DatenschutzFreelancer

DSGVO Schweiz: Umfassende Anleitung zur Datenschutzkonformität für Unternehmen

DSGVO schweiz: Pflichten, Umsetzung und Sanktionen. Praktischer Datenschutz-Leitfaden für Unternehmen.

Geprüft vor 2 Tagen
5 Min. Lesezeit
Aktualisiert Juni 2026
Geprüft anhand offizieller Schweizer Quellen. Zuletzt geprüft vor 2 Tagen, AHV-IV, KMU Portal, FDPIC, BSV.Status: aktuell
KantonGenfZürichZugBernBaselWaadt
ThemaMWSTFirmengründungAHVArbeitsrechtDatenschutzJahrespflichten
UnternehmensformFreelancerGmbHAGArbeitgeber
Überblick

DSGVO Schweiz: Was Unternehmen über Datenschutzgesetz Schweiz wissen müssen

Die DSGVO Schweiz ist ein zentrales Thema für jedes Unternehmen, das personenbezogene Daten verarbeitet. Seit dem 1. September 2023 gilt das neue Datenschutzgesetz (DSG) in der Schweiz, das die Rechte der betroffenen Personen stärkt und die Verantwortung der Datenverarbeiter klar definiert. Unternehmen müssen nun nicht nur transparente Datenschutzerklärungen schaffen, sondern auch konkrete Maßnahmen ergreifen, um die Einhaltung der gesetzlichen Vorgaben zu gewährleisten. Die Verpflichtung zur Datenschutzkonformität betrifft alle Unternehmensformen, unabhängig von der Grösse oder Branche. Besonders kritisch ist die Pflicht zur Erstellung einer Datenschutzerklärung schweiz, die alle relevanten Aspekte der Datensammlung, -verarbeitung und -übermittlung enthält. Die DSGVO Schweiz ist nicht nur eine rechtliche Anforderung, sondern auch ein entscheidender Faktor für das Vertrauen der Kunden und die langfristige Marktpositionierung.
Was dieser Leitfaden abdeckt
  • Rechtliche Grundlage: Welche gesetzlichen Vorgaben gelten für die Verarbeitung personenbezogener Daten in der Schweiz und wie sind sie umzusetzen?
  • Verantwortliche Pflichten: Was müssen Unternehmen tun, um die Anforderungen des Datenschutzgesetzes Schweiz zu erfüllen, insbesondere im Hinblick auf Datenverarbeitung und -sicherheit?
  • Datenübermittlung ins Ausland: Wie müssen Unternehmen die Übermittlung von Daten an Drittländer, insbesondere in die USA, dokumentieren und rechtfertigen?
  • Durchsetzungsmechanismen: Welche Kontrollen und Sanktionen gibt es, wenn Unternehmen gegen das Datenschutzgesetz Schweiz verstoßen?
1. September 2023
Inkrafttreten DSG
Das neue Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und gilt für alle Unternehmen in der Schweiz.
Mandatory
Verpflichtung zur Datenschutzerklärung
Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen eine Datenschutzerklärung schweiz veröffentlichen (siehe Erläuterungen des KMU-Portals des Bundes).
Mit Garantien erforderlich
Datenübermittlung ins Ausland
Bei der Übermittlung von Daten ins Ausland müssen Unternehmen nachweisen, dass ein angemessener Datenschutz gewährleistet ist (siehe Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).
Pflicht für alle Verantwortliche
Neue Datenverarbeitungsregister
Verantwortliche und Auftragsbearbeiter müssen ein Verzeichnis aller Datenbearbeitungen führen (siehe Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).
Ab 15. September 2024
Datenübermittlung USA
Ein neues Datenschutzframework zwischen der Schweiz und den USA tritt ab 15. September 2024 in Kraft (siehe Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).
Mit Auftragsverarbeitungsvertrag
Datenverarbeitung durch Dritte
Bei der Verarbeitung durch Dritte ist ein Auftragsverarbeitungsvertrag nach Art. 20 DSG erforderlich.
01
1-2 Wochen
Schritt 1: Prüfung der Datenverarbeitungstätigkeit
Bevor eine Datenschutzerklärung schweiz erstellt wird, muss das Unternehmen eine umfassende Bestandsaufnahme der eigenen Datenverarbeitung durchführen. Dazu gehören alle Systeme, Websites, CRM-Tools und Drittdienstleister, die personenbezogene Daten verarbeiten. Es ist entscheidend, alle Verarbeitungstätigkeiten zu dokumentieren, um die Anforderungen des neuen Datenschutzgesetzes Schweiz zu erfüllen. Die Verpflichtung zur Führung eines Verzeichnisses aller Datenbearbeitungen ist gesetzlich vorgeschrieben und muss stets aktuell gehalten werden . Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und deren Datenverarbeitung ein geringes Risiko darstellt, können von dieser Pflicht befreit sein .
02
1 Woche
Schritt 2: Erstellung der Datenschutzerklärung schweiz
Die Datenschutzerklärung schweiz muss klar und verständlich formuliert sein und alle relevanten Informationen enthalten. Dazu gehören der Name und die Kontaktdaten des Verantwortlichen, die Zwecke der Datenverarbeitung, die Rechtsgrundlage, die Speicherdauer, die Rechte der betroffenen Personen und die Übermittlung an Dritte. Besonders wichtig ist die Angabe, ob Daten an Drittländer übermittelt werden, und falls ja, welche Garantien dafür gelten. Die Datenschutzerklärung muss an einer gut sichtbaren Stelle auf der Website veröffentlicht werden, beispielsweise im Impressum oder in einem separaten Menüpunkt . Unternehmen, die einen E-Commerce-Shop betreiben, sollten sich an die Empfehlungen des KMU-Portals halten, um das Vertrauen der Kunden zu stärken .
03
2-4 Wochen
Schritt 3: Implementierung von Sicherheitsmaßnahmen
Um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Maßnahmen umsetzen. Dazu gehören die Verschlüsselung von Daten, der Einsatz von sicheren HTTPS-Verbindungen, die Verwendung von Authentifizierungssystemen wie SuisseID und die regelmäßige Aktualisierung von Software. Besonders kritisch ist die Verarbeitung sensibler Daten, wie z. B. Gesundheitsdaten oder biometrische Informationen, die strengeren Anforderungen unterliegen. Die Verarbeitung von Daten im Zusammenhang mit dem Erkennen von Gesichtern ist nur zulässig, wenn die betroffene Person ausdrücklich zugestimmt hat und die Transparenz gewährleistet ist . Unternehmen sollten sich an die Empfehlungen des EDÖB zur Datensicherheit halten, um Risiken zu minimieren .
04
1-3 Wochen
Schritt 4: Benennung eines Datenschutzbeauftragten
Obwohl die Benennung eines Datenschutzbeauftragten nicht zwingend erforderlich ist, wird sie dringend empfohlen, insbesondere bei umfangreichen Datenverarbeitungen. Private Unternehmen können eine Datenschutzberaterin oder einen Datenschutzberater ernennen, die nicht unbedingt im Arbeitsverhältnis stehen müssen . Die Datenschutzberatung sollte getrennt von anderen Aufgaben wahrgenommen werden, um Unabhängigkeit und Objektivität zu gewährleisten. Unternehmen, die mit Dritten zusammenarbeiten, sollten sicherstellen, dass auch die Auftragsverarbeiter über angemessene Datenschutzmaßnahmen verfügen und einen Auftragsverarbeitungsvertrag unterzeichnet haben .
05
2-6 Wochen
Schritt 5: Durchführung einer Datenschutz-Folgenabschätzung
Wenn eine Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt, ist eine Datenschutz-Folgenabschätzung (DFA) erforderlich. Dies gilt insbesondere bei der Verwendung neuer Technologien, wie Künstlicher Intelligenz oder automatisierter Entscheidungsfindung. Die DFA muss vor der Durchführung der Verarbeitung durchgeführt werden und dokumentiert werden. Sie soll die potenziellen Risiken identifizieren und Maßnahmen zur Risikominderung vorschlagen. Die Ergebnisse der DFA müssen dem Datenschutzbeauftragten und ggf. dem EDÖB zur Verfügung gestellt werden . Unternehmen, die in der Schweiz tätig sind, sollten sich an die Empfehlungen des EDÖB zur Durchführung von Folgenabschätzungen halten .
Wichtige Hinweise zur DSGVO Schweiz
Die DSGVO Schweiz ist nicht nur eine europäische Regelung, sondern hat auch direkte Auswirkungen auf die Schweiz, insbesondere im Hinblick auf die Datenübermittlung an Drittländer. Das neue Datenschutzgesetz Schweiz ist strenger als die DSGVO in bestimmten Aspekten, beispielsweise bei der Angabe von Ländern bei der Datenübermittlung ins Ausland, unabhängig davon, ob diese einen angemessenen Datenschutz bieten . Unternehmen, die mit US-Unternehmen zusammenarbeiten, sollten sich über das neue Schweizer-US-Datenschutzframework informieren, das ab 15. September 2024 in Kraft tritt und ein angemessenes Schutzniveau gewährleistet . Zudem ist es wichtig, dass Unternehmen ihre Verpflichtungen im Hinblick auf die AHV und IV erfüllen, da diese Versicherungen ebenfalls personenbezogene Daten verarbeiten . Für Unternehmen, die sich neu gründen, ist es ratsam, sich frühzeitig mit den Themen Datenschutz und Compliance auseinanderzusetzen [cite:ag gründen schweiz].
Die DSGVO Schweiz bezieht sich auf das neue Datenschutzgesetz (DSG), das seit dem 1. September 2023 in der Schweiz gilt. Obwohl es ähnliche Ziele wie die EU-DSGVO verfolgt, gibt es Unterschiede, insbesondere bei der Datenübermittlung ins Ausland. Während die EU-DSGVO auf die EU-Standardvertragsklauseln setzt, verlangt das Schweizer DSG, dass die Länder bei der Übermittlung an Drittländer angegeben werden, unabhängig von deren Datenschutzniveau . Zudem ist die Schweiz in der Lage, eigene Rahmenbedingungen für die Datenübermittlung mit Drittstaaten zu schaffen, wie beispielsweise das neue Schweizer-US-Datenschutzframework .
Quellen

In diesem Artikel verwendete offizielle Quellen

Geprüft anhand offizieller behördlicher Quellen

Alle Sätze und Regeln anhand der wichtigsten Bundes- und Kantonsportale geprüft.

Ahv_iv
AHV/IV Information Portal
Official AHV/IV information portal. Covers mandatory social insurance contributions for employers and self-employed, one of the top three compliance obligations for every Swiss SME.
ahv-iv.ch
Kmu_portal
Swiss SME Portal
Official federal SME information portal. Broadest single federal source: covers company setup, VAT, employment, social insurance, and annual administrative obligations for all business types.
kmu.admin.ch
Fdpic
Federal Data Protection and Information Commissioner
Federal authority overseeing Swiss nFADP (new Federal Act on Data Protection). Authoritative source for data protection obligations, including when businesses must appoint a data privacy advisor.
edoeb.admin.ch
BSV
Federal Social Insurance Office
Federal office overseeing all social insurance legislation: AHV, IV, EO, ALV, BVG, and family allowances. Legislative source for employer contribution rates, thresholds, and calculation bases.
bsv.admin.ch
Content verified against these sources. Not legal advice.See full disclaimer

Tools that help with Datenschutz

Software used by SMEs in Switzerland. Affiliate links: we earn a small commission at no cost to you.

DataGuardSwiss-FADP + GDPR compliance platform. Privacy policy generator, data-processing records, breach-notification workflow. Used by SMEs handling EU data.
Book a demo
OneTrustEnterprise-grade privacy management. Cookie consent, vendor risk assessment, data-subject request handling. Useful for Swiss businesses with > 10 EU employees.
Compare plans
IubendaPrivacy + cookie policy generator with built-in nDSG and GDPR templates. Cheapest entry point for solo founders and small Swiss SMEs.
Try free
Affiliate disclosure: Canton Compliance Hub earns a commission if you purchase a paid plan via these links. This does not affect our editorial recommendations. We only list tools we consider genuinely suitable for the use case described.

Not sure where Datenschutz compliance applies to you?

Get a free personalised report covering your specific situation, Datenschutz-specific rules included.

Verwandte Themen
Datenschutz in anderen Kantonen
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechts- oder Steuerberatung dar. Schweizer Vorschriften ändern sich häufig; prüfen Sie wichtige Entscheidungen stets mit offiziellen Quellen oder einer qualifizierten Treuhandstelle.