revDSG: das revidierte Schweizer Datenschutzgesetz für KMU
6 Min. Lesezeit
Das revidierte Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft und löst das alte DSG von 1992 ab. Es richtet sich an alle Unternehmen, die Personendaten von Personen in der Schweiz bearbeiten — unabhängig von Sitz oder Grösse. Pflichten: Informationspflicht, Verzeichnis der Bearbeitungstätigkeiten (ab 250 Mitarbeitenden), Meldepflicht bei Datenpannen, Datenschutz-Folgenabschätzung. Sanktionen: Bussen bis CHF 250'000, persönlich gegen die verantwortliche natürliche Person. Das revDSG ist näher an der EU-DSGVO als das alte DSG, aber nicht identisch.
Definition
Das revidierte Bundesgesetz über den Datenschutz (revDSG, SR 235.1) regelt die Bearbeitung von Personendaten durch private Personen und Bundesorgane in der Schweiz. Es trat am 1. September 2023 in Kraft und ersetzte das DSG von 1992 vollständig. Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Das Gesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, deren Daten bearbeitet werden.
Die wichtigsten Eigenschaften
- 1In Kraft seit 1. September 2023, ersetzt DSG von 1992
- 2Anwendung: alle Unternehmen mit Schweizer Personendatenbezug, unabhängig von Sitz
- 3Aufsicht: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
- 4Verzeichnis der Bearbeitungstätigkeiten: Pflicht ab 250 Mitarbeitenden oder bei besonders schützenswerten Daten
- 5Meldepflicht bei Datenschutzverletzungen: 'so rasch als möglich'
- 6Datenschutz-Folgenabschätzung (DSFA) für hohe Risiken Pflicht
- 7Sanktionen: Bussen bis CHF 250'000, persönlich gegen verantwortliche natürliche Person
- 8Privacy by Design und Privacy by Default als Grundsätze verankert
Was bedeutet das revDSG für Schweizer KMU?
Auch kleine Schweizer KMU müssen die zentralen Pflichten des revDSG einhalten — die Schwellenwerte sind tiefer als oft angenommen. Konkret: Jeder Webauftritt benötigt eine aktualisierte Datenschutzerklärung mit Informationen zu Bearbeitungszweck, Datenkategorien, Empfängern und Aufbewahrungsdauer. Wer Kundendaten in einer Software verarbeitet (was praktisch jedes KMU tut), muss die Verarbeitung dokumentieren — formal ein Verzeichnis der Bearbeitungstätigkeiten erst ab 250 Mitarbeitenden, faktisch wird es bei Audits aber auch bei kleineren Betrieben verlangt. Bei einer Datenpanne — etwa Hacking, verlorener Laptop, falsch versendete E-Mail mit Kundendaten — muss das KMU den EDÖB 'so rasch als möglich' informieren. Bei Cloud-Software ist entscheidend, wo die Daten gespeichert werden: Schweizer Hosting macht die Compliance einfach, EU-Hosting funktioniert über Angemessenheits-Beschluss, Drittländer (USA, China) erfordern Standardvertragsklauseln (SCC) plus Risikoabschätzung.
revDSG vs. DSGVO — wesentliche Unterschiede
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| In Kraft seit | 01.09.2023 | 25.05.2018 |
| Maximale Busse | CHF 250'000 (natürliche Person) | EUR 20 Mio. oder 4% Umsatz |
| Auftragsverarbeiter-Vertrag | Nicht explizit gefordert | Pflicht (AVV) |
| Verzeichnis Bearbeitungstätigkeiten | Ab 250 Mitarbeitenden | Praktisch ab Tätigkeit |
| Datenschutzbeauftragter | Freiwillig | Pflicht ab bestimmten Bedingungen |
| Meldefrist Datenpanne | 'So rasch als möglich' | 72 Stunden |
| Räumlicher Anwendungsbereich | Auswirkungsprinzip | Auswirkungsprinzip |
Häufige Fragen zum revDSG
Gilt das revDSG auch für Einzelunternehmen?
Ja. Das revDSG kennt keine Schwellenwerte für die grundsätzliche Anwendbarkeit — sobald Personendaten bearbeitet werden, gelten die Pflichten. Erleichterungen gibt es nur beim Verzeichnis der Bearbeitungstätigkeiten (ab 250 Mitarbeitende Pflicht).
Brauchen wir einen Datenschutzbeauftragten?
Im Gegensatz zur DSGVO ist ein Datenschutzbeauftragter im revDSG nicht zwingend — er kann aber freiwillig benannt werden und bringt Vorteile bei der Konsultationspflicht. Bei umfangreicher oder sensibler Datenbearbeitung ist die freiwillige Benennung empfohlen.
Müssen wir alle Kundendaten in der Schweiz speichern?
Nein, das revDSG schreibt keinen Schweizer Server-Standort vor. Datentransfer in die EU ist unproblematisch (Angemessenheitsbeschluss). Bei Drittländern (USA, China etc.) braucht es Standardvertragsklauseln (SCC) plus Risikobewertung. Schweizer Hosting ist aber der einfachste Weg zur Compliance.
Wie schnell muss ich eine Datenpanne melden?
Das revDSG sagt 'so rasch als möglich' (Art. 24 Abs. 1) — keine fixe 72-Stunden-Frist wie in der DSGVO. Praktisch sollte die Meldung innerhalb weniger Tage erfolgen, sobald die Tatsache und der Umfang einigermassen klar sind.
Welche Sanktionen drohen bei Verstössen?
Bussen bis CHF 250'000, gerichtet gegen die verantwortliche natürliche Person — nicht das Unternehmen. Das ist ein erheblicher Unterschied zur DSGVO und macht persönliche Verantwortung greifbar.
Was muss in einer Datenschutzerklärung stehen?
Mindestens: Identität und Kontakt des Verantwortlichen, Bearbeitungszweck, Kategorien der Daten, Empfänger, Auslandstransfer mit Schutzmassnahmen, Aufbewahrungsdauer, Betroffenenrechte (Auskunft, Berichtigung, Löschung). Eine konkrete Vorlage gibt es bei privatim oder beim EDÖB.
Quellen & Standards
- EDÖB — Datenschutzbeauftragter
- DSG SR 235.1 — Bundesgesetz Datenschutz
- Datenschutzverordnung (DSV)
- privatim — Konferenz der Datenschutzbeauftragten