Compliance

Datenschutzgesetz Schweiz (DSG): Was Startups und KMU wissen müssen

6. Mai 20267 min read

Das Wichtigste in Kürze

  • Das revidierte Datenschutzgesetz (nDSG) gilt seit 1. September 2023 und ersetzt das DSG von 1992.
  • Bussen von bis zu CHF 250'000 richten sich gegen natürliche Personen (Mitarbeitende, Geschäftsführer), nicht gegen Unternehmen.
  • Datenschutzerklärungen sind für alle Websites Pflicht, die Personendaten bearbeiten.
  • Datenpannen mit hohem Risiko müssen dem EDÖB so rasch wie möglich gemeldet werden.
  • Datenschutz-Folgenabschätzungen (DSFA) sind bei hohem Risiko für Betroffene obligatorisch.

Das revidierte Schweizer Datenschutzgesetz (nDSG) ist am 1. September 2023 in Kraft getreten und löst das DSG von 1992 ab. Es bringt höhere Anforderungen an Transparenz, Datensicherheit und Betroffenenrechte, unterscheidet sich aber in wesentlichen Punkten von der EU-Datenschutz-Grundverordnung (DSGVO).

Dieser Artikel erklärt, was das nDSG von Startups und KMU verlangt, welche Massnahmen prioritär umzusetzen sind und wo die Unterschiede zur DSGVO liegen.

Rechtlicher Hinweis

Dieser Artikel informiert allgemein über das revidierte Schweizer Datenschutzgesetz. Er ersetzt keine Rechtsberatung. Für die konkrete Umsetzung in Ihrem Unternehmen empfiehlt sich die Beratung durch einen Datenschutzanwalt oder -berater mit Schweizer Fokus.

Was sich mit dem nDSG geändert hat

Das alte DSG von 1992 war für das digitale Zeitalter nicht ausgelegt. Das nDSG bringt folgende wesentliche Neuerungen:

Erweiterter Anwendungsbereich: Das nDSG gilt für alle natürlichen Personen in der Schweiz; juristische Personen sind ausgenommen (anders als nach altem DSG). Auch Unternehmen mit Sitz im Ausland, die Daten von Personen in der Schweiz bearbeiten, fallen darunter.

Neue Kategorien sensitiver Personendaten: Zusätzlich zu den bisherigen Kategorien (Gesundheit, Rasse, Religion, politische Meinungen) gelten nun auch genetische und biometrische Daten als besonders schützenswert.

Pflicht zur Datenschutzerklärung: Wer Personendaten erhebt, muss die Betroffenen aktiv über Art, Zweck, Speicherdauer und Empfänger der Daten informieren. Für Websites ist eine Datenschutzerklärung verpflichtend.

Datenschutz-Folgenabschätzung (DSFA): Bei Bearbeitungen mit hohem Risiko ist eine strukturierte Risikoanalyse Pflicht. Kann das Risiko nicht ausreichend gemindert werden, muss der EDÖB vorgängig konsultiert werden.

Meldepflicht bei Datenpannen: Datensicherheitsverletzungen, die voraussichtlich zu einem hohen Risiko für die Betroffenen führen, müssen dem EDÖB so rasch wie möglich gemeldet werden.

Recht auf Auskunft und Berichtigung: Betroffene haben das Recht, Auskunft über ihre gespeicherten Daten zu erhalten und fehlerhafte Daten berichtigen zu lassen.

Bussen gegen Individuen: Sanktionen von bis zu CHF 250'000 richten sich gegen natürliche Personen (Mitarbeitende, Geschäftsführer), nicht gegen das Unternehmen als solches.

Wer ist betroffen?

Das nDSG gilt für private Personen und Unternehmen, die Personendaten von natürlichen Personen in der Schweiz bearbeiten. "Bearbeiten" umfasst jede Form von Erheben, Speichern, Nutzen, Offenbaren, Übermitteln, Archivieren und Vernichten.

Ausgenommen sind:

  • Bearbeitung für rein persönliche Zwecke (keine unternehmerische Tätigkeit)
  • Öffentliche Organe (für sie gilt das Öffentlichkeitsgesetz)
  • Bestimmte journalistische, wissenschaftliche und künstlerische Tätigkeiten mit eigenem gesetzlichen Schutz

Praktische Konsequenz für Startups: Wer eine Website betreibt, die Formulardaten oder Analysedaten erfasst, wer einen Newsletter versendet, wer Kundendaten in einem CRM speichert oder wer Mitarbeiterdaten führt: alle fallen unter das nDSG.

Kernpflichten im Überblick

Datenschutzerklärung

Jede Website, die Personendaten erhebt (Kontaktformular, Analytics, Cookies, Newsletter), benötigt eine Datenschutzerklärung. Sie muss folgende Informationen enthalten:

  • Wer ist für die Datenbearbeitung verantwortlich (Unternehmen, Kontaktpersonen)?
  • Welche Personendaten werden erhoben?
  • Zu welchem Zweck werden die Daten bearbeitet?
  • Wie lange werden die Daten gespeichert?
  • Wer erhält die Daten (Drittparteien, Länder ausserhalb der Schweiz)?
  • Welche Rechte haben Betroffene?

Die Datenschutzerklärung muss vor oder bei der Datenerhebung zugänglich sein. Standard: Link im Footer der Website.

Cookie-Banner allein reicht nicht

Eine Cookie-Einwilligungsbox ohne vollständige Datenschutzerklärung genügt nicht. Cookie-Banner sind für bestimmte Arten von Cookies notwendig, ersetzen aber nicht die inhaltlichen Informationspflichten nach nDSG. Beide Elemente müssen vorhanden sein.

Verzeichnis der Bearbeitungstätigkeiten

Unternehmen mit mehr als 250 Mitarbeitenden sind verpflichtet, ein Verzeichnis der Datenbearbeitungstätigkeiten zu führen. Für kleinere Unternehmen ist es freiwillig, aber empfehlenswert. Das Verzeichnis enthält: Zweck der Bearbeitung, Datenkategorie, Empfänger, Löschfristen, Herkunft der Daten.

Kleinere Startups können ein einfaches Tabellenformat nutzen. Es muss nicht beim EDÖB eingereicht werden, muss aber auf Anfrage vorgelegt werden können.

Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist obligatorisch, wenn eine geplante Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit der Betroffenen birgt. Typische Anwendungsfälle:

  • Profiling mit weitreichenden Auswirkungen (Kreditscoring, automatisierte Entscheidungen)
  • Systematische Verarbeitung besonders schützenswerter Personendaten (Gesundheit, Biometrie)
  • Grossflächige Videoüberwachung öffentlicher Bereiche
  • Verarbeitung sehr grosser Datenmengen zu sensiblen Kategorien

Für die meisten Startups in der frühen Phase ist eine DSFA nicht von Anfang an nötig. Sobald Produkte oder Dienste mit den oben genannten Merkmalen entwickelt werden, sollte eine DSFA zeitgerecht erstellt werden.

Datensicherheit

Das nDSG verlangt angemessene technische und organisatorische Massnahmen (TOM) zum Schutz der Personendaten. Was "angemessen" ist, richtet sich nach der Risikohöhe.

Grundlegende Massnahmen, die für jedes Unternehmen gelten:

MassnahmeBeschreibung
ZugangskontrolleNur berechtigte Personen können auf Daten zugreifen
VerschlüsselungDaten in Transit und at rest verschlüsseln
BackupRegelmässige, getestete Datensicherung
PseudonymisierungWo möglich, direkte Identifikatoren trennen
ZugangsprotokollierungWer hat wann auf welche Daten zugegriffen?
MitarbeiterschulungRegelmässige Sensibilisierung des Teams

Meldepflicht bei Datenpannen

Wenn eine Datensicherheitsverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, muss der EDÖB so rasch wie möglich benachrichtigt werden. Eine 72-Stunden-Frist wie in der DSGVO gibt es im nDSG nicht explizit, aber "so rasch als möglich" wird in der Praxis ähnlich interpretiert.

Meldepflichtige Vorfälle: gestohlene Kundendatenbanken, Ransomware-Angriff auf Gesundheitsdaten, versehentliche Offenlegung von Finanzdaten.

Nicht meldepflichtig: Verlust eines Geräts mit ausreichend verschlüsselten Daten, interne Datenpanne ohne externe Auswirkungen und ohne hohes Risiko.

Interne Pflicht: Jeder Datenpannen-Vorfall muss intern dokumentiert werden, auch wenn keine Meldepflicht an den EDÖB besteht.

Brauchen Sie Hilfe bei der Gründung?

Wir vermitteln kostenlos geprüfte Schweizer Experten.

Drittlandübermittlungen

Werden Personendaten in Länder ausserhalb der Schweiz übermittelt, braucht es eine Rechtsgrundlage. Die Schweiz führt eine Liste von Ländern, die ein angemessenes Schutzniveau bieten (ähnlich der EU-Angemessenheitsbeschlüsse). Dazu zählen alle EU/EWR-Staaten, aber auch andere Länder.

Für Drittländer ohne Angemessenheitsbeschluss (z.B. USA in bestimmten Kontexten) sind Standardvertragsklauseln (SCC) oder Einwilligung des Betroffenen erforderlich. Die vom EDÖB publizierten Standardvertragsklauseln sind die gängigste Lösung.

Praktische Implikation für SaaS-Startups: Wer US-amerikanische Cloud-Dienste (AWS, Google Cloud, Microsoft Azure) nutzt und dort Kundendaten speichert, muss Standardvertragsklauseln mit dem Anbieter vereinbaren und dies in der Datenschutzerklärung transparent machen.

Auftragsbearbeitung dokumentieren

Wer externe Dienstleister nutzt, die Personendaten im Auftrag bearbeiten (Cloud-Anbieter, Newsletter-Tools, CRM), muss einen schriftlichen Auftragsbearbeitungsvertrag (AVV) abschliessen. Dieser regelt, wie der Dienstleister die Daten schützt und welche Weisungen er befolgt. Ohne AVV ist die Drittlandübermittlung nicht ordnungsgemäss.

Betroffenenrechte

Das nDSG räumt betroffenen Personen folgende Rechte ein:

Auskunftsrecht: Jede Person kann verlangen zu wissen, ob und welche Daten über sie gespeichert sind. Das Unternehmen muss innerhalb von 30 Tagen antworten (kostenlos, ausser bei missbräuchlichen Anfragen).

Recht auf Berichtigung: Fehlerhafte Daten müssen korrigiert werden.

Recht auf Löschung: Unter bestimmten Bedingungen (kein berechtigtes Interesse mehr, Einwilligung widerrufen) muss das Unternehmen Daten löschen. Es gibt kein allgemeines "Recht auf Vergessenwerden" wie in der EU-DSGVO.

Recht auf Einschränkung der Bearbeitung: Unter bestimmten Voraussetzungen kann die Bearbeitung vorübergehend eingeschränkt werden.

Widerspruchsrecht: Gegen Direktwerbung und bestimmte andere Bearbeitungsformen kann Widerspruch eingelegt werden.

Unterschiede zur EU-DSGVO

Das nDSG ist stark von der DSGVO inspiriert, weicht aber in wichtigen Punkten ab:

AspektnDSG (Schweiz)DSGVO (EU)
BussenMax. CHF 250'000 gegen IndividuenBis zu 4% des weltweiten Jahresumsatzes gegen Unternehmen
DSB-PflichtFreiwillig (empfohlen)Obligatorisch bei bestimmten Kriterien
Recht auf DatenportabilitätKein explizites RechtExplizit verankert (Art. 20 DSGVO)
StrafverfolgungStrafrechtlich (via Staatsanwaltschaft)Verwaltungsrechtlich (via Datenschutzbehörde)
Zuständige BehördeEDÖB (Eidg. Datenschutzbeauftragter)Jeweilige nationale Datenschutzbehörde

Was Startups zuerst tun sollten

Für die meisten Startups ist ein pragmatischer Schritt-für-Schritt-Ansatz sinnvoll:

Schritt 1: Datenschutzerklärung erstellen oder aktualisieren Sie muss alle Bearbeitungstätigkeiten der Website abdecken: Formulare, Analytics, Cookies, Newsletter, E-Commerce-Transaktionen. Für schweizspezifische Inhalte: Schweizer Recht als anwendbares Recht nennen, EDÖB als zuständige Behörde.

Schritt 2: Auftragsbearbeitungsverträge mit Drittanbieter abschliessen Liste aller Dienstleister, die Personendaten verarbeiten (Google Analytics, Stripe, Mailchimp, Salesforce etc.) erstellen und prüfen, ob ein AVV vorliegt. Die meisten grossen Anbieter stellen diese automatisch bereit.

Schritt 3: Internes Bearbeitungsverzeichnis anlegen Auch ohne gesetzliche Pflicht (unter 250 Mitarbeitende) ist ein einfaches Verzeichnis wertvoll für spätere Audits und für Due Diligence bei VC-Investoren.

Schritt 4: Datenpannen-Prozess definieren Wer macht was bei einem Vorfall? Wer meldet an den EDÖB? Wer kommuniziert mit Betroffenen? Diesen Prozess vor dem ersten Vorfall zu definieren spart Zeit im Krisenfall.

Schritt 5: Team sensibilisieren Datenschutz ist kein einmaliges Projekt. Regelmässige Schulungen (mindestens jährlich) und klare interne Regeln zur Datenweitergabe reduzieren das Risiko menschlicher Fehler.

EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragter)

Offizielle Schweizer Datenschutzbehörde

Kostenlose Ressourcen

EDÖB aufrufen

Brauchen Sie Hilfe beim Gründen?

Wir vermitteln Ihnen kostenlos und unverbindlich passende geprüfte Schweizer Experten, in 2 Minuten.

Kostenlos & unverbindlich

Haeufige Fragen

Gilt das Schweizer Datenschutzgesetz auch für ausländische Unternehmen?
Ja, sofern das ausländische Unternehmen Personendaten von Personen in der Schweiz bearbeitet und sein Verhalten Auswirkungen auf die Schweiz hat. Das Prinzip ist vergleichbar mit dem Marktortprinzip der DSGVO. Unternehmen mit Sitz in der EU, die in der Schweiz tätig sind, müssen neben der DSGVO auch das Schweizer nDSG beachten.
Müssen Schweizer Unternehmen, die bereits DSGVO-konform sind, das nDSG separat umsetzen?
Nicht vollständig, aber ja. DSGVO-konforme Strukturen decken einen grossen Teil der nDSG-Anforderungen ab. Es gibt jedoch Unterschiede: Das nDSG richtet Bussen gegen Individuen, nicht Unternehmen; der EDÖB hat andere Befugnisse als EU-Datenschutzbehörden; und es fehlt eine dem GDPR-Art.-17-Recht auf Löschung analoge Regelung. Eine Lückenanalyse durch einen Datenschutzberater ist sinnvoll.
Wann brauche ich einen Datenschutzbeauftragten (DSB)?
Im nDSG gibt es keine gesetzliche Pflicht zur Bestellung eines DSB (anders als im GDPR). Es ist aber empfehlenswert ab einer gewissen Grösse oder bei systematischer Bearbeitung sensitiver Daten (Gesundheitsdaten, biometrische Daten). Wer einen DSB benennt, muss dessen Kontaktdaten dem EDÖB melden.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann ist sie Pflicht?
Eine DSFA ist eine strukturierte Analyse, wie eine geplante Datenbearbeitung die Privatsphäre der Betroffenen beeinflusst. Sie ist nach nDSG obligatorisch, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit der Betroffenen mit sich bringt, z.B. bei Profiling mit Auswirkungen, biometrischen Daten oder grossflächiger Videoüberwachung.
Was sind die Anforderungen für eine Datenschutzerklärung nach nDSG?
Die Datenschutzerklärung muss klar und verständlich erklären: Welche Daten werden erhoben, zu welchem Zweck, wie lange sie gespeichert werden, an wen sie weitergegeben werden und welche Rechte Betroffene haben (Auskunft, Berichtigung, Löschung). Sie muss vor oder bei der Datenerhebung zugänglich sein (typisch als Link im Footer der Website).
Wie unterscheidet sich das Schweizer nDSG von der EU-DSGVO?
Wichtigste Unterschiede: nDSG richtet Bussen an Individuen (max. CHF 250'000), nicht an Unternehmen; keine verpflichtende Benennung eines DSB; der EDÖB ist der zuständige Schweizer Datenschutzbeauftragte, kein Teil des EU-Netzwerks; das nDSG kennt kein explizites Recht auf Datenportabilität; und die Strafen werden strafrechtlich verfolgt (nicht zivilrechtlich wie in der EU).
Anna Weber

Anna Weber

Compliance und Datenschutz

Anna Weber schreibt zu DSG, FINMA-Regulierung und branchenspezifischen Anforderungen. Sie arbeitet als Compliance-Beraterin.