Datenschutzgesetz 2025: Was Schweizer KMU wissen müssen
Das revidierte Datenschutzgesetz (nDSG) – Was hat sich geändert?
Das revidierte Schweizer Datenschutzgesetz (nDSG) ist am 1. September 2023 in Kraft getreten und hat die veraltete Gesetzgebung von 1992 abgelöst. Die wichtigste Änderung: Es schützt neu nur natürliche Personen, nicht mehr juristische Personen wie Unternehmen oder Vereine.
Wichtig: Wenn du eine Website betreibst und Schweizer Besucher hast, betrifft dich das Gesetz – unabhängig von der Unternehmensgrösse.
Wer ist betroffen?
- Schweizer Unternehmen jeder Grösse
- Internationale Unternehmen, die Schweizer Kunden bedienen
- Webseitenbetreiber, die Besucherdaten aus der Schweiz verarbeiten
Die wichtigsten Neuerungen
Erweiterte Informationspflichten
Du musst Besucher klar und verständlich darüber informieren, welche Daten du sammelst, warum du sie sammelst und an wen du sie weitergibst. Eine Datenschutzerklärung ist Pflicht – und sie muss aktuell und vollständig sein.
Privacy by Design und by Default
Datenschutz muss von Anfang an in die Planung einer Website oder App einfliessen – nicht nachträglich. Standardmässig dürfen nur die minimal notwendigen Daten erhoben werden.
Erweiterte Rechte der Betroffenen
Personen haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen. Du musst innerhalb von 30 Tagen antworten. Auch das Recht auf Löschung und Datenübertragbarkeit ist gestärkt worden.
Meldepflicht bei Datenschutzverletzungen
Bei einer Datenschutzverletzung mit hohem Risiko für Betroffene musst du den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell wie möglich informieren.
Besondere Vorsicht bei ausländischen Diensten
Bei der Verwendung ausländischer Dienste (USA etc.) müssen zusätzliche Schutzmassnahmen getroffen werden:
| Dienst | Risiko | Massnahme |
|---|---|---|
| Google Analytics | Datenübertragung in die USA | IP-Anonymisierung, Aufbewahrungsfristen prüfen |
| Facebook Pixel | Tracking ohne Einwilligung | Informierte Einwilligung via Cookie-Banner |
| Newsletter-Tools (Mailchimp etc.) | Datenspeicherung in den USA | EU/CH-Alternativen prüfen |
| Cloud-Dienste (AWS, Azure) | Standort der Verarbeitung | Datenverarbeitungs-Standort prüfen |
Tipp: Prüfe bei jedem externen Dienst, wo die Daten gespeichert werden und ob ein Auftragsverarbeitungsvertrag vorliegt.
Persönliche Haftung – Das Besondere am Schweizer Gesetz
Wichtig: Anders als bei der DSGVO haften in der Schweiz einzelne Personen – nicht Organisationen. Bussen bis sechsstellige Bussen für vorsätzliche Verstösse.
Das bedeutet: Geschäftsführer und IT-Verantwortliche tragen persönliches Risiko. Unwissenheit schützt nicht vor Strafe.
Deine Compliance-Checkliste
- Datenschutzerklärung: Aktualisieren oder neu erstellen
- Verarbeitungsverzeichnis: Dokumentieren, welche Daten wo gespeichert werden
- Dienstleister-Verträge: Auftragsverarbeitungsverträge prüfen und abschliessen
- Cookie-Banner: Mit echtem Opt-in implementieren (nicht nur ein "OK"-Button)
- SSL-Zertifikat: HTTPS ist Pflicht – ohne gibt es keine Compliance
- Kontaktformulare: Nur nötige Felder, Hinweis auf Datenschutzerklärung
- Google Analytics: IP-Anonymisierung und Aufbewahrungsfristen prüfen
- Mitarbeiterschulung: Bewusstsein für Datenschutz im Arbeitsalltag schaffen
Tipp: Gehe diese Checkliste Punkt für Punkt durch. Die meisten Verstösse entstehen nicht aus böser Absicht, sondern aus Unwissenheit oder Nachlässigkeit.
Fazit
Das nDSG ist keine Empfehlung – es ist geltendes Recht. Jedes Schweizer KMU mit Website muss die Anforderungen erfüllen. Die gute Nachricht: Mit einer sauberen Datenschutzerklärung, korrekten Cookie-Einstellungen und bewusstem Umgang mit Nutzerdaten bist du auf der sicheren Seite.
