nDSG (Neues Datenschutzgesetz)

Das revidierte Schweizer Bundesgesetz über den Datenschutz (nDSG), in Kraft seit 1. September 2023, regelt den Umgang mit Personendaten durch Unternehmen in der Schweiz.

Das nDSG (neues Datenschutzgesetz) ist die Modernisierung des Schweizer Bundesgesetzes über den Datenschutz von 1992. Es ist seit dem 1. September 2023 in Kraft.

Zentrale Anforderungen für Unternehmen

• Transparenz: Unternehmen müssen Betroffene über die Erhebung und Verarbeitung ihrer Personendaten informieren.
• Datenminimierung: Nur Daten erheben, die für den angegebenen Zweck notwendig sind.
• Privacy by Design: Datenschutz muss von Anfang an in Systeme eingebaut werden.
• Meldepflicht bei Datenpannen: Verletzungen der Datensicherheit müssen dem EDÖB so rasch wie möglich gemeldet werden.
• Datenschutz-Folgenabschätzung (DSFA): Erforderlich bei Verarbeitungen mit hohem Risiko.

Seit April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden dem BACS (Bundesamt für Cybersicherheit) melden, bei Bussen bis zu CHF 100’000 pro Tag bei Nichteinhaltung.

Für wen gilt es?

Das nDSG gilt für jede Organisation, die Personendaten von Personen in der Schweiz verarbeitet, unabhängig vom Sitz des Unternehmens. Auch ausländische Firmen mit Schweizer Kunden müssen sich daran halten.

Strafen

Im Unterschied zum alten Gesetz sieht das nDSG persönliche Haftung vor, mit Bussen bis zu CHF 250’000 bei vorsätzlichen Verstössen. Die Bussen richten sich gegen Einzelpersonen, nicht gegen Unternehmen.

Unterschiede zur DSGVO

Obwohl ähnlich wie die EU-DSGVO, gibt es wichtige Unterschiede:

• Bussen sind persönlich (gegen Einzelpersonen), nicht gegen Unternehmen
• Kein obligatorischer Datenschutzbeauftragter (aber empfohlen)
• Einwilligung nicht immer erforderlich (berechtigtes Interesse kann genügen)
• Engerer Katalog an besonders schützenswerten Personendaten

Technische Massnahmen, die das nDSG erwartet

Das Gesetz verlangt «angemessene technische und organisatorische Massnahmen» zum Schutz von Personendaten. In der Praxis bedeutet das:

• Verschlüsselung für Daten im Ruhezustand und bei der Übertragung
• Zwei-Faktor-Authentifizierung für Systeme mit Personendaten
• Ein VPN für den Fernzugriff auf Unternehmenssysteme
• Eine Firewall zur Kontrolle des Netzwerkzugangs
• Endpoint Protection gegen Malware und Ransomware