Privacy & DSGVO
GDPR, Swiss DSG, data transfers, processor agreements, breach playbooks.
DSGVO vs. revDSG: Der vollständige Vergleich für DACH-Unternehmen
Schweizer revDSG und EU-DSGVO im Detail-Vergleich. Wo sie sich unterscheiden, wo sie ähnlich sind, und wie Unternehmen beide Regime gleichzeitig abdecken.
DSGVO für Schweizer KMU: Wann Sie betroffen sind und was zu tun ist
Nicht jedes Schweizer KMU fällt unter die DSGVO — aber viele. Pragmatischer Leitfaden zur Bestimmung der Anwendbarkeit und Grundschritte der Compliance.
Cookie-Consent unter DSGVO 2026: Best Practices und rechtliche Fallstricke
Cookie-Banner richtig machen: Opt-in, Ablehnen auf gleicher Ebene, TTDSG-Konformität, revDSG-Unterschiede. Aktuelle EuGH-Urteile und Abmahnrisiken.
Datenschutz-Folgenabschätzung (DSFA): Vollständige Anleitung mit Template
Artikel 35 DSGVO verlangt DSFA bei hohem Risiko. Wann eine DSFA nötig ist, wie sie strukturiert wird, und was Aufsichtsbehörden prüfen.
Auftragsverarbeitungsvertrag (AVV): Template und Pitfalls für SaaS
Jeder SaaS-Anbieter braucht einen AVV nach Artikel 28 DSGVO. Pflichtbestandteile, Standard-Klauseln und die häufigsten Fehler in Praxis-Verträgen.
Privacy Notice erstellen: DSGVO-konforme Datenschutzerklärung Schritt für Schritt
Artikel 13/14 DSGVO verlangen eine Informationspflicht. Was in eine Datenschutzerklärung gehört, welche Generatoren taugen und welche Pitfalls zu vermeiden sind.
Datenschutzbeauftragter: Wann DSB-Pflicht, wann interne Rolle, wann externer?
Artikel 37 DSGVO und BDSG §38 regeln die DSB-Pflicht unterschiedlich. Schweiz hat Datenschutzberater. Wer wann was braucht — mit Praxis-Entscheidungsbaum.
revDSG: Was Schweizer Unternehmen seit dem 1.9.2023 wissen müssen
Das revidierte Datenschutzgesetz ist seit September 2023 in Kraft. Die zentralen Änderungen gegenüber dem alten DSG und was konkret zu tun war.
DSGVO Audit Checkliste: 40-Punkte-Plan für Ihre Selbstprüfung
Umfassende Selbst-Audit-Checkliste mit 40 konkreten Prüfpunkten entlang der DSGVO-Kapitel. Vor einer behördlichen Prüfung zu wissen, wo Lücken sind.
International Data Transfers nach Schrems II: EU-SCC, TIA, Data Privacy Framework
Datentransfers aus der EU: Schrems II, die neuen EU-SCCs 2021, Transfer Impact Assessments und der Status des EU-US Data Privacy Framework 2024.
Datenpannen-Meldung: Das 72-Stunden-Protokoll mit Template
Artikel 33 DSGVO verlangt Meldung binnen 72 Stunden. Der exakte Ablauf: Erkennung, Bewertung, Meldung, Dokumentation, Betroffenenbenachrichtigung.
DSGVO-Bussgelder: Die grössten Fälle 2018-2026 analysiert
Amazon 746 Mio, Meta 1,2 Mrd, TikTok 345 Mio — die 20 grössten DSGVO-Bussgelder seit 2018. Warum sie verhängt wurden und welche Lessons Learned.
Privacy-by-Design für SaaS-Produkte: Sieben Prinzipien in der Praxis
Artikel 25 DSGVO verlangt Privacy-by-Design. Konkrete Engineering-Entscheidungen für Multi-Tenant-SaaS: Datenminimierung, Encryption, Retention, Access-Controls.
Do you need a DPO? The SME decision in Switzerland and Germany
When appointing a Data Protection Officer is legally required, when it's recommended, and the cost calculus for DACH SMEs.
Datenschutzerklärung für Websites: Pflichtangaben und Fallstricke
Was in eine Website-Datenschutzerklärung gehört: Hoster, Analytics, Tracking, Social Embeds, Fonts, Maps, Formulare. Inkl. Struktur-Vorlage.
DSGVO für E-Commerce-Shops: Bestellungen, Versand, Newsletter, Analytics
E-Commerce bringt DSGVO-Komplexität: Bestell-, Versand-, Zahlungs-, Newsletter-, Retargeting-Daten. Rechtsgrundlagen, AVVs und Retention-Logik erklärt.
Data transfers between Switzerland, the EU, and beyond
Adequacy decisions, Standard Contractual Clauses, the Swiss-US framework. How to legally move data across borders as a DACH SaaS.
Processor agreements for SaaS: The DPA checklist
Data Processing Agreement requirements under GDPR Article 28, with a concrete checklist for SaaS processor contracts.
The data breach notification playbook
The 72-hour clock, what to document, who to tell, and how to avoid making a small breach into a regulatory escalation.
Cookie consent in 2026: What actually works
Post-TTDSG, post-ePrivacy patchwork, with CNIL and DSK enforcement active. The cookie consent patterns that hold up to audit.
Data subject request workflows for SMEs
Access, deletion, portability — how to handle DSRs without dedicated privacy engineering resources.
GDPR records of processing: The Article 30 guide
What goes in your RoPA, who's exempt, and the maintenance discipline that separates paper compliance from operational compliance.
When do you need a DPIA, and how do you run one?
DPIA triggers, methodology, and the common AI-era scenarios that turn standard processing into high-risk under Article 35.
Breach notification: GDPR vs Swiss nFADP
The 72-hour GDPR clock vs the "as soon as possible" Swiss rule. How cross-border DACH SaaS handles dual-regime breach response.
GDPR vs Swiss DSG: Where they diverge
The revised Swiss FADP looks like GDPR but differs in important practical ways. A comparison for DACH-focused businesses.