Schweizer Datenschutzgesetz (DSG) für Online-Händler 2026: nFADP-Compliance und E-Commerce-Leitfaden

Das Schweizer Datenschutzrecht 2026 im Überblick

Wenige Länder haben ihren Datenschutz so geräuschlos modernisiert wie die Schweiz. Die untenstehende Übersicht fasst die zehn Themenblöcke zusammen, die dieser Leitfaden im Detail behandelt — bewahren Sie sie als Checkliste auf, während Sie die vertieften Abschnitte lesen.

1. revDSG / nFADP — Das neue Schweizer Datenschutzgesetz

Vom Datenschutzgesetz 1992 zum revDSG 2023

Das ursprüngliche Datenschutzgesetz vom 19. Juni 1992 war über drei Jahrzehnte hinweg das Rückgrat des Schweizer Persönlichkeitsschutzes, wurde aber durch Cloud-Computing, soziale Netzwerke und maschinelles Lernen zunehmend überfordert. Bundesrat und Parlament verabschiedeten am 25. September 2020 die Totalrevision, die am 1. September 2023 in Kraft trat.

Das revDSG — international nFADP — bringt das Schweizer Recht nahe an die EU-DSGVO heran. Die EU hat die Schweiz im Januar 2024 mit einem neuen Angemessenheitsbeschluss erneut bestätigt; Personendaten dürfen weiterhin aus dem EU/EWR-Raum in die Schweiz übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind. Für Online-Händler bedeutet die Reform: DSGVO-erfahrene Unternehmen müssen vor allem die Schweizer Besonderheiten (Strafrecht, Verzeichnis-Schwellenwert, Länderliste statt EU-Adäquanzbeschlüsse) ergänzen.

Was unter «Personendaten» fällt

Personendaten sind im revDSG (Art. 5 lit. a) sehr weit definiert: Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen — also Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Cookie-IDs, Geolocation-Daten, Kaufhistorie, Wunschlisten, Newsletter-Präferenzen und sogar Geräteinformationen aus dem Webbrowser. Anders als die DSGVO schützt das revDSG ausschliesslich natürliche Personen; juristische Personen (Firmen) wurden mit der Revision aus dem Schutzbereich entlassen.

Besonders schützenswerte Personendaten (Art. 5 lit. c) sind: religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Gesundheits-, Intim- und Sexualdaten, Daten zur Rassenzugehörigkeit oder Ethnie, genetische und biometrische Daten zur Identifizierung sowie Daten über Verfolgungen, Sanktionen und Massnahmen der sozialen Hilfe.

Profiling und Profiling mit hohem Risiko

Das revDSG kennt erstmals den Begriff des Profilings (Art. 5 lit. f) und unterscheidet zwischen normalem Profiling und «Profiling mit hohem Risiko» (Art. 5 lit. g). Hohes Risiko liegt insbesondere vor, wenn die Verknüpfung von Daten eine Beurteilung wesentlicher Persönlichkeitsaspekte erlaubt. Für Online-Händler typisch: Bonitätsprüfung im Checkout, Betrugs-Scoring und persönlichkeitsumfassende Recommender-Modelle — sie erfordern in der Regel eine DSFA und eine ausdrückliche Einwilligung.

2. Der EDÖB — die Schweizer Aufsichtsbehörde

Geschichte und Aufgaben

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde mit dem ersten DSG 1993 geschaffen und ist seit 1. September 2023 mit deutlich erweiterten Kompetenzen ausgestattet. Sitz ist Bern, Feldeggweg 1; aktuell amtierender Datenschutzbeauftragter ist Adrian Lobsiger. Der EDÖB ist fachlich vollständig unabhängig — ein Status, der für die EU-Angemessenheitsentscheidung essenziell war. Zentrale Aufgaben: Aufsicht über Bundesorgane und private Personen, Pflege der Länderliste (Art. 8 DSV), Veröffentlichung von Leitfäden sowie internationale Zusammenarbeit.

Die neuen Untersuchungskompetenzen

Mit dem revDSG erhielt der EDÖB erstmals echte Eingriffskompetenzen (Art. 49–53 revDSG): von Amtes wegen oder auf Anzeige hin Untersuchungen einleiten, Verfügungen erlassen (Datenbearbeitungen anordnen, abändern oder untersagen), Anordnungen zur Datenkorrektur, -löschung oder -herausgabe, Strafanzeige erstatten (Verfolgung durch kantonale Strafbehörden) und einen Konsultationsbescheid für hochriskante Bearbeitungen. Verfügungen sind beim Bundesverwaltungsgericht in St. Gallen anfechtbar; letztinstanzlich entscheidet das Bundesgericht in Lausanne. Schweizer Online-Händler stehen ab 2026 erstmals einer Behörde gegenüber, die rechtsverbindliche Anordnungen erlassen kann.

Bussen und Strafrecht 2026

Eine grosse Eigenheit gegenüber der DSGVO ist das Bussenmodell: Das revDSG kennt keine umsatzbasierten Unternehmensbussen, sondern Strafbestimmungen gegen natürliche Personen — also gegen die Geschäftsleitung, den Datenschutzverantwortlichen oder die operativ verantwortliche Person.

Strafverfahren versus Verwaltungsverfahren

Strafanzeigen werden nicht vom EDÖB, sondern von den kantonalen Strafverfolgungsbehörden geführt. Der EDÖB selbst erlässt verwaltungsrechtliche Verfügungen, die rechtswidrige Datenbearbeitung beenden sollen. Strafverfolgung und Verwaltungsverfahren laufen parallel und unabhängig.

3. Auftragsdatenbearbeitung — DPA mit jedem Dienstleister

Wer ist Auftragsbearbeiter im E-Commerce?

Auftragsbearbeiter sind nach Art. 5 lit. k revDSG natürliche oder juristische Personen, die im Auftrag des Verantwortlichen Personendaten bearbeiten. In einem typischen Schweizer Webshop sind das praktisch alle externen Dienstleister: Hosting (Infomaniak, Hetzner, AWS), Zahlungsabwickler (Stripe, Datatrans, PostFinance, TWINT, PayPal), E-Mail-Versand (Mailgun, SendGrid), CRM (HubSpot, Salesforce), Analytics (GA4, Matomo, Plausible), Chat- und Support-Tools (Intercom, Zendesk) sowie Marketing-Automation und Werbenetzwerke (Meta, Google Ads, LinkedIn Ads).

Pflichtinhalte eines DPA / ADV

Art. 9 Abs. 2 revDSG verlangt, dass der Auftragsbearbeiter vertraglich verpflichtet wird, die Daten ausschliesslich so zu bearbeiten, wie der Verantwortliche dies tun dürfte. In der Praxis hat sich der Begriff Datenbearbeitungsvereinbarung (DBV / DPA / ADV) etabliert. Pflichtinhalte:

• Gegenstand, Dauer, Art und Zweck der Bearbeitung
• Kategorien der Personendaten und der betroffenen Personen
• Technische und organisatorische Massnahmen (TOM) zur Datensicherheit
• Beizug von Unterauftragsbearbeitern — schriftliche Genehmigungspflicht
• Unterstützungspflicht bei Auskunfts- und Löschungsbegehren; Meldung von Datensicherheitsverletzungen
• Rückgabe oder Löschung nach Vertragsende; Audit-Recht des Verantwortlichen

Die Sub-Processor-Kette

Ein typischer Schweizer Webshop hat schnell 20 bis 50 Auftragsbearbeiter, und jeder davon wiederum eigene Sub-Processors. Beispiel: Stripe nutzt AWS, AWS wiederum verschiedene CDN-Anbieter. Das revDSG verlangt eine nachvollziehbare Sub-Processor-Kette mit schriftlicher Genehmigung jeder Ebene. Zunapro pflegt für jeden CH-Tenant ein zentrales Sub-Processor-Register, das automatisch aktualisiert wird.

4. Datenexport — Bekanntgabe ins Ausland

Die EDÖB-Länderliste

Art. 16 revDSG erlaubt die Bekanntgabe von Personendaten ins Ausland nur, wenn der Bundesrat den betreffenden Staat als Land mit angemessenem Datenschutz anerkannt hat oder andere Garantien greifen. Die Länderliste wird in Anhang 1 der Datenschutzverordnung (DSV) geführt und vom EDÖB laufend aktualisiert. Stand 2026 umfasst sie rund 56 Staaten, darunter alle EU-Mitgliedstaaten sowie Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (kommerzielle Bereiche), Neuseeland, Südkorea, Uruguay und das Vereinigte Königreich.

Schweizer Standardvertragsklauseln (CH-SCC)

Für nicht-adäquate Staaten — typisch USA, China, Indien, Russland und viele Länder Lateinamerikas, Afrikas und Südostasiens — verlangt das revDSG zusätzliche Garantien. Wichtigstes Instrument ist der Standardvertrag: Der EDÖB hat im August 2021 die EU-SCC (2021/914) für die Schweiz anerkannt, sofern bestimmte Anpassungen vorgenommen werden («Schweizer Annex»). Am Markt spricht man von CH-SCC. Die wichtigsten Anpassungen: Verweise auf «DSGVO» werden um «revDSG» ergänzt, «EU-Aufsichtsbehörde» um «EDÖB», Gerichtsstand wird um Schweizer Gerichte erweitert, anwendbares Recht ist schweizerisch für CH-Betroffene, und DE/FR/IT-Fassungen sind gleichwertig zur englischen.

Swiss-US Data Privacy Framework (Swiss-US DPF)

Im September 2024 trat das Swiss-US Data Privacy Framework in Kraft — das Schweizer Pendant zum EU-US Data Privacy Framework. US-Unternehmen können sich beim US Department of Commerce zertifizieren lassen; die zertifizierten Anbieter gelten als äquivalent zu einem adäquaten Drittstaat, ohne dass CH-SCC nötig wären. Zunapro pflegt eine Whitelist der zertifizierten US-Provider und meldet automatisch, wenn ein angebundener US-Dienstleister aus der Liste fällt.

Risikoanalyse für Drittstaaten ohne Adäquanz

Selbst mit CH-SCC ist ein Datenexport in problematische Länder nicht automatisch zulässig. Das revDSG verlangt — analog «Schrems II» — eine Risikoanalyse zum Schutzniveau im Empfängerstaat: Gibt es Massenüberwachungsgesetze, unbeschränkte staatliche Zugriffsrechte oder fehlende Rechtsmittel? Wenn ja, sind ergänzende Massnahmen (Verschlüsselung, Pseudonymisierung, Zugriffsregelung) erforderlich. Der EDÖB hat 2024 einen Leitfaden zur «Transfer Impact Assessment» (TIA Schweiz) veröffentlicht.

5. Informationspflicht und Datenschutzerklärung

Die aktive Informationspflicht (Art. 19 revDSG)

Eine der signifikantesten Verschärfungen gegenüber dem alten DSG ist die aktive Informationspflicht. Vor der Revision musste der Verantwortliche nur dann informieren, wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet wurden. Seit 1. September 2023 gilt: Jede Beschaffung von Personendaten löst eine Informationspflicht aus — und zwar bereits im Moment der Beschaffung, nicht erst bei späterer Bearbeitung.

Pflichtinhalte der Datenschutzerklärung

Eine revDSG-konforme Datenschutzerklärung enthält gemäss Art. 19 Abs. 2 revDSG mindestens: Identität und Kontaktangaben des Verantwortlichen, Bearbeitungszweck jeder Datenkategorie, Empfänger oder Kategorien von Empfängern, bei Datenexport eine Liste der Staaten und einen Hinweis auf Garantien, die Aufbewahrungsdauer oder Kriterien zur Festlegung, die Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Widerspruch) sowie bei automatisierten Einzelentscheidungen Logik und Tragweite der Entscheidung.

Sprachregime in der mehrsprachigen Schweiz

Die Datenschutzerklärung muss in der jeweiligen Landessprache verfügbar sein, in der der Online-Händler seine Dienstleistungen anbietet — für die meisten CH-Webshops also Deutsch, Französisch und Italienisch (Rätoromanisch bei expliziter Bedienung dieser Region). Eine reine englische Fassung genügt praktisch nie.

Beispiel-Struktur einer DSG-konformen Datenschutzerklärung

• Verantwortlicher, Kontaktangaben, Datenschutzberatung (falls bestellt)
• Übersicht der bearbeiteten Datenkategorien sowie Bearbeitungszwecke und Rechtsgrundlagen
• Quellen der Daten (eigene Erhebung, Dritte, öffentliche Quellen)
• Empfänger und Empfängerkategorien — inklusive Auftragsbearbeiter
• Datenexport ins Ausland — Länderliste und Garantien
• Aufbewahrungs- und Löschungsfristen; Cookies, Tracking, Analyse
• Rechte der betroffenen Personen; Datensicherheit (TOM)
• Profiling, automatisierte Einzelentscheidungen, Änderungen der Datenschutzerklärung

6. Rechte der betroffenen Personen

Auskunftsrecht (Art. 25 revDSG)

Jede betroffene Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden und welche. Die Auskunft umfasst: Identität des Verantwortlichen, bearbeitete Personendaten, Bearbeitungszweck, Aufbewahrungsdauer, Empfänger, Herkunft der Daten sowie Informationen zu automatisierten Einzelentscheidungen. Die Frist beträgt grundsätzlich 30 Tage; in komplexen Fällen kann sie verlängert werden.

Berichtigungs- und Löschungsrecht (Art. 32 revDSG)

Betroffene Personen haben Anspruch auf Berichtigung unrichtiger Personendaten sowie auf Löschung — letzteres mit Vorbehalt gesetzlicher Aufbewahrungspflichten. Für Online-Händler relevant: OR Art. 957a verlangt eine Geschäftsbücher-Aufbewahrung von 10 Jahren (Rechnungen, Lieferscheine, Zahlungsbelege); Newsletter-Abonnent:innen, Marketing-Profile und Cookie-Daten hingegen sind bei Verlangen unverzüglich zu löschen. Auftragsbearbeiter sind nach Art. 32 Abs. 4 revDSG zu informieren, damit auch dort gelöscht wird.

Recht auf Datenherausgabe und Datenübertragbarkeit (Art. 28 revDSG)

Neu im revDSG ist das Recht auf Datenherausgabe oder -übertragung: Betroffene Personen können verlangen, dass ihnen die von ihnen bereitgestellten Personendaten in einem gängigen elektronischen Format herausgegeben oder direkt an einen anderen Verantwortlichen übermittelt werden. Im E-Commerce relevant für Kundenkonten-Migration, Wechsel zu Wettbewerbern oder DSGVO-äquivalente Portabilität.

Widerspruchsrecht und automatisierte Einzelentscheidungen

Art. 21 revDSG regelt automatisierte Einzelentscheidungen mit erheblicher Auswirkung auf die betroffene Person — typisches Beispiel im E-Commerce: algorithmische Ablehnung einer Bestellung wegen automatischer Bonitätsprüfung. Die betroffene Person muss aktiv über die Logik informiert werden und kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird.

7. Cookie-Banner, Tracking und Online-Marketing

Die EDÖB-Praxis 2025/2026

Das revDSG enthält — anders als die EU-ePrivacy-Richtlinie — keine spezifische Cookie-Vorschrift. Das bedeutet aber nicht, dass Schweizer Webshops Cookies frei setzen dürften. Tracking gilt als Bearbeitung von Personendaten und unterliegt damit den allgemeinen Grundsätzen des revDSG: Transparenz, Zweckbindung, Erforderlichkeit, Datenminimierung. Der EDÖB hat 2025 einen Leitfaden zu «Online-Tracking und Einwilligung» publiziert, der für die Praxis verbindliche Mindestanforderungen festlegt.

Welche Cookies sind einwilligungsfrei?

Drei Kategorien dürfen ohne Einwilligung gesetzt werden, sind aber in der Datenschutzerklärung zu erwähnen:

• Strikt notwendige Funktionscookies — Session-Cookies, Warenkorb-IDs, CSRF-Schutz, Sprachauswahl, Authentifizierungstokens
• Sicherheitscookies — Bot-Erkennung, Rate-Limiting, Fraud-Detection
• Aggregierte, anonymisierte Statistik — z. B. selbstgehostetes Matomo mit IP-Anonymisierung und ohne Cross-Site-Profile

Welche Cookies brauchen Einwilligung?

• Werbe- und Retargeting-Cookies — Meta Pixel, Google Ads, LinkedIn Insight Tag, TikTok Pixel
• Cross-Site-Analytics — Google Analytics 4, Hotjar Session Replay, Mixpanel
• Third-Party-CDN-Cookies, wenn sie Profilbildung ermöglichen
• Social-Media-Plug-ins mit aktivem Datentransfer (Facebook Like Button, YouTube-Embeds vor Klick)

Ausgestaltung eines DSG-konformen Cookie-Banners

Die EDÖB-Praxis verlangt: granulare Zustimmung nach Cookie-Kategorie, einen «Ablehnen»-Button auf der ersten Ebene (gleich prominent wie «Akzeptieren»), keine Dark Patterns, jederzeitige Widerrufbarkeit mit gleich wenigen Klicks wie die Zustimmung, Vorab-Information über Drittland-Datenexporte und Zwecke, sowie keine Cookies vor der Zustimmung (ausser den oben genannten Ausnahmen).

Newsletter und E-Mail-Marketing

Für E-Mail-Werbung gilt zusätzlich das UWG (Art. 3 lit. o): Massenwerbung ist nur mit vorgängiger Einwilligung des Empfängers zulässig (Double-Opt-in), Absenderangaben müssen korrekt sein, und jede Werbe-E-Mail braucht eine einfache Abmeldemöglichkeit. Verstösse werden vom SECO verfolgt — zusätzlich zum revDSG-Bussenmodell.

8. Bearbeitungsverzeichnis und DSFA

Das Bearbeitungsverzeichnis (Art. 12 revDSG)

Verantwortliche müssen ein Verzeichnis der Bearbeitungstätigkeiten führen — vergleichbar mit dem «Verzeichnis von Verarbeitungstätigkeiten» (VVT) der DSGVO. Anders als die DSGVO sieht das revDSG eine Ausnahme vor: Verzichten dürfen Unternehmen mit weniger als 250 Mitarbeitenden, sofern ihre Datenbearbeitung ein nur geringes Risiko für die Persönlichkeit der betroffenen Personen darstellt. In der Praxis wird die Ausnahme schnell hinfällig, sobald ein Webshop besonders schützenswerte Personendaten bearbeitet (z. B. Bonitätsdaten, Gesundheitsdaten bei Apotheken-Webshops).

Pflichtinhalte des Verzeichnisses

• Identität und Kontaktangaben des Verantwortlichen und gegebenenfalls des DSV
• Bearbeitungszwecke (z. B. Bestellabwicklung, Rechnung, Newsletter, Retargeting)
• Kategorien betroffener Personen (Kundschaft, Lieferanten, Mitarbeitende) und Datenkategorien
• Empfänger oder Empfängerkategorien (Auftragsbearbeiter, Behörden, Versand)
• Aufbewahrungsdauer oder Kriterien; allgemeine Beschreibung der TOM
• Im Falle eines Datenexports: betroffene Staaten und Garantien

Datenschutz-Folgenabschätzung (Art. 22 revDSG)

Eine DSFA ist verpflichtend, wenn eine Datenbearbeitung «ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» mit sich bringt. Typische Auslöser im E-Commerce:

• Umfangreiches Profiling für Werbung oder Empfehlungen; Bonitätsprüfung im Checkout (z. B. mit Intrum, CRIF)
• Biometrische Authentifizierung oder grossflächige Bearbeitung besonders schützenswerter Personendaten
• Innovative Technologien wie KI-Recommender oder Generative AI auf Kundendaten
• Systematische Überwachung via Click-Stream-Analyse über Drittseiten hinweg

Inhalt einer DSFA

Die DSFA enthält eine systematische Beschreibung der geplanten Bearbeitung, eine Beurteilung von Notwendigkeit und Verhältnismässigkeit, eine Risikoanalyse für die Betroffenen sowie die geplanten Schutzmassnahmen. Bleibt ein hohes Restrisiko, ist der EDÖB zu konsultieren (Art. 23 revDSG) — die Konsultation entfällt bei interner DSV-Prüfung.

9. Datenpannen — Meldung und Krisenkommunikation

Was ist eine Datenpanne?

Art. 5 lit. h revDSG definiert die Verletzung der Datensicherheit als eine Verletzung, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden, Unbefugten offengelegt oder zugänglich gemacht werden. Typische E-Commerce-Szenarien sind:

• Hackerangriffe, Phishing oder Credential Stuffing auf Kundenkonten
• Fehlversand von E-Mails mit Personendaten an falsche Empfänger
• Verlust eines Mitarbeitenden-Notebooks oder falsch konfiguriertes Cloud-Storage (z. B. öffentlicher S3-Bucket)
• Ransomware-Angriffe, die zur Verschlüsselung von Kundendaten führen

Meldepflicht an den EDÖB (Art. 24 revDSG)

Sobald eine Datenpanne voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, muss der Verantwortliche den EDÖB so rasch als möglich informieren. Anders als die DSGVO setzt das revDSG keine starre 72-Stunden-Frist; in der Praxis ist sie aber ein vernünftiger Massstab, weil viele angeschlossene EU-Behörden ihrerseits 72 Stunden erwarten.

Inhalt der Meldung

• Art der Verletzung; betroffene Personen- und Datenkategorien
• Zahl der betroffenen Personen (geschätzt, falls nicht exakt bekannt)
• Folgen für die Betroffenen; ergriffene und geplante Massnahmen
• Kontaktangaben für Rückfragen

Der EDÖB betreibt seit 2023 ein Online-Meldeportal unter databreach.edoeb.admin.ch, das eine strukturierte Eingabe und Folge-Updates erlaubt.

Information der betroffenen Personen

Zusätzlich zur EDÖB-Meldung ist die Information der betroffenen Personen erforderlich, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt. Werden Passwörter, Zahlungsdaten oder besonders schützenswerte Personendaten kompromittiert, ist eine Direkt-Information zwingend. Sie muss in einfacher Sprache verfasst sein, die Risiken benennen und konkrete Handlungsempfehlungen geben.

Vorbereitung — Incident-Response-Plan

Wer erst nach einem Vorfall beginnt, einen Meldetext zu formulieren, verliert wertvolle Stunden. Ein Incident-Response-Plan für den CH-Webshop sollte Eskalationsmatrix, vordefinierte Kommunikationsvorlagen (EDÖB, Kundschaft, Medien, Mitarbeitende), Forensik-Partner mit 24/7-Hotline, Rechtsbeistand mit Datenschutz-Spezialisierung, Cyberversicherungs-Kontakt sowie Sicherungsmechanismen (Backup-Restore, Zugriff-Sperre, Passwort-Reset) enthalten.

10. Privacy by Design und Privacy by Default

Die Grundsätze (Art. 7 revDSG)

Art. 7 revDSG verankert zwei eng verwandte Prinzipien:

• Privacy by Design — der Verantwortliche ist verpflichtet, die Datenbearbeitung von der ersten Planungsphase an so zu gestalten, dass sie die Datenschutzvorschriften und insbesondere die Grundsätze von Art. 6 revDSG einhält
• Privacy by Default — die Voreinstellungen müssen sicherstellen, dass die Bearbeitung auf das für den konkreten Zweck nötige Minimum begrenzt ist

Praktische Umsetzung im Webshop

Konkret heisst Privacy by Design für einen Schweizer Online-Händler im Jahr 2026:

• Datenminimierung im Checkout — kein Geburtsdatum, keine Telefonnummer ohne klaren Bedarf
• Pseudonymisierung von Tracking-IDs; automatische Löschung nach Aufbewahrungsfrist (z. B. inaktive Konten nach 24 Monaten)
• Datenschutzfreundliche Voreinstellungen — Newsletter-Opt-in nicht vorausgewählt, Tracking-Cookies deaktiviert
• Verschlüsselung at-rest und in-transit (TLS 1.3, AES-256)
• Granulare Zugriffsrechte für Mitarbeitende (Need-to-know) und Audit-Logging nach Art. 4 DSV

Technische und organisatorische Massnahmen (TOM)

Art. 8 revDSG verlangt eine «angemessene Datensicherheit». Die DSV konkretisiert in Art. 1–5 die TOM-Mindestanforderungen entlang folgender Achsen:

• Zugangsschutz — Zutritts-, Personen-, Datenträger- und Speicherkontrolle
• Nutzungskontrolle — Benutzer-, Zugriffs-, Bekanntgabe- und Eingabekontrolle
• Auftragskontrolle — Sicherstellung weisungsgemässer Auftragsbearbeitung
• Verfügbarkeit und Integrität — Schutz vor Verlust, unbefugter Veränderung, sowie Wiederherstellbarkeit nach Vorfällen

Vergleichsübersicht: revDSG vs. DSGVO 2026

Das nützlichste Werkzeug zur Einordnung ist ein direkter Vergleich der beiden Regime. Die Tabelle fasst die wichtigsten Unterschiede für Online-Händler zusammen.

Thema	revDSG / nFADP (Schweiz)	EU-DSGVO	Praxis für CH-Webshops
Anwendungsbereich	natürliche Personen	natürliche Personen	weitgehend deckungsgleich
Bussen	bis CHF 250'000 gegen natürliche Person	bis 4 % Konzernumsatz / EUR 20 Mio.	Schweizer Modell trifft Geschäftsleitung
Bearbeitungsverzeichnis	Pflicht; Ausnahme < 250 MA bei geringem Risiko	Pflicht; Ausnahme < 250 MA bei geringem Risiko	analoge Schwelle
Datenschutzberater (DSV/DPO)	freiwillig (Erleichterungen)	pflichtig in bestimmten Fällen	CH lockerer, EU strenger
Datenpanne — Frist	«so rasch als möglich»	72 Stunden	72 Std. als Praxis-Massstab
Datenexport	EDÖB-Länderliste + CH-SCC	EU-Adäquanzbeschlüsse + EU-SCC	CH-SCC = EU-SCC mit Schweizer Annex
Profiling mit hohem Risiko	explizit definiert, DSFA-Pflicht	implizit über Art. 35 DSGVO	CH expliziter
juristische Personen	nicht mehr geschützt	von Anfang an nicht geschützt	seit Revision deckungsgleich

Lesung der Tabelle: Wer DSGVO-konform aufgestellt ist, deckt rund 80 % der revDSG-Anforderungen ab. Die verbleibenden 20 % betreffen vor allem Strafrecht (persönliche Verantwortung der Geschäftsleitung), die Schweizer Standardvertragsklauseln und die EDÖB-Länderliste statt der EU-Adäquanzbeschlüsse. Wer nur das alte DSG von 1992 umgesetzt hatte, steht hingegen vor einem grundlegenden Re-Engineering.

DSG-Compliance-Checkliste 2026 für Schweizer Online-Händler

1. Rechtliche Grundlagen und Dokumentation

• revDSG, DSV und EDÖB-Leitfäden im Unternehmen kommuniziert; Verantwortlichkeiten zugewiesen
• Bearbeitungsverzeichnis aufgesetzt; DPA / ADV mit allen Auftragsbearbeitern unterzeichnet
• Sub-Processor-Register gepflegt; DSFA für hochriskante Bearbeitungen erstellt
• Datenschutzerklärung in DE/FR/IT verfügbar und aktuell

2. Technische Massnahmen und Prozesse

• TLS 1.3, verschlüsselte Backups (AES-256), Berechtigungskonzept mit Need-to-know, Audit-Logging
• Automatische Löschung nach Aufbewahrungsfrist; Pseudonymisierung von Tracking-IDs
• Auskunftsbegehren-Workflow mit 30-Tage-Frist; Incident-Response-Plan mit EDÖB-Vorlagen
• Cookie-Consent-Management mit granularer Wahl; Double-Opt-in für Newsletter

3. Datenexport und Zunapro-Setup (10 Minuten)

1. Inventar aller Datentransfers ins Ausland — Abgleich mit EDÖB-Länderliste
2. CH-SCC signiert für nicht-adäquate Staaten, Swiss-US-DPF-Whitelist gepflegt
3. Im Panel anmelden und das Schweizer DSG-Modul öffnen
4. Vorlagen aktivieren — Verzeichnis, Datenschutzerklärung, Cookie-Banner, Breach-Workflow

FAQ — Schweizer Datenschutzgesetz für Online-Händler 2026