Kurz vorweg: IT-Compliance für Schweizer KMU ist kein einzelnes Gesetz, sondern ein Zusammenspiel. Das revDSG (in Kraft seit 1. September 2023) bildet den Kern, ergänzt um die Datenschutz-Folgenabschätzung bei hohem Risiko, ein Fundament an Informationssicherheit, mögliche EU-Bezüge über DSGVO und EU AI Act sowie branchenspezifische Regeln wie FINMA oder Vorgaben im Gesundheitswesen. Bussen bis CHF 250’000 treffen im revDSG grundsätzlich die verantwortliche natürliche Person, nicht die Firma. Dieser Beitrag ordnet die Landschaft und liefert einen 8-Punkte-Fahrplan. Er ist eine fachliche Orientierung, keine Rechtsberatung.
Was Compliance für Schweizer KMU heute umfasst
Wer «Compliance» hört, denkt zuerst an Datenschutz. Das ist richtig, aber zu kurz gegriffen. In der Praxis stehen Schweizer KMU 2026 vor mehreren, ineinandergreifenden Pflichtenkreisen. Manche gelten für alle, andere nur bei bestimmten Tätigkeiten, Branchen oder Marktbezügen. Die folgende Übersicht ordnet die fünf Felder, die für die meisten KMU zusammen die Compliance-Landkarte bilden.
| Bereich | Worum es geht | Besonders relevant für |
|---|---|---|
| revDSG (Datenschutz) | Rechtmässige Bearbeitung von Personendaten, Transparenz und Betroffenenrechte | Alle Schweizer KMU ohne Ausnahme |
| DSFA (Folgenabschätzung) | Vorabprüfung bei Bearbeitungen mit hohem Risiko für die Persönlichkeit | KMU mit heiklen oder umfangreichen Datenbearbeitungen |
| Informationssicherheit | Technische und organisatorische Massnahmen (TOMs) – Backup, Patch, MFA, Zugriff | Alle; verschärft durch den NIS2-Sog aus der EU-Lieferkette |
| EU AI Act | Regeln für KI-Systeme mit Bezug zum EU-Markt | KMU, die KI-Systeme in der EU anbieten oder deren Output dort genutzt wird |
| Branchenrecht | Sektorspezifische Vorgaben, z. B. Auslagerung, Aufbewahrung, Patientendaten | Finanzdienstleister (FINMA), Gesundheitswesen, regulierte Branchen |
Der «NIS2-Sog» ist dabei ein wichtiger Punkt: Die EU-Richtlinie NIS2 gilt nicht direkt für Schweizer Unternehmen, wirkt aber über die Lieferkette. Wer als Zulieferer oder Dienstleister für ein NIS2-pflichtiges EU-Unternehmen arbeitet, wird vertraglich zu einem bestimmten Sicherheitsniveau verpflichtet – auch ohne selbst unter das Gesetz zu fallen. Compliance ist damit selten ein rein rechtliches, sondern fast immer auch ein technisches Thema.
revDSG in Kürze: die Kernpflichten
Das revidierte Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und gilt für jedes Schweizer Unternehmen. Es kennt keine Übergangsfrist mehr – die Pflichten sind wirksam. Für den Alltag lassen sie sich auf einige zentrale Bausteine herunterbrechen, die jedes KMU kennen sollte.
| Pflicht | Was das für Sie heisst |
|---|---|
| Bearbeitungsverzeichnis | Dokumentation, welche Personendaten zu welchem Zweck bearbeitet werden. Erleichterung möglich für Unternehmen unter 250 Mitarbeitenden ohne hohes Risiko. |
| Datenschutzerklärung | Transparente Information der betroffenen Personen bei der Beschaffung von Daten – auf Website und in relevanten Prozessen. |
| ADV / AVV | Auftragsbearbeitungsverträge mit jedem Dienstleister, der in Ihrem Auftrag Personendaten bearbeitet (Cloud, IT, Marketing). |
| TOMs | Angemessene technische und organisatorische Massnahmen zur Datensicherheit – der Brückenschlag zur Informationssicherheit. |
| Meldepflicht | Meldung von Verletzungen der Datensicherheit an den EDÖB, sofern ein hohes Risiko für die betroffenen Personen besteht – so rasch als möglich. |
| Bussen | Bis zu CHF 250’000, grundsätzlich gegen die verantwortliche natürliche Person gerichtet, nicht gegen das Unternehmen. |
Die Busshöhe wird oft missverstanden: Anders als bei der DSGVO, die Unternehmen mit prozentualen Umsatzbussen belegt, richtet sich die revDSG-Busse gegen die verantwortliche Person, die vorsätzlich handelt. Das macht klare interne Zuständigkeiten und dokumentierte Prozesse besonders wertvoll. Wie Sie die einzelnen Pflichten konkret umsetzen, zeigt unser ausführlicher revDSG-Leitfaden – dieser Beitrag hier bleibt bewusst der Überblick über die gesamte Compliance-Landschaft.
Wann eine DSFA nötig ist
Eine Datenschutz-Folgenabschätzung (DSFA) ist kein Standardschritt für jede Datenbearbeitung. Sie wird erst dann zur Pflicht, wenn eine geplante Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Das revDSG nennt dafür typische Auslöser, die als Faustregel taugen.
- Umfangreiche Bearbeitung besonders schützenswerter Personendaten – etwa Gesundheits-, Religions- oder biometrische Daten.
- Systematische und umfangreiche Überwachung öffentlicher oder halböffentlicher Bereiche.
- Einsatz neuer Technologien mit unklaren Folgen – zum Beispiel KI-gestütztes Profiling oder automatisierte Einzelentscheide mit erheblicher Auswirkung.
Ergibt die DSFA weiterhin ein hohes Risiko, das sich mit Massnahmen nicht ausreichend senken lässt, ist der EDÖB zu konsultieren. Für die meisten alltäglichen Bearbeitungen im KMU – Lohnbuchhaltung, Kundenkartei, Newsletter – ist keine DSFA nötig. Sobald jedoch KI, Videoüberwachung oder heikle Daten ins Spiel kommen, lohnt sich die strukturierte Prüfung. Wie eine DSFA Schritt für Schritt abläuft, erklärt unser DSFA-Leitfaden für KMU.
Der EU-Bezug: DSGVO und EU AI Act
Viele KMU gehen davon aus, dass EU-Recht sie nicht betrifft, weil sie in der Schweiz sitzen. Das stimmt nicht immer. Zwei Regelwerke wirken extraterritorial und können ein Schweizer KMU zusätzlich zum revDSG erfassen.
DSGVO – das Marktortprinzip: Die EU-Datenschutz-Grundverordnung gilt für ein Schweizer Unternehmen, sobald es Personen in der EU gezielt Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet. Ein Onlineshop mit Lieferung und Preisen in Euro, gezieltes Marketing in EU-Länder oder Tracking von EU-Besucherinnen und -Besuchern können die DSGVO auslösen – parallel zum revDSG. Wer ausschliesslich Schweizer Kundschaft bedient, ist in der Regel nicht direkt DSGVO-pflichtig.
EU AI Act: Auch die europäische KI-Verordnung reicht über die Grenze. Betroffen sind Schweizer Unternehmen, die KI-Systeme auf dem EU-Markt anbieten oder deren KI-Ergebnisse in der EU verwendet werden. Die Pflichten richten sich nach der Risikoklasse des Systems. Für rein interne KI-Anwendungen ohne EU-Bezug besteht meist keine direkte Betroffenheit, doch eine kurze Prüfung ist ratsam, sobald KI kunden- oder produktseitig zum Einsatz kommt. Details dazu finden Sie im Beitrag EU AI Act für Schweizer Unternehmen.
Informationssicherheit als Compliance-Fundament
Das revDSG verlangt «angemessene technische und organisatorische Massnahmen» – konkretisiert sie aber nicht bis ins Detail. Genau hier verbindet sich Datenschutz mit Informationssicherheit: Ohne ein solides technisches Fundament sind die rechtlichen Pflichten nicht erfüllbar. Vier Bausteine bilden das Minimum, auf dem alles Weitere aufbaut.
- Backup: Regelmässige, getestete Datensicherung nach dem 3-2-1-Prinzip – die Grundlage, um nach einem Vorfall handlungsfähig zu bleiben.
- Patch-Management: Betriebssysteme und Software zeitnah aktualisieren. Ungepatchte Systeme sind das häufigste Einfallstor und ein direkter TOM-Mangel.
- MFA: Mehrfaktor-Authentifizierung für alle wichtigen Konten, insbesondere Microsoft 365, VPN und Admin-Zugänge – der wirksamste Einzelschutz gegen Kontoübernahmen.
- Zugriffskonzept: Berechtigungen nach dem Prinzip der geringsten Rechte vergeben und dokumentieren – wer sieht welche Daten, und warum.
Wer diese Massnahmen strukturieren will, findet in etablierten Rahmenwerken eine bewährte Orientierung – etwa im NIST Cybersecurity Framework 2.0, das sich gut auf KMU herunterbrechen lässt. Und weil kompromittierte Zugänge der häufigste Ausgangspunkt für Datenschutzverletzungen sind, ist MFA für KMU der Baustein mit dem besten Verhältnis von Aufwand zu Wirkung.
Der 8-Punkte-Compliance-Fahrplan
Compliance wirkt schnell überwältigend. In der Praxis kommen Sie mit einer klaren Reihenfolge weit. Die folgenden acht Schritte bringen ein KMU vom Nullpunkt zu einem belastbaren, dokumentierten Stand – ohne Überregulierung.
Bestandsaufnahme
Welche Personendaten bearbeiten Sie, wo liegen sie, welche Systeme und Dienstleister sind beteiligt? Ohne dieses Bild bleibt jede weitere Massnahme Stückwerk.
Bearbeitungsverzeichnis
Die erfassten Bearbeitungen strukturiert dokumentieren – Zweck, Kategorien, Empfänger, Aufbewahrung. Das Verzeichnis ist Pflicht und zugleich die Arbeitsgrundlage für alles Weitere.
Datenschutzerklärung
Website und relevante Prozesse mit einer transparenten, verständlichen Datenschutzerklärung ausstatten, die zum tatsächlichen Vorgehen passt – nicht als Textbaustein von der Stange.
Auftragsbearbeitung regeln
Für jeden Dienstleister, der Personendaten in Ihrem Auftrag bearbeitet, einen ADV abschliessen und Datenstandort sowie Subunternehmer prüfen – gerade bei Cloud-Diensten.
TOMs umsetzen
Backup, Patch-Management, MFA und ein dokumentiertes Zugriffskonzept einführen. Das technische Fundament erfüllt zugleich die Datensicherheitspflicht des revDSG.
DSFA-Bedarf prüfen
Für risikoreiche Bearbeitungen – heikle Daten, Überwachung, KI – prüfen, ob eine Folgenabschätzung nötig ist, und diese bei Bedarf durchführen.
Meldeprozess & Verantwortung
Festlegen, wer intern für Datenschutz zuständig ist, und einen Prozess für Datenschutzverletzungen definieren, damit eine Meldung an den EDÖB im Ernstfall rasch erfolgt.
EU- & Branchenbezug klären
Prüfen, ob DSGVO, EU AI Act oder Branchenrecht wie FINMA zusätzlich greifen, und die Compliance einmal jährlich auf Aktualität überprüfen.
Häufige Fragen zur IT-Compliance
Seit wann gilt das revDSG und für welche Unternehmen?
Das revidierte Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und gilt für alle Unternehmen in der Schweiz, unabhängig von der Grösse. Kleinere Erleichterungen bestehen nur bei einzelnen Pflichten – etwa beim Bearbeitungsverzeichnis für Unternehmen mit weniger als 250 Mitarbeitenden, sofern keine umfangreiche Bearbeitung besonders schützenswerter Daten und kein hohes Risiko vorliegt.
Wie hoch sind die Bussen bei Verstössen und wen treffen sie?
Das revDSG sieht Bussen von bis zu CHF 250’000 vor. Anders als unter der DSGVO richten sie sich grundsätzlich gegen die verantwortliche natürliche Person, die einen Verstoss vorsätzlich begeht – also gegen Geschäftsführung oder zuständige Mitarbeitende, nicht gegen das Unternehmen als solches. Deshalb ist eine klare interne Verantwortungszuweisung so wichtig.
Braucht ein KMU immer eine DSFA?
Nein. Eine Datenschutz-Folgenabschätzung ist nur nötig, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt – etwa bei umfangreicher Bearbeitung heikler Daten, systematischer Überwachung oder KI-gestütztem Profiling. Für viele Standardbearbeitungen im KMU ist keine DSFA erforderlich.
Gilt für Schweizer KMU auch die EU-DSGVO?
Möglicherweise zusätzlich zum revDSG. Nach dem Marktortprinzip fällt ein Schweizer KMU unter die DSGVO, wenn es Personen in der EU gezielt Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet – zum Beispiel über einen Onlineshop mit Lieferung in die EU. Wer nur Schweizer Kundschaft bedient, ist in der Regel nicht direkt DSGVO-pflichtig.
Ist der EU AI Act für Schweizer KMU relevant?
Er kann relevant sein. Der EU AI Act wirkt extraterritorial: Betroffen sind auch Schweizer Unternehmen, die KI-Systeme auf dem EU-Markt anbieten oder deren KI-Ergebnisse in der EU genutzt werden. Ein rein interner KI-Einsatz ohne EU-Bezug fällt meist nicht darunter, doch eine kurze Betroffenheitsprüfung lohnt sich, sobald KI markt- oder kundenseitig eingesetzt wird.
Fazit: Compliance als geführter Prozess
IT-Compliance für Schweizer KMU ist keine einmalige Aufgabe und kein einzelnes Gesetz, sondern ein geführter Prozess über mehrere Felder: revDSG als Kern, DSFA bei erhöhtem Risiko, Informationssicherheit als Fundament und der EU-Bezug über DSGVO und EU AI Act. Wer den 8-Punkte-Fahrplan Schritt für Schritt abarbeitet und einmal jährlich prüft, erfüllt nicht nur die Pflichten, sondern reduziert zugleich das reale Risiko von Datenpannen und Betriebsunterbrüchen. Dieser Beitrag ist eine fachliche Einordnung und ersetzt im Einzelfall keine rechtliche Beratung.
Compliance-Standort bestimmen
Wir verschaffen Ihnen einen strukturierten Überblick: Wo steht Ihr KMU bei revDSG, DSFA, Informationssicherheit und EU-Bezug – und welche Schritte bringen am meisten? Auf Wunsch begleiten wir die technische Umsetzung von Backup über MFA bis zum Zugriffskonzept.
Beratung anfragen