DSGVO für Schweizer Unternehmen: Wann sie gilt und was zu tun ist
Die Datenschutz-Grundverordnung der EU gilt nicht automatisch für jede Schweizer Website — aber öfter, als viele denken. Dieser Ratgeber zeigt, wann Schweizer Unternehmen die DSGVO erfüllen müssen und wie sie DSG und DSGVO mit einem Setup abdecken.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist das Datenschutzgesetz der Europäischen Union: die Verordnung (EU) 2016/679, anwendbar seit dem 25. Mai 2018. Sie regelt, wie Unternehmen und Behörden Personendaten von Menschen in der EU erheben, nutzen und schützen müssen — einheitlich und unmittelbar in allen EU- und EWR-Staaten, ohne dass nationale Parlamente sie erst umsetzen müssen.
Inhaltlich baut die Verordnung auf wenigen Grundideen auf: Jede Verarbeitung von Personendaten braucht eine Rechtsgrundlage. Betroffene Personen haben durchsetzbare Rechte — Auskunft, Berichtigung, Löschung, Datenübertragbarkeit. Unternehmen müssen ihre Datenverarbeitung dokumentieren und Verstösse melden. Und bei Missachtung drohen empfindliche Bussen gegen das Unternehmen selbst.
Seit ihrer Einführung hat die Verordnung weltweit Massstäbe gesetzt: Zahlreiche Länder — auch die Schweiz mit der Revision ihres Datenschutzgesetzes — haben ihre Gesetzgebung an der DSGVO ausgerichtet, nicht zuletzt, um den freien Datenaustausch mit der EU nicht zu gefährden.
Für Schweizer Unternehmen ist die DSGVO aus einem einfachen Grund relevant: Sie macht an der EU-Aussengrenze nicht halt. Die Verordnung beansprucht ausdrücklich Geltung für Unternehmen ausserhalb der EU, sobald diese sich an Personen in der EU richten. Genau diese Frage — wann das der Fall ist — entscheidet, ob ein Unternehmen in Zürich, Lausanne oder Lugano die DSGVO erfüllen muss.
Gilt die DSGVO für Schweizer Unternehmen?
Ja — aber nicht automatisch, sondern nur, wenn das sogenannte Marktortprinzip greift. Massgebend ist Artikel 3 Absatz 2 der DSGVO: Die Verordnung gilt für Unternehmen ohne EU-Niederlassung, wenn sie entweder Waren oder Dienstleistungen Personen in der EU anbieten (unabhängig davon, ob bezahlt wird) oder das Verhalten von Personen in der EU beobachten, etwa durch Tracking und Profilbildung.
Wichtig ist die Abgrenzung, die viele Ratgeber unterschlagen: Die blosse Erreichbarkeit einer Schweizer Website aus Deutschland oder Frankreich löst die DSGVO nicht aus. Es braucht ein erkennbares Ausrichten auf den EU-Markt. Die Erwägungsgründe der Verordnung nennen als Indizien unter anderem: Preise in Euro, Lieferoptionen in EU-Länder, gezielte Werbung für EU-Kundschaft oder die ausdrückliche Erwähnung von Kunden in EU-Staaten. Dass eine Website auf Deutsch verfügbar ist, genügt für sich allein nicht — Deutsch ist schliesslich Schweizer Landessprache.
Daneben gibt es den einfacheren Fall des Artikels 3 Absatz 1: Wer eine Niederlassung, Tochtergesellschaft oder Zweigstelle in der EU betreibt, fällt für deren Datenverarbeitung ohnehin unter die DSGVO — ganz ohne Marktort-Diskussion.
Ebenfalls oft missverstanden: Die DSGVO schützt Personen, die sich in der EU befinden — auf die Staatsbürgerschaft kommt es nicht an. Die Daten einer deutschen Staatsangehörigen mit Wohnsitz in Zürich fallen nicht unter die DSGVO; die Daten eines Schweizers mit Wohnsitz in Berlin dagegen schon. Für die Praxis zählt also der Aufenthaltsort Ihrer Zielgruppe, nicht deren Pass.
Beispiele: Diese Schweizer Unternehmen fallen unter die DSGVO
- Onlineshop mit EU-Versand: Ein Shop aus Winterthur zeigt Preise in Euro an und liefert nach Deutschland und Österreich. Das ist ein klassisches Anbieten von Waren an Personen in der EU — die DSGVO gilt für diese Verarbeitungen.
- Hotel mit EU-Gästen im Visier: Ein Hotel im Berner Oberland bewirbt seine Zimmer auf deutschen Buchungsplattformen und schaltet Google-Anzeigen für Suchende in Deutschland. Die Buchungsdaten dieser Gäste unterliegen der DSGVO.
- Website mit EU-Tracking: Ein Schweizer Software-Anbieter setzt Analyse- und Remarketing-Tools ein, die das Verhalten von Besucherinnen und Besuchern aus der EU aufzeichnen und für Werbung auswerten. Das ist Verhaltensbeobachtung im Sinne von Artikel 3 Absatz 2 — die DSGVO greift.
- Agentur mit EU-Kunden: Eine Webagentur aus Basel betreut aktiv Kunden in Süddeutschland und verarbeitet deren Kundendaten. Auch hier ist die DSGVO Teil des Pflichtenhefts.
Gegenbeispiele: Hier gilt nur das Schweizer Datenschutzgesetz
- Lokales Gewerbe: Eine Schreinerei in Aarau mit rein regionaler Kundschaft, Preisen in Franken und ohne Werbung im Ausland fällt nicht unter die DSGVO — auch wenn ihre Website aus München abrufbar ist.
- Zufällige Einzelbestellung: Bestellt ausnahmsweise eine Person aus Deutschland bei einem Schweizer Anbieter, der den EU-Markt nicht aktiv anspricht, entsteht daraus noch keine DSGVO-Pflicht. Es fehlt am Ausrichten auf den EU-Markt.
- Binnenorientierte Dienstleister: Eine Treuhandfirma, die ausschliesslich Schweizer Mandate betreut und keine EU-Personen trackt, bleibt beim Datenschutzgesetz (DSG).
Die ehrliche Praxis-Frage lautet also nicht «Ist meine Website aus der EU erreichbar?», sondern: «Spreche ich Personen in der EU gezielt an — oder beobachte ich ihr Verhalten?» Wer eine der beiden Fragen mit Ja beantwortet, sollte die DSGVO ernst nehmen.
Wie erfülle ich DSGVO und DSG gleichzeitig?
Die kurze Antwort: Wer die strengere DSGVO sauber umsetzt, deckt das Schweizer Datenschutzgesetz in fast allen Punkten automatisch mit ab. Schweizer Unternehmen mit EU-Bezug fahren deshalb am besten zweigleisig mit einem Setup — dem DSGVO-Standard.
Der wichtigste konzeptionelle Unterschied liegt im Rechtsgrundlagenprinzip. Die DSGVO folgt einem Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung von Personendaten ist verboten, ausser eine Rechtsgrundlage nach Artikel 6 erlaubt sie — etwa Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Das Datenschutzgesetz (DSG) denkt umgekehrt: Die Bearbeitung ist grundsätzlich erlaubt, solange sie die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzt. Für die Praxis heisst das: Unter der DSGVO müssen Sie für jede Verarbeitung begründen und dokumentieren können, warum Sie sie vornehmen dürfen.
Auch bei der Einwilligung ist die DSGVO formaler. Sie verlangt eine freiwillige, informierte, unmissverständliche und dokumentierte Zustimmung, die jederzeit widerrufbar ist. Das DSG verlangt eine ausdrückliche Einwilligung nur in bestimmten Fällen, etwa bei besonders schützenswerten Personendaten oder Profiling mit hohem Risiko.
Ein Beispiel macht den Unterschied greifbar: Ein Newsletter stützt sich unter der DSGVO auf die Einwilligung der Empfängerinnen und Empfänger — sie muss vor dem ersten Versand vorliegen und jederzeit nachweisbar sein. Unter dem DSG genügt in vielen Konstellationen, dass die Empfänger den Versand aus dem Kontext erkennen konnten und sich abmelden können.
Am deutlichsten unterscheiden sich die Sanktionen. Die DSGVO droht mit Bussen bis 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes — gerichtet gegen das Unternehmen. Das DSG sieht Bussen bis CHF 250'000 vor — gerichtet gegen die verantwortliche natürliche Person, typischerweise die Geschäftsleitung. Zwei völlig verschiedene Logiken, die beide unangenehm werden können.
Die Details zum Schweizer Recht finden Sie im Ratgeber Datenschutzgesetz (DSG); den direkten Vergleich der beiden Regelwerke im Beitrag DSG vs. DSGVO: die wichtigsten Unterschiede.
Brauche ich einen EU-Vertreter?
Wenn die DSGVO über das Marktortprinzip für Sie gilt und Sie keine Niederlassung in der EU haben: grundsätzlich ja. Artikel 27 der DSGVO verpflichtet Unternehmen ausserhalb der EU, schriftlich einen Vertreter in einem EU-Mitgliedstaat zu benennen — vorzugsweise dort, wo sich die betroffenen Personen befinden.
Es gibt eine Ausnahme, und sie ist für kleine Unternehmen relevant: Die Vertretungspflicht entfällt, wenn die Verarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung besonders schützenswerter Daten umfasst und voraussichtlich kein Risiko für die Rechte der betroffenen Personen mit sich bringt. Ein Schweizer B2B-Dienstleister, der sporadisch mit einzelnen EU-Kontakten korrespondiert, braucht keinen Vertreter. Ein Onlineshop, der laufend Bestellungen aus Deutschland abwickelt, verarbeitet dagegen regelmässig EU-Kundendaten — er fällt in aller Regel unter die Pflicht.
Was der EU-Vertreter konkret tut: Er dient EU-Aufsichtsbehörden und betroffenen Personen als Anlaufstelle, hält eine Kopie des Verarbeitungsverzeichnisses bereit und muss in der Datenschutzerklärung mit Namen und Kontaktdaten genannt werden. Er haftet nicht anstelle des Unternehmens, sondern funktioniert als Briefkasten mit Pflichten. In der Praxis übernehmen das spezialisierte Dienstleister für einige hundert Euro pro Jahr — deutlich günstiger, als eine eigene EU-Gesellschaft zu gründen.
Nicht zu verwechseln ist der EU-Vertreter mit der Schweizer Vertretungspflicht: Das Datenschutzgesetz verlangt spiegelbildlich von ausländischen Unternehmen, die in grossem Umfang Daten von Personen in der Schweiz bearbeiten, unter bestimmten Voraussetzungen eine Vertretung in der Schweiz. Schweizer Unternehmen betrifft diese zweite Pflicht nicht — für sie ist höchstens der Vertreter in der EU ein Thema.
Brauche ich einen Datenschutzbeauftragten?
Für die meisten Schweizer KMU lautet die Antwort: nein. Artikel 37 der DSGVO verlangt einen Datenschutzbeauftragten nur in drei Fällen: bei Behörden und öffentlichen Stellen, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen, regelmässigen und systematischen Überwachung von Personen besteht, oder wenn die Kerntätigkeit die umfangreiche Verarbeitung besonders schützenswerter Daten umfasst — etwa Gesundheitsdaten.
Entscheidend ist das Wort Kerntätigkeit. Dass ein Unternehmen eine Kundendatenbank führt, Newsletter versendet oder Web-Statistiken auswertet, macht die Datenverarbeitung noch nicht zur Kerntätigkeit. Ein Werbenetzwerk, das vom Tracking lebt, oder eine Klinikgruppe, die Patientendaten in grossem Stil verarbeitet, erfüllt die Kriterien — ein Architekturbüro oder ein Onlineshop mit normalem Kundenstamm nicht.
Freiwillig einen Datenschutzverantwortlichen zu benennen, ist trotzdem oft sinnvoll: eine definierte Person, bei der Auskunftsbegehren, Löschanfragen und Datenpannen zusammenlaufen. Das Schweizer Recht kennt dafür die freiwillige Datenschutzberaterin beziehungsweise den Datenschutzberater — die Rolle lässt sich mit derselben Person besetzen.
Was gilt für Cookies und Einwilligung unter der DSGVO?
Unter der DSGVO gilt für nicht notwendige Cookies ein klares Opt-in: Die Einwilligung muss vor dem Setzen der Cookies aktiv erteilt werden. Grundlage ist das Zusammenspiel der europäischen ePrivacy-Richtlinie (der EU-Richtlinie über den Datenschutz in der elektronischen Kommunikation) mit dem Einwilligungsstandard der DSGVO. Vorangekreuzte Kästchen, blosse Weiter-surfen-Hinweise oder Banner ohne echte Ablehnen-Option genügen nicht — das hat der Europäische Gerichtshof mehrfach bestätigt.
Damit ist die EU strenger als die Schweizer Praxis. Das Schweizer Fernmelderecht erlaubt Cookies grundsätzlich, wenn die Nutzer informiert werden und widersprechen können — ein Opt-out-Modell. Ein Banner, das für den Schweizer Markt genügt, kann für Besucherinnen und Besucher aus der EU deshalb zu wenig sein. Dass diese Regeln durchgesetzt werden, ist keine Theorie: EU-Aufsichtsbehörden prüfen Cookie-Banner inzwischen systematisch, und mehrere prominente Bussen der letzten Jahre betrafen genau diesen Punkt — fehlende Ablehnen-Buttons und erschwerten Widerruf. Welche Regeln wann gelten und wie ein sauberes Banner aussieht, zeigt der Ratgeber Cookie-Banner-Pflicht in der Schweiz.
Dazu kommt eine praktische Verschärfung ausserhalb des Gesetzes: Wer Google-Werbeprodukte für Zielgruppen im Europäischen Wirtschaftsraum nutzt, muss seit März 2024 den Google Consent Mode V2 einsetzen — einen Mechanismus, der den Einwilligungsstatus der Besucher an Google übermittelt. Ohne ihn gehen Messdaten und Remarketing-Funktionen verloren. Was das konkret bedeutet, erklärt der Beitrag Google Consent Mode V2 für Schweizer Websites.
Die pragmatische Linie für Schweizer Unternehmen mit EU-Bezug: ein einheitliches Einwilligungs-Banner nach DSGVO-Standard für alle Besucher. Das erfüllt automatisch auch die Schweizer Anforderungen und erspart die fehleranfällige Unterscheidung nach Herkunftsland.
Wie funktioniert die Datenübermittlung zwischen der Schweiz und der EU?
Die gute Nachricht zuerst: Personendaten dürfen zwischen der Schweiz und der EU in beide Richtungen frei fliessen. Die EU-Kommission anerkennt die Schweiz seit dem Jahr 2000 per Angemessenheitsbeschluss als Drittland mit angemessenem Datenschutzniveau; bei der Überprüfung im Januar 2024 hat sie diese Einstufung bestätigt. EU-Unternehmen dürfen Personendaten deshalb ohne zusätzliche Garantien wie Standardvertragsklauseln an Schweizer Empfänger übermitteln.
Umgekehrt gilt dasselbe: Der Bundesrat führt die EU- und EWR-Staaten auf der Schweizer Angemessenheitsliste (Anhang 1 der Datenschutzverordnung). Schweizer Unternehmen dürfen Personendaten also ohne Zusatzaufwand an Empfänger in der EU weitergeben.
Ein Punkt bleibt trotzdem Pflicht: Wer Dienstleister mit der Datenverarbeitung beauftragt — Hosting, Newsletter-Tool, Buchhaltungssoftware —, braucht mit jedem dieser Auftragsverarbeiter einen Auftragsverarbeitungsvertrag (AVV). Das verlangen DSGVO und Datenschutzgesetz gleichermassen, unabhängig davon, wo der Dienstleister sitzt. Wie ein solcher Vertrag aussieht, zeigt der Beitrag Auftragsverarbeitungsvertrag (AVV) für Schweizer Unternehmen.
Was gehört auf die DSGVO-Checkliste für Schweizer Unternehmen?
Wenn die DSGVO für Ihr Unternehmen gilt, führen diese zehn Punkte in sinnvoller Reihenfolge zur Konformität:
- Anwendbarkeit klären: Richten Sie Waren oder Dienstleistungen erkennbar auf Personen in der EU aus — oder beobachten Sie deren Verhalten? Halten Sie die Einschätzung schriftlich fest.
- Verarbeitungsverzeichnis erstellen: Dokumentieren Sie, welche Personendaten Sie zu welchem Zweck verarbeiten, wer Zugriff hat und wie lange gespeichert wird.
- Rechtsgrundlagen zuordnen: Bestimmen Sie für jede Verarbeitung die passende Grundlage nach Artikel 6 — Einwilligung, Vertrag, gesetzliche Pflicht oder berechtigtes Interesse.
- Datenschutzerklärung aktualisieren: Ergänzen Sie die Pflichtangaben der Artikel 13 und 14 — inklusive Rechtsgrundlagen, Speicherdauern, Beschwerderecht und gegebenenfalls EU-Vertreter.
- Cookie-Banner auf Opt-in umstellen: Aktive Einwilligung vor dem Setzen nicht notwendiger Cookies, mit gleichwertiger Ablehnen-Option und dokumentierten Entscheiden.
- EU-Vertreter prüfen und bestellen: Wenn keine Ausnahme nach Artikel 27 greift, benennen Sie schriftlich einen Vertreter in der EU und nennen Sie ihn in der Datenschutzerklärung.
- Auftragsverarbeitungsverträge abschliessen: Mit jedem Dienstleister, der in Ihrem Auftrag Personendaten verarbeitet — vom Hoster bis zum Newsletter-Tool.
- Prozess für Betroffenenrechte einrichten: Auskunfts-, Berichtigungs- und Löschbegehren müssen innerhalb eines Monats beantwortet werden. Definieren Sie eine zuständige Person und eine Vorlage.
- Meldeprozess für Datenpannen definieren: Verletzungen der Datensicherheit müssen der zuständigen Aufsichtsbehörde binnen 72 Stunden gemeldet werden — das gelingt nur mit vorbereitetem Ablauf.
- Team sensibilisieren: Legen Sie fest, wer für Datenschutz zuständig ist, und schulen Sie die Mitarbeitenden, die täglich mit Personendaten arbeiten.
Wer diese Liste abarbeitet, erfüllt nebenbei auch die Kernpflichten des Schweizer Datenschutzgesetzes — der Zusatzaufwand für die reine DSG-Konformität ist danach minimal.
Wie hilft Aiara bei der DSGVO-Umsetzung?
Aiara ist für genau diese Schweizer Doppelwelt gebaut. Die generierte Datenschutzerklärung deckt das Datenschutzgesetz und die DSGVO in einem Dokument ab — auf Deutsch, Französisch, Italienisch und Englisch. Das Cookie-Banner arbeitet nach dem strengeren DSGVO-Standard mit dokumentierter Einwilligung und unterstützt den Google Consent Mode V2. So konfigurieren Sie einmal und erfüllen beide Regelwerke, ohne zwei Systeme zu pflegen.
Häufige Fragen
Gilt die DSGVO automatisch für jede Schweizer Website?
Nein. Die blosse Abrufbarkeit einer Website aus der EU genügt nicht. Die DSGVO greift erst, wenn ein Schweizer Unternehmen Waren oder Dienstleistungen erkennbar an Personen in der EU ausrichtet — etwa mit Euro-Preisen, Lieferung nach Deutschland oder EU-Werbung — oder das Verhalten von Personen in der EU beobachtet, zum Beispiel durch Tracking und Profilbildung.
Was passiert, wenn ich die DSGVO ignoriere?
Die DSGVO sieht Bussen bis 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes vor — gegen das Unternehmen. Die Durchsetzung gegen Firmen ohne EU-Niederlassung ist aufwendiger, aber möglich, etwa über den EU-Vertreter oder EU-Geschäftspartner. In der Praxis wiegt oft schwerer: EU-Kunden und Auftraggeber verlangen Nachweise der DSGVO-Konformität, bevor sie Verträge abschliessen.
Reicht eine DSG-konforme Datenschutzerklärung auch für die DSGVO?
Nicht zwingend. Die DSGVO verlangt in den Artikeln 13 und 14 mehr Pflichtangaben als das Schweizer Datenschutzgesetz — unter anderem die Rechtsgrundlage jeder Verarbeitung, das Beschwerderecht bei einer EU-Aufsichtsbehörde und gegebenenfalls den EU-Vertreter. Umgekehrt gilt: Eine DSGVO-konforme Datenschutzerklärung deckt das DSG praktisch immer mit ab.
Brauche ich als Schweizer Firma einen EU-Vertreter?
Wenn die DSGVO über das Marktortprinzip für Sie gilt und Sie keine Niederlassung in der EU haben, grundsätzlich ja (Artikel 27 DSGVO). Ausgenommen sind nur gelegentliche, risikoarme Verarbeitungen ohne umfangreiche besonders schützenswerte Daten. Wer regelmässig einen EU-Onlineshop betreibt oder EU-Kundendaten verarbeitet, fällt in der Regel unter die Vertretungspflicht.
Ist die Schweiz aus Sicht der EU ein sicheres Drittland?
Ja. Die EU-Kommission anerkennt die Schweiz seit dem Jahr 2000 als Land mit angemessenem Datenschutzniveau; dieser Angemessenheitsbeschluss wurde bei der Überprüfung im Januar 2024 bestätigt. Personendaten dürfen deshalb ohne zusätzliche Garantien aus der EU in die Schweiz fliessen — und dank der Schweizer Angemessenheitsliste auch umgekehrt.
Muss mein Cookie-Banner für Besucher aus der EU anders funktionieren?
Ja, wenn die DSGVO für Sie gilt. Für Personen in der EU braucht es eine aktive Einwilligung, bevor nicht notwendige Cookies gesetzt werden — vorangekreuzte Boxen oder blosse Weiter-surfen-Logik genügen nicht. Die meisten Schweizer Unternehmen mit EU-Bezug setzen deshalb einheitlich auf ein Opt-in-Banner, das automatisch auch die Schweizer Anforderungen erfüllt.
Brauche ich nach DSGVO einen Datenschutzbeauftragten?
Die meisten Schweizer KMU nicht. Die Pflicht nach Artikel 37 DSGVO trifft Behörden sowie Unternehmen, deren Kerntätigkeit in umfangreicher, systematischer Überwachung oder in der umfangreichen Verarbeitung besonders schützenswerter Daten besteht. Ein Treuhandbüro oder ein Onlineshop mit normalem Kundenstamm erfüllt diese Kriterien in der Regel nicht.
Bereit für sauberen Cookie-Consent?
Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.
Aiara entdeckenWeitere Beiträge

5 Min. Lesezeit
DSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen 2026

5 Min. Lesezeit
Cookie-Banner Pflicht in der Schweiz: Was 2026 wirklich gilt

4 Min. Lesezeit
Google Consent Mode V2 in der Schweiz: Komplette Anleitung für KMU

8 Min. Lesezeit