revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen
Beide Gesetze können gleichzeitig für dasselbe Schweizer Unternehmen gelten — und sie unterscheiden sich in zwölf wesentlichen Punkten. Der grösste: In der Schweiz haften natürliche Personen strafrechtlich bis CHF 250'000. In der EU riskiert das Unternehmen bis zu 4% des weltweiten Umsatzes. Zusätzlich gilt die EU-DSGVO für jedes Schweizer Unternehmen, das Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von EU-Personen beobachtet — unabhängig vom Firmensitz.
12
Kernunterschiede im direkten Vergleich
CHF 250K
Max. Busse CH — gegen die Person
4%
Max. Busse EU — vom Jahresumsatz
| Schweiz — revDSG | EU — DSGVO | |
|---|---|---|
| In Kraft seit | 1. September 2023 | 25. Mai 2018 |
| Aufsichtsbehörde | EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragter) | Nationale Datenschutzbehörden der Mitgliedstaaten |
| Haftungssubjekt | Natürliche Personen — strafrechtlich | Unternehmen — Verwaltungsstrafe |
| Grundprinzip | Kein Erlaubnisvorbehalt — Bearbeitung grundsätzlich erlaubt | Verbot mit Erlaubnisvorbehalt — Erlaubnis für jede Bearbeitung nötig |
12 Kernunterschiede im Vergleich
Die folgende Tabelle zeigt alle wesentlichen Unterschiede zwischen revDSG und DSGVO — mit Angabe der jeweiligen Rechtsgrundlage und einer Einschätzung, welches Regime strenger ist.
| Thema | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Bussen / Sanktionen | Bis CHF 250'000 gegen natürliche Personen (strafrechtlich, nur Vorsatz)CH strengerArt. 60–63 DSG | Bis EUR 20 Mio. oder 4% Umsatz gegen das Unternehmen (Verwaltungsstrafe, auch Fahrlässigkeit)EU strengerArt. 83 DSGVO |
| Persönliche Haftung | Ja — Geschäftsführer, Verantwortliche haften persönlich strafrechtlichCH strengerArt. 60 DSG | Primär Unternehmenshaftung; persönliche Haftung nur im Einzelfall nach nationalem RechtArt. 83 DSGVO |
| Datenpanne melden | «So rasch als möglich» an EDÖB — nur bei voraussichtlich hohem RisikoArt. 24 DSG, DSV Art. 15 | Innerhalb 72 Stunden an Aufsichtsbehörde — bereits bei jedem Risiko (ausser klar kein Risiko)EU strengerArt. 33 DSGVO |
| DPO / Datenschutzberater | Freiwillig — kein gesetzlicher Zwang; Bestellung bringt Privilegien (DSFA-Konsultation statt Meldung)Art. 10 DSG | Pflicht bei öffentlichen Stellen, grossflächiger Verarbeitung sensibler Daten oder systematischer BeobachtungEU strengerArt. 37–39 DSGVO |
| Rechtsgrundlage Bearbeitung | Kein Erlaubnisvorbehalt — Bearbeitung grundsätzlich erlaubt, solange kein Rechtfertigungsgrund fehltCH liberalerArt. 30–31 DSG | Verbot mit Erlaubnisvorbehalt — jede Bearbeitung braucht eine der 6 Rechtsgrundlagen (Einwilligung, Vertrag, rechtliche Pflicht, vitale Interessen, öffentliche Aufgabe, berechtigte Interessen)EU strengerArt. 6 DSGVO |
| Cookie-Consent | Kein Banner-Zwang — aber Informationspflicht über Tracking empfohlenCH liberalerArt. 19 DSG, e-Privacy | Opt-in-Pflicht für nicht-essentielle Cookies — aktive Einwilligung vor dem SetzenEU strengerArt. 7 DSGVO, e-Privacy-RL |
| Einwilligung | Weniger formalistisch — Einwilligung ist eine von mehreren möglichen RechtfertigungsgründenArt. 31 DSG | Strengere Anforderungen — freiwillig, informiert, spezifisch, unmissverständlich; bei Kindern unter 16 Jahren besondere RegelnEU strengerArt. 7–8 DSGVO |
| VVT-Ausnahme | <250 MA bei geringem Risiko — in der Praxis fast nie anwendbarArt. 12 Abs. 5 DSG | <250 MA bei nur gelegentlicher Verarbeitung ohne hohes Risiko — ebenfalls selten anwendbarArt. 30 Abs. 5 DSGVO |
| Datenübermittlung Ausland | Länderliste des Bundesrats; bei Ländern nicht auf der Liste: SCC, BCR oder andere GarantienArt. 16–17 DSG | Angemessenheitsbeschluss EU-Kommission; CH hat einen → Transfer EU→CH zulässigArt. 44–49 DSGVO |
| EU-Vertreter | Nicht vorgesehen im revDSG | Pflicht für Nicht-EU-Unternehmen, die der DSGVO unterliegen (inkl. Schweizer Firmen mit EU-Kunden)EU strengerArt. 27 DSGVO |
| Datenschutz-Folgenabschätzung | Pflicht bei hohem Risiko — höhere Schwelle als EUArt. 22 DSG | Pflicht bereits bei «Risiko» — niedrigere Schwelle, breitere AnwendungEU strengerArt. 35 DSGVO |
| Schutzgegenstand | Nur natürliche Personen (seit revDSG 2023 — früher auch juristische)Art. 2 DSG | Nur natürliche Personen — immer schonArt. 1 DSGVO |
Wann gilt die DSGVO für Schweizer Unternehmen?
Das Marktortprinzip nach Art. 3 Abs. 2 DSGVO ist der entscheidende Mechanismus. Die DSGVO gilt für Schweizer Unternehmen ohne EU-Niederlassung, wenn sie eine der folgenden Aktivitäten ausüben:
Waren oder Dienstleistungen in der EU anbieten
Das Angebot muss erkennbar auf Personen in der EU ausgerichtet sein — EU-Währungen, EU-Sprachen auf der Website, Lieferung in EU-Länder, EU-Domains. Auch kostenlose Angebote (Apps, Newsletter, Freemium-SaaS) sind erfasst. DSGVO + revDSG gelten gleichzeitig.
Verhalten von Personen in der EU beobachten
Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar — jedes Tracking-Tool das Verhalten von EU-Nutzenden aufzeichnet, löst die DSGVO aus. Betroffen sind praktisch alle Websites mit EU-Traffic und aktivem Tracking. DSGVO + revDSG gelten gleichzeitig.
Niederlassung in der EU
Eine Tochtergesellschaft, Filiale oder auch nur eine feste Geschäftsstelle in einem EU-Land — sobald dort Personendaten im Rahmen des Betriebs dieser Niederlassung verarbeitet werden, gilt die DSGVO für das gesamte Unternehmen. DSGVO + revDSG gelten gleichzeitig.
Angemessenheitsbeschluss: Die EU-Kommission hat der Schweiz einen Angemessenheitsbeschluss nach Art. 45 DSGVO erteilt. Das bedeutet: Datentransfers von der EU in die Schweiz sind grundsätzlich ohne zusätzliche Garantien zulässig. Für Transfers aus der Schweiz in EU-Länder gilt dasselbe in umgekehrter Richtung — die Schweiz betrachtet die EU als sicheres Empfängerland.
Dual-Compliance: Synergien statt doppelter Arbeit
Wer beide Gesetze erfüllen muss, profitiert von erheblichen Überschneidungen. Die meisten Massnahmen gelten für beide Rechtsordnungen gleichzeitig — der Mehraufwand für die zweite Jurisdiktion ist deutlich kleiner als der Aufwand für die erste.
| Massnahme | Gilt für revDSG? | Gilt für DSGVO? |
|---|---|---|
| VVT führen | Ja — Art. 12 DSG | Ja — Art. 30 DSGVO |
| Datenschutzerklärung | Ja — Art. 19 DSG | Ja — Art. 13–14 DSGVO |
| AVV mit Auftragsbearbeitern | Ja — Art. 9 DSG | Ja — Art. 28 DSGVO |
| Incident-Response-Prozess | Ja — Art. 24 DSG | Ja — Art. 33–34 DSGVO (72h-Frist beachten) |
| Auskunftsbegehren beantworten | Ja — Art. 25 DSG | Ja — Art. 15 DSGVO |
| Privacy by Design | Ja — Art. 7 DSG | Ja — Art. 25 DSGVO |
| Cookie-Consent-Banner | Nicht zwingend | Pflicht für nicht-essentielle Cookies |
| EU-Vertreter bestellen | Nicht relevant | Pflicht — Art. 27 DSGVO (wenn kein EU-Sitz) |
Achtung bei der Datenpanne: Wer beiden Gesetzen unterliegt, muss bei einem Incident beide Fristen im Blick haben — die DSGVO-Frist von 72 Stunden ist deutlich kürzer als die Schweizer «so rasch als möglich»-Regelung. In der Praxis bedeutet das: Wer einen guten EDÖB-Prozess hat, muss ihn für die DSGVO nur um den 72h-Timer ergänzen.
Häufige Fragen
Muss ich als Schweizer Unternehmen die DSGVO einhalten?+
Was ist der grösste Unterschied zwischen revDSG und DSGVO bei den Bussen?+
Brauche ich als Schweizer Unternehmen einen Datenschutzbeauftragten (DPO)?+
Wie unterscheiden sich die Meldefristen bei Datenpannen?+
Gilt der Schweizer Angemessenheitsbeschluss noch?+
Welche Regeln gelten für Ihr Unternehmen?
Nur revDSG, nur DSGVO oder beides? Unser Dual-Compliance-Check analysiert Ihr Unternehmensprofil und zeigt Ihnen in 5 Minuten, welche Pflichten aus welcher Rechtsordnung für Sie konkret gelten.
Dual-Compliance-Check startenDiese Inhalte dienen zu Informationszwecken und stellen keine Rechtsberatung dar.
Verwandte Artikel
Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen
Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?
EU-Vertreter nach Art. 27 DSGVO: Braucht mein Schweizer Unternehmen einen?