Welche Datenschutz-Software brauchen Schweizer Unternehmen, die auch mit der EU arbeiten? Kurzantwort: eine Plattform, die ein einziges Verarbeitungsverzeichnis für beide Regime führt — das revidierte Schweizer Datenschutzgesetz (revDSG, umgangssprachlich nDSG) und die DSGVO. Wer Waren oder Dienstleistungen in den EU-Raum anbietet oder Verhalten von EU-Personen beobachtet, unterliegt zusätzlich zur DSGVO deren Marktortprinzip (Art. 3 Abs. 2 DSGVO) und braucht in der Regel einen EU-Vertreter. Umgekehrt brauchen EU-Unternehmen mit Schweiz-Bezug einen Vertreter in der Schweiz nach Art. 14 revDSG. Die richtige Software bildet beide Verzeichnisse, beide Meldepflichten und beide Betroffenenrechte-Regime in einem System ab, statt zwei getrennte Dokumentationen zu erzwingen.
Dieser Leitfaden zeigt die praktisch relevanten Unterschiede zwischen revDSG und DSGVO und worauf Sie bei der Tool-Auswahl achten müssen.
Wichtige Punkte
- Das revDSG (nDSG) gilt seit dem 1. September 2023; Aufsichtsbehörde ist der EDÖB.
- Zentrale Abweichung: strafrechtliche Bussen bis 250.000 CHF treffen in der Schweiz natürliche Personen, nicht primär das Unternehmen.
- Meldepflicht bei Datensicherheitsverletzungen: „so rasch als möglich" (Art. 24 revDSG) statt der starren 72-Stunden-Frist der DSGVO.
- Beide Regime verlangen ein Bearbeitungs- bzw. Verarbeitungsverzeichnis — Software sollte beide aus einer Quelle bedienen.
- Vertreterpflichten in beide Richtungen: EU-Vertreter (Art. 27 DSGVO) und Schweizer Vertreter (Art. 14 revDSG).
revDSG und DSGVO: die relevanten Unterschiede
Das revidierte Datenschutzgesetz wurde bewusst an die DSGVO angenähert, ist aber nicht deckungsgleich. Für die Softwareauswahl zählen vor allem diese Punkte:
| Thema | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Aufsichtsbehörde | EDÖB (beratend/aufsichtlich) | Landesbehörden, BfDI |
| Sanktionen | Bussen bis 250.000 CHF gegen natürliche Personen | Bussgelder bis 4 % Umsatz gegen Unternehmen |
| Verzeichnis | Bearbeitungsverzeichnis (Art. 12) | Verarbeitungsverzeichnis (Art. 30) |
| Meldepflicht | „so rasch als möglich" (Art. 24) | 72 Stunden (Art. 33) |
| DSFA | Datenschutz-Folgenabschätzung (Art. 22) | DSFA (Art. 35) |
| Vertreter | Schweizer Vertreter (Art. 14) | EU-Vertreter (Art. 27) |
| Auskunftsrecht | Art. 25 revDSG | Art. 15 DSGVO |
Der wichtigste praktische Unterschied ist die Sanktionslogik. Die DSGVO adressiert das Unternehmen mit umsatzabhängigen Bussgeldern. Das revDSG sanktioniert dagegen die verantwortliche natürliche Person — Geschäftsführer oder Datenschutzverantwortliche — mit Bussen bis 250.000 CHF (Art. 60 ff. revDSG). Das verändert die Governance: In der Schweiz ist die persönliche Verantwortung stärker im Fokus, was gute Nachweisdokumentation umso wichtiger macht.
Bei der Meldepflicht ist das revDSG flexibler formuliert: „so rasch als möglich" statt der starren 72-Stunden-Frist. In der Praxis sollte ein Unternehmen mit Doppelbezug beide Prozesse auf die strengere DSGVO-Frist ausrichten — ein Tool, das nur die Schweizer Formulierung kennt, führt zu Verzug bei EU-Meldungen. Details zur EU-Seite in unserem Leitfaden zur internationalen Datenübermittlung.
Warum ein Unternehmen oft beiden Regimen unterliegt
Ein Schweizer Unternehmen fällt schnell zusätzlich unter die DSGVO. Das Marktortprinzip (Art. 3 Abs. 2 DSGVO) greift, sobald es Personen in der EU Waren oder Dienstleistungen anbietet — ein deutschsprachiger Onlineshop, der nach Deutschland und Österreich liefert, genügt. Dann sind beide Regime parallel zu erfüllen. Umgekehrt braucht ein deutsches Unternehmen mit umfangreicher Bearbeitung von Daten von Personen in der Schweiz einen Schweizer Vertreter.
Der Datentransfer selbst ist beherrschbar: Die EU-Kommission hat die Schweiz als Land mit angemessenem Datenschutzniveau anerkannt (Angemessenheitsbeschluss), sodass Datenflüsse CH↔EU ohne Standardvertragsklauseln zulässig sind. Für Transfers in die USA oder andere Drittländer bleibt die Prüfung aber in beiden Regimen erforderlich — vergleichbar mit den Anforderungen an US-Unternehmen unter der DSGVO.
Was die Software leisten muss
Der Kern ist Doppelverwertung ohne Doppelarbeit. Eine gute Datenschutz-Software für den Schweizer Markt sollte:
- Ein Verzeichnis für beide Regime führen — eine Verarbeitungstätigkeit einmal erfassen und sowohl als Verzeichnis nach Art. 30 DSGVO als auch als Bearbeitungsverzeichnis nach Art. 12 revDSG ausgeben.
- Beide Meldeprozesse abbilden — EDÖB-Meldung „so rasch als möglich" und EU-Behördenmeldung binnen 72 Stunden aus einem Vorfall heraus.
- Beide Betroffenenrechte-Fristen kennen und die Auskunftsersuchen nach Art. 25 revDSG wie nach Art. 15 DSGVO fristgerecht verwalten.
- Vertreterrollen dokumentieren — Schweizer Vertreter und EU-Vertreter mit Kontaktdaten und Zuständigkeiten.
- EU- und CH-Hosting anbieten oder zumindest EU-Hosting mit dokumentiertem Angemessenheitsniveau.
Marktübersicht — ehrlich bewertet
Der Schweizer Markt kennt lokale Anbieter (etwa Proton für sichere Kommunikation, spezialisierte Beratungshäuser mit eigenen Tools) und die großen EU-/US-Plattformen. Für Unternehmen mit echtem Doppelbezug ist entscheidend, dass die Software beide Rechtsrahmen nativ kennt und nicht nur einen davon.
- EU-Datenschutzplattformen (Legiscope, Dastra, DataGuard) — decken die DSGVO vollständig ab; für den Schweizer Teil ist zu prüfen, ob revDSG-Vorlagen und der Schweizer Vertreter abgebildet sind. Eine EU-Plattform wie Legiscope, die ein Verzeichnis führt und daraus beide Regime bedient, erspart die häufigste Fehlerquelle: zwei divergierende Verzeichnisse, die sich mit der Zeit widersprechen.
- Schweizer Beratungs-Tools — stark im revDSG, oft schwächer bei der DSGVO-Automatisierung und ohne EU-Vertreter-Logik.
- US-Enterprise-Suiten (OneTrust, TrustArc) — technisch breit, aber US-Hosting und Preisniveau passen selten zu KMU; die revDSG-Lokalisierung ist meist dünn.
Bei den Kosten unterscheidet sich der Schweizer Markt kaum vom deutschen, weil dieselben EU-Plattformen den Raum bedienen — der Doppelbezug verschiebt aber die Wirtschaftlichkeitsrechnung. Als grobe Orientierung liegt ein KMU mit revDSG- und DSGVO-Pflicht bei rund 2.000 bis 12.000 CHF Softwarebudget im Jahr, der gehobene Mittelstand deutlich darüber. Entscheidend ist nicht der Listenpreis, sondern der vermiedene Doppelaufwand: Wer zwei getrennte Systeme für Schweiz und EU pflegt, zahlt nicht nur zweimal Lizenzgebühren, sondern bindet auch doppelte Arbeitszeit für zwei Verzeichnisse, zwei Meldeprozesse und zwei Transferprüfungen — und riskiert, dass die beiden Dokumentationen mit der Zeit auseinanderlaufen. Eine Plattform, die aus einer Datenbasis beide Regime bedient, amortisiert sich hier meist schon über die eingesparten Personenstunden, noch vor jedem Aufsichts- oder Haftungsrisiko. Prüfen Sie vor Vertragsschluss die versteckten Posten: revDSG-Vorlagen, Schweizer-Vertreter-Rolle und die Frage, ob CH-Hosting oder EU-Hosting mit Angemessenheitsnachweis im Preis enthalten ist. Ein Vergleich der Kriterien und Kosten für den DSGVO-Teil findet sich in unserem Software-Vergleich; die Schweizer Besonderheiten kommen additiv hinzu.
Die persönliche Haftung als Governance-Treiber
Der schweizerische Sanktionsansatz verdient besondere Aufmerksamkeit, weil er die Rollen im Unternehmen verschiebt. Während die DSGVO das Unternehmen als Adressaten des Bussgelds behandelt, richtet sich das revDSG gegen die verantwortliche natürliche Person. Bestraft werden nach Art. 60 ff. revDSG unter anderem die vorsätzliche Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie die Missachtung von Sorgfaltspflichten bei der Datenbekanntgabe ins Ausland — mit Bussen bis 250.000 CHF gegen die handelnde Person.
Für die Praxis heisst das: Geschäftsführung und Datenschutzverantwortliche haben ein unmittelbares Eigeninteresse an nachweisbarer Compliance. Eine Software, die jede Entscheidung dokumentiert — welche Rechtsgrundlage, welche Auslandsübermittlung mit welcher Garantie, welche Betroffenenanfrage fristgerecht beantwortet —, ist damit zugleich die persönliche Absicherung der verantwortlichen Personen. Das ist ein anderer Treiber als in Deutschland, wo das Unternehmen die Sanktion trägt, und er sollte bei der Werkzeugauswahl bewusst berücksichtigt werden.
Auslandsübermittlung: der praktische Knackpunkt
Beide Regime kennen strenge Regeln für die Datenbekanntgabe in Drittländer. Innerhalb des Verhältnisses Schweiz–EU ist der Transfer dank gegenseitiger Anerkennung des Schutzniveaus unproblematisch. Der eigentliche Aufwand entsteht bei Übermittlungen in die USA und andere Drittstaaten: Hier verlangen sowohl das revDSG als auch die DSGVO eine Prüfung geeigneter Garantien — in der Regel Standardvertragsklauseln, ergänzt um eine Risikoanalyse des Ziellandes. Eine Software mit Doppelbezug sollte diese Transferprüfung einmal führen und beiden Regimen zuordnen, statt sie doppelt zu verlangen. Wer viele Cloud-Dienstleister einsetzt, braucht dafür ein zentrales Inventar der Auslandsübermittlungen samt hinterlegter Garantien — genau das ist der Punkt, an dem getrennte Systeme für Schweiz und EU auseinanderlaufen.
Umsetzung in vier Schritten
- Anwendbarkeit klären. Prüfen Sie für jede Verarbeitung, ob revDSG, DSGVO oder beide gelten. Der EU-Bezug entsteht durch Angebot an EU-Personen, nicht durch den Firmensitz.
- Vertreter bestellen. Schweizer Unternehmen mit EU-Angebot brauchen einen EU-Vertreter; EU-Unternehmen mit CH-Bearbeitung einen Schweizer Vertreter. Beide gehören dokumentiert.
- Ein Verzeichnis aufbauen. Erfassen Sie Verarbeitungen einmal und ordnen Sie jeder die anwendbaren Rechtsgrundlagen beider Regime zu.
- Meldeprozess auf den strengeren Standard. Richten Sie den internen Datenpannen-Prozess auf die 72-Stunden-Frist aus — sie deckt die Schweizer „so rasch als möglich"-Anforderung mit ab.
FAQ
Gilt für ein Schweizer Unternehmen die DSGVO?
Ja, wenn es Personen in der EU Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet (Marktortprinzip, Art. 3 Abs. 2 DSGVO). Ein Firmensitz in der Schweiz schützt nicht vor der DSGVO, sobald ein EU-Marktbezug besteht. In diesem Fall gelten revDSG und DSGVO parallel.
Was ist der größte Unterschied zwischen revDSG und DSGVO?
Die Sanktionslogik. Die DSGVO verhängt umsatzabhängige Bussgelder gegen Unternehmen; das revDSG sanktioniert primär natürliche Personen mit Bussen bis 250.000 CHF. Zudem ist die Schweizer Meldepflicht mit „so rasch als möglich" flexibler formuliert als die starre 72-Stunden-Frist der DSGVO.
Brauche ich zwei getrennte Verarbeitungsverzeichnisse?
Rechtlich müssen Sie beiden Verzeichnispflichten genügen — dem Verzeichnis nach Art. 30 DSGVO und dem Bearbeitungsverzeichnis nach Art. 12 revDSG. Praktisch ist es effizienter und weniger fehleranfällig, eine Software zu nutzen, die eine Datenbasis führt und daraus beide Ausgaben erzeugt.
Dürfen Daten frei zwischen Schweiz und EU fließen?
Ja. Die EU-Kommission erkennt die Schweiz als Land mit angemessenem Datenschutzniveau an, und die Schweiz behandelt den EWR entsprechend. Für Transfers in Drittländer wie die USA bleibt die Prüfung geeigneter Garantien in beiden Regimen erforderlich.
Fazit
Für Unternehmen mit Schweiz-EU-Bezug ist die Softwarefrage keine Frage von revDSG oder DSGVO, sondern von revDSG und DSGVO — abgebildet in einem System. Wählen Sie ein Tool, das ein Verzeichnis führt, beide Meldefristen kennt und die Vertreterpflichten in beide Richtungen dokumentiert. Den Gesetzestext des revDSG finden Sie bei Fedlex, Vollzugshinweise beim EDÖB, den DSGVO-Volltext bei EUR-Lex.
Siehe auch: Das Pendant für den Nachbarmarkt behandelt DSGVO-Software in Österreich.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo