Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

Datenschutzgesetz Schweiz: Das müssen Unternehmen wissen

·
6 Minuten Lesezeit
Sie wollen ihre workflows optimieren?
Gesetzeskonform und up to date. Mit Factorial sind Sie auf der sicheren Seite. Sicherheit bei Factorial
Verfasst von

Das Schweizer Datenschutzgesetz (DSG) schützt die Persönlichkeit und die Grundrechte von Personen bei der Bearbeitung von Daten. Dieses Gesetz wurde grundlegend überarbeitet, um den technologischen Entwicklungen und der Angleichung an europäische Standards Rechnung zu tragen. Seit dem 1. September 2023 ist das neue Datenschutzgesetz (nDSG) in Kraft, das den Schutz natürlicher Personen bei der Verarbeitung ihrer Daten stärkt und Unternehmen neue Pflichten auferlegt.

Im Folgenden erfahren Sie, welche zentralen Anforderungen für Unternehmen gelten und wie Sie die Konformität sicherstellen.

Wichtige Fakten zum nDSG 2026

  • Was ist das nDSG? Das revidierte Schweizer Datenschutzgesetz (nDSG), seit 1. September 2023 in Kraft, regelt die Bearbeitung von Personendaten und stärkt die Rechte natürlicher Personen in der Schweiz.
  • Datenlecks bleiben eine Gefahr: Laut einer Analyse von Surfshark wurden im ersten Quartal 2026 in der Schweiz rund 93.600 Benutzerkonten kompromittiert, was einem Vorfall pro Minute entspricht.
  • Persönliche Haftung: Im Gegensatz zur DSGVO können nach dem nDSG bei vorsätzlichen Verstößen verantwortliche Privatpersonen mit Bussen von bis zu 250.000 CHF belegt werden, nicht nur das Unternehmen, wie secjur.com berichtet.
  • Informationspflicht als Kernaufgabe: Eine zentrale Pflicht für Unternehmen ist laut admin.ch die proaktive und transparente Information über Zweck, Umfang und mögliche Empfangende bei jeder Beschaffung von Personendaten.

Was ist das Datenschutzgesetz?

Das Schweizer Datenschutzgesetz (DSG) schützt die Persönlichkeit und die Grundrechte von Personen bei der Bearbeitung von Daten, zum Beispiel in der Personalakte

👉 Mit dem digitalen Dokumentenmanagement von Factorial sind Sie auf der sicheren Seite, was Datenschutz betrifft

Was sind Personendaten und was bedeutet „bearbeiten“?

Personendaten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei kann es sich um Daten wie Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Telefonnummer, biometrische Daten, finanzielle Informationen oder andere Informationen handeln, die es ermöglichen, eine Person direkt oder indirekt zu identifizieren.

Der Begriff „bearbeiten“ im Kontext des Datenschutzes bezieht sich auf jegliche Art des Umgangs mit Personendaten. Dies umfasst das Erheben, Aufzeichnen, Organisieren, Speichern, Anpassen, Verändern, Abfragen, Nutzen, Offenlegen, Übermitteln, Verbreiten oder Löschen von Personendaten. Die Datenbearbeitung kann sowohl automatisiert als auch manuell erfolgen.

Warum wurde das Schweizer Datenschutzgesetz revidiert?

Das DSG stammt aus dem Jahr 1992, als digitale Technologien, insbesondere das Internet, noch nicht weit verbreitet waren. Da die digitalen Technologien heute im Alltag der Bevölkerung fest verankert sind, wurde das Gesetz grundlegend überarbeitet, um den Veränderungen Rechnung zu tragen.

Das primäre Ziel der Revision war es, den Datenschutz an das digitale Zeitalter anzupassen und die Rechte von Einzelpersonen zu stärken. Laut dem Staatssekretariat für Wirtschaft (SECO) war die Anpassung unerlässlich, um den Schutz der Bevölkerung angesichts neuer Technologien wie Social Media und Cloud-Diensten zu gewährleisten. Das Gesetz trat am 1. September 2023 ohne Übergangsfrist in Kraft.

Ein zentraler Treiber der Revision war die Sicherstellung der Kompatibilität mit der Datenschutz-Grundverordnung (DSGVO) der EU. Wie das KMU-Portal des Bundes hervorhebt, soll durch ein adäquates Datenschutzniveau der freie Datenverkehr mit der EU erhalten bleiben, was für die Wettbewerbsfähigkeit von Schweizer Unternehmen entscheidend ist. Obwohl das nDSG sich stark an der DSGVO orientiert, bestehen wichtige Unterschiede, etwa bei der Höhe der Sanktionen und der persönlichen Haftung.

Für wen gilt das neue Datenschutzgesetz in der Schweiz?

Das neue Datenschutzgesetz gilt für Private und Bundesorgane, die Personendaten bearbeiten. Somit sind alle Unternehmen, aber auch Vereine oder Privatpersonen, die beispielsweise eine Webseite betreiben, betroffen.

Das Schweizer Bundesgesetz über den Datenschutz gilt auch für internationale, aber in der Schweiz ansässige Unternehmen.

Was sind die zentralen Änderungen im nDSG 2026?

  • Neuer Geltungsbereich: Wie die DSGVO der EU beschränkt sich der Anwendungsbereich des neuen Datenschutzgesetzes auf natürliche Personen. Juristische Personen werden nicht mehr erfasst.
  • Stärkerer Datenschutz

: Das Gesetz gibt Einzelpersonen mehr Kontrolle darüber, ob, wie und in welchem Ausmaß ihre Daten verarbeitet werden.

  • Transparenzpflicht

: Unternehmen sind verpflichtet, genau über die Bearbeitung ihrer Daten und die Dauer der Speicherung zu informieren.

  • Meldung von Datenschutzverletzungen: Unternehmen müssen erhebliche Datenschutzverletzungen sofort der Aufsichtsbehörde melden.
  • Verzeichnis der Bearbeitungstätigkeiten: Unternehmen müssen ein Verzeichnis über die Bearbeitung von Personendaten führen, sofern keine Ausnahme besteht.
  • Erweiterte Informationspflichten: Klare Verpflichtungen zur Information von betroffenen Personen über Datenbearbeitungen, insbesondere bei der internationalen Übermittlung.
  • Ernennung von Datenschutzbeauftragten: Für private Unternehmen auf freiwilliger Basis.
  • Sanktionen und Haftung: Persönliche Haftung von verantwortlichen Personen, nicht nur Unternehmen.
  • Privacy by Design & Default: Schutzmaßnahmen und Grundsatz der Datenminimierung bei Systemen und Prozessen.
  • Profiling: Besonders geregelt, mit Einwilligungspflichten bei Profiling mit hohem Risiko.

Vergleich: nDSG vs. DSGVO

Obwohl das Schweizer nDSG und die EU-DSGVO ähnliche Ziele verfolgen, gibt es entscheidende Unterschiede, die Unternehmen kennen müssen:

Aspekt nDSG (Schweiz) DSGVO (EU)
Sanktionen Bussen bis 250.000 CHF, primär gegen die verantwortliche Privatperson gerichtet. Bussen bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, gegen das Unternehmen gerichtet.
Geltungsbereich Schützt ausschließlich Daten natürlicher Personen. Schützt ausschließlich Daten natürlicher Personen.
Einwilligung Grundsätzlich ist die Datenbearbeitung erlaubt, solange keine Persönlichkeitsrechte verletzt werden (Verbotsprinzip mit Erlaubnisvorbehalt). Eine explizite Einwilligung ist seltener erforderlich. Datenverarbeitung ist grundsätzlich verboten, es sei denn, es liegt ein Rechtfertigungsgrund vor (z. B. Einwilligung).
Datenschutzbeauftragter Für private Unternehmen freiwillig. Unter bestimmten Voraussetzungen obligatorisch.

Existiert im nDSG der Schweiz ein Obligatorium für Cookie-Banner?

Anders als bei der DSGVO der EU besteht laut nDSG keine Verpflichtung zur Implementierung eines Cookie-Banners.

Welche Pflichten haben Unternehmen nach dem nDSG?

Was bedeuten diese Änderungen konkret für Unternehmen? Die wichtigsten Neuerungen für Unternehmen im Überblick finden Sie hier:

  • Erweiterte Informationspflicht

Verantwortliche müssen bei der Beschaffung von Personendaten in den meisten Fällen die betroffenen Personen über den Bearbeitungszweck, die Identität und Kontaktdaten, mögliche Empfangende der Daten sowie den Schutz bei internationaler Datenübermittlung über das Datenschutzniveau informieren.

Unternehmen müssen daher auf ihrer Webseite eine Datenschutzerklärung erstellen, die diese Mindestangaben enthält. Die Informationspflichten im Schweizer Datenschutzgesetz sind weniger umfassend als die der DSGVO, jedoch strenger in Bezug auf die Datenweitergabe ins Ausland.

Online finden Unternehmen zahlreiche Muster-Datenschutzerklärungen.

  • Verzeichnis der Bearbeitungstätigkeiten

Das nDSG legt fest, dass Verantwortliche ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen müssen, welches aktuell und präzise sein muss.

Ausnahme: Gemäß Art. 12 nDSG sind Unternehmen mit weniger als 250 Beschäftigten von dieser Pflicht ausgenommen, solange die Datenbearbeitung ein geringes Risiko für die betroffenen Personen darstellt und keine besonders schützenswerten Daten in großem Umfang bearbeitet werden.

Sowohl für Verantwortliche als auch für Auftragsbearbeitende sind bestimmte Mindestinhalte für das Verzeichnis vorgegeben. Dadurch entfällt die bisherige Pflicht zur Registrierung von Datensammlungen. Diese Dokumentation dient der Verbesserung der Transparenz bei Datenbearbeitungen.

  • Sanktionen für Unternehmen

Das neue Gesetz sieht klarere Sanktionen vor, wobei vorsätzliches Handeln und Unterlassen bestraft werden, jedoch nicht Fahrlässigkeit. Die Strafbestimmungen wurden im Vergleich zur bisherigen Regelung erheblich erweitert und verschärft.

Bei vorsätzlicher Verletzung von Informations-, Auskunfts- oder Mitwirkungspflichten kann eine Busse von bis zu 250.000 CHF verhängt werden. Entscheidend ist hierbei, dass die Sanktionen sich direkt gegen die verantwortlichen natürlichen Personen (z. B. Geschäftsführung) richten können, nicht nur gegen das Unternehmen.

Auch Verstöße gegen die berufliche Schweigepflicht, Missachtung von Anordnungen oder Verletzung von Sorgfaltspflichten können mit Geldstrafen geahndet werden. Dies umfasst die Missachtung der Regeln für die Datenbekanntgabe ins Ausland, den Einbezug von Auftragsbearbeitenden und die Mindestanforderungen an die Datensicherheit.

Wer ist für die Einhaltung des neuen Datenschutzgesetzes verantwortlich?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz. Gemäß dem neuen DSG hat der EDÖB das Recht, Hausdurchsuchungen durchzuführen und Zeugenaussagen von Einzelpersonen einzuholen.

  • Privacy by Design und Privacy by tDefault:

Das „Privacy-by-Design“-Prinzip ist ein Konzept des Datenschutzes, das darauf abzielt, den Schutz personenbezogener Daten bereits bei der Gestaltung von Systemen, Produkten oder Dienstleistungen zu berücksichtigen. Es beinhaltet die Integration von Datenschutzmaßnahmen von Anfang an, anstatt sie nachträglich hinzuzufügen. Das Prinzip „Privacy by Design“ wurde entwickelt, um die Privatsphäre und den Datenschutz zu stärken und den Datenschutz als grundlegenden Aspekt bei der Entwicklung neuer Technologien zu etablieren.

Das „Privacy-by-Design“-Prinzip umfasst mehrere Kernprinzipien:

  • Proaktiver Datenschutz: Datenschutzmaßnahmen bereits in den Entwurfsprozess integrieren, um potenzielle Datenschutzrisiken zu identifizieren und ihnen vorzubeugen.
  • Standardmäßiger Datenschutz: Datenschutzmaßnahmen sollten als Standard implementiert werden, etwa die Begrenzung der Datenerhebung auf das notwendige Minimum oder die Anonymisierung, wenn möglich.
  • Ganzheitlicher Ansatz: Kombination aus technischen und organisatorischen Maßnahmen zur Etablierung einer Datenschutzkultur.
  • Transparenz und Benutzerkontrolle: Die Nutzenden sollten über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert werden und die Möglichkeit haben, ihre Einwilligung zu erteilen oder zu widerrufen.

Privacy by Default meint, dass standardmäßig nur die für den Zweck erforderlichen personenbezogenen Daten verarbeitet werden und die Bearbeitung auf das notwendige Minimum beschränkt bleibt.

  • Meldung von Datenschutzverletzungen und Folgeabschätzung

Verletzungen der Datensicherheit (Data Breaches), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, müssen gemäß Art. 24 nDSG so rasch wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Wie schnell müssen mögliche Verstöße dem EDÖB gemeldet werden?

Verletzungen der Datensicherheit (auch Data Breach oder Datenpanne genannt) müssen laut Art. 24 nDSG dem EDÖB so schnell wie möglich gemeldet werden, wenn sie voraussichtlich ein hohes Risiko für die betroffenen Personen darstellen.

Die Meldung kann online über ein Online-Formular erfolgen.

In der Regel ist der Verantwortliche auch verpflichtet, die betroffene Person zu informieren, wenn dies zu ihrem Schutz erforderlich ist oder vom EDÖB verlangt wird.

Darüber hinaus müssen Unternehmen vor geplanter Datenbearbeitung mit hohem Risiko Datenschutz-Folgenabschätzungen durchführen. Eine genaue Definition, was „hohes Risiko“ bedeutet, liefert das Gesetz nicht.

Die Folgenabschätzung erfolgt in der Planungsphase mit Risikobeschreibungen und Maßnahmen. bei anhaltendem hohem Risiko ist eine Stellungnahme des EDÖB erforderlich.

Wie unterstützt HR-Software die Einhaltung des nDSG?

Eine moderne HR-Software wie Factorial hilft, die Anforderungen des nDSG systematisch umzusetzen. Durch die digitale Personalakte und das Dokumentenmanagement können Sie beispielsweise Löschkonzepte und Zugriffsberechtigungen (Privacy by Design) technisch sicherstellen. Dies minimiert nicht nur das Risiko von Datenschutzverstößen, sondern schafft auch die nötige Transparenz für Auskunftsbegehren.

New call-to-action

Maria Macher
Als Content Managerin bei Factorial bringt Maria Macher umfassende Erfahrung in der internen und externen HR-Kommunikation mit. Geprägt durch ihre akademische Laufbahn in Wien und Barcelona sowie durch berufliche Stationen in diversen Unternehmensstrukturen bereitet sie gezielt Wissen rund ums Personalmanagement auf und behält dabei den Fokus auf der wichtigsten Ressource für Unternehmen: den Menschen.

Ähnliche Beiträge