DSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen 2026
Schweizer Recht, EU-Recht — oder doch beides? Die wichtigsten Unterschiede zwischen revidiertem DSG und DSGVO im direkten Vergleich, mit konkretem Praxisbezug für KMU mit grenzüberschreitender Tätigkeit.
«Wir sind ein Schweizer Unternehmen, also gilt für uns nur das DSG.» Diesen Satz höre ich oft — und er stimmt manchmal, manchmal nicht. Die Realität ist: Sobald Sie geschäftlich über die Schweizer Grenze hinaus tätig sind, müssen Sie wahrscheinlich beide Regelwerke beachten. Hier die wichtigsten Unterschiede in einer pragmatischen Übersicht.
Anwendungsbereich — der entscheidende Punkt
Das revidierte DSG knüpft am bearbeitenden Unternehmen an. Wer in der Schweiz sitzt und Personendaten bearbeitet, fällt darunter — unabhängig davon, wo die betroffenen Personen wohnen. Auch ausländische Unternehmen, die Personen in der Schweiz gezielt ansprechen, können in den Geltungsbereich fallen.
Die DSGVO dagegen knüpft am Schutz der betroffenen Person an. Wer Personen in der EU «gezielt anspricht» (offer goods or services) oder ihr Verhalten beobachtet, fällt unter die DSGVO — auch wenn das Unternehmen in der Schweiz sitzt.
Die Praxis-Frage: «Spreche ich aktiv EU-Kundschaft an?» Wenn ja, gelten beide. Wenn nein, nur DSG.
Einwilligung — wo es wirklich auseinandergeht
Die DSGVO verlangt grundsätzlich eine Rechtsgrundlage für jede Bearbeitung. Eine davon ist die Einwilligung (opt-in, dokumentiert, widerrufbar). Andere sind etwa Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse.
Das DSG ist weniger formal. Eine Einwilligung ist nur dann zwingend, wenn besonders schützenswerte Daten bearbeitet werden oder ein hohes Persönlichkeitsrisiko besteht (etwa beim Profiling). Für viele Standard-Verarbeitungen (Bestellabwicklung, Newsletter mit kundeneigener Zustimmung) reicht die Erkennbarkeit aus dem Kontext.
Praxis: Wenn Sie DSG- und DSGVO-konform sein wollen, behandeln Sie Einwilligungen DSGVO-konform. Damit liegen Sie automatisch über dem DSG-Standard.
Auskunftsrecht — ähnlich, aber nicht identisch
Beide Gesetze geben Betroffenen ein Recht auf Auskunft über die Bearbeitung ihrer Daten. Beide setzen eine Frist von 30 Tagen. Aber:
- DSGVO definiert sehr detailliert, was die Auskunft enthalten muss — Zwecke, Empfängerkategorien, Speicherdauer, Datenherkunft, automatisierte Entscheidungen.
- DSG ist offener formuliert, in der Praxis aber sehr ähnlich. Eine DSGVO-konforme Auskunft erfüllt auch das DSG.
In der Praxis lohnt sich ein gemeinsamer Auskunfts-Prozess: ein definierter Empfänger im Unternehmen, eine Vorlage, ein dokumentiertes Ablaufdiagramm.
Datenschutzerklärung — formaler Unterschied, gleicher Inhalt
Die DSGVO listet in Art. 13 und 14 die Pflichtangaben einer Datenschutzerklärung. Das DSG hat seit der Revision ähnliche Anforderungen, formuliert sie aber kompakter.
Wer eine DSGVO-konforme Datenschutzerklärung hat, deckt das DSG automatisch ab. Umgekehrt nicht zwingend — eine DSG-Vorlage könnte unter DSGVO-Augen unvollständig sein.
Vertretung — DSGVO-Spezifikum
Schweizer Unternehmen, die regelmässig EU-Personen-Daten verarbeiten, brauchen nach DSGVO Art. 27 einen Vertreter in der EU. Diese Person agiert als Anlaufstelle für EU-Aufsichtsbehörden und Betroffene.
Praktisch bedeutet das: ein juristischer Vertretungsdienst (mehrere hundert Euro pro Jahr) oder ein eigenes EU-Tochterunternehmen. Das DSG kennt eine ähnliche Pflicht für ausländische Unternehmen, die in der Schweiz Daten bearbeiten — Schweizer Unternehmen mit EU-Geschäft müssen also potentiell zwei Vertretungen organisieren.
Sanktionen — die grösste Diskrepanz
Hier wird's drastisch unterschiedlich:
- DSGVO: Bussen bis 20 Mio. EUR oder 4 % des weltweiten Konzernumsatzes — je nachdem, was höher ist. Adressat: das Unternehmen.
- DSG: Bussen bis CHF 250'000. Adressat: die natürliche Person, die für den Verstoss verantwortlich ist (typischerweise Geschäftsführer).
Beide Logiken haben ihre Berechtigung. Die DSGVO trifft das Unternehmen — was bei grossen Konzernen abschreckende Wirkung hat. Das DSG trifft Personen — was bei KMU näher an der Realität ist, weil Geschäftsführer in der Regel direkt verantwortlich sind.
Praktischer Doppel-Compliance-Ansatz
Für Schweizer KMU mit DACH-Geschäft empfehle ich folgende Strategie:
- Cookie-Banner DSGVO-konform — Opt-in, dokumentiert, widerrufbar, Layered Approach
- Datenschutzerklärung DSGVO-konform — alle Art. 13/14-Punkte erfüllt
- Auskunfts-Prozess DSGVO-konform — 30-Tage-Frist, definierter Empfänger
- EU-Vertreter — juristischer Service (z.B. VGS Datenschutz) ab ca. CHF 500/Jahr
- Verzeichnis der Verarbeitungstätigkeiten — auch wenn unter DSG nicht zwingend, gibt es Struktur
Mit diesem Setup sind Sie sowohl DSG- als auch DSGVO-konform. Den Aufwand spürt man am Anfang, danach ist es Routine.
Wo das DSG entgegenkommt
Drei Punkte, in denen das Schweizer Recht pragmatischer ist:
- Datenschutz-Folgenabschätzung — nur bei wirklich risikoreichen Verarbeitungen, nicht bei jedem neuen Tool
- Datenschutzbeauftragter — freiwillig, nicht zwingend
- Sanktions-Logik — Personen statt Unternehmen, was bei kleinen Bussen die Schwelle der Bedrohung niedrig hält, aber Geschäftsführer sensibilisiert
Für KMU ist das DSG insgesamt das angenehmere Regelwerk — sofern man es ernst nimmt und nicht hinter dem Mythos «das ist eh ein Kavaliersdelikt» versteckt.
Was Aiara leistet
Aiara ist von Grund auf für die Schweizer Doppelwelt gebaut. Cookie-Banner, Datenschutzerklärung und Impressum decken DSG und DSGVO gleichzeitig ab. Sie konfigurieren einmal, und das System wählt den jeweils strengeren Standard automatisch. Bei Schweizer Webagenturen mit DACH-Kundschaft erspart das pro Kunde einen halben Tag manuelle Arbeit — und das Risiko, eines der beiden Gesetze unbeabsichtigt zu verletzen.
Häufige Fragen
Wann gilt für ein Schweizer Unternehmen die DSGVO?
Sobald Sie sich gezielt an Personen in der EU richten — etwa durch deutschsprachigen Onlineshop mit EU-Versand, gezielte EU-Werbung oder die Ansprache von Personen in der EU — gilt die DSGVO für diese Verarbeitungen. Reine Kunde-aus-Deutschland-bei-Schweizer-Anbieter-Konstellationen ohne aktive Marktansprache sind weniger eindeutig.
Reicht es, beide Gesetze in einer Datenschutzerklärung zu nennen?
Wenn Sie tatsächlich beide Regelwerke umsetzen, ja. Die meisten Schweizer KMU mit DACH-Geschäft fahren genau so: eine Datenschutzerklärung, die beide Gesetze als Grundlage nennt und die strengeren Anforderungen (DSGVO) erfüllt. Das deckt automatisch das DSG mit ab.
Sind die Bussen unter beiden Gesetzen gleich hoch?
Nein. Die DSGVO sieht Bussen bis 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes vor — gegen das Unternehmen. Das revidierte DSG sieht Bussen bis CHF 250'000 vor — gegen die natürliche Person, die für den Verstoss verantwortlich ist. Schweiz pragmatischer, EU drastischer.
Brauche ich einen EU-Vertreter, wenn ich Daten aus der EU verarbeite?
Nach DSGVO Art. 27 brauchen Unternehmen ausserhalb der EU einen Vertreter in der EU, sofern sie regelmässig personenbezogene Daten von EU-Bürgern verarbeiten. Es gibt Ausnahmen für gelegentliche Verarbeitung — die meisten Schweizer KMU mit aktivem EU-Geschäft fallen aber unter die Vertretungspflicht.
Wie werden die Auskunftsrechte unterschiedlich behandelt?
Beide Gesetze gewähren Auskunftsrechte. DSGVO: 30 Tage, kostenlos beim ersten Mal, mit klar definiertem Mindestumfang. DSG: ebenfalls 30 Tage, ähnlicher Umfang, aber etwas pragmatischer formuliert. In der Praxis muss derselbe Prozess beide bedienen — wer DSGVO erfüllt, erfüllt automatisch DSG.
Bereit für sauberen Cookie-Consent?
Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.
Aiara entdeckenWeitere Beiträge
22. April 2026 · 4 Min. Lesezeit
Cookie-Kategorien erklärt: Notwendig, Funktional, Statistik, Marketing
15. April 2026 · 4 Min. Lesezeit
Risiko-Radar nach EDÖB Anhang A: Datenschutz-Risiken systematisch bewerten
3. April 2026 · 4 Min. Lesezeit