Das neue Schweizer Datenschutzgesetz (revDSG) ist am 1. September 2023 ohne Übergangsfrist in Kraft getreten. Jedes Unternehmen, das Daten von Schweizer Einwohnern verarbeitet, ist betroffen, ob es seinen Sitz in Genf, Annemasse oder Bonneville hat. Für Unternehmen im französisch-schweizerischen Grenzgebiet kommt dieses Gesetz zur europäischen DSGVO hinzu, die seit Mai 2018 gilt. Beide Texte verfolgen ein gemeinsames Ziel (den Schutz personenbezogener Daten), unterscheiden sich aber in strukturellen Punkten: Einwilligungsmodell, Sanktionsregime, Meldepflichten. Diese Unterschiede zu kennen, bestimmt die tatsächliche Compliance Ihrer Website und Ihrer Datenerfassungstools.
Was das revDSG gegenüber dem alten Schweizer Gesetz ändert
Das ursprüngliche DSG stammte aus dem Jahr 1992. Dreissig Jahre technologischer Rückstand machten eine Totalrevision unumgänglich. Das revidierte DSG bringt die Schweiz auf internationalen Datenschutz-Standard und sichert damit die Angemessenheitsentscheidung der Europäischen Kommission. Ohne diese Anerkennung hätten Datentransfers zwischen der Schweiz und der EU für jeden Austausch Standardvertragsklauseln erfordert.
Der Geltungsbereich des revDSG beschränkt sich auf Daten natürlicher Personen. Das alte Gesetz schützte auch Daten juristischer Personen. Diese Eingrenzung nähert den Schweizer Text der DSGVO an. Das revDSG führt die Konzepte Profiling, Profiling mit hohem Risiko und Datenschutz-Folgenabschätzung (DSFA) ein, die direkt von der europäischen Verordnung inspiriert sind.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erhält erweiterte Befugnisse. Er kann von Amtes wegen Untersuchungen eröffnen, die Änderung oder Einstellung von Datenbearbeitungen anordnen und Verfügungen erlassen. Diese institutionelle Stärkung signalisiert den Wandel von Anreiz zu Durchsetzung.
DSG vs DSGVO: Die strukturellen Unterschiede
Trotz einer gemeinsamen Basis unterscheiden sich beide Texte in mehreren operativen Aspekten. Diese Unterschiede wirken sich direkt auf die Konfiguration einer Website, einer Datenschutzerklärung und einer CMP aus.
Die Einwilligung bildet die bedeutendste Abweichung. Die DSGVO verlangt ein Opt-in-Modell: Keine Verarbeitung personenbezogener Daten ohne vorherige, ausdrückliche Einwilligung des Nutzers (ausser bei alternativen Rechtsgrundlagen wie dem berechtigten Interesse). Das revDSG basiert für die meisten Verarbeitungen auf einem Opt-out-Modell. Die Verarbeitung ist standardmässig erlaubt, sofern die Person nicht widerspricht. Eine ausdrückliche Einwilligung ist nur für besonders schützenswerte Personendaten, Profiling mit hohem Risiko und Übermittlungen in Länder ohne angemessenen Schutz erforderlich. Diese Unterscheidung ist grundlegend für die Konfiguration von Cookie-Bannern.
Die Sanktionen folgen gegensätzlichen Logiken. Die DSGVO sanktioniert Unternehmen mit Bussgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Das revDSG zielt auf die verantwortlichen natürlichen Personen mit Bussen bis zu 250.000 CHF. Laut dem EDÖB soll dieser Ansatz die Entscheidungsträger persönlich in die Pflicht nehmen, statt die Sanktion auf die Organisation abzuwälzen.
Auch die Meldung von Datenschutzverletzungen divergiert. Die DSGVO schreibt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung einer Verletzung vor. Das revDSG verlangt eine Meldung "so rasch wie möglich" an den EDÖB, ohne bezifferte Frist. Dieser scheinbare Spielraum lässt Interpretationen zu, doch die Praxis des EDÖB tendiert zu einer dem DSGVO-Rahmen vergleichbaren Frist.
Die Benennung eines Datenschutzbeauftragten (DSB) ist unter der DSGVO in vielen Fällen obligatorisch (öffentliche Stellen, umfangreiche Verarbeitungen, sensible Daten). Das revDSG macht diese Ernennung freiwillig. Schweizer Unternehmen können einen "Datenschutzberater" bestimmen, aber keine Pflicht zwingt sie dazu, unabhängig von Grösse oder Tätigkeit.
Internationale Datentransfers: Zwei Rahmenwerke, zwei Mechanismen
Die Übermittlung personenbezogener Daten ins Ausland ist für grenzüberschreitende Unternehmen ein zentrales Thema. Die DSGVO erlaubt Transfers in Länder, die von der Europäischen Kommission als angemessen anerkannt wurden. Für andere sind geeignete Garantien erforderlich: Standardvertragsklauseln, verbindliche Unternehmensregeln oder Zertifizierungsmechanismen.
Das revDSG folgt einer ähnlichen Logik. Der Schweizer Bundesrat veröffentlicht eine Liste als angemessen beurteilter Staaten. Die Schweiz anerkennt die EU als angemessenes Territorium und umgekehrt. Transfers zwischen Frankreich und der Schweiz erfordern demnach keine zusätzlichen Garantien, was das Leben grenzüberschreitender Unternehmen vereinfacht.
Die Situation wird komplexer bei Transfers in die USA. Das Swiss-U.S. Data Privacy Framework, 2024 validiert, regelt diese Datenflüsse unter spezifischen Bedingungen. Das EU-U.S. Data Privacy Framework deckt den DSGVO-Aspekt ab. Jedes auf Ihrer Website eingesetzte Drittanbieter-Tool (Google Analytics, Meta Pixel, CRM mit US-Hosting) muss anhand beider Rahmenwerke bewertet werden, wenn Ihr Publikum sowohl die Schweiz als auch die EU umfasst.
Konkrete Konsequenzen für eine grenzüberschreitende Website
Eine Website, die gleichzeitig französische und Schweizer Besucher anspricht, muss beiden Regulierungen genügen. Laut einer Studie der Universität Zürich (2024) zeigten nur 37 % der Schweizer Websites ein Jahr nach Inkrafttreten ein revDSG-konformes Cookie-Banner an. Auf französischer Seite stellte die CNIL fest, dass 65 % der europäischen Cookie-Banner nicht DSGVO-konform waren (Cookiebot-Audit 2023). Nicht-Compliance ist also die Regel, nicht die Ausnahme.
Die Datenschutzerklärung muss unter Berücksichtigung beider Texte verfasst werden. Die Pflichtangaben unterscheiden sich. Die DSGVO verlangt die Nennung der Rechtsgrundlage der Verarbeitung, der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) und gegebenenfalls der DSB-Kontaktdaten. Das revDSG verlangt die Angabe der Identität des Verantwortlichen, des Verarbeitungszwecks, der Empfänger und des Ziellands bei Übermittlungen ins Ausland. Das Dokument muss beide Pflichtenkataloge abdecken, um juristische Lücken zu vermeiden.
Das Cookie-Banner stellt eine technische Herausforderung dar. Für Besucher, die der DSGVO unterliegen (in der EU lokalisiert), muss das Banner alle nicht-essentiellen Cookies vor der Einwilligung blockieren (Opt-in). Für Schweizer Besucher verlangt das revDSG diese Vorabblockierung bei Standardverarbeitungen nicht. Soll man je nach Geolokalisierung des Nutzers zwei Banner-Versionen anzeigen?
In der Praxis ermöglichen die meisten CMPs diese Differenzierung. Cookiebot und Axeptio bieten Geolokalisierungsregeln: Ein in der Schweiz erkannter Besucher sieht ein informatives Banner (Opt-out), während ein EU-Besucher ein blockierendes Banner (Opt-in) sieht. Diese technische Konfiguration erfolgt in der Einwilligungsverwaltung und erfordert sorgfältige Parametrierung, um Anwendungsfehler zu vermeiden.
Strategie für die gleichzeitige Compliance
Den strengeren Standard (die DSGVO) auf alle Besucher anzuwenden, unabhängig von deren Standort, ist der sicherste Ansatz. Diese Wahl vereinfacht die technische Wartung und eliminiert das Risiko, einem falsch geolokalisierten Besucher das falsche Regime anzuwenden. Es ist die empfohlene Option für Strukturen ohne eigenen Juristen.
Dieser Ansatz hat einen Preis. Schweizer Besuchern das Opt-in aufzuerlegen, senkt die Gesamt-Einwilligungsrate, was das in GA4 gesammelte Datenvolumen reduziert und das an die Werbeplattformen übermittelte Signal schwächt. Für Unternehmen, deren Schweizer Kundschaft einen wesentlichen Umsatzanteil ausmacht, rechtfertigt der analytische Datenverlust die Investition in eine geolokalisierte CMP.
Die optimale technische Konfiguration stützt sich auf mehrere Bausteine. Der Consent Mode v2 von Google muss aktiviert sein, um modellierte Conversions unabhängig von der Einwilligungsentscheidung zurückzugewinnen. Das Server-Side Tracking über eine Lösung wie Stape.io verbessert die Datenzuverlässigkeit durch Umgehung von Browser-Blockern, unter Einhaltung der von der CMP übermittelten Einwilligungsregeln. Diese beiden technischen Bausteine kompensieren teilweise den Datenverlust durch das strikte Opt-in.
Fünf konkrete Massnahmen strukturieren die Compliance-Umsetzung: Die aktuellen Datenverarbeitungen auditieren, um jene zu identifizieren, die der DSGVO, dem DSG oder beiden unterliegen. Die Datenschutzerklärung mit den Pflichtangaben beider Texte aktualisieren. Die CMP mit Geolokalisierungsregeln konfigurieren oder standardmässig die DSGVO anwenden. Prüfen, ob Datentransfers in Drittländer durch die entsprechenden Rahmenwerke abgedeckt sind. Die Verarbeitungen in einem Verzeichnis dokumentieren, das beiden Regulierungen entspricht.
Der Spezialfall der grenzüberschreitenden Region
Die Region zwischen Annemasse und Genf illustriert die grenzüberschreitende Komplexität. Rund 50 % der Erwerbstätigen von Annemasse arbeiten in der Schweiz. Ein lokales Geschäft oder eine Arztpraxis auf französischer Seite empfängt Patienten und Kunden, die auf beiden Seiten der Grenze wohnen. Ihre Website erfasst Daten von Schweizer und europäischen Einwohnern, was beide Regulierungen aktiviert.
Gesundheitsberufe sind besonders exponiert. Eine Physiotherapie-Praxis oder ein Zahnarzt in der Grenzregion, der Online-Terminbuchung anbietet, verarbeitet Gesundheitsdaten, die von beiden Texten als sensibel eingestuft werden. Das revDSG verlangt für diese Daten eine ausdrückliche Einwilligung, was den Opt-out-Vorteil aufhebt. Die DSGVO ergänzt die Pflicht zu einer Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung systematisch und in grossem Umfang erfolgt.
E-Commerce-Unternehmen, die in die Schweiz liefern, müssen ihre revDSG-Compliance ebenfalls prüfen. Das entscheidende Kriterium ist nicht der Hosting-Standort der Website oder der Firmensitz, sondern die angesprochene Zielgruppe. Eine Website mit .fr-Domain, die Preise in CHF anzeigt, Lieferung in die Schweiz anbietet oder Inhalte für den Schweizer Markt erstellt, fällt unter den Geltungsbereich des revDSG, auch ohne physische Präsenz in der Schweiz.
Tools und Ressourcen für die Compliance-Steuerung
Cookiebot (Usercentrics) bietet ein spezifisches Modul für das revDSG, mit angepassten Rechtstexten und Geolokalisierungsverwaltung. Der automatische Cookie-Scan identifiziert die auf Ihrer Website vorhandenen Tracker und kategorisiert sie nach beiden regulatorischen Rahmen. Die Preise starten bei rund 12 Euro pro Monat für Websites bis 100 Seiten.
Axeptio bietet eine ansprechende Oberfläche und dank durchdachtem Design generell höhere Einwilligungsraten. Die Multi-Regulierungs-Konfiguration ermöglicht die Anzeige differenzierter Banner je nach Nutzerstandort. Die Kosten beginnen bei etwa 19 Euro pro Monat.
Der EDÖB veröffentlicht auf seiner Website Praxisleitfäden für KMU, einschliesslich Muster-Verarbeitungsverzeichnissen und Checklisten. Die CNIL stellt ihr PIA-Tool (Privacy Impact Assessment) zur Durchführung DSGVO-konformer Folgenabschätzungen bereit. Die Ressourcen beider Behörden zu kombinieren, ermöglicht eine vollständige Dokumentation.
Häufig gestellte Fragen
Gilt das revDSG für ein französisches Unternehmen ohne Präsenz in der Schweiz?
Ja, sobald das Unternehmen Daten von in der Schweiz ansässigen Personen verarbeitet. Das Kriterium ist territorial: Wenn Ihre Website aktiv den Schweizer Markt anspricht (Preise in CHF, Lieferung in die Schweiz, spezifisch an dieses Publikum gerichtete Inhalte), gilt das revDSG. Der Firmensitz spielt keine Rolle.
Kann man ein einziges Cookie-Banner für die Schweiz und die EU verwenden?
Ja, indem man die DSGVO (striktes Opt-in) auf alle Besucher anwendet. Dieser Ansatz garantiert die Konformität mit beiden Texten, da die DSGVO strenger ist. Die Alternative besteht darin, das Banner per Geolokalisierung über eine CMP wie Cookiebot oder Axeptio zu differenzieren, was eine höhere Einwilligungsrate auf Schweizer Seite erhält.
Welche Sanktionen drohen einem KMU bei Nicht-Compliance mit dem revDSG?
Das revDSG sieht Bussen bis zu 250.000 CHF vor, die gegen die für den Verstoss verantwortliche natürliche Person gerichtet sind (Geschäftsführer, Verarbeitungsverantwortlicher). Diese Logik unterscheidet sich von der DSGVO, die die juristische Person sanktioniert. Das Risiko lastet also persönlich auf dem Geschäftsführer, was den Compliance-Anreiz verstärkt.
Muss man einen DSB benennen, um beiden Regulierungen zu entsprechen?
Die DSGVO verlangt einen DSB in bestimmten Fällen: öffentliche Stellen, umfangreiche Verarbeitung sensibler Daten, systematische Überwachung von Personen. Das revDSG verlangt dies nie. Wenn Ihre Tätigkeit unter einen DSGVO-Pflichtfall fällt, deckt die DSB-Benennung auch die Schweizer Dimension ab. Andernfalls bleibt die Benennung freiwillig, ist aber empfohlen, um die Daten-Governance zu strukturieren.
Befreit das Schweizer Opt-out von jeglichem Cookie-Banner?
Nein. Das revDSG schreibt eine Informationspflicht vor. Der Schweizer Besucher muss über die Datenverarbeitungen, deren Zweck und sein Widerspruchsrecht informiert werden. Ein informatives Banner bleibt notwendig, auch wenn die Vorabblockierung von Cookies bei Standardverarbeitungen nicht vorgeschrieben ist. Besonders schützenswerte Daten und Profiling mit hohem Risiko erfordern auch unter dem revDSG eine ausdrückliche Einwilligung.
