Datenschutzrecht Schweiz: Leitfaden zum Bundesgesetz über den Datenschutz (nDSG)

Die Schweiz regelt den Datenschutz über das revidierte Bundesgesetz über den Datenschutz (nDSG, SR 235.1), das am 1. September 2023 in Kraft trat. Das Gesetz ist weltweit einzigartig: Strafrechtliche Bussen von bis zu 250.000 CHF treffen die verantwortliche Einzelperson, nicht das Unternehmen, und nur vorsätzliche Verstösse sind strafbar.
Die Schweiz betreibt eines der eigenständigsten Datenschutzsysteme der Welt. Das revidierte Bundesgesetz über den Datenschutz, im Englischen als nFADP oder FADP und auf Deutsch als revDSG (revidiertes Datenschutzgesetz) bezeichnet, SR 235.1, löste ein Gesetz von 1992 ab, das mit der Internetära nicht mehr Schritt gehalten hatte. Es trat am 1. September 2023 ohne Übergangsfrist in Kraft.
Das nDSG ist für jede Organisation relevant, die personenbezogene Daten von Personen mit Aufenthalt in der Schweiz verarbeitet, unabhängig davon, wo diese Organisation ihren Sitz hat. Sein Durchsetzungsmodell, das auf die verantwortliche natürliche Person statt auf die juristische Person abzielt, unterscheidet es von jedem grossen Datenschutzsystem in Europa und Nordamerika.
Dieser Leitfaden erläutert jede wesentliche Bestimmung des nDSG mit Stand Mai 2026, einschliesslich der wachsenden Zahl von Durchsetzungsentscheidungen des EDÖB seit Inkrafttreten des Gesetzes.
Anwendungsbereich: Dieser Artikel behandelt das Bundesdatenschutzrecht der Schweiz (SR 235.1, nDSG/revDSG) und die Rolle des EDÖB. Die Schweiz ist kein Mitglied der Europäischen Union; die EU-DSGVO gilt nicht unmittelbar für Schweizer Verantwortliche, die Daten innerhalb der Schweiz verarbeiten. Bietet eine Schweizer Organisation Waren oder Dienstleistungen für Personen in der EU/im EWR an oder beobachtet sie deren Verhalten, gelten parallel die Compliance-Pflichten der EU-DSGVO. Für die Regeln der Schweiz zur Einwilligung bei Tonaufnahmen siehe Aufnahmegesetze Schweiz.
Kurzantwort: Welches Gesetz regelt den Datenschutz in der Schweiz?
Das Schweizer Datenschutzrecht ist das Bundesgesetz über den Datenschutz, SR 235.1, in der im September 2023 revidierten Fassung (nDSG/revDSG). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit Sitz in Bern überwacht die Einhaltung. Die EU-DSGVO gilt nicht unmittelbar, jedoch verfügt die Schweiz über einen Angemessenheitsbeschluss der EU, sodass Datenflüsse zwischen der Schweiz und der EU ohne zusätzliche Garantien erfolgen können. Das nDSG sieht Bussen von bis zu 250.000 CHF gegen Einzelpersonen bei vorsätzlichen Verstössen vor, nicht gegen Unternehmen. Die Verarbeitung durch private Stellen ist grundsätzlich rechtmässig, sofern sie nicht die Persönlichkeitsrechte verletzt. Die Meldung von Datenschutzverletzungen an den EDÖB muss "so rasch als möglich" erfolgen, ohne feste 72-Stunden-Frist.

Geschichte und gesetzgeberischer Hintergrund
Das erste Bundesgesetz über den Datenschutz der Schweiz wurde am 19. Juni 1992 erlassen (SR 235.1). Damals galt das Gesetz als fortschrittlich, war jedoch in den 2010er-Jahren veraltet. Es entstand vor Cloud-Computing, Smartphone-Tracking, Verhaltensprofiling und modernen Praktiken von Datenhändlern.
Der Bundesrat unterbreitete dem Parlament 2017 eine umfassende Revisionsvorlage. Das Parlament verabschiedete das revidierte Gesetz nach ausführlicher Debatte, insbesondere über das Sanktionsmodell, in der Herbstsession 2020. Die begleitende Datenschutzverordnung (DSV, SR 235.11) und die Verordnung über Datenschutzzertifizierungen (VDSZ, SR 235.13) wurden im August 2022 fertiggestellt.
Das nDSG trat am 1. September 2023 in Kraft. Es gab keine Übergangsfrist. Bestehende Datenverarbeitungstätigkeiten mussten die neuen Anforderungen ab dem ersten Tag erfüllen.
Abkürzungsübersicht
Das Gesetz erscheint in der rechtlichen und wirtschaftlichen Literatur unter mehreren Abkürzungen:
- nDSG oder revDSG (Deutsch): neues beziehungsweise revidiertes Datenschutzgesetz
- nFADP oder FADP (Englisch): new Federal Act on Data Protection
- revLPD (Französisch): Loi sur la protection des données, révisée
- SR 235.1: die offizielle Systematische Rechtssammlung, sprachübergreifend einheitlich
Alle Bezeichnungen beziehen sich auf dasselbe Gesetz.

Anwendungsbereich
Wer vom nDSG erfasst wird
Das nDSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
- Privatpersonen und private Organisationen (Unternehmen, Vereine, Stiftungen, Einzelunternehmen)
- Bundesorgane
Eine bedeutende Änderung gegenüber dem Gesetz von 1992: Das nDSG schützt nur natürliche Personen. Das alte Gesetz erstreckte den Schutz auch auf juristische Personen (Unternehmen), was international ungewöhnlich war. Der Wegfall juristischer Personen als betroffene Personen bringt die Schweiz in Einklang mit dem Ansatz der DSGVO und mit dem Übereinkommen 108+ des Europarats.
Extraterritoriale Reichweite
Art. 3 nDSG legt einen ausdrücklichen extraterritorialen Geltungsbereich fest. Das Gesetz gilt für jede Bearbeitung, die Wirkungen in der Schweiz entfaltet, unabhängig davon, wo sich der Verantwortliche oder der Auftragsbearbeiter befindet.
In der Praxis erfasst dies drei Kategorien ausländischer Organisationen:
- Organisationen, die Personen in der Schweiz Waren oder Dienstleistungen anbieten, sei es entgeltlich oder unentgeltlich
- Organisationen, die das Verhalten von Personen in der Schweiz beobachten (zum Beispiel über Cookies, Tracking-Pixel oder Verhaltensanalysen)
- Organisationen, die Personendaten im Auftrag von in der Schweiz ansässigen Verantwortlichen bearbeiten
Vertretungspflicht für ausländische Verantwortliche
Ausländische Verantwortliche und Auftragsbearbeiter, die regelmässig und in erheblichem Umfang Personendaten von Personen in der Schweiz bearbeiten und deren Bearbeitung ein hohes Risiko für die betroffenen Personen mit sich bringt, müssen nach Art. 14 nDSG eine Vertretung in der Schweiz bezeichnen. Die Vertretung muss ein in der Schweiz eingetragenes Unternehmen oder eine in der Schweiz wohnhafte Person sein und muss in der Datenschutzerklärung der Organisation genannt werden. Die Vertretung ist die Anlaufstelle für betroffene Personen und für den EDÖB.

Grundprinzipien
Rechtmässigkeit und Treu und Glauben
Personendaten müssen rechtmässig und nach Treu und Glauben bearbeitet werden. Hier besteht ein grundlegender struktureller Unterschied zur DSGVO: Nach Schweizer Recht ist die Bearbeitung durch private Stellen grundsätzlich zulässig, sofern sie nicht die Persönlichkeitsrechte der betroffenen Person nach Art. 28 des Zivilgesetzbuchs verletzt. Das nDSG verlangt von Verantwortlichen nicht, für jede Bearbeitungstätigkeit eine bestimmte Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag usw.) zu benennen, wie dies Art. 6 DSGVO tut.
Das bedeutet, dass die Einwilligung in der Schweiz nicht die standardmässige Voraussetzung für die gewöhnliche Bearbeitung von Personendaten ist. Eine Rechtfertigung ist nur erforderlich, wenn die Bearbeitung Persönlichkeitsrechte verletzt oder wenn besonders schützenswerte Personendaten oder ein hochrisikoreiches Profiling betroffen sind.
Verhältnismässigkeit und Zweckbindung
Personendaten dürfen nur zu einem bestimmten Zweck erhoben werden, der für die betroffene Person erkennbar ist, und nur in einer mit diesem Zweck vereinbaren Weise bearbeitet werden. Die erhobenen Daten müssen auf das für den angegebenen Zweck Verhältnismässige beschränkt sein (Art. 6 nDSG).
Richtigkeit der Daten
Verantwortliche müssen sicherstellen, dass Personendaten richtig und aktuell sind. Sind Daten unrichtig, müssen sie berichtigt oder gelöscht werden. Diese Pflicht besteht fortlaufend und nicht nur im Zeitpunkt der Erhebung.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Das nDSG kodifiziert in Art. 7 formell beide Grundsätze:
- Datenschutz durch Technikgestaltung (Privacy by Design) verlangt, dass Organisationen den Datenschutz von der frühesten Entwurfsphase an in Systeme und Prozesse einbauen und technische sowie organisatorische Massnahmen wählen, die die Datenbearbeitung minimieren.
- Datenschutzfreundliche Voreinstellungen (Privacy by Default) verlangen, dass die Standardeinstellungen die Datenbearbeitung auf das für den angegebenen Zweck notwendige Minimum beschränken. Nutzer sollen nicht aktiv werden müssen, um unnötige Datenerhebung einzuschränken; einschränkende Einstellungen müssen der Standard sein.
Keiner der beiden Grundsätze war im Gesetz von 1992 enthalten. Ihre formelle Kodifizierung schafft Compliance-Pflichten für Systemarchitekten, Produktverantwortliche und IT-Beschaffungsteams, nicht nur für Datenschutzjuristen.
Besonders schützenswerte Personendaten
Eine erweiterte Definition
Das nDSG hat die Kategorien besonders schützenswerter Personendaten erweitert. Nach Art. 5 lit. c nDSG umfassen besonders schützenswerte Personendaten:
| Kategorie | Anmerkungen |
|---|---|
| Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten | Wie DSGVO |
| Gesundheitsdaten | Wie DSGVO |
| Intim- oder Privatsphäre, einschliesslich der sexuellen Orientierung | Wie DSGVO |
| Rasse oder Ethnizität | Wie DSGVO |
| Genetische Daten | Neu unter dem nDSG |
| Biometrische Daten, die eine Person eindeutig identifizieren | Neu unter dem nDSG |
| Verwaltungs- und Strafverfahren oder Sanktionen | Weiter gefasst als besondere Kategorien der DSGVO |
| Massnahmen der sozialen Hilfe | Weiter gefasst als besondere Kategorien der DSGVO |
Die letzten beiden Kategorien, Verwaltungs- und Strafverfahren sowie Daten der Sozialhilfe, erweitern die Schweizer Definition besonders schützenswerter Daten über die Liste des Art. 9 DSGVO hinaus. Organisationen, die diese Datentypen in der Schweiz bearbeiten, unterliegen strengeren Anforderungen, als sie die DSGVO in der EU vorsieht.
Die Bearbeitung besonders schützenswerter Personendaten erfordert die ausdrückliche Einwilligung, sofern keine andere Rechtfertigung (öffentliches Interesse, gesetzliche Pflicht oder lebenswichtiges Interesse der betroffenen Person) vorliegt.
Rechte der betroffenen Personen
Das nDSG hat die individuellen Rechte im Vergleich zum Gesetz von 1992 erheblich erweitert.
Auskunftsrecht (Art. 25)
Jede Person kann bei einem Verantwortlichen schriftlich anfragen, ob sie betreffende Personendaten bearbeitet werden. Bei einem berechtigten Auskunftsbegehren muss der Verantwortliche Folgendes mitteilen:
- seine Identität und Kontaktdaten
- die bearbeiteten Personendaten
- den Bearbeitungszweck
- die Aufbewahrungsdauer oder die Kriterien zu deren Festlegung
- die Herkunft der Daten, sofern sie nicht bei der betroffenen Person selbst erhoben wurden
- eine allfällige automatisierte Einzelentscheidung, einschliesslich Profiling
- die Empfänger oder Kategorien von Empfängern, denen Daten bekanntgegeben wurden oder werden
Die Auskunft muss grundsätzlich innerhalb von 30 Tagen kostenlos erteilt werden. Ein Verantwortlicher darf nur dann eine Gebühr erheben, wenn das Gesuch offensichtlich unbegründet oder querulatorisch ist. Die Entscheidung des EDÖB vom Januar 2025 gegen die Cembra Money Bank AG stellte fest, dass die Bank 9 von 13 Auskunftsbegehren ausserhalb der 30-Tage-Frist beantwortet hatte, was gegen Art. 25 nDSG verstiess, und dass sie einen standardisierten Antworttext verwendet hatte, der die erforderlichen individualisierten Angaben nicht enthielt.
Recht auf Datenherausgabe (Art. 28)
Betroffene Personen können verlangen, ihre Personendaten in einem gängigen, elektronischen Format zu erhalten, das ihre Weiterverwendung erlaubt, oder deren direkte Übermittlung an einen anderen Verantwortlichen verlangen. Dieses Recht gilt, wenn die Daten von der betroffenen Person selbst bereitgestellt wurden und mit ihrer Einwilligung oder zur Erfüllung eines Vertrags bearbeitet werden.
Recht auf Berichtigung und Löschung
Betroffene Personen können die Berichtigung unrichtiger Personendaten und die Löschung von Daten verlangen, die für ihren ursprünglichen Zweck nicht mehr erforderlich sind, für die die Einwilligung widerrufen wurde oder für die keine Rechtsgrundlage besteht.
Widerspruchsrecht
Betroffene Personen können der Bearbeitung ihrer Personendaten widersprechen. Der Verantwortliche muss dann überwiegende schutzwürdige Gründe für die Fortsetzung nachweisen oder die Bearbeitung einstellen.
Automatisierte Entscheidungsfindung
Personen haben das Recht, keiner ausschliesslich auf automatisierter Bearbeitung, einschliesslich Profiling, beruhenden Entscheidung mit erheblicher Wirkung unterworfen zu werden, sofern sie nicht eingewilligt haben, die Entscheidung gesetzlich vorgesehen ist oder zur Vertragserfüllung erforderlich ist. Wird eine automatisierte Entscheidung getroffen, kann die betroffene Person verlangen, dass diese von einer natürlichen Person überprüft wird.
Transparenz: Informationspflicht
Nach den Art. 19 bis 21 nDSG müssen Verantwortliche betroffene Personen bei der Erhebung ihrer Personendaten aktiv informieren. Diese Pflicht gilt für alle Personendaten, nicht nur für besonders schützenswerte Daten, was strenger ist als unter dem Gesetz von 1992.
Zu den erforderlichen Angaben gehören:
- Identität und Kontaktdaten des Verantwortlichen sowie der Schweizer Vertretung, sofern der Verantwortliche seinen Sitz im Ausland hat
- Bearbeitungszweck
- Empfänger oder Kategorien von Empfängern der Daten
- Bei Übermittlung ins Ausland: das Zielland und die getroffenen Garantien
Werden Daten nicht direkt bei der betroffenen Person erhoben, muss der Verantwortliche diese Informationen spätestens innerhalb eines Monats nach Erhalt der Daten oder, falls dies früher erfolgt, vor der ersten Bekanntgabe an Dritte bereitstellen.
Ausnahmen gelten, wenn die Information unverhältnismässig aufwendig wäre, die Daten der betroffenen Person bereits bekannt waren, die Erhebung oder Bekanntgabe ausdrücklich gesetzlich vorgesehen ist oder überwiegende Interessen Dritter Vertraulichkeit erfordern.
Profiling nach Schweizer Recht
Das nDSG trifft eine zweistufige Unterscheidung, die vom Ansatz der DSGVO abweicht.
Standard-Profiling, das heisst die automatisierte Bearbeitung von Personendaten zur Bewertung bestimmter persönlicher Aspekte, erfordert nach Schweizer Recht keine Einwilligung. Eine Rechtsgrundlage ist nur erforderlich, wenn das Profiling Persönlichkeitsrechte verletzt.
Profiling mit hohem Risiko wird in Art. 5 lit. f als Profiling definiert, das zu einer Verknüpfung von Daten führt, die eine Einschätzung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt, das heisst, es erzeugt ein umfassendes Bild wesentlicher Aspekte des Lebens einer Person. Profiling mit hohem Risiko erfordert die ausdrückliche Einwilligung der betroffenen Person.
Die DSGVO verlangt demgegenüber für jedes Profiling eine Rechtsgrundlage und gewährt betroffenen Personen nach Art. 21 ein allgemeines Widerspruchsrecht gegen Profiling, mit stärkerem Schutz für ausschliesslich automatisiertes Profiling nach Art. 22. Das Schweizer Modell gibt Organisationen mehr Spielraum für Standard-Profiling, verlangt jedoch an der Schwelle zum hohen Risiko zwingend eine Einwilligung.
Datenschutz-Folgenabschätzungen
Art. 22 nDSG verlangt eine Datenschutz-Folgenabschätzung vor jeder Bearbeitung, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte betroffener Personen führt. Zu risikoreichen Bearbeitungen zählen:
- die umfangreiche Bearbeitung besonders schützenswerter Personendaten
- die systematische Überwachung umfangreicher öffentlicher Bereiche (zum Beispiel eine CCTV-Abdeckung eines Stadtzentrums)
- Profiling mit hohem Risiko
Ergibt die Folgenabschätzung, dass die geplante Bearbeitung trotz vorgesehener Massnahmen weiterhin ein hohes Risiko darstellt, muss der Verantwortliche vor Beginn der Bearbeitung den EDÖB konsultieren, ausser die Organisation hat eine Datenschutzberaterin oder einen Datenschutzberater bestellt, was von dieser vorgängigen Konsultationspflicht befreit.
Für Datenschutz-Folgenabschätzungen schreibt das nDSG kein bestimmtes Format vor. Organisationen können der DSGVO-Methodik folgen, die der EDÖB als angemessen erachtet, oder eigene strukturierte Bewertungen entwickeln.
Meldung von Datenschutzverletzungen
Das nDSG führte erstmals eine verpflichtende Meldung von Datenschutzverletzungen im Schweizer Datenschutzrecht ein.
Pflichten des Verantwortlichen
Nach Art. 24 nDSG muss ein Verantwortlicher dem EDÖB so rasch als möglich melden, wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen führt. Es gibt keine feste Frist entsprechend dem 72-Stunden-Fenster der DSGVO. Der EDÖB hat ausführliche Leitlinien zu Datenschutzverletzungen veröffentlicht und betreibt ein eigenes Online-Meldeportal.
Verantwortliche müssen zudem betroffene Personen benachrichtigen, wenn dies zu deren Schutz erforderlich ist oder der EDÖB dies verlangt.
Pflichten des Auftragsbearbeiters
Auftragsbearbeiter müssen den Verantwortlichen so rasch als möglich über jede Verletzung informieren. Der Verantwortliche trägt sodann die Verantwortung zu beurteilen, ob eine Meldung an den EDÖB und an die betroffenen Personen erforderlich ist.
Die Schwelle des "hohen Risikos"
Die Meldeschwelle des nDSG, "hohes Risiko für die Persönlichkeit oder Grundrechte", liegt höher als der Standard der DSGVO, "Risiko für die Rechte und Freiheiten natürlicher Personen". Verletzungen mit mässigem oder geringem Risiko lösen nach Schweizer Recht keine Meldepflicht aus. Organisationen, die sowohl in der Schweiz als auch in der EU tätig sind, können daher DSGVO-Meldepflichten für Vorfälle haben, die unter der Schweizer Meldeschwelle liegen.
Grenzüberschreitende Datenübermittlungen
Angemessenheitsbeschlüsse
Der Bundesrat führt eine offizielle Liste von Ländern, deren Datenschutzniveau nach Art. 16 nDSG und Art. 8 DSV als angemessen anerkannt ist. Personendaten können ohne zusätzliche Garantien frei in Länder dieser Liste fliessen. Die Angemessenheitsliste des EDÖB und die Anerkennungsdatenbank des Bundesamts für Justiz sind die massgeblichen Quellen und werden laufend aktualisiert, sobald neue Länder bewertet werden.
Angemessenheitsstatus der Schweiz gegenüber der EU
Der Angemessenheitsbericht der Europäischen Kommission vom 15. Januar 2024 bestätigte, dass die Schweiz weiterhin ein nach der DSGVO angemessenes Datenschutzniveau bietet. Die Prüfung der Kommission hob insbesondere die Modernisierung durch das nDSG als Stärkung der Angemessenheitsgrundlage hervor. Die nächste planmässige Überprüfung durch die Kommission nach Art. 97 Abs. 2 DSGVO ist erst um das Jahr 2028 fällig. Datenübermittlungen von der Schweiz in die EU und umgekehrt können ohne zusätzliche Garantien fortgesetzt werden.
Swiss-US Data Privacy Framework
Am 14. August 2024 entschied der Bundesrat, dass das Swiss-US Data Privacy Framework (Swiss-US DPF) für Übermittlungen personenbezogener Daten an zertifizierte US-Unternehmen ein angemessenes Schutzniveau bietet. Das Swiss-US DPF trat am 15. September 2024 in Kraft. Im Rahmen des Frameworks zertifizierte und auf der Website des Data Privacy Framework gelistete US-Organisationen können Schweizer Personendaten ohne zusätzliche Übermittlungsgarantien erhalten.
Mit Stand Mai 2026 ist das Swiss-US DPF weiterhin in Kraft. Organisationen wird jedoch empfohlen, angesichts der historischen Unsicherheit rund um US-Übermittlungsrahmen im Anschluss an die Entscheidungen Schrems I und Schrems II im EU-Kontext alternative Übermittlungsmechanismen wie Standardvertragsklauseln mit Swiss Finish bereitzuhalten.
Standardvertragsklauseln: Der "Swiss Finish"
Für Übermittlungen in Länder ohne Angemessenheitsbeschluss sind Schweizer Standardvertragsklauseln der am häufigsten verwendete Mechanismus. Der EDÖB hat Orientierungshilfen veröffentlicht, wonach Organisationen die von der EU genehmigten SCCs für Schweizer Zwecke anpassen können, indem sie Klauseln mit "Swiss Finish" hinzufügen. Diese Anpassungen bestehen typischerweise darin,
- Verweise auf die DSGVO durch Verweise auf das nDSG zu ersetzen,
- die Schweizer Gerichte oder den EDÖB als zuständige Aufsichtsbehörde zu bezeichnen,
- Schweizer Rechte betroffener Personen einzubeziehen.
Eine Transfer Impact Assessment sollte SCC-basierte Übermittlungen in Jurisdiktionen begleiten, die für betroffene Personen ein erhöhtes rechtliches Risiko darstellen (zum Beispiel Jurisdiktionen mit weitreichenden staatlichen Überwachungsbefugnissen).
Weitere Übermittlungsmechanismen
Weitere anerkannte Übermittlungsmechanismen nach Art. 16 nDSG umfassen:
- vom EDÖB genehmigte verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules)
- vom EDÖB genehmigte Standarddatenschutzklauseln
- vom EDÖB genehmigte Verhaltenskodizes
- die ausdrückliche Einwilligung der betroffenen Person, nachdem sie über das Zielland und das Fehlen eines angemessenen Schutzniveaus informiert wurde
- die Erfüllung eines Vertrags mit der betroffenen Person oder in ihrem Interesse
- überwiegende öffentliche Interessen
Der EDÖB: Die Aufsichtsbehörde der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die unabhängige nationale Datenschutzbehörde der Schweiz. Die Behörde hat ihren Sitz in Bern und erstattet dem Bundesrat Bericht.
Erweiterte Befugnisse unter dem nDSG
Das nDSG hat die Aufsichtsinstrumente des EDÖB im Vergleich zum Gesetz von 1992, unter dem der Beauftragte lediglich unverbindliche Empfehlungen aussprechen konnte, deutlich gestärkt:
- Vorabklärungen: Niederschwellige vorläufige Abklärungen bei Verdacht auf ein datenschutzrechtliches Problem. Diese können ohne Eröffnung einer förmlichen Untersuchung abgeschlossen werden.
- Förmliche Untersuchungen: Eröffnet nach Art. 49 ff. nDSG bei klaren Anhaltspunkten für einen Verstoss. Der EDÖB kann Beweise erheben und die Herausgabe von Unterlagen verlangen.
- Verbindliche Verwaltungsanordnungen: Nach einer Untersuchung kann der EDÖB rechtsverbindliche Anordnungen erlassen, die einen Verantwortlichen oder Auftragsbearbeiter verpflichten, bestimmte Bearbeitungstätigkeiten zu ändern oder einzustellen. Diese Anordnungen sind vollstreckbar und können beim Bundesverwaltungsgericht angefochten werden.
- Verpflichtende Konsultation bei Folgenabschätzungen: Verantwortliche müssen den EDÖB konsultieren, bevor sie fortfahren, wenn eine Datenschutz-Folgenabschätzung ein hohes Restrisiko ergibt (ausser eine Datenschutzberaterin oder ein Datenschutzberater ist bestellt).
- Beteiligung als Amicus: Der EDÖB kann sich an Gerichtsverfahren beteiligen, die den Datenschutz betreffen.
Was der EDÖB nicht tun kann
Der EDÖB kann keine Bussen verhängen. Dies ist ein grundlegender struktureller Unterschied zu den EU-Datenschutzbehörden, die nach der DSGVO Verwaltungsgeldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen können. In der Schweiz liegen Geldstrafen ausschliesslich bei den kantonalen Strafverfolgungsbehörden, und nur bei vorsätzlichen Verstössen.
Bilanz der Durchsetzung (2023-2026)
Seit Inkrafttreten des nDSG hat der EDÖB seine Durchsetzungstätigkeit stetig ausgeweitet:
- Bis November 2024 hatte der EDÖB gemäss den auf edoeb.admin.ch veröffentlichten Durchsetzungszahlen 26 Vorabklärungen und förmliche Untersuchungen eröffnet, von denen sieben abgeschlossen wurden.
- Die personellen Ressourcen für die Durchsetzung stiegen im Zeitraum 2024/2025 um rund 30 Prozent.
- Die Vermittlungsanfragen stiegen um 53 Prozent, wobei der EDÖB in 76 Prozent der Fälle einvernehmliche Lösungen erzielte.
Zu den seit Inkrafttreten des nDSG abgeschlossenen wichtigen Durchsetzungsmassnahmen zählen:
| Datum | Fall | Ergebnis |
|---|---|---|
| April 2024 | Digitec Galaxus (Online-Händler) | EDÖB stellte fest, dass die Verknüpfung von Bestellung und Kontoerstellung gegen das Verhältnismässigkeitsprinzip verstiess; empfahl einen Ein-Klick-Opt-out vom Verhaltensprofiling |
| November 2025 | Digitec Galaxus (Abschluss) | Unternehmen führte einen Ein-Klick-Opt-out von der Personalisierung ein; EDÖB schloss den Fall ab |
| 29. Januar 2025 | Cembra Money Bank AG | Verbindliche Anordnung: Bank verletzte die 30-Tage-Frist für Auskunftsbegehren und verwendete unzureichende standardisierte Antworttexte |
| 28. April 2025 | Inkasso-Team AG | Verbindliche Anordnung: Veröffentlichung der Namen mutmasslicher Schuldner durch das Inkassounternehmen auf einer öffentlichen Website verstiess gegen Verhältnismässigkeit und Transparenz; Löschung der veröffentlichten Daten angeordnet. Entscheid beim Bundesverwaltungsgericht angefochten. |
| 16. Mai 2025 | PostFinance AG | Verbindliche Anordnung: Der Einsatz der Stimmerkennung zur Authentifizierung durch die Bank stellte eine Bearbeitung biometrischer Daten ohne ausdrückliche Einwilligung dar; Anordnung, eine ausdrückliche Einwilligung einzuholen und Stimmabdrücke ohne Einwilligung zu löschen |
| 6. Oktober 2025 | Bürgerforum Schweiz | Bundesverwaltungsgericht bestätigte das vom EDÖB verhängte Bearbeitungsverbot gegen den Bürgerverein wegen Veröffentlichung religiöser Überzeugungen von Personen ohne Einwilligung |
| 2026 (laufend) | BLT Baselland Transport AG | Untersuchung zum Einsatz von Bodycams durch Zugbegleiter eröffnet |
Strafrechtliche Sanktionen: Das einzigartige Modell der individuellen Haftung in der Schweiz
Struktur des Sanktionsregimes
Die Art. 60 bis 66 nDSG legen den strafrechtlichen Sanktionsrahmen fest. Die Höchstbusse beträgt 250.000 CHF (rund 263.000 Euro nach den Wechselkursen von Mai 2026). Diese Busse wird gegen die natürliche Person verhängt, die den Verstoss begangen hat, nicht gegen die Organisation als solche. Die Gesetzesmaterialien zum nDSG stellen klar, dass das Parlament mit diesen Sanktionen Führungskräfte und Entscheidungsträger treffen wollte, nicht Mitarbeitende, die lediglich Anweisungen ausführen.
Dieses Modell ist weltweit praktisch einzigartig. Die DSGVO verhängt Verwaltungsgeldbussen gegen die Organisation selbst. Der kanadische PIPEDA sieht Bussen gegen Organisationen vor. Der australische Privacy Act sieht Sanktionen gegen juristische Einheiten vor. Die Entscheidung der Schweiz, die Einzelperson ins Visier zu nehmen, ist eine bewusste gesetzgeberische Grundsatzentscheidung, die in der schweizerischen strafrechtlichen Tradition verwurzelt ist, wonach eine strafrechtliche Sanktion in der Regel eine verantwortliche natürliche Person voraussetzt.
Vorsatzerfordernis: Nur vorsätzliche Verstösse sind strafbar
Nur vorsätzliche Verstösse lösen strafrechtliche Sanktionen nach dem nDSG aus. Fahrlässige Verstösse, einschliesslich solcher, die aus mangelhafter Datenschutz-Governance, unzureichenden Systemen oder organisatorischen Versäumnissen entstehen, sind nicht strafbar. Die Strafverfolgungsbehörden müssen nachweisen, dass die beschuldigte Person mit Vorsatz gegen das Gesetz verstossen hat.
Dieses Vorsatzerfordernis engt den Umfang der strafrechtlichen Verantwortlichkeit im Vergleich zur DSGVO, bei der Verwaltungsbussen auch für fahrlässige Verstösse verhängt werden können, erheblich ein. Es schafft jedoch ein besonderes Risiko für Personen, die bewusst klare Compliance-Pflichten missachten.
Konkrete Straftatbestände
| Artikel | Straftatbestand |
|---|---|
| Art. 60 | Verletzung der Auskunfts- oder Informationspflicht oder der Mitwirkungspflicht gegenüber dem EDÖB; Erteilung falscher Auskünfte an den EDÖB |
| Art. 61 | Grenzüberschreitende Übermittlung ohne angemessene Garantien; Nichteinhaltung der Anforderungen an Auftragsbearbeiter; Nichteinhaltung der Mindeststandards der Datensicherheit |
| Art. 62 | Verletzung der beruflichen Schweigepflicht: vorsätzliche Offenbarung vertraulicher, im Rahmen der beruflichen Tätigkeit erlangter Personendaten |
| Art. 63 | Verletzung der Pflicht ausländischer Organisationen zur Bezeichnung einer Schweizer Vertretung |
Haftung des Unternehmens als Ausnahme
Erfordert die Ermittlung der konkret verantwortlichen Einzelperson innerhalb eines Unternehmens einen unverhältnismässigen Untersuchungsaufwand, kann das Unternehmen selbst mit einer Busse von bis zu 50.000 CHF belegt werden. Diese subsidiäre Unternehmenshaftung ist die Ausnahme und nicht die Regel und gilt nur, wenn die individuelle Zurechnung tatsächlich undurchführbar ist.
Strafverfolgung durch kantonale Behörden
Strafverfahren nach dem nDSG werden von den kantonalen Strafverfolgungsbehörden geführt, nicht vom EDÖB. Der EDÖB ist nicht berechtigt, Strafanzeigen zu erstatten. Dieses dezentrale Modell bedeutet, dass die Durchsetzung von Kanton zu Kanton variieren kann, und mit Stand Mai 2026 wurden noch keine strafrechtlichen Verurteilungen unter dem neuen Gesetz öffentlich bekannt.
Verzeichnis von Bearbeitungstätigkeiten
Verantwortliche und Auftragsbearbeiter müssen nach Art. 12 nDSG ein schriftliches Verzeichnis ihrer Bearbeitungstätigkeiten führen. Das Verzeichnis muss Folgendes enthalten:
- Identität des Verantwortlichen oder Auftragsbearbeiters
- Zweck jeder Bearbeitungstätigkeit
- Kategorien betroffener Personen und bearbeiteter Personendaten
- Kategorien von Empfängern, einschliesslich grenzüberschreitender Empfänger
- Zielländer und Garantien bei grenzüberschreitenden Übermittlungen
- Aufbewahrungsdauer oder Kriterien zu deren Festlegung
- allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen
Ausnahme für KMU
Organisationen mit weniger als 250 Beschäftigten sind nach Art. 24 Abs. 2 DSV von der Pflicht zur Führung eines Verzeichnisses befreit, sofern ihre Datenbearbeitung kein erhebliches Risiko für die Persönlichkeit oder Grundrechte betroffener Personen darstellt. Diese Ausnahme hat in der DSGVO keine Entsprechung, da diese unabhängig von der Grösse für alle Organisationen gilt, abgesehen von einer engen Ausnahme für die gelegentliche Verarbeitung durch KMU.
Die Ausnahme ist an Bedingungen geknüpft. Ein KMU, das in grossem Umfang besonders schützenswerte Personendaten bearbeitet, Profiling mit hohem Risiko durchführt oder Personen systematisch überwacht, verliert die Ausnahme unabhängig von seiner Grösse und muss ein vollständiges Bearbeitungsverzeichnis führen.
Datenschutzberaterin oder Datenschutzberater
Freiwillig für private Organisationen
Anders als die DSGVO, die für bestimmte Kategorien von Verantwortlichen (Behörden, Organisationen mit umfangreicher systematischer Überwachung oder umfangreicher Bearbeitung besonders schützenswerter Daten) einen Datenschutzbeauftragten vorschreibt, verlangt das nDSG von privaten Organisationen nicht die Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters.
Der Compliance-Anreiz
Die Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters bietet einen konkreten Compliance-Vorteil: Organisationen mit einer solchen Person sind von der Pflicht befreit, den EDÖB zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ein hohes Restrisiko ergibt. Diese Befreiung ist besonders wertvoll für Organisationen, die regelmässig Folgenabschätzungen durchführen, da die Konsultation des EDÖB geplante Bearbeitungstätigkeiten verzögern kann.
Bundesorgane sind nach Art. 10 nDSG verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu bestellen.
Vergleich zwischen dem nDSG und der DSGVO
Das nDSG wurde zwar so konzipiert, dass es mit der DSGVO vereinbar bleibt und den Angemessenheitsbeschluss der EU wahrt, dennoch bestehen bedeutsame Unterschiede, die Organisationen bei einer Tätigkeit in beiden Jurisdiktionen im Blick behalten müssen.
| Merkmal | nDSG (Schweiz) | DSGVO (EU/EWR) |
|---|---|---|
| Erfordernis einer Rechtsgrundlage | Nicht für jede Bearbeitung erforderlich; nur bei Verletzung der Persönlichkeitsrechte erforderlich | Für jede Bearbeitung erforderlich (Art. 6) |
| Wer sanktioniert wird | Die verantwortliche natürliche Person | Die Organisation (Verantwortlicher oder Auftragsverarbeiter) |
| Höchststrafe | 250.000 CHF gegen Einzelperson | 20 Mio. Euro oder 4 % des weltweiten Umsatzes gegen die Organisation |
| Vorsatzerfordernis | Nur vorsätzliche Verstösse strafbar | Sowohl vorsätzliche als auch fahrlässige Verstösse erfasst |
| Bussgeldbefugnis der Aufsichtsbehörde | EDÖB kann keine Bussen verhängen | Aufsichtsbehörden können unmittelbar Bussen verhängen |
| Frist zur Meldung von Verletzungen | "So rasch als möglich" (keine feste Frist) | 72 Stunden |
| Datenschutzbeauftragte/r | Freiwillig für den privaten Sektor | Verpflichtend unter bestimmten Voraussetzungen |
| Ausnahme für KMU beim Verzeichnis | Ja (unter 250 Beschäftigte, geringes Risiko) | Keine allgemeine Ausnahme für KMU |
| Umfang besonders schützenswerter Daten | Weiter gefasst: umfasst Verwaltungs-/Strafverfahren, Sozialhilfedaten | Engere abschliessende Liste (Art. 9) |
| Einwilligung beim Profiling | Nur bei Profiling mit hohem Risiko erforderlich | Rechtsgrundlage erforderlich; Widerspruchsrecht gegen jedes Profiling |
| Erfasste betroffene Personen | Nur natürliche Personen | Nur natürliche Personen |
| Extraterritorialer Geltungsbereich | Ja, Wirkungen in der Schweiz | Ja, gezielte Ausrichtung auf Personen in der EU |
KI und Datenschutz
Der EDÖB hat bestätigt, dass das nDSG unmittelbar auf die KI-gestützte Datenbearbeitung anwendbar ist. Das Gesetz ist technologieneutral formuliert: KI-Systeme, die Personendaten von Personen in der Schweiz bearbeiten, müssen die Grundsätze der Rechtmässigkeit, Zweckbindung, Verhältnismässigkeit und Datenminimierung des nDSG einhalten.
Konkrete vom EDÖB veröffentlichte Orientierungshilfen legen fest, dass:
- Hersteller, Anbieter und Nutzer von KI-Anwendungen sicherstellen müssen, dass betroffene Personen ein grösstmögliches Mass an Kontrolle über ihre Personendaten behalten
- KI-Systeme ihren Zweck, ihre Funktionsweise und ihre Datenquellen transparent machen müssen
- eine KI-gestützte Bearbeitung mit hohem Risiko eine Datenschutz-Folgenabschätzung erfordert
- verbotene KI-Anwendungen die biometrische Echtzeit-Massenerkennung im öffentlichen Raum und Systeme des sozialen Scorings umfassen
Im März 2025 unterzeichnete die Schweiz das Übereinkommen des Europarats über Künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaatlichkeit (das "Übereinkommen von Vilnius"). Der Bundesrat kündigte an, dass die für die Ratifizierung erforderlichen Anpassungen des Schweizer Rechts vorbereitet würden. Dies zeigt, dass sich der KI-Ordnungsrahmen der Schweiz weiterentwickeln wird und dass Datenschutz und KI-Regulierung als eng miteinander verknüpft behandelt werden.
Im Januar 2026 schloss sich der EDÖB mehr als 60 internationalen Datenschutzbehörden in einer gemeinsamen Erklärung zu KI-generierten Bildern und dem Schutz der Privatsphäre an und bestätigte, dass die Erzeugung realistischer Abbildungen realer Personen ohne deren Einwilligung einen Verstoss gegen das Datenschutzrecht darstellen kann.
Orientierungshilfen zu Cookies und Tracking-Technologien
Der EDÖB veröffentlichte am 22. Januar 2025 aktualisierte Cookie-Leitlinien und am 27. März 2026 ein überarbeitetes Merkblatt. Zu den wichtigsten Schlussfolgerungen aus den Orientierungshilfen des EDÖB gehören:
- Verhaltensbasierte Werbung: Die Einbindung von Drittanbieter-Cookies oder ähnlichen Technologien, die Besucherdaten gegen Entgelt mit Werbetreibenden teilen, erfordert die Einwilligung der betroffenen Person, da dies eine Bekanntgabe von Personendaten an Dritte zu Zwecken darstellt, die aus der ursprünglichen Erhebung nicht ersichtlich sind.
- Standortdaten: Profiling auf Grundlage von Standortdaten stellt häufig ein Profiling mit hohem Risiko dar, da Standortdaten die Identifizierung der Person ermöglichen und wesentliche Aspekte der Persönlichkeit offenbaren können. Ein solches Profiling erfordert die ausdrückliche Einwilligung.
- Cookie-Bezahlschranken: Ob eine Wahl zwischen Einwilligung und einem kostenpflichtigen Abonnement eine gültige Einwilligung darstellt, muss anhand der konkreten Umstände beurteilt werden. Die Orientierungshilfe des EDÖB legt die Voraussetzungen fest, unter denen eine solche Einwilligung rechtmässig eingeholt werden kann.
Sektorspezifische Überlegungen
Finanzdienstleistungen
Die schweizerische Tradition des Bankgeheimnisses, verankert im Bankengesetz (SR 952.0) und in Art. 47 des Bankengesetzes, verbindet sich auf komplexe Weise mit dem nDSG. Finanzinstitute müssen Datenschutzanforderungen mit Pflichten zur Geldwäschebekämpfung, Abkommen zum steuerlichen Informationsaustausch und Anforderungen der Finanzmarktaufsicht unter der Aufsicht der FINMA in Einklang bringen. Die Entscheidung des EDÖB von 2025 gegen die Cembra Money Bank ist bislang das deutlichste Signal, dass die Datenpraktiken des Finanzsektors unter dem neuen Gesetz genau geprüft werden.
Gesundheitswesen
Gesundheitsdaten gelten nach Art. 5 lit. c nDSG als besonders schützenswert. Gesundheitsdienstleister, Versicherer, Pharmaunternehmen und Forschungseinrichtungen, die Gesundheitsdaten bearbeiten, müssen erhöhte Schutzmassnahmen anwenden, für umfangreiche Bearbeitungen von Gesundheitsdaten Folgenabschätzungen durchführen und eine Rechtsgrundlage für die Bearbeitung besonders schützenswerter Daten festlegen. Grenzüberschreitende klinische Studien mit Bezug zur Schweiz müssen die Anforderungen an Übermittlungsmechanismen für Gesundheitsdatenflüsse berücksichtigen.
Technologie, Cloud-Dienste und SaaS
Cloud-Anbieter, SaaS-Plattformen und IT-Dienstleistungsunternehmen, die Schweizer Kunden bedienen, agieren nach dem nDSG als Auftragsbearbeiter und müssen die Anforderungen von Art. 9 erfüllen: Bearbeitung nur gemäss dokumentierten Anweisungen des Verantwortlichen, Umsetzung angemessener technischer und organisatorischer Sicherheitsmassnahmen, unverzügliche Meldung von Verletzungen an den Verantwortlichen sowie Unterstützung des Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen. Ausländische SaaS-Anbieter mit umfangreicher Schweizer Nutzerbasis müssen unter Umständen eine Schweizer Vertretung nach Art. 14 nDSG bezeichnen.
Praktische Compliance-Checkliste
Dem nDSG unterliegende Organisationen sollten folgende Schritte durchführen:
- Bearbeitungstätigkeiten erfassen. Dokumentieren Sie jede Bearbeitung von Personendaten von Personen in der Schweiz. Prüfen Sie, ob die KMU-Ausnahme von der Verzeichnispflicht zutrifft.
- Datenschutzerklärungen aktualisieren. Stellen Sie sicher, dass die Erklärungen Identität des Verantwortlichen und der Schweizer Vertretung (sofern zutreffend), Bearbeitungszwecke, Empfänger, Zielländer und Garantien bei grenzüberschreitenden Übermittlungen sowie die Rechte betroffener Personen offenlegen.
- Rechtsgrundlagen für besonders schützenswerte Daten prüfen. Ermitteln Sie, wo eine ausdrückliche Einwilligung oder eine andere Rechtfertigung für besonders schützenswerte Daten oder Profiling mit hohem Risiko erforderlich ist.
- Grenzüberschreitende Übermittlungen prüfen. Vergewissern Sie sich, dass alle internationalen Datenflüsse in Länder ohne Angemessenheitsbeschluss SCCs mit Swiss Finish, verbindliche unternehmensinterne Vorschriften oder einen anderen anerkannten Mechanismus verwenden. Führen Sie, wo erforderlich, Transfer Impact Assessments durch.
- Verfahren zur Reaktion auf Verletzungen einrichten. Richten Sie interne Prozesse ein, um Verletzungen zu erkennen, zu bewerten und über das Online-Portal des EDÖB zu melden. Weisen Sie angesichts der persönlichen strafrechtlichen Verantwortlichkeit klare Verantwortlichkeiten bestimmten Personen zu.
- Datenschutz-Folgenabschätzungen bei hohem Risiko durchführen. Ermitteln Sie alle risikoreichen Bearbeitungen und schliessen Sie Folgenabschätzungen vor deren Einführung ab. Erwägen Sie die Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters, um von der vorgängigen Konsultationspflicht des EDÖB befreit zu sein.
- Auftragsbearbeitungsverträge überprüfen. Stellen Sie sicher, dass alle Verarbeitungsvereinbarungen die Anforderungen des nDSG an Sicherheit, Meldung von Verletzungen, Einschränkungen von Unterauftragsbearbeitern und Unterstützung beim Auskunftsrecht erfüllen.
- Mitarbeitende zur individuellen Haftung schulen. Da das nDSG strafrechtliche Sanktionen gegen Einzelpersonen vorsieht, muss die Schulung Entscheidungsträger erreichen. Mitarbeitende, die Datenbearbeitungen genehmigen, müssen verstehen, dass sie persönlich das strafrechtliche Risiko für vorsätzliche Verstösse tragen.
- Durchsetzungspraxis des EDÖB verfolgen. Der EDÖB veröffentlicht regelmässig neue Orientierungshilfen, Untersuchungsergebnisse und verbindliche Anordnungen. Abonnieren Sie die Mitteilungen des EDÖB unter edoeb.admin.ch.
Aktuelle Entwicklungen
Dieser Artikel stellt allgemeine rechtliche Informationen über das Bundesgesetz über den Datenschutz der Schweiz (nDSG/revDSG, SR 235.1) mit Stand Mai 2026 dar. Er stellt keine Rechtsberatung dar und berücksichtigt keine individuellen Umstände einer Person oder Organisation. Das Datenschutzrecht und seine Durchsetzungspraxis entwickeln sich fortlaufend weiter. Dem nDSG unterliegende Organisationen sollten für eine Beratung zu ihren spezifischen Compliance-Pflichten eine in der Schweiz zugelassene Anwältin oder einen zugelassenen Anwalt konsultieren.
Frequently Asked Questions
Gilt die EU-DSGVO für Schweizer Unternehmen?
Die DSGVO gilt nicht unmittelbar für in der Schweiz ansässige Unternehmen, die Daten innerhalb der Schweiz bearbeiten. Die Schweiz ist kein Mitglied der EU oder des EWR und verfügt über ihr eigenes nDSG (SR 235.1). Ein Schweizer Unternehmen, das Personen in der EU oder im EWR Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, muss jedoch nach Art. 3 Abs. 2 DSGVO für diese Tätigkeiten die DSGVO einhalten, unabhängig vom nDSG. Viele Schweizer Organisationen unterliegen daher parallel beiden Regelwerken.
Wie unterscheiden sich die Sanktionen des nDSG von den Bussen der DSGVO?
Das nDSG sieht strafrechtliche Bussen von bis zu 250.000 CHF gegen die für einen Verstoss verantwortliche natürliche Person vor, nicht gegen das Unternehmen. Nur vorsätzliche Verstösse sind strafbar; Fahrlässigkeit ist nicht erfasst. Die DSGVO verhängt demgegenüber Verwaltungsgeldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes gegen die Organisation selbst und erfasst sowohl vorsätzliche als auch fahrlässige Verstösse. Ist die Ermittlung der verantwortlichen Person mit unverhältnismässigem Untersuchungsaufwand verbunden, kann ein Schweizer Unternehmen subsidiär mit einer Busse von bis zu 50.000 CHF belegt werden.
Ist eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter nach Schweizer Recht erforderlich?
Nein. Das nDSG verlangt von privaten Organisationen nicht die Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters, dem Schweizer Pendant zu einem Datenschutzbeauftragten. Die Bestellung ist freiwillig. Sie bietet jedoch einen praktischen Vorteil: Sie befreit die Organisation von der Pflicht, den EDÖB zu konsultieren, bevor sie mit einer Bearbeitung fortfährt, die eine Folgenabschätzung als hohes Restrisiko einstuft. Bundesorgane sind nach Art. 10 nDSG verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu bestellen.
Können Personendaten von der Schweiz in die Vereinigten Staaten übermittelt werden?
Ja, über mehrere Mechanismen. Seit dem 15. September 2024 erlaubt das Swiss-US Data Privacy Framework Übermittlungen an zertifizierte US-Unternehmen, die auf dataprivacyframework.gov gelistet sind. Für nicht zertifizierte US-Unternehmen sollten Organisationen Standardvertragsklauseln mit Swiss Finish verwenden und diese mit einer Transfer Impact Assessment begleiten. Vom EDÖB genehmigte verbindliche unternehmensinterne Vorschriften stehen ebenfalls zur Verfügung. Organisationen wird angesichts der historischen Unsicherheit rund um US-Übermittlungsrahmen empfohlen, alternative Mechanismen bereitzuhalten.
Innerhalb welcher Frist muss eine Datenschutzverletzung dem EDÖB gemeldet werden?
Das nDSG verlangt eine Meldung 'so rasch als möglich', wenn eine Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen führt. Es gibt keine feste Frist vergleichbar mit der 72-Stunden-Regel der DSGVO. Der EDÖB hat Leitlinien veröffentlicht und betreibt unter edoeb.admin.ch ein eigenes Meldeportal für Datenschutzverletzungen. Auftragsbearbeiter müssen ihre Verantwortlichen so rasch als möglich informieren; die Verantwortlichen müssen sodann beurteilen und erforderlichenfalls den EDÖB und die betroffenen Personen benachrichtigen.
Verlangt das schweizerische nDSG eine Einwilligung zur Bearbeitung von Personendaten?
Nicht für gewöhnliche Personendaten. Anders als die DSGVO, die für jede Bearbeitung eine bestimmte Rechtsgrundlage verlangt, erlaubt das nDSG die Bearbeitung durch private Stellen standardmässig, sofern sie nicht die Persönlichkeitsrechte der betroffenen Person verletzt. Eine Einwilligung oder eine andere Rechtfertigung ist konkret erforderlich, wenn besonders schützenswerte Personendaten bearbeitet werden, ein Profiling mit hohem Risiko durchgeführt wird oder eine andere die Persönlichkeitsrechte verletzende Bearbeitung erfolgt. Diese Unterscheidung ist für Organisationen bedeutsam, die von DSGVO-konformen Praktiken umstellen: Ihre bestehende Einwilligungsinfrastruktur kann umfangreicher sein, als das Schweizer Recht strikt verlangt.
Welche Rolle spielt der EDÖB?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die unabhängige nationale Aufsichtsbehörde der Schweiz für den Datenschutz. Der EDÖB überwacht die Einhaltung des nDSG, eröffnet Vorabklärungen und förmliche Untersuchungen, erlässt rechtsverbindliche Verwaltungsanordnungen zur Änderung oder Einstellung von Bearbeitungen, stellt Orientierungshilfen und Empfehlungen bereit, muss konsultiert werden, wenn eine Folgenabschätzung ein hohes Restrisiko ergibt (ausser eine Datenschutzberaterin oder ein Datenschutzberater ist bestellt), und beteiligt sich an Vernehmlassungen. Der EDÖB kann keine Bussen verhängen; strafrechtliche Bussen liegen bei den kantonalen Strafverfolgungsbehörden.
Gelten Schweizer Datenschutzgesetze für ausländische Unternehmen?
Ja. Art. 3 nDSG legt einen extraterritorialen Geltungsbereich fest. Jede Organisation, die Personendaten von Personen in der Schweiz bearbeitet, ihnen Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet, muss das nDSG einhalten, unabhängig davon, wo die Organisation ihren Sitz hat. Ausländische Verantwortliche und Auftragsbearbeiter, die bestimmte Schwellenwerte erreichen (regelmässige, umfangreiche Bearbeitung mit hohem Risiko), müssen zudem nach Art. 14 nDSG eine Schweizer Vertretung bezeichnen.
Was ist das Swiss-US Data Privacy Framework?
Das Swiss-US Data Privacy Framework (Swiss-US DPF) ist ein bilateraler Übermittlungsmechanismus, der personenbezogene Daten von der Schweiz an US-Unternehmen fliessen lässt, die ihre Einhaltung der Datenschutzgrundsätze des Frameworks selbst zertifiziert haben. Der Bundesrat stellte die Angemessenheit des Frameworks am 14. August 2024 fest, und es trat am 15. September 2024 in Kraft. Zertifizierte Unternehmen sind auf dataprivacyframework.gov gelistet. Organisationen sollten den Status des Frameworks verfolgen und alternative Übermittlungsmechanismen wie Schweizer SCCs bereithalten.
Was ist die KMU-Ausnahme nach Schweizer Datenschutzrecht?
Nach Art. 24 Abs. 2 der Datenschutzverordnung (DSV, SR 235.11) sind Organisationen mit weniger als 250 Beschäftigten von der Pflicht befreit, ein Verzeichnis von Bearbeitungstätigkeiten zu führen, sofern ihre Datenbearbeitung kein erhebliches Risiko für die Persönlichkeitsrechte betroffener Personen darstellt. Organisationen, die in grossem Umfang besonders schützenswerte Daten bearbeiten, Profiling mit hohem Risiko durchführen oder Personen systematisch überwachen, verlieren diese Ausnahme unabhängig von ihrer Grösse. Eine vergleichbare Ausnahme besteht unter der DSGVO nicht.
Sources and References
- Bundesgesetz über den Datenschutz (nDSG), SR 235.1 - Amtlicher konsolidierter Text(fedlex.admin.ch).gov
- Verordnung über den Datenschutz (DSV), SR 235.11(fedlex.admin.ch).gov
- Verordnung über Datenschutzzertifizierungen, SR 235.13(fedlex.admin.ch).gov
- Neues Bundesgesetz über den Datenschutz (nDSG) - Schweizer KMU-Portal des Bundes(kmu.admin.ch).gov
- EDÖB - Leitlinien zu Datenschutzverletzungen(edoeb.admin.ch).gov
- EDÖB - Das neue Datenschutzgesetz in Zahlen (November 2024)(edoeb.admin.ch).gov
- EDÖB - Angemessenheitsentscheide für internationale Datenübermittlungen(edoeb.admin.ch).gov
- EDÖB - Aufsichtsrolle und Befugnisse unter dem nDSG(edoeb.admin.ch).gov
- EU-Angemessenheitsentscheid betreffend die Schweiz (15. Januar 2024)(edoeb.admin.ch).gov
- EDÖB-Entscheid gegen die Cembra Money Bank AG (29. Januar 2025)(edoeb.admin.ch).gov
- EDÖB-Entscheid gegen die Inkasso-Team AG (28. April 2025)(edoeb.admin.ch).gov
- EDÖB schliesst Untersuchung zur Stimmerkennung bei PostFinance ab (16. Mai 2025)(edoeb.admin.ch).gov
- EDÖB - Digitec Galaxus: Opt-out von der Website-Personalisierung (November 2025)(edoeb.admin.ch).gov
- EDÖB Cookie-Leitlinien: Aktualisierte Fassung (22. Januar 2025)(edoeb.admin.ch).gov
- EDÖB - Künstliche Intelligenz und Datenschutz(edoeb.admin.ch).gov
- Neue Datenschutzgesetzgebung - Bundesamt für Justiz(bj.admin.ch).gov
- Anerkennung von Staaten mit angemessenem Datenschutz - Bundesamt für Justiz(bj.admin.ch).gov
- Angemessenheit des Schweizer Datenschutzes - Bundesamt für Justiz(bj.admin.ch).gov
- Swiss-US Data Privacy Framework: Entscheid des Bundesrats (14. August 2024)(admin.ch).gov
- Swiss-US Data Privacy Framework - Liste zertifizierter Teilnehmer(dataprivacyframework.gov).gov
- Angemessenheitsbeschlüsse der EU zum Datenschutz - Europäische Kommission(commission.europa.eu).gov
- Art. 60 nDSG - Strafrechtliche Sanktionen (Online-Kommentar)(onlinekommentar.ch)
- Data Protection Laws and Regulations 2025-2026: Schweiz (ICLG)(iclg.com)
- Chambers Data Protection and Privacy 2025 - Schweiz(practiceguides.chambers.com)