Ratgeber

Das DSG einfach erklärt: Schweizer Datenschutzgesetz für Unternehmen

Das DSG ist das Schweizer Datenschutzgesetz — totalrevidiert und seit dem 1. September 2023 ohne Übergangsfrist in Kraft. Dieser Guide erklärt, für wen es gilt, welche Pflichten es bringt und wie Unternehmen die Anforderungen pragmatisch umsetzen.

Aktualisiert am

Das DSG betrifft praktisch jedes Unternehmen in der Schweiz — von der Einzelfirma mit Website bis zum Konzern. Trotzdem herrscht im Alltag viel Unsicherheit: Was verlangt das Gesetz konkret, was droht bei Verstössen, und wo reicht gesunder Menschenverstand? Dieser Guide beantwortet die wichtigsten Fragen zum Schweizer Datenschutzgesetz — verständlich, ohne Juristendeutsch und mit einer Checkliste für die Umsetzung.

Was ist das DSG?

Das DSG ist das Bundesgesetz über den Datenschutz (SR 235.1) — das zentrale Schweizer Gesetz für den Umgang mit Personendaten. Es schützt die Persönlichkeit und die Grundrechte von Personen, über die Daten bearbeitet werden, und gilt in totalrevidierter Fassung seit dem 1. September 2023 — und zwar ohne Übergangsfrist. Massgeblich ist einzig der offizielle Gesetzestext auf Fedlex, der Publikationsplattform des Bundesrechts.

Im Sprachgebrauch kursieren mehrere Namen für dasselbe Gesetz: nDSG («neues Datenschutzgesetz»), revDSG («revidiertes DSG») oder schlicht «neues Datenschutzgesetz Schweiz». Offiziell heisst das Gesetz weiterhin einfach DSG. Wer also vom nDSG spricht, meint keinen separaten Erlass, sondern die seit 2023 geltende Fassung des DSG.

Die Totalrevision hatte zwei Treiber. Erstens stammte das Vorgängergesetz aus dem Jahr 1992 — einer Zeit vor Smartphones, Cloud-Diensten und Online-Tracking. Zweitens musste die Schweiz ihr Datenschutzniveau an europäische Standards angleichen, damit die EU sie weiterhin als Land mit angemessenem Datenschutz anerkennt und Personendaten ohne zusätzliche Hürden über die Grenze fliessen dürfen.

Inhaltlich ruht das DSG auf wenigen Grundsätzen (Art. 6): Personendaten müssen rechtmässig, nach Treu und Glauben und verhältnismässig bearbeitet werden, die Bearbeitung muss zweckgebunden und für die betroffenen Personen erkennbar sein, die Daten müssen richtig sein — und ihre Sicherheit muss durch angemessene technische und organisatorische Massnahmen gewährleistet werden. Wer diese Grundsätze einhält, hat das Fundament der Compliance bereits gelegt.

Ein oft übersehener Unterschied zur EU: Das DSG folgt dem Erlaubnisprinzip. Die Bearbeitung von Personendaten ist grundsätzlich zulässig, ohne dass es dafür eine Einwilligung oder eine andere Rechtsgrundlage braucht — solange die Grundsätze eingehalten werden und keine Persönlichkeitsverletzung vorliegt. Die DSGVO funktioniert umgekehrt: Dort ist jede Bearbeitung verboten, bis eine Rechtsgrundlage sie erlaubt. Eine Einwilligung verlangt das DSG nur in bestimmten Konstellationen — etwa wenn besonders schützenswerte Daten entgegen den Grundsätzen bearbeitet werden oder beim Profiling mit hohem Risiko.

Überwacht wird das Gesetz vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) — der Schweizer Aufsichtsbehörde für den Datenschutz. Er führt Untersuchungen, berät Unternehmen und Private und veröffentlicht Leitfäden, etwa zu Cookies und Tracking.

Was sich mit der Revision im Einzelnen geändert hat — neue Begriffe, erweiterte Informationspflichten, verschärfte Sanktionen — haben wir im Beitrag «Revidiertes DSG: Was sich für Schweizer Unternehmen wirklich ändert» aufgeschlüsselt. Dieser Guide konzentriert sich auf das geltende Recht: Was verlangt das DSG heute von einem Unternehmen?

Für wen gilt das Datenschutzgesetz?

Das DSG gilt für alle privaten Personen und Unternehmen sowie für Bundesorgane, die Personendaten bearbeiten — ohne Schwellenwerte nach Grösse, Umsatz oder Branche. Personendaten sind alle Angaben, die sich einer bestimmten oder bestimmbaren Person zuordnen lassen: Name, E-Mail-Adresse, Kundennummer, aber auch IP-Adressen oder Standortdaten.

Damit ist der Geltungsbereich im Alltag schnell erreicht:

  • die Bäckerei mit einem Kontaktformular auf der Website
  • das Treuhandbüro mit Kundendossiers und Lohndaten
  • der Onlineshop mit Bestell-, Zahlungs- und Tracking-Daten
  • das Startup, das einen Newsletter versendet

Zwei Abgrenzungen sind wichtig. Erstens: Kantonale und kommunale Behörden unterstehen nicht dem DSG, sondern den jeweiligen kantonalen Datenschutzgesetzen. Zweitens: Das DSG wirkt extraterritorial. Nach Artikel 3 gilt es für Sachverhalte, die sich in der Schweiz auswirken — auch wenn sie im Ausland veranlasst werden. Ein deutscher Onlineshop, der gezielt Schweizer Kundschaft bedient, fällt also ebenso darunter wie ein US-Software-Anbieter, der Daten von Schweizer Nutzerinnen und Nutzern bearbeitet.

Eine besondere Kategorie sind die besonders schützenswerten Personendaten: Gesundheitsdaten, religiöse, weltanschauliche oder politische Ansichten, genetische und biometrische Daten, Angaben über strafrechtliche Verfolgungen sowie über Massnahmen der sozialen Hilfe. Für sie gelten strengere Regeln — wo eine Einwilligung nötig ist, muss sie ausdrücklich erfolgen. Wer solche Daten bearbeitet, sollte jede Pflicht in diesem Guide mit erhöhter Sorgfalt umsetzen.

Die wichtigsten Pflichten für Unternehmen

Das DSG verlangt von Unternehmen im Kern sechs Dinge: informieren, Auskunft geben, dokumentieren, Datenpannen melden, Datenschutz von Anfang an mitdenken und Dienstleister vertraglich einbinden. Die folgenden Abschnitte erklären jede Pflicht mit dem zugehörigen Gesetzesartikel.

Vorweg eine Entlastung: Anders als die DSGVO kennt das DSG keine Pflicht, einen Datenschutzbeauftragten zu ernennen. Unternehmen können freiwillig eine Datenschutzberaterin oder einen Datenschutzberater bezeichnen — für die meisten KMU genügt es, die Verantwortung intern klar zuzuweisen.

Informationspflicht und Datenschutzerklärung (Art. 19)

Wer Personendaten beschafft, muss die betroffenen Personen darüber informieren — vorab und in verständlicher Form. Artikel 19 verlangt mindestens die Identität und Kontaktdaten des Verantwortlichen, den Bearbeitungszweck, die Empfänger oder Empfängerkategorien und bei Auslandtransfers den Zielstaat samt Garantien.

Die Information muss bei der Beschaffung erfolgen; werden die Daten nicht direkt bei der betroffenen Person erhoben, spätestens einen Monat nach Erhalt. Für Website-Betreiber heisst das: Es braucht eine Datenschutzerklärung, die zum tatsächlichen Setup passt. Eine kopierte Vorlage, die Google Analytics verschweigt, obwohl es läuft, erfüllt die Pflicht nicht — sie dokumentiert im Zweifel sogar den Verstoss. Wie eine DSG-konforme Erklärung entsteht, zeigt der Beitrag «Datenschutzerklärung für die Schweiz erstellen».

Auskunftsrecht der betroffenen Personen (Art. 25)

Jede Person kann von einem Unternehmen Auskunft verlangen, welche Daten es über sie bearbeitet, woher diese stammen und an wen sie weitergegeben werden. Die Auskunft ist grundsätzlich kostenlos und innert 30 Tagen zu erteilen.

Verweigern, einschränken oder aufschieben dürfen Sie die Auskunft nur in engen Grenzen — etwa wenn ein Gesetz es vorsieht oder überwiegende Interessen Dritter betroffen sind — und müssen den Entscheid begründen. Im KMU-Alltag ist das Auskunftsrecht die häufigste Schwachstelle: Anfragen landen im allgemeinen Postfach, niemand fühlt sich zuständig, die Frist verstreicht. Eine definierte Zuständigkeit und eine einfache Antwortvorlage lösen das Problem mit minimalem Aufwand.

Verzeichnis der Bearbeitungstätigkeiten (Art. 12)

Das Verzeichnis ist ein interner Katalog aller Datenbearbeitungen: Welche Daten, zu welchem Zweck, wer hat Zugriff, wie lange werden sie aufbewahrt? Für kleine Betriebe gibt es eine wichtige Erleichterung: Unternehmen mit weniger als 250 Mitarbeitenden sind von der Pflicht befreit — solange sie keine umfangreiche Bearbeitung besonders schützenswerter Daten vornehmen und kein Profiling mit hohem Risiko betreiben.

Empfehlenswert ist eine schlanke Übersicht trotzdem. Sie zwingt zur Bestandesaufnahme und macht jede spätere Auskunftsanfrage deutlich einfacher.

Meldung von Datensicherheitsverletzungen (Art. 24)

Wird die Datensicherheit verletzt — durch einen Hackerangriff, ein verlorenes Notebook oder einen falsch adressierten Massenversand — und entsteht dadurch voraussichtlich ein hohes Risiko für die betroffenen Personen, muss das Unternehmen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich informieren.

Zusätzlich kann eine Information der betroffenen Personen nötig sein — wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Praktisch braucht es dafür einen minimalen Notfallplan: Wer entscheidet im Ernstfall, wer meldet, über welchen Kanal? Ein A4-Blatt mit Zuständigkeiten und dem Meldeweg zum EDÖB genügt als Startpunkt.

Privacy by Design und Privacy by Default (Art. 7)

Datenschutz muss ab der Planung mitgedacht werden («by Design»), und die datenschutzfreundlichste Einstellung muss die Voreinstellung sein («by Default»). Konkret: Wer ein neues CRM einführt, klärt Speicherort und Löschkonzept vor dem Kauf. Wer ein Formular baut, setzt das Newsletter-Häkchen nicht als Vorauswahl. Und ein Cookie-Banner, das Tracking erst nach der Einwilligung startet, ist gelebtes Privacy by Default.

Auftragsbearbeitung und AVV (Art. 9)

Wer die Datenbearbeitung an Dritte auslagert — Hosting-Provider, Newsletter-Dienst, externe Buchhaltung — bleibt verantwortlich und muss die Bearbeitung vertraglich regeln. Das geschieht mit einem Auftragsbearbeitungsvertrag, kurz AVV. Der Auftragsbearbeiter darf die Daten nur so bearbeiten, wie es der Verantwortliche selbst dürfte, und muss eine angemessene Datensicherheit gewährleisten. Zieht er seinerseits Dritte bei — etwa wenn der Newsletter-Dienst selbst in einer fremden Cloud hostet — braucht das die vorgängige Genehmigung des Verantwortlichen. Was in einen solchen Vertrag gehört, erklärt der Beitrag «Auftragsverarbeitungsvertrag (AVV) in der Schweiz».

Eng verwandt ist die Auslandsbekanntgabe: Personendaten dürfen nur in Staaten fliessen, deren Datenschutz der Bundesrat als angemessen einstuft — für andere Länder braucht es vertragliche Garantien wie Standarddatenschutzklauseln. Da viele Cloud- und Marketing-Tools Daten ausserhalb der Schweiz und der EU verarbeiten, gehört diese Prüfung in jede Tool-Evaluation.

Cookies, Tracking und das DSG

Für Cookies und Tracking gilt in der Schweiz ein Zusammenspiel aus zwei Gesetzen: Das DSG verlangt Transparenz über die Datenbearbeitung, und Artikel 45c des Fernmeldegesetzes (FMG) verlangt, dass Nutzerinnen und Nutzer über Cookies informiert werden und diese ablehnen können.

Konkretisiert wird dieses Zusammenspiel durch den Cookie-Leitfaden des EDÖB. Seine Stossrichtung ist klar: Technisch notwendige Cookies sind unproblematisch — aber bei Tracking-, Analyse- und Marketing-Diensten braucht es echte Wahlfreiheit. Sobald risikoreiche Dienste laufen, besonders schützenswerte Daten im Spiel sind oder Daten in Staaten ohne angemessenen Datenschutz fliessen, führt an einer Einwilligung kaum ein Weg vorbei.

Der Leitfaden macht auch Vorgaben zur Gestaltung: Die Wahlfreiheit muss echt sein. Wer ablehnt, darf nicht durch versteckte Buttons oder vorangekreuzte Kategorien zur Zustimmung gedrängt werden, und eine erteilte Einwilligung muss sich so einfach widerrufen lassen, wie sie erteilt wurde. Für Besucherinnen und Besucher aus der EU gilt parallel deren strengeres Einwilligungsrecht.

Für die Praxis heisst das: Wer Google Analytics, Meta-Pixel, YouTube-Einbettungen oder ähnliche Dienste nutzt, braucht ein Cookie-Banner, das Tracking erst nach der Einwilligung startet — und eine Datenschutzerklärung, die diese Dienste vollständig aufführt. Wann genau ein Banner Pflicht ist und wie es korrekt umgesetzt wird, zeigt unser Guide zur Cookie-Banner-Pflicht in der Schweiz.

Sanktionen: Was droht bei Verstössen?

Vorsätzliche Verstösse gegen zentrale DSG-Pflichten können mit Bussen bis CHF 250'000 bestraft werden (Art. 60 ff.). Das betrifft insbesondere die Verletzung der Informations-, Auskunfts- und Mitwirkungspflichten sowie der Sorgfaltspflichten, etwa bei Auslandtransfers oder der Auftragsbearbeitung.

Drei Eigenheiten unterscheiden das Schweizer Sanktionsregime deutlich von der DSGVO. Erstens trifft die Busse nicht das Unternehmen, sondern die natürliche Person, die den Verstoss zu verantworten hat — in einem KMU typischerweise die Geschäftsführung. Zweitens sind nur vorsätzliche Verstösse strafbar, nicht fahrlässige. Drittens handelt es sich um Antragsdelikte: Es braucht einen Strafantrag, verfolgt wird durch die kantonalen Strafbehörden — der EDÖB selbst verhängt keine Bussen, kann aber Untersuchungen eröffnen und verbindliche Verfügungen erlassen.

Neben dem Strafrisiko besteht ein aufsichtsrechtliches: Der EDÖB kann von Amtes wegen oder auf Anzeige hin eine Untersuchung eröffnen und verbindlich verfügen, dass eine Bearbeitung angepasst, unterbrochen oder eingestellt wird — bis hin zur Löschung von Daten. Für ein Unternehmen kann eine solche Verfügung einschneidender sein als eine Busse, etwa wenn ein zentrales Marketing-Tool nicht mehr eingesetzt werden darf. Dazu kommt der Reputationsschaden — Datenschutzverstösse sind längst ein Medienthema.

Zum Vergleich: Die DSGVO kennt Unternehmensbussen bis EUR 20 Millionen oder 4 Prozent des weltweiten Jahresumsatzes. Die Schweizer Bussen wirken daneben moderat — dafür haften Entscheidungsträger persönlich. Das macht Datenschutz zur Chefsache.

DSG und DSGVO: Was gilt für wen?

Die Faustregel: Für Schweizer Unternehmen gilt immer das DSG — die europäische DSGVO kommt zusätzlich ins Spiel, wenn ein Unternehmen aktiv Kundschaft in der EU anspricht oder deren Verhalten beobachtet. Ein Onlineshop, der nach Deutschland liefert, muss beide Regelwerke beachten; ein rein binnenorientierter Handwerksbetrieb nur das DSG.

Die gute Nachricht: Die beiden Gesetze sind eng verwandt. Wer die strengere DSGVO erfüllt, deckt die DSG-Pflichten weitgehend mit ab. Umgekehrt profitiert die ganze Schweizer Wirtschaft vom Gleichschritt: Die EU anerkennt das Schweizer Datenschutzniveau als angemessen, weshalb Personendaten ohne Zusatzverträge aus der EU in die Schweiz fliessen dürfen — ein handfester Standortvorteil, etwa für Agenturen und IT-Dienstleister mit EU-Kundschaft.

Die Unterschiede im Detail — Einwilligungslogik, Sanktionen, EU-Vertretung — erklärt unser DSGVO-Guide sowie der Beitrag «DSG vs. DSGVO: Die wichtigsten Unterschiede».

Die Datenschutzverordnung (DSV)

Die DSV ist die Verordnung über den Datenschutz (SR 235.11) — sie konkretisiert das DSG und trat gleichzeitig mit ihm am 1. September 2023 in Kraft. Die DSV regelt unter anderem die Mindestanforderungen an die Datensicherheit, die Modalitäten der Auskunftserteilung, die Einzelheiten zur Meldung von Datensicherheitsverletzungen und die Ausnahme vom Bearbeitungsverzeichnis für Unternehmen mit weniger als 250 Mitarbeitenden.

Für den Alltag genügt es zu wissen: Wer eine DSG-Pflicht umsetzt und wissen will, wie genau, findet die Antwort meist in der DSV. Daneben existiert mit der Verordnung über Datenschutzzertifizierungen (VDSZ) ein zweiter Ausführungserlass — für den KMU-Alltag spielt er kaum eine Rolle.

DSG-Checkliste für KMU

Die kompakte Selbstprüfung — jede Zeile sollte sich mit Ja beantworten lassen. Arbeiten Sie die Liste von oben nach unten ab: Die ersten fünf Punkte decken die Pflichten ab, die bei einer Beschwerde erfahrungsgemäss als Erstes geprüft werden.

  • Datenschutzerklärung online, aktuell und auf das eigene Setup zugeschnitten (Art. 19)
  • Alle eingesetzten Tools und Drittanbieter darin benannt, inklusive Auslandtransfers
  • Cookie-Banner im Einsatz, das Tracking erst nach der Einwilligung startet
  • Zuständigkeit für Auskunftsanfragen definiert, Antwortvorlage bereit (30-Tage-Frist)
  • Notfallplan für Datensicherheitsverletzungen mit Meldeweg an den EDÖB
  • AVV mit allen Dienstleistern abgeschlossen, die Personendaten bearbeiten (Art. 9)
  • Verzeichnis der Bearbeitungstätigkeiten geführt — Pflicht ab 250 Mitarbeitenden, darunter empfohlen
  • Auslandtransfers geprüft: Zielstaaten mit angemessenem Schutz oder vertragliche Garantien
  • Neue Tools und Prozesse werden nach Privacy by Design und by Default aufgesetzt
  • Datenschutz ist als Verantwortung der Geschäftsleitung verankert (persönliches Bussenrisiko)

Die zwei sichtbarsten Punkte dieser Liste — Datenschutzerklärung und Cookie-Banner — müssen Sie nicht von Hand pflegen: Mit Aiara erstellen Sie beides automatisch DSG-konform, inklusive Cookie-Scanner, der Ihre Website laufend mit der Datenschutzerklärung synchron hält. So bleibt der Website-Teil der Compliance aktuell, ohne dass Sie jede Gesetzes- oder Tool-Änderung selbst nachführen müssen.

Häufige Fragen

Was ist der Unterschied zwischen DSG und nDSG?

Inhaltlich gibt es keinen: nDSG steht für «neues Datenschutzgesetz» und bezeichnet das totalrevidierte DSG, das seit dem 1. September 2023 gilt. Offiziell heisst das Gesetz schlicht DSG — das «n» hat sich nur im Sprachgebrauch etabliert, um die revidierte Fassung vom Vorgängergesetz aus dem Jahr 1992 zu unterscheiden. Auch «revDSG» oder «revidiertes DSG» meinen dasselbe Gesetz.

Gilt das DSG auch für kleine Websites?

Ja. Das DSG kennt keine Untergrenze nach Umsatz, Mitarbeiterzahl oder Besucherzahlen. Sobald eine Website Personendaten bearbeitet — etwa über ein Kontaktformular, einen Newsletter oder Analyse-Cookies — ist ihr Betreiber im Geltungsbereich und muss insbesondere die Informationspflicht mit einer Datenschutzerklärung erfüllen.

Brauche ich eine Datenschutzerklärung nach DSG?

In der Praxis ja. Artikel 19 DSG verpflichtet jeden, der Personendaten beschafft, die betroffenen Personen über Identität des Verantwortlichen, Bearbeitungszweck, Empfänger und allfällige Auslandtransfers zu informieren. Für Websites erfüllt man diese Pflicht mit einer Datenschutzerklärung, die zum tatsächlich eingesetzten Setup passt — inklusive aller Tracking- und Drittanbieter-Dienste.

Wie hoch sind die Bussen bei Verstössen gegen das DSG?

Vorsätzliche Verstösse gegen zentrale Pflichten — etwa die Informations- oder Auskunftspflicht — können auf Antrag mit Bussen bis CHF 250'000 bestraft werden. Anders als bei der DSGVO trifft die Busse nicht das Unternehmen, sondern die verantwortliche natürliche Person, in einem KMU typischerweise die Geschäftsführung. Fahrlässige Verstösse sind nicht strafbar.

Was ist der EDÖB?

Der EDÖB ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte — die Datenschutz-Aufsichtsbehörde der Schweiz. Er eröffnet Untersuchungen, erlässt verbindliche Verfügungen und nimmt Meldungen über Datensicherheitsverletzungen entgegen. Bussen spricht er selbst keine aus; dafür sind die kantonalen Strafverfolgungsbehörden zuständig.

Seit wann gilt das revidierte Datenschutzgesetz?

Seit dem 1. September 2023 — ohne Übergangsfrist. Anders als die DSGVO, die zwei Jahre Vorlaufzeit gewährte, galten sämtliche Pflichten des revidierten DSG ab dem ersten Tag vollumfänglich. Wer heute noch nicht konform ist, kann sich auf keine Schonfrist berufen.

Brauche ich für meine Website ein Cookie-Banner nach DSG?

Das DSG selbst schreibt kein Banner vor — es verlangt Transparenz. Zusammen mit Artikel 45c des Fernmeldegesetzes, der bei Cookies eine Information samt Ablehnungsmöglichkeit fordert, und dem Cookie-Leitfaden des EDÖB führt bei Tracking-Diensten wie Google Analytics oder Marketing-Pixeln praktisch kein Weg an einer sauberen Einwilligungslösung vorbei.

Bereit für sauberen Cookie-Consent?

Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.

Aiara entdecken