Datenlöschdienst
← Alle Artikel
Rechtliches3. April 20269 Min.

Datenschutz für KMU in der Schweiz: Ihre Pflichten nach dem nDSG

Seit dem 1. September 2023 ist das revidierte Schweizer Datenschutzgesetz (nDSG / revDSG) in Kraft. Für kleine und mittlere Unternehmen (KMU) bringt es konkrete Pflichten mit sich — von der Dokumentation über die Informationspflicht bis zur Meldung bei Datenschutzverletzungen. Wer die Vorgaben nicht einhält, riskiert persönliche Bussen bis CHF 250'000.

Dieser Ratgeber fasst die wichtigsten nDSG-Pflichten für KMU zusammen und zeigt Ihnen, wo Sie sofort handeln können. Für eine allgemeine Einführung ins nDSG empfehlen wir unseren Artikel nDSG erklärt.

Warum betrifft das nDSG auch kleine Firmen?

Das nDSG gilt für alle Unternehmen, die Personendaten bearbeiten — egal ob Einzelfirma, GmbH oder AG, egal ob 3 oder 300 Mitarbeitende. Sobald Sie Kundendaten, Mitarbeiterdaten, Lieferantenkontakte oder Newsletter-Listen verwalten, sind Sie betroffen.

Anders als bei der EU-DSGVO richtet sich das Schweizer Recht direkt an natürliche Personen als Bussenadressaten. Das heisst: Nicht die Firma zahlt die Busse, sondern die verantwortliche Person — Geschäftsführerin, Inhaber, Verwaltungsrätin. Das macht das Thema für Inhaberinnen und Inhaber besonders relevant.

Die wichtigsten Pflichten im Überblick

1. Verarbeitungsverzeichnis (Art. 12 nDSG)

Unternehmen müssen ein Verzeichnis aller Bearbeitungstätigkeiten führen. Dieses enthält unter anderem:

  • Identität des Verantwortlichen (Name und Kontaktdaten)
  • Bearbeitungszweck (warum werden die Daten erhoben?)
  • Kategorien betroffener Personen (Kunden, Mitarbeitende, Lieferanten)
  • Kategorien bearbeiteter Personendaten
  • Empfänger und allfällige Auslandsübermittlungen
  • Aufbewahrungsdauer oder Kriterien für deren Festlegung
  • Technische und organisatorische Massnahmen (TOM)

Ausnahme für KMU: Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht befreit — es sei denn, sie bearbeiten besonders schützenswerte Personendaten in grossem Umfang oder betreiben Profiling mit hohem Risiko. In der Praxis empfiehlt sich ein Verzeichnis trotzdem, da es die Grundlage für alle weiteren Datenschutz-Massnahmen bildet.

2. Informationspflicht und Datenschutzerklärung (Art. 19–21 nDSG)

Bei jeder Beschaffung von Personendaten müssen Sie die betroffene Person informieren. In der Praxis geschieht dies über eine Datenschutzerklärung auf Ihrer Website. Diese muss mindestens enthalten:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Empfänger oder Kategorien von Empfängern
  • Angaben bei Übermittlung ins Ausland (z. B. Cloud-Dienste in den USA)
  • Hinweis auf Rechte der betroffenen Person (Auskunft, Löschung, Berichtigung)

Prüfen Sie Ihre Datenschutzerklärung regelmässig — besonders wenn Sie neue Tools, Plugins oder Cloud-Dienste einsetzen.

3. Meldepflicht bei Datenschutzverletzungen (Art. 24 nDSG)

Bei einer Verletzung der Datensicherheit müssen Sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Zusätzlich müssen Sie unter Umständen auch die betroffenen Personen benachrichtigen.

Checkliste bei einem Datenschutzvorfall:

  1. Vorfall intern dokumentieren (Was ist passiert? Welche Daten sind betroffen?)
  2. Risiko für betroffene Personen einschätzen
  3. Bei hohem Risiko: Meldung an den EDÖB (möglichst innert 72 Stunden — der Bundesrat hat keine starre Frist gesetzt, aber «so rasch wie möglich»)
  4. Bei sehr hohem Risiko: Betroffene Personen benachrichtigen
  5. Massnahmen zur Behebung und Prävention umsetzen

4. Datenschutz-Folgenabschätzung / DSFA (Art. 22 nDSG)

Eine DSFA ist erforderlich, wenn eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Typische Szenarien für KMU:

  • Einsatz von KI-gestützten Tools zur Personalbeurteilung
  • Umfangreiche Videoüberwachung am Arbeitsplatz
  • Systematische Überwachung von Kundenverhalten (Tracking, Profiling)
  • Bearbeitung von Gesundheitsdaten (z. B. im Personalwesen)

Die DSFA muss vor Beginn der Bearbeitung durchgeführt werden und die Risiken sowie geplante Schutzmassnahmen dokumentieren. Ergibt die Abschätzung, dass trotz Massnahmen ein hohes Restrisiko bleibt, muss der EDÖB vorgängig konsultiert werden.

5. Auftragsbearbeitung (Art. 9 nDSG)

Wenn Sie Personendaten durch Dritte bearbeiten lassen — etwa durch einen IT-Dienstleister, ein Lohnbüro oder einen Cloud-Anbieter — brauchen Sie einen Auftragsbearbeitungsvertrag (ABV). Darin wird unter anderem geregelt:

  • Umfang und Zweck der Bearbeitung
  • Pflichten des Auftragsbearbeiters
  • Technische und organisatorische Sicherheitsmassnahmen
  • Regelung zu Unteraufträgen
  • Pflicht zur Löschung oder Rückgabe der Daten nach Vertragsende

Ohne solchen Vertrag haften Sie als Verantwortlicher für Datenschutzverletzungen durch den Auftragnehmer.

Persönliche Haftung: CHF 250'000 Busse

Das nDSG sieht strafrechtliche Sanktionen vor. Wer vorsätzlich gegen Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten verstösst, kann mit Bussen bis CHF 250'000 bestraft werden. Gebüsst werden nicht Unternehmen, sondern die verantwortlichen natürlichen Personen — also Sie als Geschäftsführerin, Inhaber oder Verwaltungsrätin.

Zusätzlich kann der EDÖB verwaltungsrechtliche Massnahmen anordnen, etwa die Einstellung einer Datenbearbeitung oder die Löschung von Daten.

Praxis-Checkliste: nDSG-Compliance für KMU

  • Dateninventar erstellen: Welche Personendaten bearbeiten Sie? Wo sind sie gespeichert? Wer hat Zugriff?
  • Verarbeitungsverzeichnis anlegen: Auch wenn Sie unter 250 Mitarbeitende haben — es lohnt sich als Grundlage.
  • Datenschutzerklärung aktualisieren: Website, App, Verträge — überall, wo Sie Daten erheben.
  • Auftragsbearbeitungsverträge prüfen: Haben Sie mit allen externen Dienstleistern einen ABV?
  • Meldeprozess definieren: Wer meldet im Ernstfall an den EDÖB? Wie schnell?
  • Mitarbeitende sensibilisieren: Regelmässige Schulung zu Datenschutz und Datensicherheit.
  • Löschkonzept umsetzen: Daten, die nicht mehr gebraucht werden, müssen gelöscht werden.
  • DSFA-Pflicht prüfen: Betreiben Sie Profiling oder bearbeiten Sie besonders schützenswerte Daten?

Vergessenes Risiko: Ihre eigenen Daten als Firmenchef

Während Sie sich um den Schutz von Kunden- und Mitarbeiterdaten kümmern, übersehen viele KMU-Inhaberinnen und -Inhaber ein naheliegendes Risiko: Ihre eigenen persönlichen Daten sind oft frei im Netz verfügbar.

Über das Handelsregister, Zefix, Moneyhouse und diverse Branchenverzeichnisse sind Name, Funktion, Firmenadresse und teilweise sogar Geburtsdatum und Wohnadresse von Geschäftsführern und Verwaltungsräten öffentlich einsehbar. Diese Daten werden von Datenhändlern aggregiert und weiterverbreitet — ein idealer Ausgangspunkt für:

  • CEO-Fraud: Betrüger geben sich als Geschäftsführer aus und weisen Zahlungen an
  • Phishing: Gezielte E-Mails mit korrektem Namen, Firma und Funktion wirken glaubwürdig
  • Identitätsdiebstahl: Mit genügend öffentlichen Datenpunkten lassen sich Identitäten fälschen
  • Social Engineering: Angreifer nutzen öffentliche Infos, um Vertrauen zu erschleichen

Auch Mitarbeiterdaten tauchen regelmässig in Verzeichnissen und auf Firmenseiten auf — oft ohne Wissen der Betroffenen.

Nächster Schritt: Prüfen Sie Ihre Datenexposition

Compliance beginnt mit Transparenz. Wissen Sie, welche persönlichen Daten von Ihnen und Ihrem Team öffentlich zugänglich sind? Unsere kostenlose Analyse prüft über 50 öffentliche Quellen — Handelsregister, Telefonverzeichnisse, Datenhändler, Personensuchmaschinen — und zeigt Ihnen in Sekunden, wo Handlungsbedarf besteht.

Jetzt registrieren und Ihre Daten unter Kontrolle bringen — als Unternehmer und als Privatperson.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zum nDSG wenden Sie sich bitte an eine qualifizierte Fachperson.

Häufige Fragen

Gilt das nDSG auch für Einzelunternehmen und KMU mit weniger als 250 Mitarbeitenden?
Ja. Das nDSG gilt grundsätzlich für alle Unternehmen, die Personendaten bearbeiten — unabhängig von der Grösse. Unternehmen mit weniger als 250 Mitarbeitenden sind lediglich von der Pflicht befreit, ein Verarbeitungsverzeichnis zu führen, sofern sie keine besonders schützenswerten Personendaten in grossem Umfang bearbeiten und kein Profiling mit hohem Risiko betreiben.
Wie hoch sind die Bussen bei Verstössen gegen das nDSG?
Das nDSG sieht Bussen bis CHF 250'000 vor. Anders als bei der EU-DSGVO haften in der Schweiz nicht Unternehmen, sondern die verantwortlichen natürlichen Personen — also Geschäftsführer, Verwaltungsräte oder andere Entscheidungsträger. Zusätzlich kann der EDÖB Massnahmen anordnen.
Muss ich eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
Eine DSFA ist erforderlich, wenn eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt — beispielsweise bei umfangreicher Bearbeitung besonders schützenswerter Daten, bei systematischer Überwachung öffentlicher Bereiche oder bei automatisierten Einzelentscheidungen.
Welche Daten meiner Firma sind öffentlich im Internet auffindbar?
Über Handelsregister (Zefix), Plattformen wie Moneyhouse und Branchenverzeichnisse sind häufig Name, Adresse, Funktion und teilweise Geburtsdatum von Geschäftsführern und Verwaltungsräten öffentlich einsehbar. Diese Daten können für Phishing, CEO-Fraud oder Identitätsdiebstahl missbraucht werden. Mit der kostenlosen Analyse von datascan.ch prüfen Sie in Sekunden, wo Ihre persönlichen Daten exponiert sind.

Allgemeine Information, keine individuelle Rechtsberatung.

Kostenloses FADP Starter Kit

Musterbriefe, CRIF/ZEK-Anleitung und Checklisten — sofort einsetzbar, per E-Mail.

Kein Spam. Ihre E-Mail-Adresse wird ausschliesslich für den Versand des Starter Kits und gelegentliche Datenschutz-Updates verwendet. Jederzeit abbestellbar.

Keine Zeit für Einzelanfragen?

Wir scannen über 50 öffentliche Quellen (Schwerpunkt DACH) und senden rechtsverbindliche Löschanfragen in Ihrem Namen — ab CHF 8.90/Monat.

Kostenlose Analyse starten

Keine Rechtsberatung. Best-Effort-Unterstuetzung bei der Ausuebung Ihrer Datenschutzrechte. Keine garantierte Löschung.

Weitere Artikel

Rechtliches

DSGVO Art. 17: Ihr Recht auf Vergessenwerden einfach erklärt

Art. 17 DSGVO gibt Ihnen das Recht, die Löschung Ihrer Daten zu verlangen. Aber wann gilt es — und wann nicht?

Rechtliches

DSGVO Löschantrag Musterbrief: Vorlage zum Kopieren

Mit diesem DSGVO Löschantrag Musterbrief können Sie die Löschung Ihrer Daten bei jedem Unternehmen beantragen — kostenlos und rechtssicher.

Rechtliches

Das nDSG einfach erklärt: Schweizer Datenschutz seit 2023

Das neue Schweizer Datenschutzgesetz (nDSG) ist seit September 2023 in Kraft. Was bedeutet es für Ihre persönlichen Daten? Ein verständlicher Überblick.