DSB-Dienstleister kann eine kosteneffiziente Lösung sein.
Müssen Datenpannen gemeldet werden?
Ja – wenn eine Datenpanne voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, muss der EDÖB so schnell wie möglich informiert werden. Die Betroffenen sind ebenfalls zu benachrichtigen, wenn es ihrem Schutz dient.
Was passiert mit Daten, die in die EU oder die USA übermittelt werden?
Datenübermittlungen ins Ausland sind nur zulässig, wenn das Empfängerland ein angemessenes Datenschutzniveau bietet (z. B. EU-Länder) oder angemessene Garantien vorhanden sind (z. B. Standardvertragsklauseln). Für die USA gilt seit dem EU-U.S. Data Privacy Framework eine vereinfachte Regelung – prüfe aber stets die aktuellen EDÖB-Empfehlungen.
