Seit dem Inkrafttreten des revidierten Bundesgesetzes über den Datenschutz (nDSG) am 1. September 2023 stehen viele Schweizer KMU vor einer doppelten Herausforderung: Sie müssen sowohl das Schweizer Recht einhalten als auch — sofern sie Daten von EU-Einwohnern bearbeiten — die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Beide Gesetze verfolgen dasselbe Ziel, unterscheiden sich aber in wesentlichen Punkten, die jedes Unternehmen kennen sollte.
Dieser Praxisleitfaden zeigt Ihnen die 10 wichtigsten Unterschiede zwischen nDSG und DSGVO — mit direkten Konsequenzen für Ihren Geschäftsalltag.
Schnellvergleich: nDSG vs DSGVO
| Kriterium | nDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Persönlicher Geltungsbereich | Nur natürliche Personen (seit Revision 2023) | Nur natürliche Personen |
| Bussen | Bis CHF 250 000 (Strafrecht, natürliche Person) | Bis € 20 Mio. oder 4 % Jahresumsatz (Verwaltungsrecht, Unternehmen) |
| Datenschutzbeauftragter | Freiwillig (empfohlen) | Pflicht in bestimmten Fällen |
| Rechtmässigkeitsgrundlage | Überwiegendes Interesse | Einwilligung / berechtigtes Interesse |
| Meldepflicht bei Verstössen | Bei hohem Risiko, unverzüglich | Innerhalb von 72 Stunden, sofern Risiko für Rechte und Freiheiten der Betroffenen |
| Bearbeitungsverzeichnis | Grundsätzlich alle Unternehmen | Unternehmen > 250 Mitarbeitende oder Risikobearbeitung |
| Aufsichtsbehörde | EDÖB | Nationale Behörde je Mitgliedstaat |
| Auslandstransfers | Angemessenheitsliste EDÖB | Angemessenheitsbeschluss der EU-Kommission |
| DSB-Pflicht | Art. 10 nDSG: empfohlen | Art. 37 DSGVO: Pflicht (bestimmte Fälle) |
| Besondere Datenkategorien | Genetische + biometrische Daten enthalten | Ähnliche Liste, teilweise abweichend |
1. Persönlicher Geltungsbereich: Angleichung an die DSGVO
nDSG: Mit der Revision vom 1. September 2023 schützt das Schweizer Datenschutzgesetz nur noch natürliche Personen. Das alte DSG (vor der Revision) schützte auch juristische Personen — diese Besonderheit wurde mit dem revidierten Gesetz aufgegeben, um eine Angleichung an europäische Standards zu erreichen.
DSGVO: Die Verordnung schützt ausschliesslich natürliche Personen. Daten über Unternehmen oder Organisationen fallen nicht in ihren Anwendungsbereich.
Praxiskonsequenz: Beide Gesetze sind nun in diesem Punkt deckungsgleich. B2B-Kontaktdaten, die sich auf natürliche Personen beziehen (z. B. Ansprechpartner in Firmen), unterliegen weiterhin dem Datenschutz. Reine Unternehmensdaten (Firmennamen, Handelsregistereinträge) fallen nicht mehr unter das nDSG.
2. Sanktionen: Strafrecht vs Verwaltungsrecht
Dies ist der markanteste und oft missverstandene Unterschied.
nDSG: Verstösse werden nach Strafrecht geahndet — mit Bussen bis zu CHF 250 000. Die Strafbarkeit richtet sich gegen natürliche Personen (Geschäftsführer, IT-Verantwortliche), nicht gegen das Unternehmen. Eine Strafverfolgung setzt in der Regel eine Anzeige oder ein Verfahren des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) voraus.
DSGVO: Sanktionen sind verwaltungsrechtlicher Natur und richten sich gegen das Unternehmen — bis zu € 20 Millionen oder 4 % des weltweiten Jahresumsatzes. Aufsichtsbehörden können diese Bussen von Amtes wegen verhängen.
Praxiskonsequenz: In der Schweiz tragen Führungspersonen persönlich das Risiko. Bei EU-Kundschaft besteht zusätzlich das Unternehmensrisiko nach DSGVO. Beide Risiken können gleichzeitig bestehen.
3. Datenschutzbeauftragter (DSB / DPO)
nDSG (Art. 10): Die Benennung eines Datenschutzberaters ist freiwillig, aber empfohlen. Wer einen DSB ernennt, muss dessen Unabhängigkeit gewährleisten. Der DSB geniesst Kündigungsschutz.
DSGVO (Art. 37): Ein Datenschutzbeauftragter ist Pflicht für öffentliche Stellen, Unternehmen mit umfangreicher systematischer Überwachung sowie Unternehmen, die in grossem Massstab besondere Datenkategorien bearbeiten.
Praxiskonsequenz: Viele Schweizer KMU sind nach DSGVO nicht verpflichtet, einen DPO zu ernennen. Dennoch empfiehlt sich ein interner Datenschutzverantwortlicher — er reduziert das persönliche Strafbarkeitsrisiko nach nDSG erheblich.
4. Rechtmässigkeit der Datenbearbeitung
nDSG: Eine Datenbearbeitung ist grundsätzlich zulässig, wenn kein Verstoss gegen die allgemeinen Grundsätze vorliegt (Art. 6 nDSG). Ein überwiegendes Interesse des Verantwortlichen kann die Bearbeitung rechtfertigen. Eine ausdrückliche Einwilligung ist nicht in jedem Fall erforderlich.
DSGVO (Art. 6): Es gibt sechs explizite Rechtsgrundlagen: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Jede Bearbeitung muss einer davon zugeordnet und dokumentiert werden.
Praxiskonsequenz: Das nDSG ist bei alltäglichen Bearbeitungen etwas flexibler. Sobald EU-Nutzer involviert sind, müssen Sie für jede Bearbeitung eine DSGVO-Rechtsgrundlage dokumentieren.
5. Meldepflicht bei Datenschutzverletzungen
nDSG (Art. 24): Verletzungen der Datensicherheit mit voraussichtlich hohem Risiko für die betroffene Person müssen dem EDÖB unverzüglich gemeldet werden. Betroffene Personen sind zu informieren, wenn dies zu ihrem Schutz erforderlich ist.
DSGVO (Art. 33–34): Jede Verletzung des Schutzes personenbezogener Daten ist der Aufsichtsbehörde innerhalb von 72 Stunden zu melden — es sei denn, sie ist «voraussichtlich nicht mit einem Risiko verbunden». Bei hohem Risiko müssen auch die Betroffenen direkt informiert werden.
Praxiskonsequenz: Die DSGVO setzt mit 72 Stunden eine strikte Frist. Das nDSG verlangt ebenfalls schnelles Handeln, ohne feste Frist. Erstellen Sie jetzt einen Incident-Response-Plan, bevor ein Vorfall eintritt.
6. Räumlicher Geltungsbereich
nDSG: Gilt für Unternehmen mit Sitz in der Schweiz sowie für ausländische Unternehmen, deren Bearbeitung Auswirkungen in der Schweiz hat (Auswirkungsprinzip).
DSGVO: Gilt für jedes Unternehmen, das Waren oder Dienstleistungen an EU-Einwohner anbietet oder deren Verhalten beobachtet — unabhängig vom Unternehmenssitz.
Praxiskonsequenz: Ein Zürcher KMU mit englischsprachiger Website, das auch deutsche oder französische Kunden bedient, unterliegt beiden Gesetzen gleichzeitig. Ein rein auf die Schweiz ausgerichtetes Unternehmen muss nur das nDSG beachten.
7. Rechte der betroffenen Personen
Beide Gesetze gewähren ähnliche Rechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit), mit wichtigen Unterschieden:
nDSG (Art. 25): Verstärktes Informationsrecht ab Datenerhebung. Das Auskunftsrecht ist grundsätzlich kostenlos, ausser bei missbräuchlicher Ausübung. Recht auf Datenübertragbarkeit vorhanden, aber weniger detailliert geregelt.
DSGVO (Art. 15–22): Sehr detaillierte Rechte, Antwortfrist 1 Monat (verlängerbar auf 3 Monate). Recht auf Datenübertragbarkeit in strukturiertem, maschinenlesbarem Format. Explizites Widerspruchsrecht gegen Profiling.
Praxiskonsequenz: Richten Sie eine interne Stelle ein, die Anfragen betroffener Personen bearbeitet. Unter der DSGVO sind Sie an die Monatsfrist gebunden. Führen Sie ein Protokoll aller eingegangenen Anfragen und Ihrer Antworten.
8. Internationale Datenübermittlungen
nDSG: Der EDÖB führt eine Liste von Ländern mit angemessenem Datenschutzniveau. Bei Übermittlungen in andere Länder sind geeignete Garantien erforderlich (Schweizer Standardvertragsklauseln, BCR).
DSGVO: Die EU-Kommission führt eine eigene Angemessenheitsliste. Die Schweiz steht auf dieser Liste — das Umgekehrte gilt nicht automatisch. EU-Standardvertragsklauseln (SCC) werden häufig verwendet.
Praxiskonsequenz: Bei Datenübermittlungen in die USA oder andere Drittländer müssen Sie beide Anforderungen — EDÖB und EU-Kommission — erfüllen. Prüfen Sie Ihre Verträge mit US-Dienstleistern (Cloud, CRM, Marketing-Tools) auf Konformität mit beiden Rechtsordnungen.
9. Bearbeitungsverzeichnis
nDSG (Art. 12): Grundsätzlich alle Unternehmen müssen ein Bearbeitungsverzeichnis führen. Ausnahmen gelten für Unternehmen mit weniger als 250 Mitarbeitenden, sofern ihre Bearbeitungen kein erhöhtes Risiko für die betroffenen Personen mit sich bringen.
DSGVO (Art. 30): Verzeichnispflicht für Unternehmen mit mehr als 250 Mitarbeitenden — ausser die Bearbeitung ist nicht nur gelegentlich, birgt Risiken für Rechte und Freiheiten oder betrifft besondere Datenkategorien.
Praxiskonsequenz: Das nDSG kann für Kleinstunternehmen strenger sein als die DSGVO. Ein 5-Personen-Betrieb ohne Hochrisikoverarbeitungen braucht in der EU kein Verzeichnis — in der Schweiz grundsätzlich schon. Starten Sie früh mit einem schlanken, aber vollständigen Bearbeitungsverzeichnis.
10. Aufsichtsbehörden
nDSG: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die einzige Schweizer Aufsichtsbehörde. Er kann Empfehlungen aussprechen, Sachverhaltsabklärungen einleiten und verbindliche Verfügungen erlassen.
DSGVO: Jeder EU-Mitgliedstaat hat seine eigene Aufsichtsbehörde (z. B. CNIL in Frankreich, BfDI in Deutschland, FINMA-nah in der Finanzbranche). Das «One-Stop-Shop»-Prinzip ermöglicht die Abwicklung grenzüberschreitender Fälle über die Behörde am Hauptsitz.
Praxiskonsequenz: Für die Schweiz haben Sie einen einzigen Ansprechpartner. Bei EU-Aktivitäten können mehrere Behörden zuständig sein. Beobachten Sie die Leitlinien des EDÖB unter edoeb.admin.ch und informieren Sie sich über die zuständigen EU-Behörden in Ihren Zielmärkten.
Wenn beide Gesetze gleichzeitig gelten
Ihr Schweizer KMU unterliegt beiden Gesetzen gleichzeitig, wenn Sie:
- Waren oder Dienstleistungen an EU-Einwohner anbieten,
- das Online-Verhalten von EU-Einwohnern beobachten (Cookies, Tracking, Analytics), oder
- Mitarbeitende oder Auftragnehmer in der EU haben.
Die Faustregel: Wenden Sie den jeweils höheren Standard an. In den meisten Fällen ist die DSGVO strenger — bei Fristen, DPO-Pflicht und Sanktionshöhe. Das nDSG hat jedoch eigene Besonderheiten, die kein EU-Äquivalent haben (Strafbarkeit natürlicher Personen, Bearbeitungsverzeichnis für alle).
Checkliste für doppelt betroffene Unternehmen:
- Datenschutzerklärung, die beide Gesetze abdeckt (oder länderspezifische Versionen)
- Vollständiges Bearbeitungsverzeichnis (Art. 12 nDSG + Art. 30 DSGVO)
- Meldeverfahren für Datenverletzungen (72h-Frist bei EU-Kundschaft beachten)
- Dokumentierte Rechtsgrundlagen für jede Bearbeitung
- Auftragsbearbeitungsverträge konform mit beiden Rechtsordnungen
- Cookie-Banner DSGVO-konform für EU-Besucher
Fazit
nDSG und DSGVO verfolgen dieselbe Grundidee — unterscheiden sich aber in Mechanismen, Sanktionen und praktischen Anforderungen erheblich. Für ein rein auf die Schweiz ausgerichtetes KMU gilt nur das nDSG. Sobald EU-Kundschaft ins Spiel kommt, gelten beide Regelwerke.
Die gute Nachricht: Die Ähnlichkeiten zwischen den Gesetzen sind gross genug, dass eine einzige, gut strukturierte Compliance-Massnahme den Grossteil beider Anforderungen abdeckt. Datenschutzkonformität ist zugleich ein Vertrauenssignal für Ihre Kundschaft — in der Schweiz wie in Europa.
Wissen Sie, ob Ihre Website den Anforderungen des nDSG entspricht? Starten Sie jetzt eine kostenlose Analyse mit PrivaScan — automatische Erkennung von Cookies, Trackern und Compliance-Lücken in wenigen Minuten.