Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Q: Ab wann gilt das neue Datenschutzgesetz in der Schweiz?

Das revidierte Datenschutzgesetz (revDSG) ist am 1. September 2023 in Kraft getreten — ohne Übergangsfrist. Alle Unternehmen, die Personendaten von natürlichen Personen in der Schweiz bearbeiten, mussten ab diesem Datum compliant sein. Eine Schonfrist gab es nicht.

Q: Brauche ich als KMU mit weniger als 250 Mitarbeitenden trotzdem ein VVT?

In den meisten Fällen: ja. Das Gesetz sieht eine Ausnahme für Unternehmen unter 250 Mitarbeitenden vor — aber nur wenn die Bearbeitung ein geringes Risiko darstellt. Sobald Sie Lohndaten, Kundenkontakte, Newsletter-Tools oder Krankmeldungen bearbeiten, gilt die Ausnahme nicht mehr. Praktisch jedes KMU überschreitet diese Schwelle.

Q: Was passiert, wenn mein Unternehmen das revDSG nicht einhält?

Im Gegensatz zur DSGVO in der EU haften in der Schweiz nicht Unternehmen, sondern natürliche Personen — also Sie als Geschäftsführer oder verantwortliche Person. Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250'000 gegen die Person. Das Unternehmen kann subsidiär bis zu CHF 50'000 gebüsst werden. Wichtig: Nur vorsätzliche Verstösse sind strafbar.

Q: Muss ich als Schweizer Unternehmen auch die DSGVO einhalten?

Ja, wenn Sie Personendaten von Personen in der EU bearbeiten und dabei Waren oder Dienstleistungen in der EU anbieten — oder das Verhalten von EU-Personen beobachten (z.B. via Website-Tracking). Das Marktortprinzip nach Art. 3 DSGVO gilt unabhängig von Ihrem Firmensitz. Besonders relevant: Onlineshops, SaaS-Anbieter und Industrieunternehmen mit EU-Kunden.

Q: Was ist der grösste Unterschied zwischen revDSG und DSGVO?

Der wichtigste Unterschied: In der Schweiz haften natürliche Personen strafrechtlich (bis CHF 250'000), in der EU werden primär Unternehmen gebüsst (bis 4% des weltweiten Jahresumsatzes). Zudem gibt es in der Schweiz keine feste 72-Stunden-Frist für die Meldung von Datenpannen, keinen Cookie-Consent-Banner-Zwang und keinen Erlaubnisvorbehalt für die Datenbearbeitung.

ComplianceCore Redaktion·Veröffentlicht: 23. April 2026·8 Min. Lesezeit

Das revidierte Datenschutzgesetz (revDSG) gilt seit 1. September 2023 — ohne Übergangsfrist. Es verpflichtet alle Schweizer Unternehmen, die Personendaten natürlicher Personen bearbeiten, zu konkreten Massnahmen: einem Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG), aktiven Informationspflichten (Art. 19 DSG) und einem Meldewesen bei Datenpannen (Art. 24 DSG). Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250'000 — persönlich gegen Geschäftsführende, nicht gegen das Unternehmen.

CHF 250'000

Maximale Busse gegen natürliche Personen

1.9.2023

Inkrafttreten, keine Übergangsfrist

Sofortmassnahmen für KMU

Was ist das revDSG und warum gilt es jetzt?

Das Bundesgesetz über den Datenschutz (DSG) wurde grundlegend revidiert und am 1. September 2023 in Kraft gesetzt. Es löst das alte Datenschutzgesetz von 1992 ab — ein Gesetz, das in einer Welt vor Smartphones, Cloud-Diensten und sozialen Netzwerken verfasst worden war.

Die Revision verfolgte zwei Hauptziele: erstens die Anpassung an den technologischen und gesellschaftlichen Wandel; zweitens die Wahrung der Kompatibilität mit der europäischen DSGVO, damit die Schweiz ihren Status als Drittstaat mit angemessenem Datenschutzniveau behält. Letzteres ist für Schweizer Unternehmen mit EU-Geschäft wirtschaftlich zentral.

Wer ist betroffen? Grundsätzlich alle privatrechtlichen Personen und Bundesorgane, die Personendaten natürlicher Personen in der Schweiz bearbeiten. Das Auswirkungsprinzip nach Art. 3 DSG gilt dabei extraterritorial: Auch ausländische Unternehmen, deren Datenbearbeitung in der Schweiz «spürbare Auswirkungen» hat, fallen unter das Gesetz. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Bern.

ℹ️

Das revDSG schützt ausschliesslich natürliche Personen — juristische Personen (GmbH, AG etc.) sind nicht mehr erfasst. Trotzdem: hans.mueller@firma.ch ist ein Personendatum von Hans Müller und unterliegt dem Gesetz, auch wenn er im Auftrag einer Firma handelt.

revDSG vs. altes DSG — Was hat sich geändert?

Das revidierte Gesetz bringt für Schweizer Unternehmen sieben wesentliche Neuerungen gegenüber dem alten DSG von 1992.

Thema	revDSG (seit 1.9.2023)	Altes DSG (1992)
Schutzgegenstand	Nur natürliche Personen	Natürliche und juristische Personen
Verarbeitungsverzeichnis (VVT)	Pflicht; Ausnahme <250 MA nur bei geringem Risiko [NEU]	Nicht vorgesehen
Informationspflichten	Erweitert: auch bei indirekter Datenbeschaffung (Art. 19 DSG) [NEU]	Nur bei direkter Erhebung sensibler Daten
Datenpanne melden	Meldepflicht an EDÖB bei «voraussichtlich hohem Risiko»; «so rasch als möglich» [NEU]	Keine Meldepflicht
Privacy by Design	Gesetzliche Pflicht (Art. 7 DSG): Datenschutz ab Konzeptionsphase [NEU]	Nicht vorgesehen
Datenschutz-Folgenabschätzung	Pflicht bei hohem Risiko (Art. 22 DSG) [NEU]	Nicht vorgesehen
Sanktionen	Bis CHF 250'000 gegen natürliche Personen (strafrechtlich, nur Vorsatz) [NEU]	Bis CHF 10'000; kaum durchgesetzt

Die wichtigsten Pflichten für KMU

Verzeichnis der Bearbeitungstätigkeiten (VVT)

Das VVT ist die Grundlage aller anderen Datenschutzpflichten — ohne es können weder Auskunftsbegehren fristgerecht beantwortet noch Datenpannen korrekt gemeldet werden. Es muss alle Bearbeitungszwecke, Datenkategorien, Empfänger und Aufbewahrungsfristen dokumentieren. Die gesetzliche Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden (Art. 12 Abs. 5 DSG) greift in der Praxis kaum: Sobald ein KMU Lohndaten, Krankmeldungen, ein CRM oder Newsletter-Tools verwendet, entfällt die Ausnahme.

Informationspflichten (Art. 19–21 DSG)

Betroffene Personen müssen vorgängig über jede Beschaffung ihrer Daten informiert werden — auch wenn die Daten nicht direkt bei ihnen erhoben werden. Die Datenschutzerklärung auf der Website ist dabei nur eine von mehreren Umsetzungsformen: Für Mitarbeitende, Kunden und Lieferanten sind jeweils separate Informationen erforderlich.

Meldepflicht bei Datenpannen (Art. 24 DSG)

Bei Sicherheitsverletzungen, die «voraussichtlich ein hohes Risiko» für die betroffenen Personen darstellen, muss der EDÖB «so rasch als möglich» informiert werden. Das interaktive Meldeportal ist unter databreach.edoeb.admin.ch zugänglich. Alle Vorfälle — auch nicht meldepflichtige — müssen intern dokumentiert und mindestens zwei Jahre aufbewahrt werden.

Privacy by Design und Privacy by Default (Art. 7 DSG)

Neue Systeme, Produkte und Prozesse müssen von Beginn an datenschutzfreundlich gestaltet sein. Die Standardeinstellungen müssen automatisch das höchste Schutzniveau bieten — Nutzerinnen und Nutzer dürfen nicht erst aktiv werden müssen, um ihre Daten zu schützen.

⚠️

Achtung: Persönliche Haftung. Im Gegensatz zur EU-DSGVO, die primär Unternehmen bestraft, richten sich die Sanktionen des revDSG gegen natürliche Personen — also direkt gegen Sie als Geschäftsführung oder verantwortliche Person. Das gilt nur bei vorsätzlichem Handeln, aber die Grenze zwischen «nicht gewusst» und «gewusster Fahrlässigkeit» kann im Einzelfall eng sein.

Wann gilt zusätzlich die DSGVO?

Viele Schweizer Unternehmen unterliegen beiden Gesetzen gleichzeitig. Die EU-DSGVO gilt für Schweizer Firmen, wenn sie über das Marktortprinzip nach Art. 3 DSGVO erfasst werden — unabhängig von ihrem Firmensitz. Konkret betrifft das drei Szenarien:

Das Unternehmen hat eine Niederlassung in der EU, die Personendaten bearbeitet.
Das Unternehmen bietet Waren oder Dienstleistungen an Personen in der EU an (auch kostenlos).
Das Unternehmen beobachtet das Verhalten von Personen in der EU — z.B. via Website-Tracking, Cookies oder Webanalyse.

Der grösste praktische Unterschied: Die DSGVO verlangt eine feste 72-Stunden-Meldepflicht bei Datenpannen und schreibt Cookie-Consent-Banner vor. Das revDSG tut beides nicht. Wer beide Rechtsordnungen einhält, ist auf der sicheren Seite — und Synergien sind möglich, weil viele Massnahmen (VVT, Datenschutzerklärung, Incident-Prozesse) für beide Gesetze gelten.

7 Sofortmassnahmen für Ihr Unternehmen

Verzeichnis der Bearbeitungstätigkeiten (VVT) erstellen

Alle Prozesse, bei denen Personendaten bearbeitet werden, erfassen. Rechtsgrundlage: Art. 12 DSG. Das VVT ist die Basis für alle weiteren Massnahmen — ohne es können Auskunftsbegehren nicht fristgerecht beantwortet werden.

Datenschutzerklärung(en) aktualisieren

Website-DSE auf revDSG-Konformität prüfen (Art. 19 DSG). Separate DSE für Mitarbeitende und Kunden erstellen. Pflichtinhalt: Identität des Verantwortlichen, Zweck, Empfänger, allfällige Auslandtransfers.

Auftragsbearbeitungsverträge (AVV) abschliessen

Mit allen Dienstleistern, die im Auftrag Personendaten bearbeiten: Cloud-Provider, Lohnbuchhaltung, Newsletter-Tools, CRM. Rechtsgrundlage: Art. 9 DSG.

Incident-Prozess einrichten

Intern festlegen, wer bei einer Datenpanne zuständig ist, wie die Risikobewertung erfolgt und wie eine EDÖB-Meldung ausgelöst wird. Dokumentationspflicht: mindestens 2 Jahre.

Auskunftsbegehren-Prozess definieren

Betroffene können jederzeit Auskunft über ihre Daten verlangen (Art. 25 DSG). Frist in der Praxis: 30 Tage. Wer kein VVT hat, kann diese Frist nicht einhalten.

Drittland-Transfers prüfen

Cloud-Dienste wie Microsoft 365, Salesforce, Mailchimp, Google Analytics = Datenübermittlung ins Ausland. Prüfen, ob das Empfängerland auf der Bundesratsliste steht (Art. 16 DSG). Falls nicht: Standardvertragsklauseln erforderlich.

DSGVO-Pflichten prüfen, wenn relevant

Bieten Sie Waren oder Dienstleistungen in der EU an, oder tracken Sie EU-Nutzende auf Ihrer Website? Dann gilt zusätzlich die DSGVO — inklusive 72-Stunden-Meldepflicht und EU-Vertreter nach Art. 27 DSGVO.

Häufige Fragen

Ab wann gilt das neue Datenschutzgesetz in der Schweiz?+

Das revidierte Datenschutzgesetz (revDSG) ist am 1. September 2023 in Kraft getreten — ohne Übergangsfrist. Alle Unternehmen, die Personendaten von natürlichen Personen in der Schweiz bearbeiten, mussten ab diesem Datum compliant sein. Eine Schonfrist gab es nicht.

Brauche ich als KMU mit weniger als 250 Mitarbeitenden trotzdem ein VVT?+

In den meisten Fällen: ja. Das Gesetz sieht eine Ausnahme für Unternehmen unter 250 Mitarbeitenden vor — aber nur wenn die Bearbeitung ein geringes Risiko darstellt. Sobald Sie Lohndaten, Kundenkontakte, Newsletter-Tools oder Krankmeldungen bearbeiten, gilt die Ausnahme nicht mehr. Praktisch jedes KMU überschreitet diese Schwelle.

Was passiert, wenn mein Unternehmen das revDSG nicht einhält?+

Im Gegensatz zur DSGVO in der EU haften in der Schweiz nicht Unternehmen, sondern natürliche Personen — also Sie als Geschäftsführer oder verantwortliche Person. Bei vorsätzlichen Verstössen drohen Bussen bis CHF 250'000 gegen die Person. Das Unternehmen kann subsidiär bis zu CHF 50'000 gebüsst werden. Wichtig: Nur vorsätzliche Verstösse sind strafbar.

Muss ich als Schweizer Unternehmen auch die DSGVO einhalten?+