Stand: 27.05.2026 — Zuletzt aktualisiert: 27.05.2026
Zwei Jahre nach Inkrafttreten des revidierten Schweizer Datenschutzgesetzes (revDSG) zeigt die Praxis: 42 Prozent der Schweizer KMU haben ihre Datenschutz-Prozesse noch nicht vollstaendig angepasst, so eine Erhebung des Eidgenoessischen Datenschutzbeauftragten von April 2026. Gleichzeitig steigt die Zahl der Beschwerden um 38 Prozent, und der EDOEB hat 2025 erstmals Bussen ueber 250000 Franken gegen Schweizer Unternehmen verhaengt. Dieser Artikel zeigt, was DSG und DSGVO 2026 von Schweizer KMU verlangen, wo die Unterschiede liegen und wie Sie mit pragmatischen Massnahmen Compliance sicherstellen.
Key Insight:
Schweizer KMU mit EU-Kunden muessen sowohl revDSG als auch DSGVO einhalten. Die maximale Busse nach revDSG liegt bei 250000 Franken pro Fall, nach DSGVO bei 4 Prozent des weltweiten Jahresumsatzes. Die wichtigsten Pflichten 2026: Bearbeitungsverzeichnis, Privacy Notice, Vorfall-Meldung binnen 72 Stunden, Auftragsbearbeitungs-Vertraege mit Cloud-Anbietern.
Was ist der grundsaetzliche Unterschied zwischen DSG und DSGVO?
Das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) ist an die DSGVO angelehnt, unterscheidet sich aber in vier zentralen Punkten: das DSG kennt keine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten, die Pflichten zur Datenschutz-Folgenabschaetzung sind enger gefasst, die Bussen treffen direkt Privatpersonen statt Unternehmen, und die Meldepflicht von Datenpannen ist weniger streng — 72 Stunden, aber ohne automatische Information der Betroffenen in jedem Fall.
Wann gilt welches Gesetz?
Schweizer KMU ohne EU-Geschaeft: nur revDSG. Schweizer KMU mit EU-Kunden oder EU-Tracking: DSGVO und revDSG gelten parallel. EU-Unternehmen mit Schweizer Kunden: DSGVO und revDSG. Praxis: rund 78 Prozent der Schweizer KMU verarbeiten in irgendeiner Form EU-Personendaten — daher gilt fuer die Mehrheit beides.
Welche Pflichten verlangt das revDSG konkret?
Fuenf Kernpflichten gelten 2026 fuer alle Schweizer KMU: 1) Bearbeitungsverzeichnis (welche Daten, welcher Zweck, welche Empfaenger). 2) Informationspflicht via Privacy Notice. 3) Datenschutz-Folgenabschaetzung bei hohem Risiko (z.B. Profiling, Biometrie). 4) Meldung von Datenpannen binnen 72 Stunden an den EDOEB. 5) Auftragsbearbeitungs-Vertraege (DPA) mit allen Cloud-Anbietern und Subunternehmern.
Wer braucht einen Datenschutzbeauftragten in der Schweiz?
Das revDSG verlangt keinen Datenschutzbeauftragten als zwingende Pflicht. Empfohlen wird die Bestellung jedoch fuer KMU ab 250 Mitarbeitenden oder bei systematischer Verarbeitung sensibler Daten (Gesundheit, Religion, Strafdaten). Wer DSGVO-pflichtig ist, muss zusaetzlich pruefen, ob die EU-Kriterien greifen: Kerntaetigkeit ist die regelmaessige systematische Ueberwachung Betroffener oder die Verarbeitung sensibler Daten in grossem Umfang.
Wie sieht ein konformes Bearbeitungsverzeichnis aus?
Das Bearbeitungsverzeichnis ist die zentrale Compliance-Dokumentation. Sie listet pro Bearbeitungstaetigkeit: Zweck, Datenkategorien, Empfaenger, Aufbewahrungsdauer, technisch-organisatorische Massnahmen. Tools wie OneTrust, Compliance Kit oder einfache Excel-Vorlagen reichen aus. Wichtig: das Verzeichnis muss aktuell gehalten und auf Verlangen dem EDOEB binnen 30 Tagen vorgelegt werden koennen.
✓ Praxis-Tipp Privacy Notice
Eine konforme Privacy Notice enthaelt 2026 mindestens: Verantwortliche Person, Kontaktdaten DSB (falls bestellt), Bearbeitungszwecke, Rechtsgrundlagen, Empfaenger, Drittlaender-Uebermittlungen, Aufbewahrungsdauer, Betroffenenrechte. Schweizer Privacy Notices sind durchschnittlich 800 bis 1500 Woerter lang — kuerzere sind meist unvollstaendig, laengere ueberfordern Nutzer.
Was muss bei einer Datenpanne sofort passieren?
Beim Verdacht einer Datenpanne (unautorisierter Zugriff, Verlust, Diebstahl) gilt: binnen 72 Stunden den EDOEB informieren, wenn ein hohes Risiko fuer Betroffene besteht. Parallel: Vorfall dokumentieren (Zeit, Umfang, betroffene Daten), interne Massnahmen einleiten, ggf. Betroffene benachrichtigen. Tools wie OneTrust Incident Management oder TrustArc Privacy Console automatisieren den Prozess inklusive Fristenmanagement.
⚠ Cloud-Anbieter und Drittlaender
Datenuebermittlungen in Drittlaender ohne Angemessenheits-Entscheid (z.B. USA ohne EU-US Data Privacy Framework, China, Russland) erfordern Standard-Vertragsklauseln und ggf. Transfer Impact Assessment. Bei AWS, Microsoft Azure und Google Cloud achten Sie auf den expliziten Schweizer Datenresidenz-Optionen — sonst gilt USA-Transfer mit zusaetzlichen Auflagen.
Welche Bussen-Risiken gibt es 2026 konkret?
Das revDSG bestraft Privatpersonen (z.B. Geschaeftsfuehrer, IT-Leiter), nicht direkt das Unternehmen — Bussen bis 250000 Franken pro Fall. Die DSGVO sanktioniert das Unternehmen mit bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (je nachdem, was hoeher ist). 2025 wurden in der Schweiz fuenf erstinstanzliche Strafverfahren rechtskraeftig mit Bussen zwischen 8000 und 250000 Franken abgeschlossen. Die haeufigsten Versaeumnisse: fehlende Privacy Notice und mangelhafte Pannen-Meldung.
Wie kann KI im Datenschutz helfen oder gefaehrden?
KI-Tools wie ChatGPT, Copilot oder Gemini bergen 2026 zwei Datenschutz-Risiken: Eingabedaten gelangen in Drittland-Server (USA), Trainingsdaten koennen Personendaten enthalten. Loesung: ChatGPT Enterprise oder Microsoft Copilot mit Schweizer Datenresidenz, alternativ lokal gehostete Open-Source-Modelle (Llama 3.1, Mistral). Gleichzeitig hilft KI bei Compliance: automatische Dokumenten-Klassifikation, Privacy-Notice-Generierung, DPIA-Vorlagen.
Welche pragmatische Roadmap empfehlen Experten?
Bewaehrte Vier-Wochen-Roadmap fuer KMU: Woche 1 — Bestandsaufnahme (Daten-Mapping, Tools-Inventur). Woche 2 — Bearbeitungsverzeichnis und Privacy Notice erstellen. Woche 3 — DPA-Vertraege mit allen Cloud-Anbietern unterzeichnen, Drittlaender-Transfers pruefen. Woche 4 — Incident-Response-Plan, Schulung Mitarbeiter, jaehrliche Pruef-Routine etablieren. Externe Beratung kostet typischerweise 8000 bis 25000 Franken fuer ein vollstaendiges KMU-Setup.
FAQ — Haeufige Fragen
Reicht eine englische Privacy Notice fuer Schweizer Kunden?
Nein. Die Privacy Notice muss in der vom Kunden ueblicherweise verwendeten Sprache verfuegbar sein — bei Schweizer Kunden also Deutsch, Franzoesisch oder Italienisch je nach Region. Englisch ist nur fuer rein internationale Zielgruppen ausreichend.
Brauche ich fuer mein Newsletter-Tool einen DPA-Vertrag?
Ja. Jeder externe Anbieter, der Personendaten verarbeitet (Mailchimp, Brevo, ActiveCampaign) braucht einen Auftragsbearbeitungs-Vertrag. Die meisten Anbieter stellen Standard-DPAs zur Verfuegung — Sie muessen aktiv zustimmen, nicht nur Nutzungsbedingungen akzeptieren.
Was ist der Unterschied zwischen Auftrags- und Funktionsuebertragung?
Auftragsbearbeitung: der externe Dienstleister bearbeitet Daten ausschliesslich nach Ihren Vorgaben (z.B. Cloud-Hoster). Funktionsuebertragung: der Dienstleister entscheidet selbst ueber Zwecke und Mittel (z.B. ein Marketing-Tool, das Daten anonymisiert fuer eigene Modelle nutzt) — hier brauchen Sie eine andere Rechtsgrundlage.
Wie lange darf ich Personendaten aufbewahren?
Nur so lange, wie der Zweck es erfordert. Kundenstammdaten typischerweise 10 Jahre (OR Art. 958f, Buchfuehrungspflicht). Marketing-Daten nach Widerruf maximal 12 Monate. Bewerberdaten nicht angenommener Bewerber: 6 Monate nach Absage.
Was passiert bei einer Datenpanne durch einen Cloud-Anbieter?
Sie als Verantwortliche bleiben primaer haftbar gegenueber Betroffenen und EDOEB. Im DPA-Vertrag muss eine Klausel zur Pannen-Meldung binnen 24 Stunden vom Anbieter an Sie geregelt sein, damit Sie die 72h-Frist einhalten koennen.
DSG-Compliance fuer Ihr KMU
Sie wollen sicher gehen, dass Ihr KMU revDSG und DSGVO erfuellt? KI Company prueft Ihre Datenschutz-Prozesse, erstellt Bearbeitungsverzeichnis und Privacy Notice und implementiert Incident-Response.