Revidiertes DSG 2025: Was sich für Schweizer Unternehmen wirklich ändert

Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Über zwei Jahre später stelle ich in Gesprächen mit Webagenturen und KMU-Geschäftsführern immer wieder fest: Viele haben die Anpassungen pflichtbewusst angefasst, aber nie ganz abgeschlossen. Der Klassiker — eine kurz vor September 2023 publizierte Datenschutzerklärung, ein Cookie-Banner, das danach nie wieder angefasst wurde, und das schleichende Gefühl, dass da noch irgendetwas offen ist.

Dieser Beitrag fasst zusammen, was das revidierte DSG tatsächlich verändert hat und wo der Handlungsbedarf 2026 noch akut ist.

Worum es beim revidierten DSG eigentlich geht

Die Schweiz hat ihr Datenschutzgesetz aus zwei Gründen modernisiert. Erstens, weil das alte Gesetz aus dem Jahr 1992 stammte und schlicht nicht mehr zeitgemäss war. Zweitens, weil ohne Anpassung der Status als „angemessenes Drittland" nach EU-Recht gefährdet gewesen wäre — und damit der freie Datenverkehr zwischen Schweiz und EU.

Das revidierte DSG ist näher an die DSGVO herangerückt, ohne sie eins zu eins zu kopieren. Die Logik bleibt schweizerisch pragmatisch: Verantwortung liegt bei denjenigen, die Daten bearbeiten, ohne dass jede Verarbeitung in Bürokratie ertränkt wird.

Die fünf wichtigsten Änderungen im Überblick

1. Erweiterte Informationspflicht

Wer Personendaten erhebt, muss die betroffene Person darüber informieren — und zwar nicht nur über das Wer, sondern auch über das Wozu. Konkret heisst das: Identität und Kontaktdaten des Verantwortlichen, Zweck der Bearbeitung, allenfalls Empfänger der Daten, sowie ein Hinweis bei Datenexporten ins Ausland.

Diese Informationen gehören in die Datenschutzerklärung. Eine generische Vorlage aus dem Internet reicht nicht — die Empfänger und Zwecke müssen Ihrem konkreten Setup entsprechen.

2. Verzeichnis der Verarbeitungstätigkeiten

Unternehmen mit 250 oder mehr Mitarbeitenden müssen ein Verzeichnis aller Bearbeitungstätigkeiten führen. Was sich harmlos anhört, ist in der Praxis ein nüchterner Excel- oder Tool-basierter Katalog: Welche Daten werden wofür bearbeitet, von wem, wo gespeichert, wie lange aufbewahrt.

Für KMU unter 250 Mitarbeitenden gilt dies nur, wenn die Bearbeitung umfangreich ist oder besonders schützenswerte Daten betrifft. In der Praxis empfehle ich allen Webagenturen mit Kundendatenbanken trotzdem ein einfaches Verzeichnis — schon um bei einer Auskunftsanfrage strukturiert reagieren zu können.

3. Datenschutz-Folgenabschätzung (DSFA)

Bei Bearbeitungen mit hohem Risiko für Persönlichkeitsrechte ist eine DSFA Pflicht. Das klingt sperrig, ist aber präzise gemeint: Wer ein neues Tracking-Tool einführt, das Verhaltensprofile aggregiert, oder eine Mitarbeiter-Überwachung implementiert, muss vorher die Risiken bewerten und dokumentieren.

Wenn die DSFA ergibt, dass das Risiko nicht hinreichend reduziert werden kann, ist der EDÖB zu konsultieren. In der Praxis wird dieser Weg selten beschritten — meist findet man Mitigationen, die das Risiko genügend abfedern.

4. Schärfere Sanktionen

Bis zu CHF 250'000 Busse — und das pro Verstoss. Wichtig: Die Busse trifft nicht das Unternehmen, sondern die natürliche Person, die den Verstoss zu verantworten hat. In der Praxis ist das oft die Geschäftsführung. Das macht das Thema zur Chefsache, nicht zum delegierbaren IT-Problem.

Sanktioniert werden insbesondere die vorsätzliche Verletzung der Auskunfts-, Informations- und Mitwirkungspflichten. Fahrlässige Verstösse sind nicht direkt strafbar — was aber nicht bedeutet, dass man sie ignorieren darf.

5. Stärkere Rechte der betroffenen Personen

Das Auskunftsrecht ist nicht neu, wurde aber präzisiert. Betroffene können verlangen zu erfahren, welche Daten zu ihrer Person bearbeitet werden, woher diese stammen, und wem sie offengelegt werden. Die Frist beträgt 30 Tage. Eine Ausweitung gegenüber dem alten Gesetz: Auch automatisierte Einzelentscheidungen müssen erklärt werden — also etwa Bonitätsprüfungen, automatische Tarifbestimmungen oder Bewerber-Screenings.

Was Webseitenbetreiber konkret tun müssen

Wenn ich eine Schweizer KMU-Webseite auf DSG-Konformität durchgehe, schaue ich auf fünf Punkte:

1. Datenschutzerklärung aktuell? Datum prüfen. Wenn vor September 2023, sicher veraltet. Wenn aus 2024 oder 2025, kritisch lesen — viele Vorlagen wurden zwar formal angepasst, aber nicht inhaltlich auf das konkrete Unternehmen zugeschnitten.
2. Cookie-Banner sauber implementiert? Werden Marketing-Cookies erst nach Einwilligung gesetzt? Ist „Ablehnen" gleichwertig zu „Akzeptieren"? Wird der Consent dokumentiert?
3. Drittanbieter-Tools ausgewiesen? Google Analytics, Meta Pixel, HubSpot, Mailchimp — alles muss in der Datenschutzerklärung benannt sein, mit Zweck und Empfängerland.
4. Auskunftsanfragen-Prozess vorhanden? Wer reagiert, wenn jemand seine Daten verlangt? Reine E-Mail an info@ ist im KMU-Alltag oft der schwächste Punkt.
5. Datenexporte ins Ausland transparent? US-Cloud-Anbieter, EU-Hosting — alles, was die Schweiz verlässt, gehört in die Erklärung. Idealerweise mit Hinweis auf den Mechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss).

Häufige Stolperfallen aus der Praxis

Drei Punkte, die ich bei fast jeder Audit-Sitzung sehe:

Stolperfalle 1 — Outdated Cookie-Listen. Die Datenschutzerklärung erwähnt drei Cookies, die Webseite setzt aber zwölf, weil das Marketing-Team ein neues Tool integriert hat. Lösung: regelmässige automatisierte Scans, die Diskrepanzen aufdecken.

Stolperfalle 2 — Unverbindliche Texte. „Wir achten auf Ihre Daten" ist keine Datenschutzerklärung. Das DSG verlangt konkrete Angaben — welche Daten, welche Zwecke, welche Empfänger.

Stolperfalle 3 — Vergessene Auskunftsanfragen. Wenn keine klare Zuständigkeit definiert ist, landen Anfragen im allgemeinen Postkorb und werden vergessen. Bei kompletter Funkstille ist die Frist von 30 Tagen schnell überschritten — und damit ein dokumentierter Verstoss.

Praxis-Checkliste DSG 2026

Eine kompakte Liste zur Selbstprüfung:

• Datenschutzerklärung enthält Zweck, Empfänger, Auslandsexport
• Cookie-Banner mit gleichwertigem „Ablehnen" und Consent-Log
• Alle Drittanbieter-Tools in der Erklärung benannt
• Auskunftsanfragen-Prozess dokumentiert (Empfänger, Frist, Ablauf)
• Datenexporte ins Ausland mit Mechanismus ausgewiesen
• Verzeichnis der Verarbeitungstätigkeiten geführt (sofern pflichtig)
• DSFA für Hochrisiko-Verarbeitungen durchgeführt
• Aktuelle Cookie-Inventur mit Scanner verifiziert

Ausblick

Der EDÖB hat 2025 begonnen, gezielter zu untersuchen — bisher meist auf Hinweis aus der Bevölkerung, zunehmend aber auch in eigenen Stichproben. Wer 2023 angefangen hat und seither nichts mehr angepasst hat, sollte 2026 einen Frühjahrs-Review einplanen. Ein systematischer Cookie-Scan, ein Update der Erklärung und eine Auffrischung des Auskunftsanfragen-Prozesses sind in einer Halbtagessitzung machbar.

Wer keinen eigenen Datenschutz-Generator nutzt, dem hilft Aiara: Cookie-Banner, Datenschutzerklärung und Impressum laufen automatisch synchron mit Ihrer Webseite — DSG- und DSGVO-konform, mit Schweizer Hosting und Versionsverwaltung. Der erste Domain ist kostenlos, ein Audit-Cookie-Scan inklusive.