TLDR: Das nDSG ist seit September 2023 in Kraft und viele Schweizer KMU haben noch Lücken. Die gute Nachricht: Wer ein solides IT-Fundament hat, ist schon näher dran als gedacht. Der erste Schritt ist simpel. Finde heraus, welche Personendaten du überhaupt verarbeitest und wo sie liegen.

Ja, Datenschutz ist mühsam. Trotzdem.

Wenn du diesen Artikel geöffnet hast, war der Auslöser vermutlich keine spontane Begeisterung für Rechtstexte. Eher hat jemand die Frage gestellt. Der Geschäftsführer, der Verwaltungsrat, ein Kunde. Ob ihr "das neue Datenschutzgesetz" schon umgesetzt habt. Und die ehrliche Antwort war irgendwo zwischen "teilweise" und einem unsicheren Schulterzucken.

Das ist okay. Wirklich. Das nDSG ist seit September 2023 in Kraft, aber die Umsetzungsrealität bei Schweizer KMU ist gemischt. Manche haben systematisch aufgeräumt. Viele haben eine Todo-Liste erstellt, die seitdem unverändert existiert. Und einige wissen noch nicht genau, was sich eigentlich geändert hat.

Dieser Artikel ist für alle drei Gruppen. Wir gehen Schritt für Schritt durch, was das nDSG konkret bedeutet, wo es sich von der DSGVO unterscheidet und was du realistisch tun kannst. Ohne Juristendeutsch, ohne Panikmache.

Was hat sich eigentlich geändert?

Das nDSG ersetzt das alte Datenschutzgesetz von 1992. Ja, 1992. Damals bedeutete "Daten" vor allem physische Akten und das Internet war gerade im Entstehen. Entsprechend löchrig war der Schutz für alles Digitale.

Die Schweiz hatte zwei Gründe für die Revision. Erstens wollte sie ihren Status als Drittstaat mit angemessenem Datenschutzniveau gegenüber der EU behalten. Ohne diesen Status werden Datentransfers zwischen Schweizer und EU-Unternehmen deutlich komplizierter. Zweitens hatte die Digitalisierung das alte Gesetz schlicht überholt.

Was das nDSG nicht ist: ein Klon der DSGVO. Wer in der EU bereits konform ist, hat vieles erledigt, aber nicht alles. Und wer nur in der Schweiz tätig ist und die DSGVO als "EU-Problem" abgetan hat, dem sagt das nDSG: Willkommen in der Gegenwart.

Ein Detail, das oft übersehen wird: Das nDSG schützt nur natürliche Personen, nicht juristische Personen. Das alte Schweizer DSG schützte auch Firmendaten. Diese Lücke muss man jetzt anderweitig schliessen, etwa vertraglich.

Die drei Dinge, die deine IT direkt betreffen

Wir konzentrieren uns hier auf das, was du als IT-Verantwortlicher oder Geschäftsführer wirklich wissen musst. Keine juristische Vollständigkeit, dafür gibt es Anwälte.

Meldepflicht bei Datenpannen. Das ist die Neuerung mit dem grössten operativen Impact. Bei einer Datenpanne, also Datenverlust, unberechtigter Zugriff oder Ransomware mit Datenabfluss, musst du das dem EDÖB melden. Und zwar "so rasch als möglich." In der Praxis orientiert man sich an 72 Stunden wie bei der DSGVO, aber eine starre Frist gibt es nicht. Die Meldepflicht gilt nur, wenn die Panne voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Internes Fehlversenden eines Newsletters ohne sensible Daten? Vermutlich kein Meldungsfall. Ransomware mit Abfluss von Gesundheitsdaten? Klar meldepflichtig.

Das heisst konkret: Du brauchst einen Prozess. Kein 50-seitiges Handbuch, aber du musst wissen, wer entscheidet ob eine Panne meldepflichtig ist, wer meldet und was gemeldet wird. (Wir haben einen eigenen Beitrag über Incident-Response-Readiness, falls du das vertiefen willst.)

Privacy by Design und Privacy by Default. Wenn ihr eine neue Applikation einführt, ein CRM kauft oder ein HR-Tool einrichtet, muss Datenschutz von Beginn an mitgedacht werden. Nicht als Nachgedanke. Und die datenschutzfreundlichsten Einstellungen müssen die Standardeinstellungen sein. In der Praxis sehen wir das oft als Problem: Ein neues SaaS-Tool wird schnell eingeführt, pragmatisch, und niemand fragt, welche Daten das Tool nach Hause schickt oder wo der Anbieter die Daten verarbeitet.

Verzeichnis der Bearbeitungstätigkeiten. Klingt bürokratisch, ist es aber weniger als gedacht. Im Kern geht es darum: Dokumentiere, welche Daten du verarbeitest, zu welchem Zweck, mit welcher Rechtsgrundlage und wer Zugriff hat. Für Unternehmen mit weniger als 250 Mitarbeitenden gibt es Erleichterungen, solange keine umfangreiche Verarbeitung besonders schützenswerter Daten stattfindet. Aber Achtung: Sobald du regelmässig Gesundheitsdaten, biometrische Daten oder Daten zu religiösen Ansichten verarbeitest, bist du auch als KMU mit 30 Personen voll in der Pflicht.

Wo sich nDSG und DSGVO wirklich unterscheiden

Das ist die Frage, die wir am häufigsten hören. Vor allem von Unternehmen, die bereits DSGVO-Prozesse haben, oft weil sie EU-Kunden bedienen oder eine Muttergesellschaft in der EU haben.

Die Kurzversion: Wer die DSGVO ernsthaft umgesetzt hat, ist zu 70-80% des Weges beim nDSG. Aber eben nicht ganz dort.

Der grösste Unterschied liegt beim Sanktionssystem. Die DSGVO setzt auf Unternehmensbussen, bis zu 4% des weltweiten Jahresumsatzes. Das nDSG geht einen anderen Weg: Hier werden Einzelpersonen sanktioniert. Geschäftsführer, IT-Verantwortliche, Datenschutzbeauftragte können mit Bussen bis zu CHF 250'000 belegt werden. Das ist ein psychologischer Unterschied, der erklärt, warum das Thema plötzlich auf Managementstufe ernster genommen wird.

Weitere Unterschiede: Das nDSG schreibt keinen zwingenden Datenschutzbeauftragten vor (die DSGVO in vielen Fällen schon). Bei "Hochrisiko-Verarbeitungen" verlangt das nDSG eine Datenschutz-Folgenabschätzung, ähnlich wie die DPIA der DSGVO. Und das nDSG gilt auch extraterritorial. Wer in Zürich sitzt und EU-Kunden hat, muss beide Gesetze kennen. Das kommt bei Schweizer KMU öfter vor als man denkt.

Die ehrliche Einschätzung: Wer nur auf DSGVO-Konformität gesetzt hat und dachte, die Schweiz sei damit erledigt, hat eine Rechnung ohne den Wirt gemacht. Vor allem beim Sanktionssystem.

Wo Datenschutz und IT-Security zusammenlaufen

Das nDSG verlangt "angemessene technische und organisatorische Massnahmen" zum Schutz von Personendaten. In der Praxis heisst das: Verschlüsselung, Zugriffskontrollen, Logging, Backup-Konzepte, Patch-Management. Also alles, was unter einem soliden ISMS ohnehin erledigt sein sollte.

Das ist kein Zufall. Regulatorische Anforderungen wie nDSG, DSGVO, NIS2 und ISO 27001 überlappen stark. Ein Unternehmen, das ein pragmatisches ISMS aufgebaut hat, hat die technischen Grundlagen für nDSG-Compliance meistens schon gelegt. (Wir haben das Thema ISMS ausführlicher behandelt, falls du noch am Anfang stehst.)

Darum ist unser Ansatz bei Compliance kein isoliertes Datenschutzprojekt. Wenn du anfängst, nDSG-Lücken zu schliessen, lohnt es sich, gleichzeitig zu prüfen, welche anderen Anforderungen du hast. NIS2, falls du kritische Infrastruktur bist. FINMA, falls du im Finanzbereich tätig bist. Die Integration mehrerer Compliance-Rahmenwerke spart erfahrungsgemäss erheblich Aufwand, weil viele Anforderungen deckungsgleich sind.

Was du diese Woche tun kannst

Nimm dir eine Stunde und erstelle ein einfaches Inventar: Welche Systeme in deinem Unternehmen verarbeiten Personendaten? CRM, HR-Software, Fileserver, Cloud-Dienste, das alte Excel-Sheet aus 2015. Schreib auf, welche Daten dort liegen und wer Zugriff hat. Kein perfektes Dokument, einfach eine ehrliche Bestandsaufnahme.

Das ist der Schritt, an dem die meisten scheitern. Nicht weil er schwer ist, sondern weil er nie priorisiert wird. Und ohne dieses Inventar ist alles andere, der Datenpannen-Prozess, die Verträge mit Drittanbietern, die aktualisierte Datenschutzerklärung, Stückwerk ohne Fundament.

Das nDSG muss dein Unternehmen nicht lähmen. Wer systematisch vorgeht, stellt oft fest, dass vieles schon vorhanden ist. Was fehlt, ist meistens die Dokumentation und die Prozessklarheit, nicht die technische Infrastruktur.

Wenn du diesen ersten Schritt strukturiert angehen willst, können wir das gemeinsam tun. Wir helfen Schweizer KMU und Mid-Market-Unternehmen, Compliance pragmatisch umzusetzen. Ohne Consulting-Overkill, aber mit dem Ergebnis, dass du danach weisst, wo du stehst. Mehr zu unserem Compliance-Ansatz findest du hier.