Betrieb

Datenschutz für KMU in der Schweiz 2026: DSG-Pflichten, Kundendaten und Mitarbeiterdaten

10. Mai 20266 min read

Das Wichtigste in Kürze

  • Das revidierte Datenschutzgesetz (DSG) ist seit September 2023 in Kraft. Es gilt für alle Schweizer Unternehmen, die Personendaten von natürlichen Personen bearbeiten, also praktisch für jedes KMU.
  • Im Unterschied zur EU-DSGVO büsst das Schweizer DSG natürliche Personen, nicht Unternehmen. Bussen bis CHF 250'000 können Geschäftsführer oder Mitarbeitende persönlich treffen.
  • Jedes KMU, das Personendaten bearbeitet, muss eine Datenschutzerklärung führen. Eine Datenschutzbeauftragung ist für Schweizer KMU nicht obligatorisch, aber für grössere Datenverarbeitungen empfehlenswert.
  • Mitarbeiterdaten dürfen nur erhoben werden, soweit sie für das Arbeitsverhältnis notwendig sind. Gesundheitsdaten, politische Ansichten und biometrische Daten gelten als besonders schützenswert.
  • Wenn Drittanbieter (z.B. Google Analytics, Mailchimp, HR-Software) Personendaten im Auftrag verarbeiten, brauchen Sie einen Auftragsbearbeitungsvertrag (AVV), auch für SaaS-Anbieter.

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (DSG). Es ersetzt das bisherige DSG von 1992 und bringt die Schweizer Datenschutzanforderungen näher an die EU-DSGVO heran, mit einigen wesentlichen Unterschieden, die für KMU direkt relevant sind.

Dieser Guide erklärt, was Schweizer KMU konkret umsetzen müssen: welche Daten besonders geschützt sind, was in eine Datenschutzerklärung gehört und wie Kundendaten sowie Mitarbeiterdaten korrekt behandelt werden.

Was das DSG für KMU bedeutet

Das DSG gilt für jede natürliche oder juristische Person in der Schweiz, die Personendaten von natürlichen Personen bearbeitet. "Bearbeiten" umfasst: erheben, speichern, verwenden, weitergeben, löschen, praktisch jede Interaktion mit Daten.

Das betrifft nahezu jedes KMU: wer Kunden, Mitarbeitende, Lieferanten oder Interessenten in einer Datenbank, einem CRM, einer Buchhaltungssoftware oder auch nur in einer Excel-Tabelle führt, bearbeitet Personendaten.

DSG vs. DSGVO: Die wichtigsten Unterschiede

AspektSchweizer DSGEU-DSGVO
SanktionenNatürliche Personen, bis CHF 250'000Unternehmen, bis 4 % des globalen Umsatzes
DSB-PflichtFreiwilligPflicht für bestimmte Unternehmen
Meldepflicht DatenpanneJa, bei hohem RisikoJa, innerhalb 72 Stunden
Verzeichnis BearbeitungstätigkeitenPflicht (Ausnahme: kleine Unternehmen)Pflicht
Recht auf AuskunftJaJa
Recht auf LöschungJaJa ("Recht auf Vergessenwerden")

Der entscheidende Unterschied: Das Schweizer DSG büsst nicht Unternehmen, sondern natürliche Personen. Das bedeutet: Geschäftsführer, Mitarbeitende oder andere verantwortliche Personen können persönlich gebüsst werden, bis CHF 250'000. Für vorsätzliche Verletzungen reicht das.

Datenschutzerklärung: Was sie enthalten muss

Jedes Unternehmen, das Personendaten bearbeitet, muss eine Datenschutzerklärung haben und diese den betroffenen Personen zugänglich machen. Für Websites ist das eine Seite unter "Datenschutz" im Footer.

Pflichtinhalte nach DSG Art. 19:

  • Identität des Verantwortlichen: Firmenname, Adresse, Kontakt
  • Zweck der Datenbearbeitung: Wofür werden die Daten genutzt?
  • Rechtsgrundlage: Vertragserfüllung, berechtigtes Interesse, Einwilligung
  • Kategorien der bearbeiteten Daten: Kontaktdaten, Kaufhistorie, technische Daten usw.
  • Empfänger der Daten: Wer erhält die Daten? (z.B. Auftragsbearbeiter wie Google, Mailchimp)
  • Aufbewahrungsdauer: Wie lange werden Daten gespeichert?
  • Rechte der betroffenen Personen: Auskunft, Berichtigung, Löschung, Widerspruch
  • Drittlandübermittlungen: Wenn Daten in Länder ohne angemessenes Datenschutzniveau übermittelt werden (z.B. USA)

Generierte Datenschutzerklärungen von Online-Tools sind ein akzeptabler Einstieg, müssen aber auf die tatsächlichen Bearbeitungen des Unternehmens angepasst werden.

Verzeichnis der Bearbeitungstätigkeiten

Grössere Unternehmen müssen ein internes Verzeichnis aller Datenbearbeitungen führen (DSG Art. 12). Die Ausnahme: Unternehmen mit weniger als 250 Mitarbeitenden und ohne systematische oder umfangreiche Bearbeitung besonderer Personendaten sind von der Pflicht befreit, es sei denn, sie bearbeiten Daten in grossem Massstab.

Für die meisten KMU besteht keine strikte Pflicht, aber es ist gute Praxis und erleichtert die Reaktion auf Anfragen und Datenpannen.

Das Verzeichnis enthält für jede Bearbeitungstätigkeit:

  • Zweck
  • Kategorien der betroffenen Personen und Daten
  • Empfänger
  • Löschfristen
  • Technische und organisatorische Massnahmen

Eine einfache Excel-Tabelle genügt für KMU.

Kundendaten: Was erlaubt ist

Grundsatz der Verhältnismässigkeit

Personendaten dürfen nur in dem Mass erhoben werden, wie es für den Zweck notwendig ist. Wer eine E-Mail-Adresse für einen Newsletter braucht, darf nicht gleichzeitig Geburtsdatum, Einkommensverhältnisse und Wohnort erheben, es sei denn, das ist für den konkreten Dienst notwendig.

E-Mail-Marketing und Opt-in

Für E-Mail-Marketing gilt das Opt-in-Prinzip: Personen müssen aktiv zustimmen, bevor ihnen kommerzielle Mitteilungen zugesendet werden. Ein vorausgefülltes Kästchen ("Ich möchte den Newsletter erhalten") gilt nicht als gültige Einwilligung.

Was dokumentiert werden muss:

  • Wann und wie die Einwilligung erteilt wurde
  • Welche Inhalte zugestimmt wurden
  • Nachweis bei Widerruf

Jede E-Mail muss eine funktionierende Abmeldemöglichkeit (Opt-out-Link) enthalten.

Besonderen Personendaten

Folgende Datenkategorien gelten als besonders schützenswert und erfordern erhöhte Sorgfalt:

  • Gesundheitsdaten
  • Politische und religiöse Ansichten
  • Biometrische Daten (Fingerabdrücke, Gesichtserkennung)
  • Genetische Daten
  • Strafrechtliche Daten
  • Sozialversicherungsdaten
  • Rassische oder ethnische Herkunft

Für die Bearbeitung besonderer Personendaten braucht es eine ausdrückliche Einwilligung oder eine andere klare Rechtsgrundlage.

Brauchen Sie Hilfe bei der Gründung?

Wir vermitteln kostenlos geprüfte Schweizer Experten.

Mitarbeiterdaten: Was KMU beachten müssen

Was darf erhoben werden?

Arbeitgeber dürfen nur Daten erheben, die für das Arbeitsverhältnis notwendig sind:

Zulässig:

  • Name, Adresse, Kontaktdaten
  • AHV-Nummer (für Sozialversicherungsabrechnung)
  • Bankverbindung (für Lohnzahlung)
  • Lohnbezüge und Abzüge
  • Qualifikationen, Ausbildung, Berufserfahrung
  • Arbeitszeiterfassung
  • Krankheitsabwesenheiten (Datum/Dauer, nicht Diagnose)

Nicht ohne weiteres zulässig:

  • Detaillierte Gesundheitsinformationen (ausser für Risikobeurteilung bei bestimmten Jobs)
  • Social-Media-Profile (ausser für Medienjobs)
  • Gewerkschaftszugehörigkeit
  • Private E-Mails oder Kommunikation

Aufbewahrung nach Beendigung des Arbeitsverhältnisses

Lohnabrechnungen und AHV-Ausweise: 10 Jahre (steuerrechtliche Pflicht). Bewerbungsunterlagen abgelehnter Bewerber: 3–6 Monate, dann löschen. Arbeitszeugnis-Rohdaten: so lange wie das Zeugnis potenziell relevant ist.

Auftragsbearbeitung: Wenn Dritte Ihre Daten bearbeiten

Wenn Sie SaaS-Tools nutzen, die Personendaten Ihrer Kunden oder Mitarbeitenden verarbeiten, sind Sie der "Verantwortliche" und der Anbieter der "Auftragsbearbeiter". Das DSG verlangt, dass diese Beziehung durch einen Auftragsbearbeitungsvertrag (AVV) geregelt ist.

Für grosse Anbieter gibt es standardisierte AVVs:

  • Google Workspace / Google Analytics: AVV im Google-Konto unter Datenschutzeinstellungen
  • Mailchimp: Data Processing Agreement im Account-Bereich
  • Brevo, HubSpot, Salesforce: Alle grossen Anbieter stellen AVVs bereit

Drittlandübermittlungen: Wenn Daten in die USA oder andere Länder ohne angemessenes Datenschutzniveau übertragen werden, müssen geeignete Garantien vorliegen (Standardvertragsklauseln, Privacy Shield-Nachfolger). Viele grosse US-Anbieter bieten EU-Datenzentren als Option, das vereinfacht die Compliance.

Rechte der betroffenen Personen

Kunden und Mitarbeitende können jederzeit geltend machen:

  • Auskunftsrecht: Welche Daten werden über sie bearbeitet?
  • Berichtigungsrecht: Unrichtige Daten korrigieren lassen
  • Löschungsrecht: Daten löschen lassen, wenn kein Aufbewahrungsgrund mehr besteht
  • Recht auf Einschränkung der Bearbeitung
  • Widerspruchsrecht gegen bestimmte Bearbeitungen (z.B. Direktmarketing)

Antwortfrist: 30 Tage nach Eingang des Gesuchs. Verlängerung auf 90 Tage möglich, mit Benachrichtigung.

Datenpannen: Meldepflicht und Vorgehen

Bei einer Datenpanne (unbefugter Zugriff, Datenverlust, versehentliche Weitergabe) gilt:

  1. Sofort: Betroffene Systeme sichern, Schadensausmass einschätzen
  2. Innerhalb von Stunden: Intern eskalieren, Verantwortliche informieren
  3. So rasch wie möglich: Meldung an den EDÖB, wenn hohes Risiko für Betroffene besteht
  4. Wenn nötig: Betroffene Personen informieren (wenn das Risiko für sie hoch ist)

Eine Meldung an den EDÖB erfolgt über die offizielle Meldestelle auf edoeb.admin.ch. Die Meldung muss Art der Datenpanne, betroffene Personenkategorien und Anzahl Datensätze, wahrscheinliche Folgen und ergriffene Massnahmen enthalten.

Datenschutz ist kein einmaliges Projekt, sondern eine laufende Aufgabe. Wer klare interne Prozesse hat, für Anfragen, Datenpannen und Löschungen, bewältigt die Anforderungen des DSG ohne übermässigen Aufwand.

Brauchen Sie Hilfe beim Gründen?

Wir vermitteln Ihnen kostenlos und unverbindlich passende geprüfte Schweizer Experten, in 2 Minuten.

Kostenlos & unverbindlich

Haeufige Fragen

Muss mein KMU einen Datenschutzbeauftragten ernennen?
Nein, das ist im Schweizer DSG nicht obligatorisch, im Gegensatz zur EU-DSGVO, wo bestimmte Unternehmen einen DSB ernennen müssen. Schweizer KMU können freiwillig eine verantwortliche Person benennen. Ab einer gewissen Grösse der Datenverarbeitung ist das organisatorisch sinnvoll.
Gilt das Schweizer DSG auch für EU-Kunden?
Wenn Sie EU-Kunden haben oder gezielt EU-Bürger ansprechen, gilt zusätzlich die EU-DSGVO. Die beiden Gesetze überschneiden sich stark, die DSGVO ist aber strenger (höhere Bussen, strengere Anforderungen). Wer DSGVO-konform ist, ist in der Regel auch DSG-konform.
Was ist eine Datenpanne und muss ich sie melden?
Eine Datenpanne (Security Breach) liegt vor, wenn Personendaten unbeabsichtigt oder unrechtmässig bekanntgeworden, gelöscht, verlorengegangen oder verändert wurden. Das DSG verlangt Meldung an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter), wenn die Datenpanne zu einem hohen Risiko für betroffene Personen führt, so rasch wie möglich.
Wie lange darf ich Kundendaten speichern?
Personendaten dürfen nur so lange gespeichert werden, wie der Bearbeitungszweck es erfordert. Für Buchungsbelege gilt die 10-jährige Aufbewahrungspflicht nach OR. Für Marketingdaten (z.B. E-Mail-Adressen) gilt: so lange die Person dem Empfang zugestimmt hat und aktiv geblieben ist. Nach Beendigung des Kundenverhältnisses sollten Daten innerhalb von 2–5 Jahren gelöscht oder anonymisiert werden.
Anna Weber

Anna Weber

Compliance und Datenschutz

Anna Weber schreibt zu DSG, FINMA-Regulierung und branchenspezifischen Anforderungen. Sie arbeitet als Compliance-Beraterin.