DSG — Bundesgesetz über den Datenschutz (Schweiz)

Eine Schweizer Krankenversicherung migriert ihre Schadenbearbeitung in eine US-Cloud. Der EDÖB fragt im Rahmen einer Stichprobe nach. Verlangt werden das Bearbeitungsverzeichnis, der Transfer-Impact-Nachweis und die Begründung, warum die Auslagerung trotz fehlenden Angemessenheitsbeschlusses für die USA zulässig ist. Ohne diese Dokumentation bleibt nur eine Sofortmeldung an alle betroffenen Versicherten und ein langer Abend mit dem Verwaltungsrat.

Das Schweizer Datenschutzgesetz wurde grundlegend revidiert und ist am 1. September 2023 in Kraft getreten. Es löst das DSG von 1992 ab und nähert sich strukturell der DSGVO an, behält aber Schweizer Besonderheiten — etwa die Sanktionen gegen natürliche Personen statt gegen die Organisation. Für jede Organisation, die in der Schweiz tätig ist oder Daten von Personen in der Schweiz bearbeitet, ist das DSG einschlägig.

Wer ist betroffen?

Das DSG gilt extraterritorial. Massgeblich ist der Auswirkungsort, nicht der Sitz der bearbeitenden Stelle. Konkret betrifft es:

Verantwortliche (Art. 5 lit. j) — wer allein oder gemeinsam mit anderen über Zweck und Mittel der Bearbeitung entscheidet.
Auftragsbearbeiter (Art. 5 lit. k) — Cloud-Anbieter, externe Lohnbüros, IT-Wartung.
Private Bearbeiter und Bundesorgane — beide unterstehen dem DSG; für Kantone gelten zusätzlich die kantonalen Datenschutzgesetze.
Ausländische Organisationen mit Wirkung in der Schweiz — z. B. ein Online-Shop, der in die Schweiz liefert. Bei umfangreicher Bearbeitung muss eine Vertretung in der Schweiz benannt werden (Art. 14 DSG).

Ausgenommen sind Bearbeitungen für rein persönliche Zwecke, journalistische Tätigkeit und Bearbeitungen durch Gerichte im Rahmen der Rechtsprechung.

Was verlangt das Gesetz?

Grundsätze (Art. 6 DSG) entsprechen weitgehend den DSGVO-Prinzipien: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit, Datensicherheit. Daraus leiten sich die operativen Pflichten ab:

Bearbeitungsverzeichnis (Art. 12) — Pflicht für Verantwortliche und Auftragsbearbeiter; KMU mit unter 250 Mitarbeitenden sind teilweise befreit, sofern keine umfangreichen besonders schützenswerten Daten oder Hochrisiko-Profiling vorliegen.
Datenschutz-Folgenabschätzung (Art. 22) — bei hohem Risiko für die Persönlichkeit, mit Konsultationspflicht beim EDÖB bei verbleibendem Restrisiko.
Bekanntgabe ins Ausland (Art. 16) — nur in Länder mit angemessenem Schutz oder mit zusätzlichen Garantien (Standardvertragsklauseln, BCRs, Einwilligung). Der Bundesrat führt eine Länderliste.
Datensicherheit (Art. 8 DSG, Art. 1 ff. DSV) — angemessene technische und organisatorische Maßnahmen mit Risikobezug; die DSV konkretisiert in Art. 1–4.
Meldung von Verletzungen (Art. 24) — Meldung an den EDÖB so rasch als möglich, sobald eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko führt.
Informationspflichten (Art. 19 ff.) — Information bei Beschaffung, transparent und in verständlicher Form.
Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte (Art. 25 ff.) — Auskunft kostenlos, in der Regel innert 30 Tagen.
Auftragsbearbeitung (Art. 9) — schriftlicher Vertrag mit konkreten Mindestinhalten.

In der Praxis

Bearbeitungsverzeichnis ohne KMU-Ausnahme führen. Auch wer rechtlich befreit wäre, profitiert vom Verzeichnis bei Audits, Versicherungs-Anfragen und Zertifizierungen. In der Schweizer Praxis verlangen viele Großkunden das Verzeichnis als Nachweis vor Vertragsschluss.

Transfer-Impact-Assessment für US-Bearbeiter dokumentieren. Die Schweiz hat 2024 die Angemessenheit für US-Anbieter unter dem Swiss-US Data Privacy Framework anerkannt. Für nicht-zertifizierte Anbieter gelten weiterhin die Standardvertragsklauseln plus dokumentierte Risikoabwägung. Die EDÖB-Praxis verlangt eine nachvollziehbare Begründung pro Bearbeiter.

Verletzungs-Meldekette einrichten. Die DSG-Meldepflicht ist weicher formuliert als die 72-Stunden-Frist der DSGVO („so rasch als möglich”). Wer beide Regime erfüllen muss, sollte den DSGVO-Prozess als Standard fahren — die DSG-Pflicht ist damit automatisch abgedeckt.

Mapping zu ISO 27001

Die Datensicherheits-Anforderungen aus Art. 8 DSG und Art. 1–4 DSV sind technologie-neutral formuliert und decken sich substantiell mit dem ISO-27001-Annex-A-Katalog. Wer ein zertifiziertes ISMS betreibt, erfüllt die DSG-Sicherheitsvorgaben weitgehend.

Direkt relevante Kontrollen:

A.5.34 — Datenschutz und Schutz personenbezogener Daten: Brückenpunkt zum DSG; Identifikation und Erfüllung der Datenschutz-Anforderungen.
A.5.13 — Kennzeichnung von Informationen: Klassifizierung besonders schützenswerter Personendaten.
A.5.14 — Informationsübertragung: sichere Übertragung und Bekanntgabe ins Ausland.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die Meldung an den EDÖB.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung gegen das DSG.
A.6.3 — Informationssicherheitsbewusstsein: Datenschutz-Schulung für alle Mitarbeitenden.
A.7.10 — Speichermedien: sichere Entsorgung von Datenträgern mit Personendaten.
A.8.10 — Löschung von Informationen: Umsetzung des Anspruchs auf Vernichtung.
A.8.11 — Datenmaskierung: Pseudonymisierung als technische Maßnahme.
A.8.24 — Verwendung von Kryptografie: Verschlüsselung als zentrale TOM.
A.8.25 — Sicherer Entwicklungslebenszyklus: Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG).

Typische Audit-Befunde

Bearbeitungsverzeichnis fehlt oder ist auf das alte DSG zugeschnitten — alte Bezeichnungen wie „Datenherrenstellung” wurden nicht aktualisiert, Auftragsbearbeitungen sind unvollständig erfasst.
Bekanntgabe ins Ausland ohne dokumentierte Grundlage — US-Cloud-Anbieter ohne TIA, Daten in nicht spezifizierten Cloud-Regionen.
Information bei Beschaffung unvollständig — die Datenschutzerklärung deckt die Pflichtinhalte aus Art. 19 DSG nicht ab.
Vertretung in der Schweiz fehlt — ausländische Organisation mit umfangreicher Bearbeitung in der Schweiz hat keine Vertretung benannt.
Auskunftsrechte nicht operationalisiert — keine zuständige Person benannt, keine Vorlage, die 30-Tage-Frist wird gerissen.
Verletzungs-Meldeprozess existiert nur theoretisch — keine Tabletop-Übung, der Eskalationsweg ist unklar.

Quellen

DSG-Volltext (Fedlex) — amtliche Fassung der Bundeskanzlei
Datenschutzverordnung (DSV) — konkretisiert die Datensicherheits-Anforderungen
EDÖB — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter — Aufsichtsbehörde, Leitfäden und Vorlagen
Privatim — Vereinigung der schweizerischen Datenschutzbeauftragten — kantonale Aufsichtsbehörden und Praxisempfehlungen

Häufig gestellte Fragen

Gilt das revidierte DSG auch für Unternehmen ausserhalb der Schweiz?

Ja. Art. 3 DSG erfasst jede Bearbeitung, die sich in der Schweiz auswirkt — unabhängig vom Sitz der bearbeitenden Stelle. Wer in die Schweiz Waren oder Dienstleistungen anbietet oder das Verhalten von Personen in der Schweiz beobachtet, fällt unter das Gesetz und muss in der Regel eine Vertretung in der Schweiz benennen.

Was ist der Unterschied zwischen DSG und DSGVO in der Praxis?

Die Anforderungen sind weitgehend parallel: Bearbeitungsverzeichnis, TOMs, Meldepflicht bei Verletzungen, Betroffenenrechte. Unterschiede gibt es bei Begriffen (Bearbeitung statt Verarbeitung), Sanktionen (CHF 250'000 gegen die verantwortliche natürliche Person, weniger Buße gegen die Organisation) und Detailvorgaben. Wer DSGVO-konform arbeitet, ist überwiegend auch DSG-konform — die Bezeichnungen müssen aber stimmen.

Wann muss eine Datenschutz-Folgenabschätzung nach DSG gemacht werden?

Wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen birgt (Art. 22 DSG). Indikatoren sind systematische Beobachtung, umfangreiche Bearbeitung besonders schützenswerter Personendaten oder Profiling mit hohem Risiko. Die DSFA muss vorab erstellt und bei verbleibendem Restrisiko dem EDÖB konsultativ vorgelegt werden.