nDSG einfach erklärt: Das neue Schweizer Datenschutzgesetz für KMU
Seit dem 1. September 2023 gilt das nDSG — ohne Übergangsfrist, für praktisch jedes Unternehmen. Was das neue Datenschutzgesetz für Schweizer KMU konkret bedeutet: die fünf wichtigsten Pflichten, die Sanktionen und eine Checkliste für den Einstieg ohne Juristendeutsch.

«Gilt für uns jetzt eigentlich die DSGVO — oder etwas Eigenes?» Diese Frage hören wir von Schweizer KMU-Geschäftsführern regelmässig, sobald das Stichwort Datenschutz fällt. Die Antwort: Die Schweiz hat ihr eigenes, modernisiertes Datenschutzgesetz — das nDSG. Es gilt seit September 2023 für praktisch jedes Unternehmen im Land, vom Einzelunternehmen mit Webseite bis zum Industriebetrieb. Die gute Nachricht: Die Grundpflichten sind überschaubar und lassen sich ohne Rechtsabteilung umsetzen. Dieser Beitrag erklärt das nDSG von Grund auf — verständlich, ohne Juristendeutsch und mit einer konkreten Checkliste am Schluss.
Den kompletten Überblick über das Gesetz — von den Pflichten bis zu den Sanktionen — finden Sie in unserem DSG-Ratgeber.
Was heisst «nDSG» überhaupt?
nDSG steht für «neues Datenschutzgesetz» und ist die gebräuchliche Abkürzung für das totalrevidierte Bundesgesetz über den Datenschutz (DSG, SR 235.1). Offiziell heisst das Gesetz weiterhin schlicht DSG — das vorangestellte «n» hat sich im Alltag etabliert, um die revidierte Fassung vom Vorgängergesetz aus dem Jahr 1992 zu unterscheiden. Ob jemand vom nDSG, vom revidierten DSG oder vom «neuen Datenschutzgesetz Schweiz» spricht: Gemeint ist immer dasselbe Gesetz.
Warum die Totalrevision? Das alte Gesetz stammte aus einer Zeit vor Smartphones, Cloud-Diensten und Online-Tracking. Gleichzeitig musste die Schweiz nachziehen, um von der EU weiterhin als Land mit angemessenem Datenschutzniveau anerkannt zu werden — die Voraussetzung dafür, dass Personendaten ohne zusätzliche Hürden zwischen der Schweiz und der EU fliessen dürfen.
Wichtig für die Planung: Das nDSG trat am 1. September 2023 ohne Übergangsfrist in Kraft. Es gibt also keine Schonzeit, auf die man sich berufen könnte — die Pflichten gelten seit dem ersten Tag vollumfänglich.
Wer die einzelnen Änderungen gegenüber dem alten Recht im Detail nachlesen will, findet sie im Beitrag «Revidiertes DSG: Was sich für Schweizer Unternehmen wirklich ändert». Hier konzentrieren wir uns auf den Gesamtüberblick: Was muss ein KMU wissen und tun?
Für wen gilt das nDSG?
Kurz gesagt: für alle. Das nDSG kennt keine Schwellenwerte nach Umsatz, Mitarbeiterzahl oder Branche. Sobald ein Unternehmen Personendaten bearbeitet — also Daten, die sich einer bestimmten Person zuordnen lassen — ist es im Geltungsbereich. Und Personendaten bearbeitet praktisch jedes Unternehmen:
- die Bäckerei mit einem Kontaktformular auf der Webseite
- das Treuhandbüro mit Kundendossiers
- der Onlineshop mit Bestell- und Zahlungsdaten
- die Schreinerei mit den Personaldaten ihrer fünf Angestellten
Auch ausländische Unternehmen fallen unter das nDSG, wenn sich ihre Datenbearbeitung in der Schweiz auswirkt. Für Schweizer KMU mit Kundschaft in der EU stellt sich zusätzlich die Frage, ob parallel die europäische Datenschutz-Grundverordnung (DSGVO) gilt — dazu weiter unten mehr.
Die fünf wichtigsten Pflichten für KMU
1. Datenschutzerklärung — die Informationspflicht nach Art. 19
Das Herzstück des nDSG aus Sicht eines Webseitenbetreibers: Wer Personendaten beschafft, muss die betroffenen Personen darüber informieren. Artikel 19 verlangt mindestens die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck, die Empfänger oder Empfängerkategorien und — falls Daten ins Ausland gehen — den Zielstaat sowie die Garantien für den Schutz.
In der Praxis erfüllt man diese Pflicht mit einer Datenschutzerklärung auf der Webseite. Entscheidend ist, dass sie zum tatsächlichen Setup passt: Eine kopierte Vorlage, die Google Analytics nicht erwähnt, obwohl es läuft, erfüllt die Pflicht nicht — sie dokumentiert im Zweifel sogar den Verstoss.
2. Verzeichnis der Bearbeitungstätigkeiten — mit KMU-Ausnahme
Das Verzeichnis der Bearbeitungstätigkeiten ist ein interner Katalog: Welche Daten bearbeiten wir, zu welchem Zweck, wer hat Zugriff, wie lange bewahren wir sie auf? Die gute Nachricht für kleine Betriebe: Unternehmen mit weniger als 250 Mitarbeitenden sind davon befreit — solange sie keine umfangreiche Bearbeitung besonders schützenswerter Daten vornehmen und kein Profiling mit hohem Risiko betreiben. Besonders schützenswert sind etwa Gesundheitsdaten, religiöse oder politische Ansichten und biometrische Daten.
Die meisten KMU sind damit formal aus dem Schneider. Trotzdem empfiehlt sich ein schlankes Verzeichnis auch für Kleinbetriebe: Eine einfache Tabelle mit den wichtigsten Datenkategorien zwingt zur Bestandesaufnahme und macht jede spätere Auskunftsanfrage massiv einfacher.
3. Meldepflicht bei Datensicherheitsverletzungen
Neu im Schweizer Recht: Wird die Datensicherheit verletzt — etwa durch einen Hackerangriff, ein verlorenes Notebook oder einen falsch adressierten Massenversand — und entsteht dadurch voraussichtlich ein hohes Risiko für die betroffenen Personen, muss das Unternehmen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich informieren.
Für KMU heisst das konkret: Es braucht einen minimalen Notfallplan. Wer intern weiss, wer im Ernstfall entscheidet und meldet, verliert im Stress keine Zeit. Ein A4-Blatt mit Zuständigkeiten und dem Meldeweg zum EDÖB reicht als Startpunkt völlig aus.
4. Privacy by Design und Privacy by Default
Zwei sperrige Begriffe, ein einfacher Gedanke: Datenschutz soll von Anfang an mitgedacht werden («by Design»), und die datenschutzfreundlichste Einstellung soll die Voreinstellung sein («by Default»).
Praktisch bedeutet das: Wer ein neues Kundenverwaltungs-Tool einführt, fragt schon bei der Auswahl nach Speicherort und Löschkonzept — nicht erst nach drei Jahren. Wer ein Registrierungsformular baut, setzt das Newsletter-Häkchen nicht als Vorauswahl. Auch der Cookie-Banner ist ein Anwendungsfall: Tracking, das erst nach der Einwilligung startet, ist gelebtes Privacy by Default.
5. Auskunftsrecht der betroffenen Personen
Jede Person kann von Ihnen Auskunft darüber verlangen, welche Daten Sie über sie bearbeiten, woher diese stammen und an wen sie weitergegeben werden. Die Frist beträgt 30 Tage, die Auskunft ist grundsätzlich kostenlos. Das klingt banal, ist im KMU-Alltag aber die häufigste Schwachstelle: Anfragen landen im allgemeinen Postfach, niemand fühlt sich zuständig, die Frist verstreicht. Definieren Sie eine zuständige Person und eine simple Antwortvorlage — mehr braucht es meist nicht.
Sanktionen: Bussen treffen Personen, nicht Firmen
Beim Thema Bussen unterscheidet sich das nDSG deutlich von der DSGVO. Vorsätzliche Verstösse gegen zentrale Pflichten — etwa die Informations- oder Auskunftspflicht — können auf Antrag mit Bussen bis CHF 250'000 bestraft werden. Adressat ist dabei nicht das Unternehmen, sondern die natürliche Person, die den Verstoss zu verantworten hat. In einem KMU ist das typischerweise die Geschäftsführung.
Das macht Datenschutz zur Chefsache. Zwei Einordnungen, damit keine Panik aufkommt: Erstens sind nur vorsätzliche Verstösse strafbar, nicht fahrlässige. Zweitens braucht es einen Strafantrag — der EDÖB verhängt nicht selbst flächendeckend Bussen. Wer seine Grundpflichten nachweisbar erfüllt, hat wenig zu befürchten. Wer sie bewusst ignoriert, trägt das Risiko persönlich.
Drei häufige Missverständnisse
«Wir sind zu klein, das betrifft uns nicht.» Das nDSG kennt keine Untergrenze. Die KMU-Ausnahme beim Verzeichnis ist die einzige nennenswerte Erleichterung — alle anderen Pflichten gelten für die Einzelfirma genauso wie für den Konzern.
«Wir haben eine Datenschutzerklärung von 2019, das reicht.» Leider nein. Die Informationspflicht nach Art. 19 verlangt Angaben, die ältere Texte in der Regel nicht enthalten — insbesondere zu Empfängern und Auslandtransfers. Ein Text aus der Zeit vor September 2023 ist mit hoher Wahrscheinlichkeit lückenhaft.
«Ohne EU-Kunden brauchen wir uns um Cookies nicht zu kümmern.» Das nDSG verlangt Transparenz über eingesetzte Tracking-Dienste, und die Empfehlungen des EDÖB gehen klar in Richtung echter Wahlfreiheit. Sobald risikoreiche Dienste oder EU-Besucher im Spiel sind, führt an einer sauberen Einwilligungslösung kaum ein Weg vorbei.
nDSG und DSGVO: Was gilt für wen?
Viele Schweizer KMU sind unsicher, ob für sie zusätzlich die DSGVO gilt. Die Faustregel: Wer aktiv Kundschaft in der EU anspricht — etwa mit einem Onlineshop, der nach Deutschland liefert — muss beide Regelwerke beachten. Wer rein binnenorientiert arbeitet, für den gilt nur das nDSG.
Wo die beiden Gesetze im Detail auseinanderlaufen — Einwilligung, Sanktionslogik, EU-Vertretung — haben wir im Beitrag «DSG vs. DSGVO: Die wichtigsten Unterschiede» aufgeschlüsselt. Für den Einstieg genügt: Wer die strengere DSGVO erfüllt, erfüllt das nDSG automatisch mit.
Pflichten-Checkliste: nDSG für KMU
Die kompakte Selbstprüfung — jede Zeile sollte sich mit Ja beantworten lassen:
- Datenschutzerklärung online, aktuell und auf das eigene Setup zugeschnitten (Art. 19)
- Alle eingesetzten Tools und Drittanbieter darin benannt, inklusive Auslandtransfers
- Cookie-Banner, das Tracking erst nach der Einwilligung startet
- Zuständigkeit für Auskunftsanfragen definiert (30-Tage-Frist)
- Notfallplan für Datensicherheitsverletzungen mit Meldeweg an den EDÖB
- Verzeichnis der Bearbeitungstätigkeiten geführt — Pflicht ab 250 Mitarbeitenden, darunter empfohlen
- Neue Tools und Prozesse werden nach Privacy by Design und by Default aufgesetzt
Wie anfangen? Drei pragmatische Schritte
Schritt 1: Bestandesaufnahme. Eine Stunde, ein Dokument: Welche Personendaten haben wir, wo liegen sie, welche Tools laufen auf der Webseite? Ein Cookie-Scan der eigenen Seite fördert dabei fast immer Überraschungen zutage — moderne Webseiten setzen mehr Cookies, als ihre Betreiber vermuten.
Schritt 2: Datenschutzerklärung und Cookie-Banner aktualisieren. Das sind die beiden sichtbarsten Pflichten — und diejenigen, die bei einer Beschwerde als Erstes geprüft werden.
Schritt 3: Prozesse definieren. Zuständigkeit für Auskunftsanfragen, Meldeweg für Datenpannen, Datenschutz-Check bei jedem neuen Tool. Einmal sauber definiert, kostet das im Alltag kaum noch Zeit.
Fazit
Das nDSG ist kein Bürokratiemonster, sondern ein pragmatisches Gesetz mit klaren Grundpflichten: informieren, dokumentieren, im Ernstfall melden — und Datenschutz bei allem Neuen von Anfang an mitdenken. Wer die Checkliste oben abarbeitet, hat den Grossteil der KMU-Pflichten erfüllt und das persönliche Bussenrisiko der Geschäftsführung im Griff.
Den sichtbarsten Teil müssen Sie dabei nicht von Hand bauen: Mit Aiara erstellen Sie Datenschutzerklärung und Cookie-Banner automatisch nDSG-konform — inklusive Cookie-Scanner, der Ihre Webseite laufend mit der Erklärung synchron hält. So ist der Webseiten-Teil der Compliance in einer Stunde erledigt statt in einer Woche.
Häufige Fragen
Was bedeutet die Abkürzung nDSG?
nDSG steht für «neues Datenschutzgesetz» und bezeichnet das totalrevidierte Bundesgesetz über den Datenschutz, das am 1. September 2023 in Kraft getreten ist. Offiziell heisst das Gesetz weiterhin schlicht DSG — das vorangestellte «n» hat sich im Sprachgebrauch etabliert, um die revidierte Fassung vom Vorgängergesetz aus dem Jahr 1992 zu unterscheiden.
Für wen gilt das nDSG?
Für alle privaten Unternehmen und Bundesorgane, die Personendaten bearbeiten — unabhängig von Grösse, Umsatz oder Branche. Auch eine Einzelfirma mit einer Webseite samt Kontaktformular fällt darunter. Erleichterungen gibt es nur punktuell, etwa beim Verzeichnis der Bearbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitenden.
Seit wann gilt das neue Datenschutzgesetz in der Schweiz?
Seit dem 1. September 2023 — und zwar ohne Übergangsfrist. Anders als bei der DSGVO, die zwei Jahre Vorlaufzeit gewährte, galten die Pflichten des nDSG ab dem ersten Tag vollumfänglich. Wer heute noch nicht konform ist, kann sich also auf keine Schonfrist berufen.
Was droht bei Verstössen gegen das nDSG?
Vorsätzliche Verletzungen zentraler Pflichten — etwa der Informations-, Auskunfts- oder Mitwirkungspflicht — können auf Antrag mit Bussen bis CHF 250'000 bestraft werden. Die Busse trifft nicht das Unternehmen, sondern die natürliche Person, die den Verstoss zu verantworten hat: in einem KMU typischerweise die Geschäftsführung.
Muss ich als KMU ein Verzeichnis der Bearbeitungstätigkeiten führen?
Pflicht ist das Verzeichnis erst ab 250 Mitarbeitenden. Kleinere Unternehmen sind befreit, solange sie keine umfangreiche Bearbeitung besonders schützenswerter Daten vornehmen und kein Profiling mit hohem Risiko betreiben. Empfehlenswert ist eine schlanke Übersicht trotzdem — sie erleichtert jede spätere Auskunftsanfrage erheblich.
Bereit für sauberen Cookie-Consent?
Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.
Aiara entdeckenWeitere Beiträge

8. Januar 2026 · 6 Min. Lesezeit
Revidiertes DSG 2025: Was sich für Schweizer Unternehmen wirklich ändert

3. Juli 2026 · 8 Min. Lesezeit
Auftragsverarbeitungsvertrag (AVV) in der Schweiz: Wann Sie ihn brauchen — mit Checkliste

16. Juni 2026 · 8 Min. Lesezeit