Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Q: Muss ich als Schweizer Unternehmen die DSGVO einhalten?

Ja, wenn Sie Personendaten von Personen in der EU bearbeiten und dabei Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Personen beobachten (z.B. via Website-Tracking). Das Marktortprinzip nach Art. 3 DSGVO gilt unabhängig von Ihrem Firmensitz in der Schweiz.

Q: Was ist der grösste Unterschied zwischen revDSG und DSGVO bei den Bussen?

In der Schweiz haften natürliche Personen (Geschäftsführer, Verantwortliche) strafrechtlich mit bis zu CHF 250'000. In der EU werden primär Unternehmen gebüsst — bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes. Dieser Unterschied ist fundamental: In der Schweiz riskiert die Person, in der EU riskiert das Unternehmen.

Q: Brauche ich als Schweizer Unternehmen einen Datenschutzbeauftragten (DPO)?

Nach revDSG: Nein, der Datenschutzberater ist freiwillig (Art. 10 DSG). Nach DSGVO: Pflicht für bestimmte Unternehmen — öffentliche Stellen, Unternehmen die grossflächig besonders schützenswerte Daten verarbeiten oder systematisch Personen beobachten (Art. 37 DSGVO). Schweizer Unternehmen die der DSGVO unterliegen, können also trotzdem DPO-pflichtig sein.

Q: Wie unterscheiden sich die Meldefristen bei Datenpannen?

revDSG: Meldung an den EDÖB «so rasch als möglich», nur bei voraussichtlich hohem Risiko. Keine feste Stundenzahl. DSGVO: Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, bereits bei jedem Risiko (ausser voraussichtlich kein Risiko für Betroffene). Die DSGVO-Frist ist deutlich strenger und kürzer.

Q: Gilt der Schweizer Angemessenheitsbeschluss noch?

Ja — die EU-Kommission hat der Schweiz einen Angemessenheitsbeschluss nach Art. 45 DSGVO erteilt. Das bedeutet: Datentransfers von der EU in die Schweiz sind grundsätzlich ohne zusätzliche Garantien zulässig. Für Transfers aus der Schweiz in EU-Länder gilt dasselbe in umgekehrter Richtung.

ComplianceCore Editorial·Published: 23 April 2026·8 min read

Beide Gesetze können gleichzeitig für dasselbe Schweizer Unternehmen gelten — und sie unterscheiden sich in zwölf wesentlichen Punkten. Der grösste: In der Schweiz haften natürliche Personen strafrechtlich bis CHF 250'000. In der EU riskiert das Unternehmen bis zu 4% des weltweiten Umsatzes. Zusätzlich gilt die EU-DSGVO für jedes Schweizer Unternehmen, das Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von EU-Personen beobachtet — unabhängig vom Firmensitz.

Kernunterschiede im direkten Vergleich

CHF 250K

Max. Busse CH — gegen die Person

Max. Busse EU — vom Jahresumsatz

	Schweiz — revDSG	EU — DSGVO
In Kraft seit	1. September 2023	25. Mai 2018
Aufsichtsbehörde	EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragter)	Nationale Datenschutzbehörden der Mitgliedstaaten
Haftungssubjekt	Natürliche Personen — strafrechtlich	Unternehmen — Verwaltungsstrafe
Grundprinzip	Kein Erlaubnisvorbehalt — Bearbeitung grundsätzlich erlaubt	Verbot mit Erlaubnisvorbehalt — Erlaubnis für jede Bearbeitung nötig

12 Kernunterschiede im Vergleich

Die folgende Tabelle zeigt alle wesentlichen Unterschiede zwischen revDSG und DSGVO — mit Angabe der jeweiligen Rechtsgrundlage und einer Einschätzung, welches Regime strenger ist.

Thema	revDSG (Schweiz)	DSGVO (EU)
Bussen / Sanktionen	Bis CHF 250'000 gegen natürliche Personen (strafrechtlich, nur Vorsatz)CH strengerArt. 60–63 DSG	Bis EUR 20 Mio. oder 4% Umsatz gegen das Unternehmen (Verwaltungsstrafe, auch Fahrlässigkeit)EU strengerArt. 83 DSGVO
Persönliche Haftung	Ja — Geschäftsführer, Verantwortliche haften persönlich strafrechtlichCH strengerArt. 60 DSG	Primär Unternehmenshaftung; persönliche Haftung nur im Einzelfall nach nationalem RechtArt. 83 DSGVO
Datenpanne melden	«So rasch als möglich» an EDÖB — nur bei voraussichtlich hohem RisikoArt. 24 DSG, DSV Art. 15	Innerhalb 72 Stunden an Aufsichtsbehörde — bereits bei jedem Risiko (ausser klar kein Risiko)EU strengerArt. 33 DSGVO
DPO / Datenschutzberater	Freiwillig — kein gesetzlicher Zwang; Bestellung bringt Privilegien (DSFA-Konsultation statt Meldung)Art. 10 DSG	Pflicht bei öffentlichen Stellen, grossflächiger Verarbeitung sensibler Daten oder systematischer BeobachtungEU strengerArt. 37–39 DSGVO
Rechtsgrundlage Bearbeitung	Kein Erlaubnisvorbehalt — Bearbeitung grundsätzlich erlaubt, solange kein Rechtfertigungsgrund fehltCH liberalerArt. 30–31 DSG	Verbot mit Erlaubnisvorbehalt — jede Bearbeitung braucht eine der 6 Rechtsgrundlagen (Einwilligung, Vertrag, rechtliche Pflicht, vitale Interessen, öffentliche Aufgabe, berechtigte Interessen)EU strengerArt. 6 DSGVO
Cookie-Consent	Kein Banner-Zwang — aber Informationspflicht über Tracking empfohlenCH liberalerArt. 19 DSG, e-Privacy	Opt-in-Pflicht für nicht-essentielle Cookies — aktive Einwilligung vor dem SetzenEU strengerArt. 7 DSGVO, e-Privacy-RL
Einwilligung	Weniger formalistisch — Einwilligung ist eine von mehreren möglichen RechtfertigungsgründenArt. 31 DSG	Strengere Anforderungen — freiwillig, informiert, spezifisch, unmissverständlich; bei Kindern unter 16 Jahren besondere RegelnEU strengerArt. 7–8 DSGVO
VVT-Ausnahme	<250 MA bei geringem Risiko — in der Praxis fast nie anwendbarArt. 12 Abs. 5 DSG	<250 MA bei nur gelegentlicher Verarbeitung ohne hohes Risiko — ebenfalls selten anwendbarArt. 30 Abs. 5 DSGVO
Datenübermittlung Ausland	Länderliste des Bundesrats; bei Ländern nicht auf der Liste: SCC, BCR oder andere GarantienArt. 16–17 DSG	Angemessenheitsbeschluss EU-Kommission; CH hat einen → Transfer EU→CH zulässigArt. 44–49 DSGVO
EU-Vertreter	Nicht vorgesehen im revDSG	Pflicht für Nicht-EU-Unternehmen, die der DSGVO unterliegen (inkl. Schweizer Firmen mit EU-Kunden)EU strengerArt. 27 DSGVO
Datenschutz-Folgenabschätzung	Pflicht bei hohem Risiko — höhere Schwelle als EUArt. 22 DSG	Pflicht bereits bei «Risiko» — niedrigere Schwelle, breitere AnwendungEU strengerArt. 35 DSGVO
Schutzgegenstand	Nur natürliche Personen (seit revDSG 2023 — früher auch juristische)Art. 2 DSG	Nur natürliche Personen — immer schonArt. 1 DSGVO

Wann gilt die DSGVO für Schweizer Unternehmen?

Das Marktortprinzip nach Art. 3 Abs. 2 DSGVO ist der entscheidende Mechanismus. Die DSGVO gilt für Schweizer Unternehmen ohne EU-Niederlassung, wenn sie eine der folgenden Aktivitäten ausüben:

Waren oder Dienstleistungen in der EU anbieten

Das Angebot muss erkennbar auf Personen in der EU ausgerichtet sein — EU-Währungen, EU-Sprachen auf der Website, Lieferung in EU-Länder, EU-Domains. Auch kostenlose Angebote (Apps, Newsletter, Freemium-SaaS) sind erfasst. DSGVO + revDSG gelten gleichzeitig.

Verhalten von Personen in der EU beobachten

Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar — jedes Tracking-Tool das Verhalten von EU-Nutzenden aufzeichnet, löst die DSGVO aus. Betroffen sind praktisch alle Websites mit EU-Traffic und aktivem Tracking. DSGVO + revDSG gelten gleichzeitig.

Niederlassung in der EU

Eine Tochtergesellschaft, Filiale oder auch nur eine feste Geschäftsstelle in einem EU-Land — sobald dort Personendaten im Rahmen des Betriebs dieser Niederlassung verarbeitet werden, gilt die DSGVO für das gesamte Unternehmen. DSGVO + revDSG gelten gleichzeitig.

ℹ️

Angemessenheitsbeschluss: Die EU-Kommission hat der Schweiz einen Angemessenheitsbeschluss nach Art. 45 DSGVO erteilt. Das bedeutet: Datentransfers von der EU in die Schweiz sind grundsätzlich ohne zusätzliche Garantien zulässig. Für Transfers aus der Schweiz in EU-Länder gilt dasselbe in umgekehrter Richtung — die Schweiz betrachtet die EU als sicheres Empfängerland.

Dual-Compliance: Synergien statt doppelter Arbeit

Wer beide Gesetze erfüllen muss, profitiert von erheblichen Überschneidungen. Die meisten Massnahmen gelten für beide Rechtsordnungen gleichzeitig — der Mehraufwand für die zweite Jurisdiktion ist deutlich kleiner als der Aufwand für die erste.

Massnahme	Gilt für revDSG?	Gilt für DSGVO?
VVT führen	Ja — Art. 12 DSG	Ja — Art. 30 DSGVO
Datenschutzerklärung	Ja — Art. 19 DSG	Ja — Art. 13–14 DSGVO
AVV mit Auftragsbearbeitern	Ja — Art. 9 DSG	Ja — Art. 28 DSGVO
Incident-Response-Prozess	Ja — Art. 24 DSG	Ja — Art. 33–34 DSGVO (72h-Frist beachten)
Auskunftsbegehren beantworten	Ja — Art. 25 DSG	Ja — Art. 15 DSGVO
Privacy by Design	Ja — Art. 7 DSG	Ja — Art. 25 DSGVO
Cookie-Consent-Banner	Nicht zwingend	Pflicht für nicht-essentielle Cookies
EU-Vertreter bestellen	Nicht relevant	Pflicht — Art. 27 DSGVO (wenn kein EU-Sitz)

⚠️

Achtung bei der Datenpanne: Wer beiden Gesetzen unterliegt, muss bei einem Incident beide Fristen im Blick haben — die DSGVO-Frist von 72 Stunden ist deutlich kürzer als die Schweizer «so rasch als möglich»-Regelung. In der Praxis bedeutet das: Wer einen guten EDÖB-Prozess hat, muss ihn für die DSGVO nur um den 72h-Timer ergänzen.

Häufige Fragen

Muss ich als Schweizer Unternehmen die DSGVO einhalten?+

Ja, wenn Sie Personendaten von Personen in der EU bearbeiten und dabei Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Personen beobachten (z.B. via Website-Tracking). Das Marktortprinzip nach Art. 3 DSGVO gilt unabhängig von Ihrem Firmensitz in der Schweiz.

Was ist der grösste Unterschied zwischen revDSG und DSGVO bei den Bussen?+

In der Schweiz haften natürliche Personen (Geschäftsführer, Verantwortliche) strafrechtlich mit bis zu CHF 250'000. In der EU werden primär Unternehmen gebüsst — bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes. Dieser Unterschied ist fundamental: In der Schweiz riskiert die Person, in der EU riskiert das Unternehmen.

Brauche ich als Schweizer Unternehmen einen Datenschutzbeauftragten (DPO)?+

Nach revDSG: Nein, der Datenschutzberater ist freiwillig (Art. 10 DSG). Nach DSGVO: Pflicht für bestimmte Unternehmen — öffentliche Stellen, Unternehmen die grossflächig besonders schützenswerte Daten verarbeiten oder systematisch Personen beobachten (Art. 37 DSGVO). Schweizer Unternehmen die der DSGVO unterliegen, können also trotzdem DPO-pflichtig sein.

Wie unterscheiden sich die Meldefristen bei Datenpannen?+

revDSG: Meldung an den EDÖB «so rasch als möglich», nur bei voraussichtlich hohem Risiko. Keine feste Stundenzahl. DSGVO: Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, bereits bei jedem Risiko (ausser voraussichtlich kein Risiko für Betroffene). Die DSGVO-Frist ist deutlich strenger und kürzer.

Gilt der Schweizer Angemessenheitsbeschluss noch?+

Ja — die EU-Kommission hat der Schweiz einen Angemessenheitsbeschluss nach Art. 45 DSGVO erteilt. Das bedeutet: Datentransfers von der EU in die Schweiz sind grundsätzlich ohne zusätzliche Garantien zulässig. Für Transfers aus der Schweiz in EU-Länder gilt dasselbe in umgekehrter Richtung.

Welche Regeln gelten für Ihr Unternehmen?

Nur revDSG, nur DSGVO oder beides? Unser Dual-Compliance-Check analysiert Ihr Unternehmensprofil und zeigt Ihnen in 5 Minuten, welche Pflichten aus welcher Rechtsordnung für Sie konkret gelten.

Dual-Compliance-Check starten

This content is for informational purposes only and does not constitute legal advice.

Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Read article →

Pflichten

Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?

Read article →

DSGVO

EU-Vertreter nach Art. 27 DSGVO: Braucht mein Schweizer Unternehmen einen?

Read article →