Zurück zum Blog
IT-Infrastruktur & Compliance

Datenschutz für KMU Schweiz: Der revDSG-Leitfaden 2026

Seit September 2023 gilt das revidierte Datenschutzgesetz. Viele Schweizer KMU haben die Umsetzung bis heute nicht abgeschlossen – obwohl Bussen bis CHF 250'000 direkt gegen die Geschäftsleitung drohen.

Autor: GIAR Digital April 2026 10 Min. Lesezeit

Disclaimer: Dieser Artikel ist eine praxisorientierte Übersicht, ersetzt aber keine juristische Beratung. Für komplexe Fragen – etwa zum Datenexport in die USA – empfehlen wir die Zusammenarbeit mit einer auf Datenschutz spezialisierten Kanzlei.

Was ist das revDSG überhaupt?

Das revidierte Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft und löst das alte DSG von 1992 ab. Ziel: eine Modernisierung auf den Stand der EU-DSGVO, damit der freie Datenfluss zwischen Schweiz und EU weiter gesichert bleibt (Angemessenheitsbeschluss).

Für die meisten Schweizer KMU gilt: Wer bereits DSGVO-konform arbeitet, muss nur wenige Schweizer Besonderheiten ergänzen. Wer das revDSG bisher ignoriert hat, hat einigen Nachholbedarf.

Die 6 wichtigsten Neuerungen gegenüber dem alten DSG

Nur noch natürliche Personen geschützt

Juristische Personen fallen – anders als früher – nicht mehr unter den Schutz.

Privacy by Design & by Default

Datenschutz muss bereits in der Produkt- und Prozessentwicklung mitgedacht werden.

Verzeichnis der Bearbeitungstätigkeiten

Pflicht für Unternehmen ab 250 Mitarbeitenden oder bei sensibler Datenbearbeitung.

Erweiterte Informationspflicht

Betroffene müssen aktiv über Datenerhebung, Zweck und Empfänger informiert werden.

Meldepflicht bei Datenpannen

"Unverzüglich" an EDÖB melden bei hohem Risiko für Betroffene.

Datenschutz-Folgenabschätzung (DSFA)

Bei risikoreicher Bearbeitung, z. B. Profiling oder systematischer Überwachung.

Die 8-Punkte-Checkliste für Schweizer KMU

1

Datenschutzerklärung auf der Website

Pflicht

Transparente Erklärung zu: welche Daten werden erhoben, wozu, an wen weitergegeben, wie lange gespeichert. Spezifisch für die Schweiz und nicht eine blosse DSGVO-Kopie.

2

Bearbeitungsverzeichnis

Empfohlen / ab 250 MA Pflicht

Auflistung aller Prozesse, die Personendaten bearbeiten (HR, CRM, Marketing, Buchhaltung, etc.). Unter 250 Mitarbeitende: freiwillig, aber de facto Pflicht zur Nachweisführung.

3

Technische und organisatorische Massnahmen (TOMs)

Pflicht

Dokumentierte Massnahmen zur Datensicherheit: Zugriffsrechte, Verschlüsselung, Backup, MFA, Logging. Siehe unseren Artikel IT-Sicherheit für KMU.

4

Auftragsbearbeitungsverträge (ADV / DPA)

Pflicht

Mit jedem Dienstleister, der Personendaten für Sie bearbeitet (M365, Mailchimp, Bexio, externe IT-Firma), braucht es einen schriftlichen Vertrag.

5

Betroffenenrechte umsetzen

Pflicht

Auskunfts-, Berichtigungs-, Löschungs- und Datenportabilitätsrechte. Interner Prozess, wie solche Anfragen innert 30 Tagen beantwortet werden.

6

Datenexport in Drittländer (v. a. USA) prüfen

Pflicht

Bei US-Cloud-Services (OpenAI, Google, viele SaaS) braucht es zusätzliche Schutzmassnahmen oder Standardvertragsklauseln. Schweizer/EU-Hosting ist die einfachste Lösung.

7

Incident-Response-Plan für Datenpannen

Pflicht

Definierter Ablauf: Wer stellt Panne fest? Wer entscheidet über Meldung? Wie wird an EDÖB gemeldet? Wie werden Betroffene informiert?

8

Mitarbeitende schulen

Empfohlen

Einmalige Grundschulung plus jährliche Auffrischung. Besonders wichtig für HR, Marketing und IT-Verantwortliche.

Spezialfall: KI-Tools wie ChatGPT und Copilot

Ein Thema, das 2026 viele KMU beschäftigt: Darf ich ChatGPT, Claude oder Microsoft Copilot mit Kundendaten nutzen? Die kurze Antwort: differenziert.

  • ChatGPT Free / Plus: Daten werden standardmässig fürs Training verwendet – keine Kundendaten einspielen.
  • ChatGPT Business / Team / Enterprise: kein Training auf Ihren Daten, ADV vorhanden – nutzbar.
  • Microsoft Copilot for M365: Hosting in EU, vertragliche Grundlage vorhanden – DSG-konform einsetzbar.
  • Claude Teams / Enterprise (Anthropic): ADV verfügbar, Hosting in EU wählbar.
  • Für besonders sensible Daten (Gesundheit, Finanzen): Schweizer Hosting oder On-Premise-LLMs erwägen.

Was droht bei Verstössen?

CHF 250'000

Maximalbusse pro Verstoss

Natürliche Person

haftet persönlich – nicht die Firma

Anzeige

möglich durch EDÖB oder Betroffene

Der wichtigste Unterschied zur DSGVO: Bussen treffen in der Schweiz direkt die verantwortliche natürliche Person – meist die Geschäftsleitung oder den/die Datenschutzverantwortliche*n. Das macht das Thema auf Führungsebene persönlich relevant.

Fazit: Datenschutz ist 2026 kein Nice-to-have mehr

Die gute Nachricht: Für die meisten KMU ist die revDSG-Konformität mit überschaubarem Aufwand erreichbar. Der typische Zeitbedarf liegt bei 3–6 Tagen Beratung plus interner Aufwand – abhängig davon, wie digital Ihr Unternehmen bereits ist.

Die schlechte Nachricht: Einmal aufgesetzt, bleibt Datenschutz ein Dauerthema. Neue Tools, neue Lieferanten, KI-Integrationen – all das muss laufend datenschutzrechtlich geprüft werden.

Kostenloser revDSG-Quickcheck

In 30 Minuten prüfen wir, wo Ihr KMU beim Datenschutz aktuell steht – mit priorisierter To-do-Liste.

Quickcheck vereinbaren