Home
Automazione & AI Dati & Controllo di gestione Siti web & E-commerce Sviluppo su misura Formazione AI
App Visione Manifesto Magazine Contatti
Accedi Prenota una consulenza
Risiken & Regeln · Leitfaden

revDSG für KMU: der praktische Leitfaden zum Datenschutz

Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (revDSG) für jedes Unternehmen, auch für das kleinste. Keine Panik und kein Juristendeutsch: Was es von einem KMU wirklich verlangt und wie Sie die Vorgaben erfüllen, ohne daraus ein endloses Projekt zu machen.

Von Davide De Filippis 24. Juni 2026 8 Min. Lesezeit
revDSG für KMU: der praktische Leitfaden zum Datenschutz

«Ich bin doch so klein, der Datenschutz gilt für mich nicht.» Das ist der Satz, den wir am häufigsten hören, und zugleich der falscheste. Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (revDSG) für alle, die Personendaten bearbeiten: Kundinnen und Kunden, Mitarbeitende, Lieferanten. Auf die Grösse kommt es nicht an. Die gute Nachricht: Für ein KMU ist es viel einfacher, die Vorgaben zu erfüllen, als das Wort «Gesetz» befürchten lässt.

Schauen wir uns praktisch und ohne Juristendeutsch an, was das revDSG von einem Kleinunternehmen wirklich verlangt und wo Sie anfangen.

Was das revDSG ist, in zwei Zeilen

Das revDSG ist die Totalrevision des eidgenössischen Datenschutzgesetzes, die am 1. September 2023 in Kraft getreten ist. Es stärkt die Rechte der Personen an ihren eigenen Daten und nähert die Schweiz den europäischen DSGVO-Standards an, damit Schweizer Unternehmen weiterhin ungehindert Daten mit der Europäischen Union austauschen können. Im Kern verlangt es eines, das einfach zu sagen und anspruchsvoll umzusetzen ist: zu wissen, welche Daten Sie bearbeiten, warum, und sie mit Mass zu schützen.

Für wen es gilt (auch für Ihr Kleinunternehmen)

Es gilt für alle, ob Unternehmen oder Person, die in der Schweiz Personendaten bearbeiten. Und «Daten bearbeiten» ist etwas, das Sie jeden Tag tun, ohne darüber nachzudenken: Sie führen die Kundenliste, erstellen Lohnabrechnungen, sammeln E-Mails über ein Formular, archivieren Verträge. All das ist die Bearbeitung von Personendaten. Es gibt keine Schwelle bei Mitarbeitenden oder Umsatz, unter der das Gesetz «nicht gilt»: Einige formale Pflichten ändern sich, das Prinzip nicht.

Was es wirklich von Ihnen verlangt (die praktischen Pflichten)

  • Transparent informieren. Die Personen müssen wissen, welche Daten Sie erheben und zu welchen Zwecken. Das geschieht mit einer klaren Datenschutzerklärung, die von Ihrer Website aus zugänglich ist.
  • Nur das bearbeiten, was nötig ist. Erheben Sie die für den Zweck erforderlichen Daten, nicht «alles für alle Fälle». Je weniger Daten Sie aufbewahren, desto geringer das Risiko.
  • Sicherheit gewährleisten. Angemessene Massnahmen gegen unbefugten Zugriff und Verlust: kontrollierte Zugänge, Backups, Aufmerksamkeit dafür, wo die Daten liegen.
  • Rechte wahren. Personen können von Ihnen Auskunft, Berichtigung oder Löschung ihrer Daten verlangen: Sie müssen darauf antworten können.
  • Verletzungen melden. Bei einer Verletzung, die ein hohes Risiko mit sich bringt, ist der EDÖB (die Schweizer Behörde) so rasch wie möglich zu informieren.
  • Privacy by Design und Verträge. Denken Sie von Beginn der Prozesse an den Datenschutz und regeln Sie per Vertrag die Lieferanten, die Daten in Ihrem Auftrag bearbeiten (Hosting, Branchensoftware, Cloud-Tools).

revDSG und DSGVO: die Unterschiede, die zählen

In den Grundsätzen ähneln sich revDSG und DSGVO sehr: Wer mit dem einen bereits konform ist, ist mit dem anderen fast konform. Für ein Schweizer KMU sind aber einige Unterschiede nützlich zu kennen:

  • Die Sanktionen treffen die verantwortlichen natürlichen Personen, mit strafrechtlichen Bussen von bis zu 250'000 Franken, nicht das Unternehmen mit Verwaltungsbussen wie bei der DSGVO.
  • In der Regel besteht keine Pflicht, einen Datenschutzberater (DSB) zu ernennen.
  • Unternehmen mit weniger als 250 Mitarbeitenden und risikoarmen Bearbeitungen sind vom Verzeichnis der Bearbeitungstätigkeiten befreit (ein einfaches zu führen bleibt aber eine gute Idee).
  • Verletzungen sind «so rasch wie möglich» zu melden, nicht innerhalb der von der DSGVO vorgesehenen 72 Stunden.
Das Minimum für ein KMU

Wenn Sie wenig Zeit haben, beginnen Sie hier: (1) Veröffentlichen Sie eine klare Datenschutzerklärung auf der Website, (2) wissen Sie, wo Ihre Daten sind und wer darauf zugreift, (3) sichern Sie das Wesentliche (Zugänge, Backups, mit Mass gewählte Tools). Mit diesen drei Punkten decken Sie den grössten Teil des realen Risikos ab.

Und wenn ich KI nutze? ChatGPT, Copilot und die Daten

Hier stolpern viele KMU. Ein Tool der künstlichen Intelligenz zu nutzen bedeutet, Daten zu bearbeiten: Wenn Sie die Kundenliste oder einen Vertrag in ChatGPT einfügen, verlassen diese Daten Ihren Perimeter. Das revDSG verbietet KI nicht, verlangt aber, dass Sie wissen, was Sie eingeben und wo es landet. Die praktische Regel: keine Personendaten oder vertraulichen Daten in den Consumer-Versionen, nutzen Sie Pläne oder Konfigurationen mit angemessenem Schutz und geben Sie dem Team klare Regeln. Wir haben darüber in Shadow AI: Ihre Mitarbeitenden nutzen ChatGPT bereits mit Kundendaten gesprochen und, zur Wahl des Tools, in Microsoft Copilot vs ChatGPT für Unternehmen.

Wo Sie anfangen: 3 konkrete Schritte

Es braucht kein Projekt wie in einem Grossunternehmen. Drei Schritte genügen, der Reihe nach.

  • Kartieren Sie die Daten. Erstellen Sie eine einfache Liste: welche Daten Sie erheben, wo sie sind (Branchensoftware, E-Mail, Tabellen, Cloud) und wer darauf zugreift. Das ist die Grundlage von allem.
  • Veröffentlichen Sie eine Erklärung. Eine klare Datenschutzerklärung auf der Website, verständlich geschrieben, die sagt, was Sie bearbeiten und welche Rechte die Personen haben.
  • Sichern Sie ab und legen Sie die Regeln fest. Die richtigen Zugänge, Backups, mit Mass gewählte Tools und Nutzungsregeln für das Team (einschliesslich des Einsatzes von KI).

Sind diese drei Schritte getan, sind Sie den meisten Kleinunternehmen voraus und im Wesentlichen mit dem revDSG konform.

Zusammengefasst

Das revDSG ist weder eine zu fürchtende Bedrohung noch eine zu ignorierende Spitzfindigkeit: Es ist eine Forderung nach digitalem gesundem Menschenverstand, die für jedes Unternehmen gilt, auch für Ihres. Zu wissen, welche Daten Sie bearbeiten, dies transparent zu sagen und sie mit Mass zu schützen, ist das, was das Gesetz verlangt, und ganz einfach auch eine seriöse Art zu arbeiten. Und oft ist gutes Digitalisieren, das Ordnung in die Daten bringt, genau das, was Sie fast unbemerkt in die Konformität bringt.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für konkrete Fälle wenden Sie sich an eine Rechtsberatung oder an die zuständige Behörde (EDÖB).

Ordnung in die Daten zu bringen ist der erste Schritt zur Konformität. AFianco hilft KMU in der Schweiz, ihre Prozesse zu digitalisieren und zu automatisieren und dabei die Daten unter Kontrolle zu behalten, und wendet denselben Massstab auf der eigenen Website an (siehe unsere Datenschutzerklärung). Ohne Hype, ausgehend von Ihren realen Prozessen.

Beratung buchen Automation & AI

Häufige Fragen

Was ist das revDSG?

Das revDSG (nDSG) ist das revidierte Schweizer Datenschutzgesetz des Bundes, in Kraft seit dem 1. September 2023. Es stärkt die Rechte der Personen an ihren eigenen Daten und nähert die Schweiz den europäischen Standards (DSGVO) an, indem es von denjenigen, die Personendaten bearbeiten, mehr Transparenz, Sicherheit und Kontrolle verlangt.

Gilt das revDSG auch für Kleinunternehmen?

Ja. Das revDSG gilt für alle, die Personendaten bearbeiten, unabhängig von der Grösse: Auch ein Kleinunternehmen verwaltet Daten von Kundinnen und Kunden, Mitarbeitenden und Lieferanten. Die Grösse reduziert einige formale Pflichten, befreit aber nicht von der Einhaltung des Gesetzes.

Was sind die wichtigsten revDSG-Pflichten für ein KMU?

Transparent darüber informieren, welche Daten Sie erheben und warum (Datenschutzerklärung), die Datensicherheit gewährleisten, die Rechte der Personen wahren (Auskunft, Berichtigung, Löschung), erhebliche Verletzungen dem EDÖB so rasch wie möglich melden, Datenschutz durch Technik (Privacy by Design) anwenden und die Beziehungen zu Lieferanten regeln, die Daten in Ihrem Auftrag bearbeiten.

Was ist der Unterschied zwischen revDSG und DSGVO?

In den Grundsätzen sind sie sehr ähnlich. Die wichtigsten Unterschiede: Das revDSG sieht strafrechtliche Sanktionen von bis zu 250'000 Franken zulasten der verantwortlichen natürlichen Personen vor (keine Verwaltungsbussen gegen das Unternehmen wie bei der DSGVO), verlangt in der Regel keinen DSB, befreit risikoarme Unternehmen mit weniger als 250 Mitarbeitenden vom Verzeichnis der Bearbeitungstätigkeiten und verlangt, Verletzungen «so rasch wie möglich» zu melden statt innerhalb von 72 Stunden.

Darf ich ChatGPT im Unternehmen nutzen und dabei das revDSG einhalten?

Ja, wenn Sie wissen, welche Daten Sie eingeben und wo sie landen. Ein KI-Tool zu nutzen bedeutet, Daten zu bearbeiten: Wählen Sie Pläne oder Konfigurationen mit einem angemessenen Schutzniveau, vermeiden Sie es, Personendaten oder vertrauliche Daten in die Consumer-Versionen einzugeben, und definieren Sie klare Regeln für das Team. So vermeiden Sie die sogenannte Shadow AI.

← Zurück zum Magazine