Datenschutz Schweiz: nDSG Umsetzung für KMU - Der Praxisleitfaden 2026

Ein Solothurner Online-Shop erhielt im Januar 2025 die erste Busse unter dem nDSG: CHF 15’000, weil die Datenschutzerklärung nicht den Anforderungen entsprach. Das neue Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und stellt Schweizer KMU vor erhebliche Compliance-Herausforderungen.

Dieser Praxisleitfaden zeigt Ihnen, wie Sie das nDSG effizient und kostenoptimiert umsetzen - mit konkreten Massnahmen, Checklisten und realistischen Kostenschätzungen zwischen CHF 5’000 und CHF 25’000.

Grundlagen: Was ändert sich mit dem nDSG?

Von DSG zu nDSG: Die wichtigsten Änderungen

Das neue Datenschutzgesetz ersetzt das alte DSG von 1992 und bringt erhebliche Verschärfungen:

Erhöhte Anforderungen:

  • Informationspflichten: Vollständige Transparenz bei jeder Datenerhebung
  • Privacy by Design & Default: Datenschutz als Grundprinzip in allen Prozessen
  • Datensicherheit: Technisch-organisatorische Massnahmen dokumentieren
  • Verzeichnis: Alle Bearbeitungstätigkeiten systematisch erfassen
  • Datenschutz-Folgenabschätzung: Bei hohen Risiken verpflichtend

Verschärfte Sanktionen:

  • Bussen bis CHF 250’000 für natürliche Personen (nicht für Unternehmen)
  • Strafbar sind Geschäftsführer, Datenschutzbeauftragte, verantwortliche Mitarbeiter
  • Verschuldensprinzip: Vorsatz oder Fahrlässigkeit erforderlich

Wichtig: Das nDSG gilt nicht nur für grosse Konzerne. Sobald Ihr KMU Personendaten bearbeitet - und das tun praktisch alle Unternehmen - fallen Sie unter das Gesetz.

Anwendungsbereich: Wer ist betroffen?

Das nDSG gilt für:

  1. Alle Unternehmen in der Schweiz mit Sitz oder Niederlassung
  2. Ausländische Unternehmen, die Daten von Personen in der Schweiz bearbeiten
  3. Alle Personendaten, unabhängig vom Speicherort
  4. B2B und B2C: Auch Daten von Geschäftskontakten sind geschützt

Personendaten sind alle Angaben über eine bestimmte oder bestimmbare Person:

  • Name, Adresse, E-Mail, Telefonnummer
  • IP-Adressen, Cookie-IDs, Geräte-Kennungen
  • Verhaltensdaten, Präferenzen, Kaufhistorie
  • Mitarbeiterdaten, Bewerberdaten, Kundendaten

Besonders schützenswerte Personendaten unterliegen strengeren Regeln:

  • Gesundheitsdaten.
  • Religiöse, weltanschauliche, politische Ansichten
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten
  • Massnahmen der sozialen Hilfe

Informationspflichten: Transparenz als Kernpflicht

Datenschutzerklärung nach nDSG

Jedes Unternehmen muss eine vollständige Datenschutzerklärung bereitstellen, die folgende Pflichtangaben enthält:

Identität des Verantwortlichen:

  • Firmenname, Adresse, Kontaktdaten
  • UID-Nummer, Handelsregister-Nummer
  • Kontakt des Datenschutzbeauftragten (falls vorhanden)

Zwecke der Datenbearbeitung:

  • Konkrete Beschreibung jedes Verarbeitungszwecks
  • “Marketingzwecke” genügt nicht - spezifizieren Sie: Newsletter, Werbeanrufe, personalisierte Angebote
  • Rechtsgrundlage für jeden Zweck (Vertrag, Einwilligung, berechtigtes Interesse)

Kategorien bearbeiteter Personendaten:

  • Stammdaten (Name, Adresse)
  • Kontaktdaten (E-Mail, Telefon)
  • Vertragsdaten (Bestellungen, Rechnungen)
  • Nutzungsdaten (Website-Verhalten, App-Nutzung).
  • Technische Daten (IP-Adresse, Browser, Cookies)

Empfänger oder Kategorien von Empfängern:

  • IT-Dienstleister (Hosting, Cloud-Services).
  • Marketing-Tools (Newsletter, CRM)
  • Zahlungsdienstleister
  • Treuhänder, Rechtsanwälte
  • Behörden (wenn gesetzlich vorgeschrieben)

Drittstaaten-Transfers:

  • Welche Daten werden in welche Länder übermittelt?
  • Rechtsgrundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, Einwilligung)
  • Spezielle Risiken bei Ländern ohne angemessenes Datenschutzniveau

Aufbewahrungsfristen:

  • Gesetzliche Aufbewahrungspflichten (z.B. OR: 10 Jahre für Geschäftsbücher)
  • Vertragliche Aufbewahrung
  • Löschkonzept nach Wegfall des Zwecks

Betroffenenrechte:

  • Auskunftsrecht
  • Berichtigungsrecht
  • Löschungsrecht
  • Widerspruchsrecht.
  • Recht auf Datenherausgabe oder -übertragung

Automatisierte Einzelentscheidungen:

  • Profiling, Scoring, KI-basierte Entscheidungen
  • Logik, Tragweite, Auswirkungen erklären

Informationspflicht bei Datenerhebung

Bei jeder Datenerhebung müssen Sie die betroffene Person informieren:

Bei Direkterhebung (z.B. Online-Formular, Vertragsabschluss):

  • Verweis auf vollständige Datenschutzerklärung
  • Hinweis auf freiwillige/obligatorische Angaben
  • Einwilligungserklärung für nicht-erforderliche Datenbearbeitungen

Bei Erhebung von Dritten (z.B. Adresskauf, Datenaustausch):

  • Information spätestens bei erster Kontaktaufnahme
  • Quelle der Daten nennen
  • Alle Pflichtangaben wie bei Direkterhebung

Ausnahmen von der Informationspflicht:

  • Gesetzliche Aufbewahrungspflichten
  • Überwiegendes öffentliches Interesse
  • Unmöglichkeit oder unverhältnismässiger Aufwand (nachweisen!)

Privacy by Design & Privacy by Default

Privacy by Design: Datenschutz von Anfang an

Das nDSG verlangt, dass Datenschutz bereits bei der Konzeption neuer Prozesse, Produkte und Systeme berücksichtigt wird:

Projektplanung:

  • Datenschutz-Impact-Assessment durchführen
  • Datenminimierung als Designprinzip
  • Pseudonymisierung und Verschlüsselung evaluieren
  • Alternativen mit weniger Datenbearbeitung prüfen

Softwareentwicklung:

  • Datenschutzfreundliche Voreinstellungen
  • Separate Datenbanken für verschiedene Zwecke
  • Zugriffskontrolle nach Rollen und Berechtigungen
  • Logging und Audit-Trails für sensible Zugriffe

Geschäftsprozesse:

  • Datenflüsse dokumentieren (Datenflussdiagramme)
  • Löschkonzepte integrieren
  • Betroffenenrechte effizient bearbeitbar machen
  • Datenschutz-Schulungen für Mitarbeiter

Privacy by Default: Datenschutzfreundliche Voreinstellungen

Standardeinstellungen müssen den höchsten Datenschutz gewährleisten:

Website und Apps:

  • Cookies nur mit aktiver Einwilligung
  • Tracking-Tools standardmässig deaktiviert
  • Minimal erforderliche Berechtigungen voreingestellt
  • Datenschutzfreundliche Alternativen bevorzugen (z.B. Matomo statt Google Analytics)

Kundenkonten:

  • Marketing-Kommunikation standardmässig deaktiviert (Opt-in statt Opt-out)
  • Datenfreigaben nur mit expliziter Zustimmung
  • Automatische Löschung inaktiver Konten nach definierten Fristen

Interne Systeme:

  • Zugriffsrechte nach Need-to-know-Prinzip
  • Verschlüsselung als Standard
  • Anonymisierung wo möglich

Datensicherheit: Technisch-organisatorische Massnahmen

Pflicht zur Datensicherheit nach Art. 8 nDSG

Sie müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten schützen:

Technische Massnahmen:

  1. Verschlüsselung:

    • Transport-Verschlüsselung: TLS 1.3 für alle Übertragungen
    • Speicher-Verschlüsselung: Festplatten, Datenbanken, Backups
    • Ende-zu-Ende-Verschlüsselung für besonders sensible Daten

  2. Zugriffskontrolle:

    • Benutzer- und Rechteverwaltung
    • Zwei-Faktor-Authentifizierung (2FA) für alle Zugriffe
    • Automatische Abmeldung nach Inaktivität
    • Protokollierung aller Zugriffe auf sensible Daten

  3. Netzwerksicherheit:

    • Firewall, Intrusion Detection/Prevention
    • Segmentierung von Netzwerken
    • VPN für Remote-Zugriffe
    • Regelmässige Sicherheitsupdates und Patches

  4. Backup und Wiederherstellung:

    • Automatisierte, verschlüsselte Backups
    • Räumlich getrennte Speicherung
    • Regelmässige Wiederherstellungstests
    • Dokumentierter Business Continuity Plan

Organisatorische Massnahmen:

  1. Richtlinien und Prozesse:

    • Datenschutz-Policy
    • IT-Sicherheitsrichtlinie
    • Clean-Desk- und Clear-Screen-Policy
    • Incident-Response-Plan

  2. Schulungen:

    • Jährliche Datenschutz-Schulungen für alle Mitarbeiter
    • Spezielle Schulungen für IT und HR
    • Sensibilisierung für Phishing und Social Engineering

  3. Zuständigkeiten:

    • Datenschutzverantwortlicher benennen (nicht verwechseln mit Datenschutzbeauftragtem)
    • Klare Verantwortlichkeiten dokumentieren
    • Eskalationswege definieren

  4. Überprüfung:

    • Jährliche Datenschutz-Audits
    • Penetrationstests für kritische Systeme — RedTeam Partners bietet als CREST-zertifizierter Anbieter gezielte Sicherheitsprüfungen, die den Nachweis angemessener Datensicherheit nach Art. 8 nDSG unterstützen.
    • Überprüfung Auftragsverarbeiter
    • Aktualisierung des Verzeichnisses

Angemessenheit der Massnahmen

Die Massnahmen müssen verhältnismässig sein und berücksichtigen:

  • Art der Daten: Besonders schützenswerte Daten erfordern höhere Sicherheit
  • Umfang der Bearbeitung: Masse und Vielfalt der Daten
  • Risiken: Eintrittswahrscheinlichkeit und Schwere von Datenschutzverletzungen
  • Stand der Technik: Was ist aktuell üblich und verfügbar?
  • Kosten: Unverhältnismässig hohe Kosten müssen nicht getragen werden

Faustregel: Die Datensicherheit eines KMU mit 50 Mitarbeitern und Standard-Kundendaten muss geringer sein als die einer Bank, aber höher als die eines privaten Hobbyvereins.

Verzeichnis der Bearbeitungstätigkeiten

Pflicht zur Dokumentation

Jeder Verantwortliche muss ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 nDSG):

Mindestinhalt pro Bearbeitungstätigkeit:

  1. Identität des Verantwortlichen: Ihre Firma
  2. Zweck der Bearbeitung: Warum werden die Daten bearbeitet?
  3. Kategorien betroffener Personen: Kunden, Mitarbeiter, Lieferanten, etc.
  4. Kategorien bearbeiteter Daten: Stammdaten, Vertragsdaten, etc.
  5. Kategorien von Empfängern: Wer erhält die Daten?
  6. Aufbewahrungsdauer: Wie lange werden die Daten gespeichert?
  7. Allgemeine Beschreibung der Datensicherheit: Verschlüsselung, Zugriffskontrolle, etc.
  8. Drittstaaten-Transfers: Welche Daten in welche Länder?

Ausnahmen:

  • Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht befreit, sofern:
    • Keine hohen Risiken für Betroffene bestehen
    • Keine besonders schützenswerten Personendaten bearbeitet werden
    • Keine umfangreiche Datenbearbeitung erfolgt

Praxistipp: Auch wenn Sie von der Pflicht befreit sind, empfehlen wir die Führung eines Verzeichnisses. Es hilft Ihnen, den Überblick zu behalten und ist die Grundlage für alle anderen Datenschutzmassnahmen.

Beispiel-Bearbeitungstätigkeiten

Bearbeitungstätigkeit 1: Kundenverwaltung

  • Zweck: Vertragserfüllung, Kundenservice, Buchhaltung
  • Betroffene: Kunden (natürliche Personen)
  • Daten: Name, Adresse, E-Mail, Telefon, Bestellhistorie, Zahlungsdaten
  • Empfänger: Buchhaltung (intern), Treuhänder, Zahlungsdienstleister (Stripe)
  • Aufbewahrung: 10 Jahre (gesetzliche Aufbewahrungspflicht OR)
  • Sicherheit: Zugriffskontrolle, TLS-Verschlüsselung, verschlüsselte Backups
  • Drittstaaten: USA (Stripe, Angemessenheitsbeschluss EU-USA DPF)

Bearbeitungstätigkeit 2: Bewerbungsverwaltung

  • Zweck: Rekrutierung, Auswahlverfahren
  • Betroffene: Bewerbende
  • Daten: Name, Adresse, Lebenslauf, Zeugnisse, Foto, Bewerbungsunterlagen
  • Empfänger: HR-Abteilung, Fachabteilungen (intern)
  • Aufbewahrung: 6 Monate nach Absage (Bewerberdossiers), 10 Jahre bei Anstellung
  • Sicherheit: Zugriffsbeschränkung nur HR, verschlüsselte Ablage
  • Drittstaaten: Keine

Bearbeitungstätigkeit 3: Website-Analytics

  • Zweck: Reichweitenmessung, Optimierung Website
  • Betroffene: Website-Besucher
  • Daten: IP-Adresse (anonymisiert), Browser, Referrer, Besuchszeit, besuchte Seiten
  • Empfänger: Analytics-Anbieter (Matomo Cloud)
  • Aufbewahrung: 12 Monate, dann Löschung
  • Sicherheit: IP-Anonymisierung, Cookie-Einwilligung, AVV-Vertrag
  • Drittstaaten: Keine (Matomo-Server in Deutschland)

Datenschutz-Folgenabschätzung (DSFA)

Wann ist eine DSFA erforderlich?

Eine Datenschutz-Folgenabschätzung ist vor Beginn einer Bearbeitung durchzuführen, wenn diese ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen birgt (Art. 22 nDSG).

Typische Fälle:

  • Systematisches, umfangreiches Monitoring (z.B. Video-Überwachung)
  • Automatisierte Einzelentscheidungen mit rechtlicher Wirkung (z.B. Kredit-Scoring)
  • Umfangreiche Bearbeitung besonders schützenswerter Daten (z.B. Gesundheitsdaten)
  • Neue Technologien mit unklaren Datenschutzrisiken (z.B. KI, Biometrie)
  • Profiling mit hohen Risiken

DSFA-Inhalt:

  1. Systematische Beschreibung der Bearbeitung und Zwecke
  2. Bewertung der Notwendigkeit und Verhältnismässigkeit
  3. Bewertung der Risiken für die Betroffenen
  4. Geplante Abhilfemassnahmen (Risikominderung)

Konsultationspflicht: Falls hohes Restrisiko besteht und nicht angemessen gemildert werden kann, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) vorab konsultiert werden.

Praxistipp für KMU: Die meisten Standard-Bearbeitungen (Kundenverwaltung, Buchhaltung, HR) erfordern keine DSFA. Vorsicht bei Video-Überwachung, Cloud-Lösungen mit USA-Transfer sensibler Daten und KI-Einsatz.

Auftragsverarbeitung: AVV-Verträge

Wann liegt Auftragsverarbeitung vor?

Auftragsverarbeitung liegt vor, wenn ein Dienstleister in Ihrem Auftrag und nach Ihren Weisungen Personendaten bearbeitet:

Typische Auftragsverarbeiter:

  • Hosting-Anbieter (Server, Cloud-Storage).
  • CRM- und Marketing-Tools (Mailchimp, HubSpot, Salesforce)
  • Buchhaltungssoftware-Anbieter
  • Lohn-/HR-Software-Anbieter
  • IT-Support und Wartung
  • Callcenter, Versanddienstleister

Keine Auftragsverarbeitung:

  • Beratungsleistungen (Anwalt, Treuhänder) - diese sind eigene Verantwortliche
  • Reine Kommunikationsdienste (E-Mail-Provider, Telefonanbieter)
  • Behörden

Auftragsverarbeitungsvertrag (AVV)

Mit jedem Auftragsverarbeiter müssen Sie einen schriftlichen AVV abschliessen (Art. 9 nDSG):

Mindestinhalt:

  • Gegenstand und Dauer der Bearbeitung
  • Art und Zweck der Bearbeitung
  • Art der Personendaten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen (Sie).
  • Weisungsrecht des Verantwortlichen
  • Pflichten des Auftragsverarbeiters:
    • Bearbeitung nur nach Weisung
    • Vertraulichkeit (Mitarbeiter verpflichtet)
    • Datensicherheit (technisch-organisatorische Massnahmen)
    • Unterauftragsverarbeiter nur mit Genehmigung
    • Unterstützung bei Betroffenenrechten und Datenpannen
    • Löschung oder Rückgabe nach Vertragsende
  • Kontrollrechte des Verantwortlichen

Praxistipp: Viele grössere Anbieter haben Standard-AVV (Data Processing Agreements, DPA), die Sie akzeptieren können. Prüfen Sie, ob diese den nDSG-Anforderungen genügen. Kleinere Anbieter haben oft keine AVV - hier müssen Sie selbst aktiv werden.

Kosten: AVV-Vorlagen gibt es kostenlos online. Individuelle Prüfung durch Anwalt: CHF 500-1’500 pro Vertrag.

Drittstaaten-Transfers

Wann dürfen Daten ins Ausland übermittelt werden?

Daten dürfen nur in Drittstaaten (Länder ausserhalb der Schweiz/EU/EWR) übermittelt werden, wenn ein angemessenes Datenschutzniveau gewährleistet ist:

Option 1: Angemessenheitsbeschluss des Bundesrats

  • EU/EWR-Staaten (automatisch angemessen)
  • Weitere Länder mit Beschluss: UK, Andorra, Argentinien, Kanada (kommerziell), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay
  • USA: EU-US Data Privacy Framework (DPF) - nur für zertifizierte Unternehmen

Option 2: Standardvertragsklauseln (SCC)

  • EDÖB-genehmigte Standardvertragsklauseln abschliessen
  • Transfer-Impact-Assessment durchführen (Risiken im Zielland prüfen)
  • Zusätzliche Massnahmen ergreifen bei unzureichenden Gesetzen (z.B. Verschlüsselung)

Option 3: Einwilligung der betroffenen Person

  • Ausdrückliche Einwilligung nach umfassender Information über Risiken
  • Nur für Einzelfälle geeignet, nicht für systematische Transfers

Option 4: Weitere Ausnahmen

  • Vertragserfüllung erforderlich
  • Erhebliches öffentliches Interesse
  • Rechtsverfolgung oder -verteidigung

Wichtig: USA-Transfers sind seit Juli 2023 wieder einfacher durch EU-US DPF. Prüfen Sie auf der DPF-Liste (dataprivacyframework.gov), ob Ihr US-Dienstleister zertifiziert ist.

Kritische Drittstaaten

Hohes Risiko:

  • China, Russland: Weitreichende Zugriffsbefugnisse für Behörden
  • USA (nicht-DPF-zertifizierte Unternehmen): FISA 702, Executive Order 12333
  • Länder ohne Datenschutzgesetze

Praxistipp: Bevorzugen Sie europäische Anbieter mit Servern in der Schweiz/EU. Falls US-Anbieter unvermeidbar (z.B. Microsoft, Google), prüfen Sie DPF-Zertifizierung und schliessen Sie zusätzlich SCC ab.

Meldepflicht Datenverletzungen

Wann müssen Datenpannen gemeldet werden?

Bei Verletzungen der Datensicherheit, die ein hohes Risiko für betroffene Personen darstellen, müssen Sie den EDÖB unverzüglich, möglichst binnen 72 Stunden, informieren (Art. 24 nDSG):

Hohes Risiko liegt vor bei:

  • Verlust oder Diebstahl unverschlüsselter Datenträger mit sensiblen Daten
  • Hacker-Angriff mit Zugriff auf Personendaten.
  • Ransomware-Angriff mit Datenverschlüsselung/-abfluss
  • Versehentliche Veröffentlichung sensibler Daten
  • Zugriff durch Unbefugte (z.B. falsches E-Mail-Attachment an Dritten)

Kein hohes Risiko in der Regel bei:

  • Verlust verschlüsselter Datenträger (starke Verschlüsselung)
  • Technische Fehler ohne Zugriff Dritter
  • Datenabfluss nur interne Mitarbeiter

Meldung an EDÖB muss enthalten:

  • Art der Datenschutzverletzung
  • Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Massnahmen

Benachrichtigung Betroffener: Falls hohe Risiken für Betroffene bestehen, müssen auch diese informiert werden (z.B. bei Identitätsdiebstahl-Gefahr).

Sanktionen: Versäumte Meldung kann mit Busse bis CHF 250’000 geahndet werden (bei Vorsatz).

Sanktionen und Durchsetzung

Bussen nach nDSG

Das nDSG sieht Bussen bis zu CHF 250’000 vor - allerdings nur für natürliche Personen (Geschäftsführer, Mitarbeiter), nicht für Unternehmen:

Strafbare Handlungen (Art. 60-64 nDSG):

  • Verletzung Informations- und Auskunftspflichten (vorsätzlich)
  • Verletzung Sorgfaltspflichten bei Auftragsverarbeitern.
  • Missachtung von Anordnungen des EDÖB
  • Verletzung Schweigepflicht professioneller Datenbearbeiter
  • Falsche Zertifizierung

Verschuldensprinzip: Nur vorsätzliche Verstösse (teilweise auch fahrlässige) sind strafbar. Versehentliche Fehler ohne Verschulden bleiben straffrei.

Strafverfolgung: Der EDÖB kann Strafanzeige erstatten. Die Strafverfolgung liegt bei den Kantonen.

Weitere Konsequenzen

Zivilrechtliche Haftung:

  • Schadenersatz nach OR Art. 41 ff. (bei Verschulden)
  • Genugtuung bei Persönlichkeitsverletzungen
  • Gewinnherausgabe (bei arglistigem Verhalten)

Reputationsschaden:

  • Medienberichte über Datenpannen
  • Kundenvertrauen schwindet
  • Geschäftsbeziehungen gefährdet

EDÖB-Sanktionen:

  • Verfügungen mit Anordnungen
  • Veröffentlichung von Verstössen
  • Empfehlungen an Strafverfolgungsbehörden

Praxistipp: Die Gefahr von Bussen ist für KMU real, aber überschaubar, sofern Sie sich erkennbar um Compliance bemühen. Dokumentieren Sie Ihre Massnahmen, führen Sie Schulungen durch und reagieren Sie schnell bei Problemen.

Umsetzungskosten für KMU

Realistische Kosteneinschätzung CHF 5’000-25’000

Die Kosten für nDSG-Compliance hängen von Unternehmensgrösse, Komplexität und Ist-Zustand ab:

Klein-KMU (1-10 Mitarbeiter): CHF 5’000-10’000

  • Datenschutzerklärung erstellen/überarbeiten: CHF 1’000-2’000
  • Verzeichnis Bearbeitungstätigkeiten: CHF 500-1’000 (Eigenerstellung mit Vorlage)
  • AVV-Verträge prüfen/abschliessen (5-10 Dienstleister): CHF 1’000-2’000
  • Technische Massnahmen (TLS, 2FA, Backup-Verschlüsselung): CHF 1’000-2’000
  • Datenschutz-Schulung: CHF 500-1’000
  • Externe Beratung (Erst-Audit, Begleitung): CHF 1’000-3’000

Mittel-KMU (11-50 Mitarbeiter): CHF 10’000-18’000

  • Datenschutzerklärung (Website, App, mehrsprachig): CHF 2’000-3’000
  • Verzeichnis Bearbeitungstätigkeiten (detailliert): CHF 1’500-2’500
  • AVV-Verträge (10-20 Dienstleister): CHF 2’000-4’000.
  • DSFA für kritische Prozesse: CHF 1’500-3’000
  • Technische Massnahmen (erweitert): CHF 2’000-4’000
  • Datenschutz-Schulungen (alle Mitarbeiter): CHF 1’000-2’000
  • Externe Beratung/Audit: CHF 3’000-6’000

Grössere KMU (51-250 Mitarbeiter): CHF 18’000-25’000+

  • Komplette Datenschutz-Governance: CHF 4’000-6’000
  • Komplexe Verzeichnisse, DSFA: CHF 3’000-5’000
  • Viele AVV-Verträge (20+ Dienstleister): CHF 3’000-5’000.
  • Technische Massnahmen (inkl. DLP, SIEM): CHF 4’000-6’000
  • Datenschutzbeauftragter (extern, Mandat): CHF 5’000-10’000/Jahr
  • Schulungen, interne Audits: CHF 2’000-3’000

Laufende Kosten (jährlich):

  • Datenschutzbeauftragter (extern, optional): CHF 5’000-15’000/Jahr
  • Schulungen, Updates: CHF 1’000-3’000/Jahr
  • Externe Audits (alle 2-3 Jahre): CHF 3’000-8’000
  • Tool-Lizenzen (Consent-Management, etc.): CHF 500-2’000/Jahr

Checkliste: nDSG-Compliance in 10 Schritten

Phase 1: Bestandsaufnahme (1-2 Wochen)

  • Verzeichnis Bearbeitungstätigkeiten erstellen: Alle Prozesse mit Personendaten erfassen
  • Datenflüsse dokumentieren: Woher kommen Daten, wohin fliessen sie, wer hat Zugriff?
  • Drittstaaten-Transfers identifizieren: Welche Dienstleister in welchen Ländern?
  • AVV-Verträge prüfen: Mit welchen Auftragsverarbeitern fehlen Verträge?
  • Technische Sicherheit bewerten: Wo bestehen Lücken (Verschlüsselung, Zugriffskontrolle)?

Phase 2: Rechtliche Dokumente (2-4 Wochen)

  • Datenschutzerklärung überarbeiten: Alle nDSG-Pflichtangaben ergänzen
  • AGB anpassen: Datenschutz-Klauseln aktualisieren
  • Cookie-Banner implementieren: Consent-Management-Tool einbinden
  • AVV-Verträge abschliessen: Mit allen Auftragsverarbeitern
  • Richtlinien erstellen: Interne Datenschutz- und IT-Sicherheitsrichtlinien

Phase 3: Technische Massnahmen (2-4 Wochen)

  • TLS-Verschlüsselung: Alle Websites und E-Mail-Kommunikation auf HTTPS/TLS
  • Zugriffskontrollen: Benutzer- und Rechteverwaltung einführen, 2FA aktivieren
  • Backup-Verschlüsselung: Alle Backups verschlüsseln, Wiederherstellung testen
  • Logging: Zugriffe auf sensible Daten protokollieren
  • Datenlöschung: Automatisierte Löschprozesse für abgelaufene Daten

Phase 4: Prozesse und Schulung (1-2 Wochen)

  • Betroffenenrechte-Prozess: Wie bearbeiten Sie Auskunfts-, Lösch-, Berichtigungsanfragen?
  • Datenpannen-Prozess: Wer meldet wann an wen bei Datenverletzungen?
  • Datenschutz-Schulung: Alle Mitarbeiter schulen (1-2 Stunden)
  • Verantwortlichkeiten: Datenschutzverantwortlichen benennen

Phase 5: Kontrolle und Verbesserung (laufend)

  • DSFA durchführen: Bei neuen Projekten mit hohem Risiko
  • Jährliches Audit: Verzeichnis aktualisieren, Massnahmen überprüfen
  • Incident-Response-Test: Datenpannen-Szenario durchspielen
  • Externe Beratung: Bei Unsicherheiten Experten hinzuziehen

FAQ

Gilt das nDSG auch für kleine Unternehmen?

Ja, das nDSG gilt für alle Unternehmen in der Schweiz, unabhängig von der Grösse. Sobald Sie Personendaten bearbeiten (was praktisch jedes Unternehmen tut - Kundendaten, Mitarbeiterdaten, Lieferantendaten), sind Sie verpflichtet. Einige Erleichterungen gibt es für Unternehmen mit weniger als 250 Mitarbeitern (z.B. Verzeichnispflicht bei geringen Risiken entfällt), aber die grundlegenden Pflichten (Informationspflicht, Datensicherheit, Betroffenenrechte) gelten für alle.

Braucht jedes KMU einen Datenschutzbeauftragten?

Nein, die Bestellung eines Datenschutzbeauftragten ist in der Schweiz grundsätzlich freiwillig (anders als in der EU-DSGVO). Sie müssen jedoch einen internen Datenschutzverantwortlichen benennen, der für die Einhaltung des nDSG zuständig ist. Ein externer Datenschutzbeauftragter ist sinnvoll für KMU mit besonders schützenswerten Daten, komplexen Datenverarbeitungen oder hohen Compliance-Anforderungen (z.B. Gesundheitswesen, Finanzbranche). Kosten: CHF 5’000-15’000/Jahr für externes Mandat.

Was passiert, wenn ich das nDSG nicht umsetze?

Bei vorsätzlichen Verstössen gegen das nDSG drohen Bussen bis zu CHF 250’000 für natürliche Personen (Geschäftsführer, Datenschutzverantwortliche). Zusätzlich kann der EDÖB Anordnungen erlassen, die Sie zwingen, Massnahmen zu ergreifen. Bei Datenpannen entstehen zivilrechtliche Schadenersatzansprüche und ein erheblicher Reputationsschaden. Die Strafverfolgung liegt bei den Kantonen. Wichtig: Nur vorsätzliche (teilweise fahrlässige) Verstösse sind strafbar - wer sich erkennbar um Compliance bemüht, hat wenig zu befürchten.

Darf ich Google Analytics noch verwenden?

Google Analytics (GA4) ist datenschutzrechtlich problematisch, da Daten an Google in den USA übermittelt werden. Obwohl Google DPF-zertifiziert ist, bleiben Risiken durch US-Überwachungsgesetze. Der EDÖB empfiehlt europäische Alternativen wie Matomo (mit Schweizer/EU-Servern) oder serverseitiges Tracking. Falls Sie GA4 weiterhin nutzen möchten: IP-Anonymisierung aktivieren, AVV-Vertrag abschliessen, Cookie-Consent einholen, Drittstaaten-Transfer in Datenschutzerklärung transparent kommunizieren. Langfristig ist ein Wechsel zu datenschutzfreundlicheren Tools ratsam.

Wie lange darf ich Kundendaten aufbewahren?

Die Aufbewahrungsdauer richtet sich nach dem Zweck der Datenbearbeitung und gesetzlichen Aufbewahrungspflichten. Gesetzliche Pflichten (OR): Geschäftsbücher, Buchungsbelege, Rechnungen müssen 10 Jahre aufbewahrt werden. Vertragliche Daten: Solange der Vertrag läuft plus Verjährungsfristen (meist 10 Jahre nach OR). Marketing-Daten: Nur so lange, wie der Kunde eingewilligt hat oder berechtigtes Interesse besteht. Nach Ablauf der Aufbewahrungspflicht müssen Sie die Daten löschen, es sei denn, es besteht ein neuer rechtmässiger Grund. Dokumentieren Sie Ihre Aufbewahrungsfristen im Verzeichnis der Bearbeitungstätigkeiten.

Was kostet die Umsetzung des nDSG realistisch?

Die Kosten variieren je nach Unternehmensgrösse und Komplexität. Für Klein-KMU (1-10 Mitarbeiter) rechnen Sie mit CHF 5’000-10’000 für die initiale Umsetzung. Mittel-KMU (11-50 Mitarbeiter) sollten CHF 10’000-18’000 einplanen. Grössere KMU (51-250 Mitarbeiter) können bis zu CHF 25’000 benötigen. Die grössten Kostenblöcke sind externe Beratung (CHF 3’000-8’000), Überarbeitung rechtlicher Dokumente (CHF 2’000-4’000), technische Massnahmen (CHF 2’000-6’000) und Schulungen (CHF 1’000-3’000). Laufende Kosten: CHF 2’000-8’000/Jahr für Updates, Schulungen und optional einen externen Datenschutzbeauftragten.

Muss ich alle meine Dienstleister-Verträge neu verhandeln?

Nicht zwingend neu verhandeln, aber Sie müssen mit allen Auftragsverarbeitern (Dienstleister, die in Ihrem Auftrag Personendaten bearbeiten) einen Auftragsverarbeitungsvertrag (AVV) abschliessen. Viele grössere Anbieter (z.B. Microsoft, Google, Mailchimp) bieten Standard-AVV (Data Processing Agreements, DPA) an, die Sie einfach akzeptieren können - prüfen Sie auf den Websites oder in den Account-Einstellungen. Bei kleineren, lokalen Dienstleistern (IT-Support, Webdesigner) müssen Sie den AVV aktiv ansprechen und abschliessen. Verwenden Sie dafür Vorlagen (kostenlos online verfügbar) oder lassen Sie den Vertrag durch einen Anwalt prüfen (CHF 500-1’500).

Expertenmeinungen und offizielle Quellen

EDÖB - Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Der EDÖB ist die zentrale Anlaufstelle für alle Datenschutzfragen in der Schweiz. Auf der Website edoeb.admin.ch finden Sie:

  • Offizielle Leitfäden zur nDSG-Umsetzung
  • Vorlagen für Datenschutzerklärungen und Verzeichnisse
  • Empfehlungen zu Auftragsverarbeitungsverträgen
  • Meldeformular für Datenschutzverletzungen

Direkte Beratung: Der EDÖB bietet keine individuelle Rechtsberatung für Unternehmen an. Für konkrete Fragen wenden Sie sich an spezialisierte Datenschutz-Anwälte oder -Berater.

Schweizer Anwaltskammer (SAV)

Die SAV empfiehlt KMU, die nDSG-Umsetzung nicht auf die leichte Schulter zu nehmen. Zitat: “Datenschutz ist kein Nice-to-have, sondern rechtliche Pflicht. Die Investition in Compliance zahlt sich aus durch Vermeidung von Bussen, Reputationsschäden und Schadenersatzforderungen.”

ICTswitzerland

Der ICT-Branchenverband betont die Bedeutung von Privacy by Design: “Datenschutz muss von Anfang an in Geschäftsprozesse und IT-Systeme integriert werden. Nachträgliche Anpassungen sind deutlich teurer und riskanter.”

Digitalswitzerland

Die Initiative Digitalswitzerland warnt vor übereilten Drittstaaten-Transfers: “Schweizer KMU sollten europäische Cloud-Anbieter bevorzugen. US-Anbieter sind zwar oft günstiger, bringen aber Compliance-Risiken und potenzielle Datenschutzverletzungen mit sich.”

Datenschutz rechtskonform umsetzen: nDSG-Compliance als Chance nutzen

Die Umsetzung des nDSG ist für Schweizer KMU eine Herausforderung, aber auch eine Chance: Sie schaffen Vertrauen bei Kunden, reduzieren rechtliche Risiken und optimieren Ihre Prozesse. Mit dieser Anleitung, den Checklisten und realistischen Kostenschätzungen können Sie die Compliance effizient und kostenoptimiert angehen.

Starten Sie jetzt:

  1. Verzeichnis der Bearbeitungstätigkeiten erstellen (1-2 Tage)
  2. Datenschutzerklärung überarbeiten (1-2 Tage)
  3. AVV-Verträge prüfen und abschliessen (1 Woche)
  4. Technische Massnahmen umsetzen (1-2 Wochen)
  5. Mitarbeiter schulen (1-2 Stunden)

Bei Unsicherheiten ziehen Sie externe Experten hinzu - die Investition von CHF 2’000-5’000 für professionelle Beratung kann Sie vor Bussen von CHF 250’000 und Reputationsschäden bewahren.

Kontakt für weiterführende Informationen:

  • EDÖB: edoeb.admin.ch, info@edoeb.admin.ch
  • Schweizer Anwaltskammer: sav-fsa.ch
  • Datenschutzberater-Verzeichnis: privatim.ch (Schweizerische Vereinigung der Datenschutzbeauftragten)

Datenschutzberater auf Alpine Excellence finden

Dieser Leitfaden wurde von Alpine Excellence Legal Team erstellt und ersetzt keine individuelle Rechtsberatung. Stand: Februar 2026. Das nDSG entwickelt sich durch Gerichtspraxis und EDÖB-Empfehlungen weiter - prüfen Sie regelmässig Updates.