Zuletzt aktualisiert am 7. April 2026

In der Schweiz tritt am 1. September 2023 ein neues Datenschutzgesetz in Kraft. Dies soll vor allem die datenschutzrechtlichen Bedingungen in der Schweiz an die DSGVO anpassen.

Alles, was Sie zu den rechtlichen Neuerungen wissen müssen, erfahren Sie hier.

Warum ein neues Schweizer Datenschutzgesetz?

Genau genommen handelt es sich um drei Regelungswerke, die die Schweiz ausgearbeitet hat: Das neue Schweizer Bundesgesetz über den Datenschutz (DSG), die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierung (VDSZ). Alle drei treten zum 1. September 2023 in Kraft.

Die momentan geltende Fassung des Schweizer Bundesgesetzes über Datenschutz stammt aus dem Jahre 1993. Diese bietet keine Gleichwertigkeit mehr mit der in der EU geltenden DSGVO. Der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 gerät deshalb ins Wanken. Sollte sich diese Situation weiter zuspitzen, könnte die Schweiz datenschutzrechtlich als Drittland im Sinne der DSGVO gewertet werden, was für die Schweiz wirtschaftliche Probleme mit sich bringen würde. Es müsste dann eine Absicherung etwa über Standardvertragsklauseln (Art. 46 DSGVO) stattfinden.

Die Schweiz gibt nun allerdings doch dem Zugzwang seit der Einführung der DSGVO nach und gleicht das eigene Datenschutzrecht der DSGVO an.

Was regelt das neue Schweizer Datenschutzgesetz?

Hier finden Sie eine Übersicht der wichtigsten Regelungen des neuen Schweizer Datenschutzgesetzes:

Geltungsbereich

Der sachliche Geltungsbereich des DSG wird ausgeweitet. Er umfasst alle Datenverarbeitungen, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst sind.

Im persönlichen Geltungsbereich sind nur noch natürliche Personen geschützt, juristische dagegen nicht.

Erweiterte Informationspflichten für Verantwortliche

Auch die Informationspflichten für Verantwortliche im DSG werden ausgeweitet. Sie erstrecken sich nun auf die Verarbeitung jeglicher personenbezogenen Daten. Sie sind vergleichbar mit den Art. 13 und 14 DSGVO.

Betroffenenrechte

Im neuen DSG ist geregelt, dass Betroffene ein Recht auf vollständige Auskunft, Datenübertragbarkeit und Herausgabe von Daten haben. Alle diese Rechte müssen kostenlos geltend zu machen sein.

Die Grundsätze privacy by design und privacy by default sind im neuen DSG genauso zu finden wie in der DSGVO.

Dokumentationspflichten

Nach dem neuen DSG sind Verantwortliche und Auftragsverarbeiter verpflichtet, jede Datenverarbeitung zu dokumentieren. Diese Datensammlung muss jedoch nicht mehr angemeldet werden. Im neuen DSG ist aufgelistet, welche Informationen das Verzeichnis haben muss.

Automatisierte Entscheidungsfindung und Profiling

Wenn ein Verantwortlicher automatisierte Entscheidungsfindungen nutzt, muss er den Betroffenen darüber informieren. Der Betroffene kann verlangen, dass diese Entscheidung von einem Menschen überprüft wird.

Weiterhin ist beim Profiling grundsätzlich keine Einwilligung erforderlich, es sei denn, es handelt sich um sogenanntes „Profiling mit hohem Risiko“, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung der Persönlichkeit ermöglichen.

Auftragsverarbeitung

Das neue DSG führt den Begriff des „Auftragsbearbeiters“ ein, der dem „Auftragsverarbeiter“ in der DSGVO entspricht. Die Übergabe von Datenverarbeitungsprozessen an diesen ist möglich, wenn sie so durchgeführt werden, wie sie auch der Verantwortliche hätte durchführen müssen. Außerdem darf bei einer Geheimhaltungspflicht keine Auftragsbearbeitung stattfinden. Der Verantwortliche muss sicherstellen, dass der Auftragsbearbeiter die entsprechenden Anforderungen erfüllt. Will der Auftragsbearbeiter die Datenbearbeitung seinerseits weitergeben, muss er dafür die Zustimmung des Verantwortlichen einholen.

Datenschutzfolgenabschätzung

Das neue DSG führt eine Datenschutzfolgenabschätzung ein, die der in der DSGVO weitgehend entspricht.

Datensicherheit

Das neue DSG sieht ebenfalls den Verantwortlichen und Auftragsbearbeiter in der Pflicht, entsprechende technische und organisatorische Maßnahmen (TOM) einzuführen, um die Datensicherheit zu gewährleisten. Hier benutzt das neue DSG wie die DSGVO den Begriff des Risikos. Über die Mindestanforderungen bedarf es noch genauerer Bestimmungen vom Bundesrat.

Datenpannen müssen wie in der DSGVO auch gemeldet werden. Allerdings nur solche, die ein hohes Risiko für die Betroffenen darstellen. Der Auftragsbearbeiter muss die Meldung solcher Vorfälle an den Verantwortlichen richten und dieser wiederum an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Vertreter für ausländische Verarbeiter

Verantwortliche, die in der Schweiz Daten verarbeiten, aber nicht dort ansässig sind, müssen in drei Fällen einen Vertreter in der Schweiz haben. Diese Fälle bezeichnen Angebot von Waren und Dienstleistungen in der Schweiz oder Überwachung des Verhaltens von Menschen in der Schweiz, umfangreiche und regelmäßige Verarbeitung oder hohe Risiken für die Privatsphäre der Betroffenen. Die Regelung ähnelt damit der des EU-Vertreters in der DSGVO.

Datenschutzbehörden und Sanktionen

Die Schweizer Datenschutzbehörde (EDÖB) erhält durch das neue DSG erweiterte Aufgaben und Kompetenzen. Sie gleicht damit den europäischen Datenschutzbehörden, kann aber keine Bußgelder verhängen.

Mögliche Sanktionen sind im neuen DSG deutlich höher beziffert als die Bußgelder der DSGVO. Zuständig sind die kantonalen Staatsanwaltschaften. Private Personen stehen dabei im Fokus und nicht wie unter der DSGVO Unternehmen. Jedoch werden nicht alle Pflichtverletzungen auch im Bußgeldkatalog gelistet.

Was gilt es nun zu beachten?

Das Schweizer Datenschutzrecht nähert sich nun stark der DSGVO an.

Verantwortliche mit Bezug zur Schweiz sollten eine Bestandsaufnahme ihrer Datenverarbeitungen vornehmen, um Handlungsbedarf zu erkennen. Es sind entsprechende Prozesse festzulegen, Meldeprozesse einzurichten, ein Verzeichnis zu erstellen, Auftragsverarbeiter zu überprüfen und gegebenenfalls ein Vertreter zu ernennen.

Das neue Schweizer Datenschutzgesetz in der Praxis

Seit dem 1. September 2023 ist das neue Schweizer Datenschutzgesetz in Kraft. Die Übergangszeit war bewusst kurz gehalten: Anders als bei der DSGVO gab es keine zweijährige Übergangsfrist. Unternehmen mussten ihre Prozesse sofort anpassen. Die Praxis zeigt, dass insbesondere kleinere Unternehmen und Vereine die Anforderungen noch nicht vollständig umgesetzt haben.

Wichtige Unterschiede zwischen dem neuen DSG und der DSGVO

Obwohl das neue DSG stark an die DSGVO angelehnt ist, bestehen bedeutsame Unterschiede, die Unternehmen kennen müssen. Während die DSGVO Bußgelder gegen Unternehmen richtet, zielt das Schweizer DSG primär auf natürliche Personen ab. Verantwortliche Führungskräfte können persönlich mit Bußgeldern von bis zu 250.000 Schweizer Franken belegt werden. Diese persönliche Haftung ist deutlich schärfer als in der DSGVO und schafft einen starken Anreiz zur Compliance auf Führungsebene.

Ein weiterer wesentlicher Unterschied betrifft die Datenschutzfolgenabschätzung. Im Schweizer DSG kann der Verantwortliche den EDÖB konsultieren, muss dies aber nicht zwingend. Wenn der Verantwortliche eine qualifizierte Datenschutzberaterin konsultiert hat, kann er auf die Konsultation des EDÖB verzichten. Dies gibt Unternehmen mehr Flexibilität, erhöht aber auch die Verantwortung der internen Compliance-Struktur.

Auch beim Verarbeitungsverzeichnis gibt es Unterschiede. Das Schweizer DSG sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor, deren Datenverarbeitungen ein geringes Risiko für die Persönlichkeit der betroffenen Personen darstellen. Eine vergleichbare Ausnahme existiert in der DSGVO zwar auch, wird aber in der Praxis von den europäischen Aufsichtsbehörden sehr restriktiv ausgelegt.

Auswirkungen auf deutsche Unternehmen mit Schweiz-Bezug

Für deutsche Unternehmen, die Waren oder Dienstleistungen in der Schweiz anbieten oder das Verhalten von Personen in der Schweiz beobachten, ist das neue DSG unmittelbar relevant. Das Gesetz gilt nach dem Marktortprinzip auch für ausländische Unternehmen, wenn sich ihre Datenverarbeitung in der Schweiz auswirkt.

Konkret müssen deutsche Unternehmen in folgenden Fällen das Schweizer DSG beachten: Sie betreiben einen Online-Shop, der Kunden in der Schweiz beliefert. Sie setzen Tracking-Tools auf ihrer Website ein, die Nutzer in der Schweiz erfassen. Sie haben Mitarbeiter oder Niederlassungen in der Schweiz. Sie verarbeiten im Auftrag eines Schweizer Unternehmens personenbezogene Daten.

In diesen Fällen müssen Unternehmen möglicherweise einen Vertreter in der Schweiz benennen und ihre Datenschutzerklärung um die Anforderungen des Schweizer DSG ergänzen. Die gute Nachricht: Unternehmen, die bereits DSGVO-konform aufgestellt sind, erfüllen einen Großteil der Anforderungen des neuen DSG. Die Anpassungen betreffen vor allem die Datenschutzerklärung, die Vertreterregelung und gegebenenfalls die technisch-organisatorischen Maßnahmen.

Datentransfer zwischen der Schweiz und der EU

Der Datentransfer zwischen der Schweiz und der EU profitiert vom bestehenden Angemessenheitsbeschluss der EU-Kommission. Dieser wurde zuletzt 2000 bestätigt und wird derzeit überprüft. Mit dem neuen DSG dürfte die Schweiz ihre Angemessenheit wahren, was den Datentransfer für Unternehmen erheblich erleichtert.

Umgekehrt führt die Schweiz eine eigene Liste von Staaten mit angemessenem Datenschutzniveau, die vom Bundesrat erlassen wird. Die EU-Mitgliedstaaten stehen auf dieser Liste, sodass der Datentransfer in beide Richtungen grundsätzlich ohne zusätzliche Absicherung möglich ist. Für den Transfer in Drittstaaten gelten im Schweizer DSG ähnliche Regelungen wie in der DSGVO: Standardvertragsklauseln, verbindliche unternehmensrechtliche Vorschriften (Binding Corporate Rules) oder Einwilligungen kommen als Absicherung in Betracht.

Handlungsempfehlungen für betroffene Unternehmen

Um sowohl das Schweizer DSG als auch die DSGVO zu erfüllen, empfehlen wir folgende Schritte:

• Prüfen Sie, ob Ihre Datenverarbeitungen unter den Anwendungsbereich des Schweizer DSG fallen
• Aktualisieren Sie Ihre Datenschutzerklärung um die spezifischen Informationspflichten des DSG
• Überprüfen Sie Ihre Verarbeitungsverzeichnisse auf Vollständigkeit nach beiden Rechtsordnungen
• Benennen Sie bei Bedarf einen Vertreter in der Schweiz
• Sensibilisieren Sie Ihre Mitarbeiter für die Unterschiede zwischen DSGVO und DSG
• Dokumentieren Sie Ihre Compliance-Maßnahmen sorgfältig, insbesondere angesichts der persönlichen Haftung nach dem DSG

Datenschutzberater nach dem neuen Schweizer DSG

Das neue DSG führt die Rolle des Datenschutzberaters ein, die dem Datenschutzbeauftragten der DSGVO ähnelt, aber nicht identisch ist. Anders als in der DSGVO besteht im Schweizer DSG keine generelle Pflicht zur Benennung eines Datenschutzberaters. Die Benennung ist freiwillig, bringt aber praktische Vorteile: Wenn ein qualifizierter Datenschutzberater benannt wird, kann der Verantwortliche unter bestimmten Umständen auf die Konsultation des EDÖB bei Datenschutzfolgenabschätzungen verzichten.

Für Unternehmen, die sowohl unter die DSGVO als auch unter das Schweizer DSG fallen, bietet es sich an, den bestehenden externen Datenschutzbeauftragten auch als Datenschutzberater nach Schweizer Recht zu benennen. Dies schafft einheitliche Strukturen und stellt sicher, dass beide Rechtsordnungen konsistent umgesetzt werden. Die Qualifikationsanforderungen an den Datenschutzberater nach dem DSG sind mit denen des Datenschutzbeauftragten nach der DSGVO vergleichbar: Er muss über die erforderliche Fachkunde verfügen und unabhängig agieren können.

Sie benötigen Unterstützung rund um das Thema Datenschutz und Datensicherheit? Unser Team an Experten hilft ihnen gerne weiter. Kontaktieren Sie uns hier.