nDSG-Checkliste für Schweizer KMUs: Was die Revision 2023 wirklich bedeutet
Die revidierte nDSG ist seit September 2023 in Kraft. Was KMUs konkret umsetzen müssen, ohne in Panik zu verfallen oder blind Consultants zu zahlen.
Von Ralph Heezen
Die revidierte schweizerische Datenschutzverordnung (nDSG) gilt seit dem 1. September 2023. Für viele KMUs ist sie ein Schreckgespenst geworden, meist zu Unrecht. Wer DSGVO-konform aufgestellt ist, hat den grössten Teil der Arbeit bereits erledigt. Die nDSG ist pragmatischer als ihr EU-Pendant, aber sie bringt drei konkrete Anforderungen, die oft übersehen werden.
Wo sich nDSG und DSGVO unterscheiden#
Beide Gesetze verfolgen dasselbe Ziel, setzen aber unterschiedliche Schwerpunkte:
- Die nDSG kennt keine allgemeine Meldepflicht für Verarbeitungstätigkeiten (kein "Verzeichnis" wie in Art. 30 DSGVO für Unternehmen unter 250 Mitarbeitenden).
- Es gibt kein Opt-in für Cookies per Gesetz. Relevant wird das aber, sobald du Profilbildung betreibst oder Personendaten ins Ausland übermittelst.
- Datenschutz-Folgenabschätzungen (DSFA) sind nur bei hohem Risiko Pflicht, nicht standardmässig.
Für die meisten KMUs bedeutet das: weniger Formalismus, aber dieselben Sorgfaltspflichten.
Die Drei-Punkte-Checkliste#
1. Informationspflicht erfüllen#
Du musst transparent machen, welche Daten du erhebst und wozu. Konkret:
- Eine aktuelle Datenschutzerklärung auf der Website
- Angaben zu Empfängern, Speicherdauer und Rechten der Betroffenen
- Kontaktstelle für Auskunftsbegehren
2. Auftragsverarbeitung dokumentieren#
Jeder externe Dienstleister, der Personendaten für dich verarbeitet (Google Analytics, Mailchimp, dein CRM, dein Hosting), braucht einen Auftragsverarbeitungsvertrag (AVV). Die Schweiz akzeptiert weiterhin die EU-Standardvertragsklauseln (SCCs) für den Datenexport.
3. Datensicherheit technisch und organisatorisch gewährleisten#
Art. 8 nDSG verlangt angemessene Sicherheitsmassnahmen. Das heisst in der Praxis:
- Verschlüsselung im Transit (HTTPS, TLS)
- Zugriffskontrolle und rollenbasierte Berechtigungen
- Backup-Strategie mit Wiederherstellungstest
- Schulung für Mitarbeitende, die mit Personendaten arbeiten
Was oft vergessen wird#
Drei Punkte, die regelmässig zu Problemen führen:
- Sub-Processors bei US-Diensten. Wenn dein Tracking auf einen US-Dienst zugreift, prüfe, ob das Data Privacy Framework greift und ob der Dienstleister darunter zertifiziert ist.
- Bewerbungsunterlagen. Lebensläufe enthalten Personendaten. Eine dokumentierte Löschfrist (z. B. 6 Monate nach Absage) schützt vor unnötigem Datenbestand.
- Data Breach Reaktionsplan. Nach Art. 24 nDSG musst du der EDÖB Meldung machen, wenn ein Datenschutzverstoss "voraussichtlich zu einem hohen Risiko" führt, idealerweise innert 72 Stunden. Ohne vorbereiteten Prozess verstreichen die Fristen.
Unser Ansatz#
Bei jedem Projekt legen wir die Verarbeitungen offen, stellen AVVs bereit und dokumentieren, wo Daten liegen. Wer nach Swiss Hosting sucht, findet bei uns Infrastruktur in der Schweiz. Gleichzeitig sagen wir klar, wann ein Schweizer Hosting keinen Mehrwert bringt und nur Kosten verursacht.
Die nDSG ist kein Grund zur Panik. Sie ist ein Grund, Ordnung in deine Datenverarbeitung zu bringen, und das zahlt sich doppelt aus: weniger Risiko, weniger Komplexität, klarere Prozesse.
Bereit, das selbst umzusetzen?
In einem kostenlosen 30-minütigen Erstgespräch prüfen wir gemeinsam, wo bei dir der Hebel liegt. Ohne Verpflichtung.
Gespräch vereinbaren