nDSG vs. DSGVO: Was jeder Schweizer Unternehmer wissen muss

Ein praktischer Vergleich des Schweizer nDSG und der EU-DSGVO. Was gilt für Ihr Unternehmen, welche Strafen drohen und wie Sie konform bleiben.

Seit dem 1. September 2023 gilt das neue Schweizer Datenschutzgesetz (nDSG). Wenn Ihr Unternehmen in der Schweiz tätig ist oder Schweizer Kunden bedient, müssen Sie verstehen, wie es sich von der EU-DSGVO unterscheidet — und was das für Ihre Website, Apps und Datenverarbeitung bedeutet.

Die wichtigsten Unterschiede auf einen Blick

Das nDSG wurde weitgehend nach dem Vorbild der DSGVO gestaltet, weist aber mehrere kritische Unterschiede auf. Das nDSG konzentriert sich ausschliesslich auf natürliche Personen, hat andere Strafstrukturen und verfolgt einen einzigartigen Ansatz bei den Einwilligungsanforderungen.

1. Geltungsbereich

Die DSGVO gilt für jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, unabhängig vom Standort. Das nDSG gilt für Datenverarbeitung, die sich in der Schweiz auswirkt. Für Schweizer Unternehmen mit europäischen Kunden gelten in der Regel beide Regelungen gleichzeitig.

2. Einwilligungsanforderungen

Unter der DSGVO ist für die meisten Datenverarbeitungen eine ausdrückliche Einwilligung erforderlich. Das nDSG ist freizügiger: Die Verarbeitung personenbezogener Daten ist grundsätzlich zulässig, es sei denn, die betroffene Person hat ausdrücklich widersprochen. Für besonders schützenswerte Daten ist aber auch im nDSG eine ausdrückliche Einwilligung nötig.

3. Strafen

Hier wird es interessant. Die DSGVO kann Unternehmen mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes bestrafen. Das nDSG verfolgt einen anderen Ansatz: Bussen bis zu CHF 250'000, aber sie richten sich gegen verantwortliche Personen, nicht gegen das Unternehmen. Ein CEO oder CTO kann persönlich haftbar gemacht werden.

4. Datenschutz-Folgenabschätzung (DSFA)

Beide Regelungen erfordern DSFAs bei risikoreicher Verarbeitung. Unter der DSGVO müssen Sie die Aufsichtsbehörde konsultieren, wenn Risiken nicht gemindert werden können. Unter dem nDSG können Sie auf die EDÖB-Konsultation verzichten, wenn Sie einen internen Datenschutzberater haben — ein praktischer Vorteil für grössere Unternehmen.

Was das für Ihre digitalen Produkte bedeutet

• Ihre Datenschutzerklärung muss sowohl nDSG als auch DSGVO berücksichtigen, wenn Sie EU-Kunden bedienen
• Cookie-Einwilligungsmechanismen müssen die strengeren Anforderungen erfüllen
• Daten-Hosting in der Schweiz wird bevorzugt, ist aber nicht gesetzlich vorgeschrieben
• Meldepflicht bei Datenpannen: DSGVO erfordert 72 Stunden, nDSG sagt «so rasch wie möglich»
• Internationale Datentransfers brauchen unter beiden Gesetzen angemessene Schutzmassnahmen

Unsere Empfehlung

Für die meisten Schweizer Unternehmen mit europäischem Kundenstamm ist der sicherste Ansatz, beide Regelungen gleichzeitig einzuhalten. Gestalten Sie Ihre Datenverarbeitung DSGVO-konform, stellen Sie sicher, dass Ihre Datenschutzerklärung die nDSG-spezifischen Anforderungen erfüllt, und hosten Sie Ihre Daten bei Schweizer oder EU-Anbietern.

Bei AI Swiss Group entwickeln wir alle Web- und Mobile-Lösungen mit Privacy-by-Design-Prinzipien. Unsere Infrastruktur wird in der Schweiz gehostet, und wir nutzen datenschutzfreundliche Analytik (Umami), die keine Cookie-Einwilligung erfordert. Kontaktieren Sie uns für eine kostenlose Beratung zur Compliance-Prüfung.