Das revDSG, das revidierte Datenschutzgesetz, ist das zentrale Schweizer Gesetz zum Schutz personenbezogener Daten. Es trat am 1. September 2023 in Kraft und löste das alte Datenschutzgesetz von 1992 ab, das den Anforderungen der digitalen Wirtschaft nicht mehr genügte. Mit der Revision hat die Schweiz ihren Datenschutz modernisiert und ihn weitgehend an die europäische DSGVO angenähert — auch, um die Anerkennung als Drittland mit angemessenem Datenschutzniveau durch die EU zu sichern, die für den freien Datenfluss zwischen der Schweiz und der EU entscheidend ist.
Warum die Revision nötig war
Das alte Datenschutzgesetz stammte aus einer Zeit vor dem Internet, wie wir es heute kennen, und konnte mit der Realität von Cloud-Diensten, Big Data und globalen Datenströmen nicht mehr Schritt halten. Zugleich hatte die EU mit der DSGVO einen neuen Massstab gesetzt. Für die Schweiz als eng mit der EU verflochtene Volkswirtschaft war es essenziell, ein gleichwertiges Schutzniveau zu schaffen, damit Daten weiterhin ungehindert zwischen beiden Räumen fliessen können. Die Angemessenheitsanerkennung durch die EU ist für die Schweizer Wirtschaft von grosser Bedeutung, und das revDSG ist die Grundlage dafür.
Die wichtigsten Neuerungen
Das revDSG bringt mehrere zentrale Neuerungen. Es verankert den Grundsatz Privacy by Design and by Default, wonach Datenschutz von Anfang an in Produkte und Prozesse einzubauen ist. Es führt eine Meldepflicht bei Datensicherheitsverletzungen ein, die an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zu richten ist. Es verlangt von vielen Unternehmen ein Verzeichnis der Bearbeitungstätigkeiten. Es erweitert die Informationspflichten bei der Beschaffung von Daten und stärkt die Rechte der betroffenen Personen. Zudem ist bei Bearbeitungen mit hohem Risiko eine Datenschutz-Folgenabschätzung durchzuführen. In ihrer Struktur ähneln diese Pflichten stark der DSGVO.
Unterschiede zur DSGVO
Trotz der weitgehenden Annäherung gibt es bedeutsame Unterschiede. Das revDSG schützt ausschliesslich Daten natürlicher Personen, während das alte Schweizer Recht auch juristische Personen erfasste — dieser Schutz juristischer Personen ist mit der Revision entfallen. Die Sanktionen funktionieren anders: Während die DSGVO Bussgelder gegen Unternehmen vorsieht, richtet sich das revDSG primär gegen verantwortliche natürliche Personen und sieht Bussen von bis zu 250.000 Franken vor. Auch bei den Rechtsgrundlagen und einigen Begriffen bestehen Abweichungen. Diese Unterschiede bedeuten, dass DSGVO-Konformität nicht automatisch revDSG-Konformität ist und umgekehrt — wer beide Märkte bedient, muss beide Regime prüfen.
Die Sanktionen im Detail
Ein markanter Unterschied zur DSGVO liegt im Sanktionssystem. Das revDSG setzt nicht auf hohe Unternehmensbussen, sondern auf Bussen gegen die verantwortlichen Personen, die bei vorsätzlichen Verstössen bis zu 250.000 Franken betragen können. Sanktioniert werden etwa die Verletzung von Informations- und Auskunftspflichten, die Missachtung von Sorgfaltspflichten bei der Datenbearbeitung im Ausland und die Verletzung der beruflichen Schweigepflicht. Dieser Ansatz, der einzelne Verantwortliche statt das Unternehmen ins Visier nimmt, erzeugt eine andere Anreizstruktur als die DSGVO und macht Datenschutz zu einer persönlichen Verantwortung der Führungskräfte.
Pflichten für Schweizer Unternehmen
Schweizer Unternehmen müssen unter dem revDSG eine Reihe von Pflichten erfüllen. Sie müssen betroffene Personen transparent über die Datenbearbeitung informieren, ein Bearbeitungsverzeichnis führen (mit Ausnahmen für kleine Unternehmen mit geringem Risiko), angemessene Datensicherheit gewährleisten, Datenpannen melden, bei risikoreichen Bearbeitungen eine Folgenabschätzung durchführen und mit Auftragsbearbeitern entsprechende Verträge schliessen. Bei der Datenbekanntgabe ins Ausland gelten besondere Sorgfaltspflichten, ähnlich den Drittlandregeln der DSGVO. Diese Pflichten sind für viele KMU neu und erfordern eine systematische Umsetzung.
Datenbekanntgabe ins Ausland
Wie die DSGVO regelt das revDSG die Bekanntgabe von Personendaten ins Ausland. Eine Bekanntgabe ist zulässig, wenn der Bundesrat dem Zielstaat ein angemessenes Schutzniveau bescheinigt hat oder wenn geeignete Garantien wie Standardvertragsklauseln bestehen. Die EU- und EWR-Staaten gelten als sicher, die USA hingegen erfordern besondere Vorkehrungen. Für Schweizer Unternehmen, die Cloud-Dienste nutzen, ist dies ein wichtiger Aspekt: Die Wahl eines Anbieters mit Hosting in der Schweiz oder der EU vermeidet die Komplexität der Drittlandübermittlung. Genau aus diesem Grund setzt Innopulse bei seinen Produkten konsequent auf Schweiz- und EU-Hosting.
Die Rolle des EDÖB
Die Aufsicht über das revDSG liegt beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, kurz EDÖB. Er berät, beaufsichtigt und kann Untersuchungen einleiten sowie Verfügungen erlassen, etwa die Anpassung oder Einstellung einer Datenbearbeitung anordnen. Anders als die EU-Aufsichtsbehörden verhängt der EDÖB selbst keine Bussen — diese werden im Strafverfahren durch die kantonalen Behörden ausgesprochen. Der EDÖB ist zudem die Stelle, an die Datensicherheitsverletzungen zu melden sind. Sein Verständnis und seine Praxis prägen die Auslegung des revDSG und sind für Unternehmen eine wichtige Orientierung.
Praktische Umsetzung im DACH-Kontext
Für Schweizer Unternehmen, die auch in der EU tätig sind, ist die parallele Beachtung von revDSG und DSGVO die Regel. Da beide Regime ähnlich strukturiert sind, lässt sich ein gemeinsames Datenschutzmanagement aufbauen, das die Anforderungen beider erfüllt, mit gezielten Anpassungen für die jeweiligen Besonderheiten. Innopulse, mit Sitz in Zug, baut seine eigenen Produkte und die seiner Kunden so, dass sie beiden Rechtsrahmen genügen — von der Wahl der Hosting-Region über die Gestaltung der Informationspflichten bis zum Self-Service für die Betroffenenrechte. Diese doppelte Konformität ist im DACH-Raum zunehmend ein Vertriebsargument, weil Geschäftskunden den Nachweis erwarten.
Privacy by Design im revDSG
Wie die DSGVO verankert auch das revDSG den Grundsatz, Datenschutz von Anfang an in Technik und Voreinstellungen einzubauen. Datenbearbeiter müssen die Bearbeitung technisch und organisatorisch so gestalten, dass die Datenschutzvorschriften eingehalten werden, und datenschutzfreundliche Voreinstellungen wählen. Dieser Grundsatz hat für Schweizer Unternehmen, die Software entwickeln oder einsetzen, dieselbe praktische Bedeutung wie in der EU: Eine Architektur, die Datenminimierung, Verschlüsselung und Zugriffskontrollen von Beginn an vorsieht, ist konformer und langfristig wirtschaftlicher als eine nachträgliche Nachrüstung. Privacy by Design ist damit nicht nur eine rechtliche Anforderung, sondern eine Leitlinie für gutes Engineering.
Das Bearbeitungsverzeichnis
Das revDSG verlangt von vielen Unternehmen ein Verzeichnis der Bearbeitungstätigkeiten, ähnlich dem Verzeichnis nach Artikel 30 DSGVO. Es dokumentiert, welche Personendaten zu welchen Zwecken bearbeitet werden, wer Zugriff hat und ob Daten ins Ausland bekanntgegeben werden. Für kleine Unternehmen mit geringem Risiko bestehen Ausnahmen, doch in der Praxis ist ein solches Verzeichnis auch dann sinnvoll, weil es die Grundlage für die übrigen Pflichten bildet. Wer nicht weiss, welche Daten er bearbeitet, kann weder Auskunftsbegehren erfüllen noch Risiken einschätzen noch im Fall einer Datenpanne korrekt reagieren. Das Verzeichnis ist damit das zentrale Steuerungsinstrument des betrieblichen Datenschutzes.
Meldepflicht bei Datensicherheitsverletzungen
Eine wichtige Neuerung des revDSG ist die Meldepflicht bei Verletzungen der Datensicherheit. Kommt es zu einer Verletzung, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, muss der Verantwortliche dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten so rasch als möglich melden. Anders als die starre 72-Stunden-Frist der DSGVO formuliert das revDSG die Frist offener, verlangt aber ebenfalls schnelles Handeln. Auch hier gilt: Vorbereitete Prozesse sind entscheidend, damit im Ernstfall die richtigen Schritte ohne Verzögerung erfolgen. Ein Incident-Response-Plan, der die Zuständigkeiten und den Meldeweg festlegt, gehört zur Grundausstattung jedes Schweizer Unternehmens, das mit Personendaten arbeitet.
Fazit
Das revDSG hat den Schweizer Datenschutz auf ein modernes, der DSGVO weitgehend angenähertes Niveau gehoben und ist seit September 2023 verbindlich. Trotz der Annäherung bestehen wichtige Unterschiede — vom Wegfall des Schutzes juristischer Personen bis zum eigenständigen Sanktionssystem, das verantwortliche Personen statt Unternehmen ins Visier nimmt. Schweizer Unternehmen, die auch in der EU tätig sind, müssen beide Regime beachten, können dafür aber ein gemeinsames Datenschutzmanagement aufbauen. Wer Datenschutz konsequent umsetzt und auf Schweiz- oder EU-Hosting setzt, erfüllt die Anforderungen und stärkt zugleich das Vertrauen seiner Kunden.