Text Link

Datenschutz für KMU: Wie man mit vernünftigem Aufwand ”Datenschutz-Compliant” werden kann

Patricia Müller
Written by
Patricia Müller
12.3.2025

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 und der Revision des Schweizer Datenschutzgesetzes (DSG) im Jahr 2023 stehen viele Schweizer KMU vor einer Herausforderung: Datenschutz soll korrekt umgesetzt werden, aber die damit verbundenen Aufwände sind oft grösser als erwartet. Die gute Nachricht: Mit einem pragmatischen Ansatz ist eine DSG-Compliance ohne unverhältnismässigen Aufwand möglich. Dieser Blogbeitrag zeigt, wie das gelingt.

Schritt 1 - Das Problem verstehen: Warum Datenschutz wichtig ist

Viele KMU unterschätzen die Bedeutung des Datenschutzes. Dabei betrifft die Datenschutz-Grundverordnung (DSGVO) und das Datenschutzgesetz (DSG) nicht nur Grossunternehmen – auch KMU müssen personenbezogene Daten gesetzeskonform bearbeiten. Ein Versäumnis kann rechtliche Folgen haben und das Vertrauen von Kunden gefährden. Datenschutz ist daher nicht nur Pflicht, sondern auch eine Chance zur Vertrauensbildung.

Schritt 2 – Risikoabwägung: Wo steht das Unternehmen?

Die Wichtigkeit der Datenschutz-Compliance eines Unternehmens hängt von verschiedenen Faktoren ab. Zentrale Fragen sind:

  • Welche Daten werden zu welchem Zweck verarbeitet?
    Gewisse Daten unterliegen strengeren Schutzvorschriften, und Verstösse können nicht nur zu hohen Bussen, sondern auch zu Reputationsschäden und Vertrauensverlust bei Kunden führen. Gleiches gilt, wenn Daten gehandelt oder in grossem Umfang Personendaten z.B. zu Marketingzwecken verarbeitet werden.
  • Wie relevant ist Datenschutz in der entsprechenden Branche?
    Datenschutz gerät besonders dann in den Fokus, wenn die zuständigen Behörden (in der Schweiz für private Unternehmen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)) Untersuchungen einleitet, etwa in sensiblen Branchen oder aufgrund konkreter Beschwerden. Zudem kommt es in der Praxis vor, dass durch unzufriedene ehemalige Mitarbeitende, unzufriedene Kunden oder Wettbewerber (angebliche) Verstösse gegen die datenschutzrechtlichen Vorschriften gemeldet werden, was behördliche Prüfungen nach sich ziehen kann. Sehr relevant ist Datenschutz zudem, wenn Kunden, wie insb. Banken oder Pensionskassen, eine Datenschutz-Compliance als Voraussetzung für eine Zusammenarbeit fordern.

Schritt 3 – Die passende Datenschutzstrategie wählen

Basierend auf der Risikoabwägung gibt es verschiedene Ansätze zur Umsetzung:

  • Variante "Super Light": Eine Basis-Datenschutzerklärung für die Website (z.B. gut geeignet für Onlineshops).
  • Variante "Light": Eine umfassendere Datenschutzerklärung, ideal für KMU, die über eine Website oder digitale Plattformen nicht sensible Kundendaten erfassen und nur zur Geschäftsabwicklung nutzen, aber keine besonders sensiblen Daten verarbeiten und keine vertiefte Datennutzung zu Marketingzwecken vornehmen.
  • Variante "Light 2": Datenschutzerklärung + Auftragsdatenverarbeitungsvertrag (ADV), sinnvoll für Unternehmen, die personenbezogene Daten verarbeiten und dafür externe Dienstleister (z. B. Cloud-Anbieter oder Marketingagenturen) einsetzen.
  • Variante "Fully Fledged": Vollständige Datenschutz-Compliance für Unternehmen mit höherem Risiko, beispielsweise Anbieter von Softwareplattformen oder bei umfangreicher Datenbearbeitung, wo eine detaillierte Dokumentation und Umsetzung der Datenschutzvorgaben erforderlich ist. Ebenso ist diese Variante nötig, bei Unternehmen deren Kunden eine Datenschutz-Compliance einfordern, insb. im Finanzbereich.
  • Variante "Fully Fully Fledged": DSG-Compliance mit Absegnung durch Datenschutzbehörden. Erforderlich für Unternehmen, die besonders heikle Datenbearbeitungen insb. in regulierten Bereichen wie dem Gesundheitswesen durchführen.

Die Varianten "Light" bis "Fully Fledged" werden auf unserer Homepage als Fixpreisprodukt angeboten. Schau doch mal vorbei:

Schritt 4 – Entscheid für DSG oder DSGVO als Basis

Ist ein Unternehmen auch in der EU tätig, richtet es sein Angebot an Kunden in der EU oder bearbeitet es Daten von EU-Bürgern, wird die Datenschutzgrundverordnung der EU (DSGVO) relevant. In diesem Fall müssen Unternehmen die (noch etwas strengeren) Vorgaben der DSGVO ergänzend zum DSG berücksichtigen. Ein späteres "Gap Filling" zwischen beiden Gesetzen ist möglich.

Es empfiehlt sich die Compliance immer zuerst anhand des einen Gesetzes zu machen und danach die Lücken zum anderen Gesetz zu füllen.

Schritt 5 – Data Mapping: Welche Datenströme gibt es?

Bevor Datenschutzmassnahmen ergriffen werden, muss dem Unternehmen bekannt sein, welche Daten wie bearbeitet werden und wer dafür verantwortlich ist.

Bei der Verantwortung gibt es zwei wichtige Kategorien:

  • Verantwortlicher: Das Unternehmen, das über die Datenbearbeitung entscheidet.
  • Auftragsverarbeiter: Externe Dienstleister, die im Auftrag des Verantwortlichen Daten verarbeiten (z. B. Cloud-Dienste).

Zu den relevanten Daten gehören alle sog. “Personendaten” (Begriff gemäss Schweizer Recht) resp. “personenbezogenen Daten” (Begriff gemäss europäischem Recht) wie beispielsweise Namen, Adressen, E-Mail-Adressen, Telefonnummern, Zahlungsinformationen, IP-Adresse, Gesundheitsdaten usw.

Schritt 6 – Rechtliche Analyse: Was ist zu tun?

Die folgende Analyse hilft, die wichtigsten Datenschutzverpflichtungen umzusetzen:

  • Ist eine Bearbeitung zulässig?
    Nach dem DSG ist die Bearbeitung personenbezogener Daten nur dann zulässig, wenn sie die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt. Andernfalls ist die ausdrückliche Einwilligung der betroffenen Person erforderlich.

    Nach DSGVO ist eine Bearbeitung sogar nur dann erlaubt, wenn mindestens eine der Rechtsgrundlagen nach Art. 6 erfüllt ist; etwa die Einwilligung, die Erfüllung eines Vertrags, eine gesetzliche Pflicht, der Schutz lebenswichtiger Interessen, eine öffentliche Aufgabe oder ein berechtigtes Interesse, sofern keine überwiegenden Rechte der betroffenen Person entgegenstehen.
  • Welche Pflichten ergeben sich aus den vorhandenen Datenströmen?
    Die drei wichtigsten Pflichten sind in der Regel:
    • Eine Datenschutzerklärung erstellen und aktuell halten.
    • Einen Auftragsdatenverarbeitungsvertrag (ADV) abschliessen, falls Dienstleister beauftragt werden.
    • Bei Tätigkeit in der EU erforderlich: Einen DSGVO-Vertreter in der EU bestimmen.

Für vieles gibt es nützliche Online-Tools

Für die Umsetzung und das Management der Datenschutzpflichten gibt es verschiedene Online-Tools, die je nach Unternehmensgrösse die Einhaltung der Vorgaben erleichtern. Damit du nicht selbst danach suchen musst, haben wir eine Übersicht mit verschiedenen Tools erstellt, die du bequem bei uns per E-Mail bestellen kannst.

Fazit: Datenschutz mit vertretbarem Aufwand umsetzen

Datenschutz ist eine Herausforderung für KMU, aber mit einer passenden Strategie für das Unternehmen ist das Problem ohne unverhältnismässigen Aufwand in den Griff zu bekommen. Wir unterstützen gerne dabei, die richtige Lösung zu finden – praxisnah, effizient und auf das Unternehmen zugeschnitten.

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 und der Revision des Schweizer Datenschutzgesetzes (DSG) im Jahr 2023 stehen viele Schweizer KMU vor einer Herausforderung: Datenschutz soll korrekt umgesetzt werden, aber die damit verbundenen Aufwände sind oft grösser als erwartet. Die gute Nachricht: Mit einem pragmatischen Ansatz ist eine DSG-Compliance ohne unverhältnismässigen Aufwand möglich. Dieser Blogbeitrag zeigt, wie das gelingt.
Buche einen Termin mit einem Mitglied des Lex Futura Teams
Zurück zur Übersicht
PDF herunterladen

Wo wir sind

Büro Luzern
Platz 4
6039 Root D4
Schweiz
Büro Zürich
Schützengasse 4
8001 Zürich
Schweiz

Let's get in touch

+41 41 541 92 20
info@lexfutura.ch

Über Lex Futura

Services
Join us
Kunden
Blog
Preise
Vlog
Team
Kontakt
Impressum
Datenschutzerklärung
AGB