Was ist DSG und FADP? Schweizer Datenschutz kompakt
DSG steht für Bundesgesetz über den Datenschutz — das Schweizer Pendant zur EU-DSGVO. Die Abkürzung FADP (Federal Act on Data Protection) bezeichnet dasselbe Gesetz in der englischen Fachterminologie; beide Begriffe werden synonym verwendet. Das revidierte DSG (revDSG) trat am 1. September 2023 in Kraft und brachte erhebliche Verschärfungen: neue Transparenzpflichten, Privacy by Design, höhere Bussen und Angleichung an internationale Standards. Für Schweizer KMU ist es der zentrale rechtliche Rahmen für den Umgang mit Personendaten — inklusive Sprachdaten, Anrufprotokollen und Kunden-E-Mails.
Kurz und bündig: Das revidierte Datenschutzgesetz (revDSG / FADP) gilt seit 1. September 2023 für alle Schweizer Unternehmen. Kerngrundsätze: Zweckbindung, Datenminimierung, Transparenz, Privacy by Design und Privacy by Default. Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Die Grundsätze liegen inhaltlich nahe an der EU-DSGVO, unterscheiden sich aber im Detail.
Was regelt das revidierte DSG?
Das DSG regelt, wie Personendaten (Daten, die eine natürliche Person identifizierbar machen) bearbeitet werden dürfen. Kernprinzipien (Art. 6 revDSG):
Rechtmässigkeit und Treu und Glauben. Datenbearbeitung muss rechtlich zulässig und fair sein.
Zweckbindung. Daten dürfen nur für den Zweck bearbeitet werden, für den sie erhoben wurden.
Verhältnismässigkeit und Datenminimierung. Nur so viele Daten erheben wie nötig, nicht länger speichern als nötig.
Transparenz (Informationspflicht). Betroffene müssen über die Datenbearbeitung informiert werden — wer bearbeitet, welche Daten, zu welchem Zweck, an wen werden sie weitergegeben.
Richtigkeit. Daten müssen aktuell und korrekt gehalten werden; Unrichtiges ist zu korrigieren.
Datensicherheit. Angemessene technische und organisatorische Massnahmen gegen unbefugten Zugriff.
Privacy by Design und Privacy by Default. Systeme müssen Datenschutz von Beginn weg mitdenken, datenschutzfreundliche Grundeinstellungen sind Pflicht.
Welche Pflichten gelten neu für KMU?
Das revDSG bringt mehrere konkrete Pflichten, die viele KMU unterschätzen:
Erweiterte Informationspflicht (Art. 19). Bei jeder Datenerhebung muss transparent über Identität des Verantwortlichen, Bearbeitungszweck, Empfängerkategorien und die betroffene Staatsangabe bei Datenexport informiert werden.
Verzeichnis der Bearbeitungstätigkeiten (Art. 12). Unternehmen mit mehr als 250 Mitarbeitenden oder bei besonders schützenswerten Daten führen ein Verzeichnis — faktisch Best Practice auch für kleinere KMU.
Meldepflicht bei Datenschutzverletzungen (Art. 24). Verletzungen, die voraussichtlich zu hohem Risiko für betroffene Personen führen, müssen "so rasch als möglich" an den EDÖB gemeldet werden.
Datenschutz-Folgenabschätzung (Art. 22). Bei Bearbeitungen mit hohem Risiko (z. B. grossflächige Profiling-Systeme, sensible Daten) ist eine strukturierte Risikoanalyse Pflicht.
Auftragsbearbeitung (Art. 9). Werden Daten an externe Dienstleister (Cloud-Anbieter, Analyse-Tools, KI-Dienste) übergeben, braucht es einen schriftlichen Auftragsbearbeitungsvertrag.
Strafdrohung (Art. 60 ff.). Verletzungen können mit Bussen bis CHF 250'000 gegen verantwortliche Personen (nicht das Unternehmen) geahndet werden.
Wie unterscheidet sich DSG von der EU-DSGVO?
Die beiden Regelwerke sind bewusst ähnlich aufgebaut — inhaltlich gibt es aber relevante Unterschiede:
| Aspekt | revDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Adressat Bussen | Verantwortliche Person | Unternehmen |
| Höhe Bussen | bis CHF 250'000 | bis 4% Jahresumsatz |
| Datenschutzbeauftragter | empfohlen, nicht pflicht | oft pflicht (DSB / DPO) |
| Meldefrist Datenpanne | "so rasch als möglich" | 72 Stunden |
| Einwilligung Kinder | ab 16 Jahren (implizit) | ab 16, nach nationalem Recht ab 13 |
| Räumlicher Geltungsbereich | Schweiz | EU/EWR + extraterritorial |
Für Schweizer KMU, die auch in der EU tätig sind, gelten beide parallel. Die meisten Anforderungen sind aber so ähnlich, dass eine saubere DSGVO-Umsetzung das revDSG weitgehend abdeckt.
Wie betrifft DSG einen KI-Telefonassistenten?
Ein KI-Telefonassistent bearbeitet zwei Kategorien besonders sensibler Daten: Stimmdaten (Audio) und Gesprächsinhalte (Transkripte, Termine, persönliche Informationen). Relevante Pflichten:
Informationspflicht bei Gesprächsbeginn. Der Anrufer sollte erkennen, dass das Gespräch aufgezeichnet und durch eine KI bearbeitet wird.
Auftragsbearbeitungsvertrag mit dem Anbieter. Der KI-Anbieter ist Auftragsbearbeiter im Sinne Art. 9 revDSG.
Datenstandorte dokumentieren. Wo werden Sprachdaten transient verarbeitet (typisch EU/DE), wo werden Transkripte und Zusammenfassungen dauerhaft gespeichert (idealerweise Schweiz)?
Löschfristen. Aufbewahrungsdauer definieren und automatisch durchsetzen.
Subprozessorliste. Seriöse Anbieter publizieren die Liste ihrer Unterauftragsverarbeiter — bei fonea unter fonea.ch/subprocessors.
Eine ausführliche Behandlung der DSG-Konformität speziell für KI-Telefonie finden Sie in unseren Artikeln Datenschutz und KI-Telefon in der Schweiz und FADP- und DSG-konform telefonieren mit KI.
fonea ausprobieren: Persistente Datenhaltung in der Schweiz, transiente KI-Verarbeitung EU/Deutschland — DSG- und DSGVO-konform. Jetzt starten
Key Takeaways
- DSG (Datenschutzgesetz) = FADP (Federal Act on Data Protection) — beide Begriffe meinen dasselbe Schweizer Gesetz.
- revDSG seit 1. September 2023 in Kraft. Kerngrundsätze: Zweckbindung, Datenminimierung, Transparenz, Privacy by Design/Default.
- Aufsichtsbehörde: EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).
- Neue Pflichten: erweiterte Informationspflicht, Verzeichnis der Bearbeitungstätigkeiten, Meldepflicht bei Verletzungen, DSFA, Auftragsbearbeitungsvertrag.
- Strafdrohung: Bussen bis CHF 250'000 gegen verantwortliche Personen (nicht das Unternehmen).
- KI-Telefonassistenten: Transparenz, Auftragsbearbeitungsvertrag, Datenstandorte, Löschfristen und Subprozessorliste sind zentrale Compliance-Punkte.
Häufig gestellte Fragen
Gilt das revDSG auch für Kleinstunternehmen?
Ja. Das DSG gilt für alle privaten Personen und Unternehmen, die Personendaten bearbeiten — unabhängig von der Grösse. Einige Pflichten (z. B. Verzeichnis der Bearbeitungstätigkeiten) greifen erst ab 250 Mitarbeitenden, die Grundsätze (Zweckbindung, Transparenz, Datensicherheit) gelten aber ohne Ausnahme.
Brauche ich einen Datenschutzbeauftragten?
Im Schweizer DSG ist ein Datenschutzbeauftragter empfohlen, aber nicht generell pflicht. Bei hoher Datenbearbeitungsintensität oder besonders schützenswerten Daten ist die Ernennung stark zu empfehlen. Nach DSGVO ist ein DSB in vielen Fällen zwingend vorgeschrieben — für Schweizer Unternehmen mit EU-Tätigkeit wird er damit de facto Pflicht.
Was passiert bei einer Datenschutzverletzung?
Drei Schritte: Eindämmung (Schaden begrenzen), Meldung an EDÖB (so rasch als möglich bei hohem Risiko), Information der betroffenen Personen (falls nötig). Die Meldung erfolgt über das EDÖB-Formular. Eine verspätete oder unterlassene Meldung kann mit Busse geahndet werden.
Quellen
- Fedlex, Datenschutzgesetz (DSG), SR 235.1 — in Kraft seit 1. September 2023: fedlex.admin.ch
- EDÖB, Rechtsgrundlagen Datenschutz: edoeb.admin.ch
- EDÖB, Wichtige Neuerungen (revDSG): edoeb.admin.ch
- Bundesamt für Justiz, Datenschutzstärkung: bj.admin.ch
- KMU-Portal, Neues Datenschutzgesetz (revDSG): kmu.admin.ch
- fonea, Subprozessorliste: fonea.ch/subprocessors
Nie wieder einen Anruf verpassen
fonea beantwortet Ihre Anrufe 24/7 in allen Schweizer Landessprachen. Ab CHF 90/Monat.
Jetzt starten30 Tage Geld-zurück-Garantie. Monatlich kündbar.