8 Min. Lesezeit

DSG Compliance Checklist 2026: Was jede Schweizer Firma wissen muss

Praktische Checklist für die Einhaltung des Schweizer Datenschutzgesetzes (DSG). 20 Punkte, die jedes Unternehmen prüfen sollte, mit konkreten Artikelverweisen.

DSGDatenschutzComplianceSchweizChecklist

DSG Compliance Checklist 2026: Was jede Schweizer Firma wissen muss

Das revidierte Datenschutzgesetz (DSG, SR 235.1) ist seit dem 1. September 2023 in Kraft. Über zwei Jahre danach haben viele Schweizer Unternehmen die Umsetzung begonnen, aber wenige haben sie abgeschlossen. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat seine Aufsichtstätigkeit verstärkt. Die Frage ist nicht mehr, ob Sie DSG-konform sein sollten, sondern wo Ihre Lücken sind.

Diese Checklist deckt 20 Punkte ab, die jedes Schweizer Unternehmen prüfen sollte. Jeder Punkt verweist auf den konkreten Gesetzesartikel. Keine Theorie. Praxis.

Grundlagen (Art. 1-5 DSG)

1. Ist der Anwendungsbereich klar definiert?

Das DSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane (Art. 2 DSG). Prüfen Sie: Werden in Ihrem Unternehmen Personendaten bearbeitet? Die Antwort ist fast immer: ja. Kundendaten, Mitarbeiterdaten, Website-Besucher, Newsletter-Abonnenten.

Aktion: Erstellen Sie eine Liste aller Datenbearbeitungen in Ihrem Unternehmen.

2. Werden die Bearbeitungsgrundsätze eingehalten? (Art. 6)

Art. 6 DSG definiert sechs Grundsätze:

  • Rechtmässigkeit: Personendaten dürfen nur rechtmässig bearbeitet werden.
  • Treu und Glauben: Die Bearbeitung muss nach Treu und Glauben erfolgen.
  • Verhältnismässigkeit: Die Bearbeitung muss verhältnismässig sein.
  • Zweckbindung: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben oder gesetzlich vorgesehen ist.
  • Richtigkeit: Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern.
  • Speicherbegrenzung: Personendaten müssen vernichtet oder anonymisiert werden, sobald sie für den Bearbeitungszweck nicht mehr erforderlich sind.

Aktion: Prüfen Sie für jede Datenbearbeitung, ob alle sechs Grundsätze erfüllt sind. Dokumentieren Sie die Ergebnisse.

3. Ist “Privacy by Design” umgesetzt? (Art. 7)

Art. 7 Abs. 1 DSG verlangt, dass der Verantwortliche die Datenbearbeitung technisch und organisatorisch so ausgestaltet, dass die Datenschutzvorschriften eingehalten werden. Dies beginnt bei der Planung und gilt während der gesamten Bearbeitung.

Art. 7 Abs. 2 verlangt “Privacy by Default”: Die Voreinstellungen müssen sicherstellen, dass nur die für den Verwendungszweck nötigen Personendaten bearbeitet werden.

Aktion: Prüfen Sie bei jeder neuen Software, jedem neuen Projekt: Ist Datenschutz von Anfang an eingebaut? Sind die Standardeinstellungen datenschutzfreundlich?

4. Ist die Datensicherheit gewährleistet? (Art. 8)

Art. 8 DSG verpflichtet zur Gewährleistung einer angemessenen Datensicherheit durch technische und organisatorische Massnahmen. Art. 1-4 DSV (Datenschutzverordnung, SR 235.11) konkretisieren die Anforderungen.

Aktion: Dokumentieren Sie Ihre technischen Massnahmen (Verschlüsselung, Zugangskontrollen, Backup) und organisatorischen Massnahmen (Richtlinien, Schulungen, Zuständigkeiten).

Information und Transparenz (Art. 19-21 DSG)

5. Wird bei der Datenbeschaffung informiert? (Art. 19)

Art. 19 DSG verlangt bei der Beschaffung von Personendaten eine angemessene Information. Mindestangaben:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Empfänger oder Kategorien von Empfängern
  • Bei Auslandsbekanntgabe: Zielstaat und Garantien

Diese Information muss spätestens bei der Beschaffung erfolgen. Nicht irgendwann. Bei der Beschaffung.

Aktion: Prüfen Sie Ihre Datenschutzerklärung auf der Website. Prüfen Sie jedes Formular, jeden Anmeldeprozess, jede Kundenschnittstelle: Wird dort informiert?

6. Werden automatisierte Einzelentscheide offengelegt? (Art. 21)

Wenn eine Entscheidung, die für eine betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt, ausschliesslich auf automatisierter Bearbeitung beruht, muss die betroffene Person informiert werden und kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird.

Dies betrifft: automatisierte Bonitätsprüfungen, KI-gestütztes CV-Screening, algorithmische Entscheide über Versicherungsleistungen, automatisierte Kreditvergabe.

Aktion: Inventarisieren Sie alle automatisierten Entscheidungsprozesse. Prüfen Sie, ob betroffene Personen informiert werden und eine menschliche Überprüfung verlangen können.

7. Wird das Auskunftsrecht gewährleistet? (Art. 25)

Jede Person kann vom Verantwortlichen Auskunft verlangen, ob Personendaten über sie bearbeitet werden. Die Auskunft muss innerhalb von 30 Tagen erteilt werden (Art. 25 Abs. 6). Sie ist grundsätzlich kostenlos (Art. 25 Abs. 7).

Aktion: Haben Sie einen Prozess für Auskunftsbegehren? Können Sie innerhalb von 30 Tagen alle Personendaten einer bestimmten Person zusammenstellen?

Verzeichnis und Dokumentation (Art. 12 DSG)

8. Ist ein Bearbeitungsverzeichnis vorhanden? (Art. 12)

Unternehmen mit 250 oder mehr Mitarbeitern müssen ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 Abs. 1 DSG). KMU mit weniger als 250 Mitarbeitern sind befreit, es sei denn, ihre Bearbeitung birgt ein hohes Risiko (Art. 12 Abs. 5 DSG und Art. 24 DSV).

Das Verzeichnis muss enthalten: Identität des Verantwortlichen, Bearbeitungszweck, Kategorien betroffener Personen, Kategorien bearbeiteter Daten, Empfänger, Aufbewahrungsdauer, Massnahmen zur Datensicherheit, bei Auslandsbekanntgabe den Zielstaat und Garantien.

Aktion: Erstellen oder aktualisieren Sie Ihr Bearbeitungsverzeichnis. Auch wenn Sie unter 250 Mitarbeiter haben: Die Erstellung ist Best Practice und schützt im Prüfungsfall.

Datenschutz-Folgenabschätzung (Art. 22 DSG)

9. Ist eine DSFA nötig und durchgeführt? (Art. 22)

Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, muss der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung (DSFA) erstellen.

Ein hohes Risiko liegt insbesondere vor bei: umfangreicher Bearbeitung besonders schützenswerter Personendaten, systematischer Überwachung grösserer Bereiche öffentlich zugänglicher Räume, und Profiling mit hohem Risiko (Art. 22 Abs. 2 DSG).

Aktion: Für jede Bearbeitung mit hohem Risikopotenzial: DSFA erstellen, dokumentieren und aufbewahren.

10. Enthält die DSFA alle Pflichtbestandteile?

Die DSFA muss enthalten: eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit und Grundrechte, die vorgesehenen Massnahmen zum Schutz der Persönlichkeit und Grundrechte (Art. 22 Abs. 3 DSG).

Wenn die DSFA ergibt, dass trotz der geplanten Massnahmen ein hohes Risiko verbleibt, muss der EDÖB vorgängig konsultiert werden (Art. 23 DSG).

Aktion: Prüfen Sie bestehende DSFAs auf Vollständigkeit.

Auslandsbekanntgabe (Art. 16-17 DSG)

11. Werden Daten ins Ausland übermittelt? (Art. 16)

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass das Zielland über einen angemessenen Datenschutz verfügt (Art. 16 Abs. 1 DSG). Die Liste der Länder mit angemessenem Schutz wird vom Bundesrat in Anhang 1 der DSV geführt.

Fehlt eine Angemessenheitsfeststellung, sind Ausnahmen nach Art. 17 möglich: Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften, Einwilligung, Vertragserfüllung.

Aktion: Inventarisieren Sie alle Dienstleister und Subunternehmer, die Personendaten ausserhalb der Schweiz bearbeiten. Prüfen Sie für jedes Land, ob eine Angemessenheitsfeststellung vorliegt. Wenn nicht: Welche Garantie nach Art. 17 greift?

12. Ist die Cloud-Nutzung DSG-konform? (Art. 9, 16-17)

Cloud-Dienste (Microsoft 365, Google Workspace, AWS, Azure) beinhalten regelmässig eine Datenbearbeitung ausserhalb der Schweiz. Besondere Aufmerksamkeit: US-basierte Anbieter unterliegen dem US CLOUD Act, der US-Behörden Zugang zu Daten ermöglicht, unabhängig davon, wo die Daten physisch gespeichert sind.

Art. 9 DSG regelt die Bearbeitung durch Auftragsbearbeiter. Der Verantwortliche muss sicherstellen, dass der Auftragsbearbeiter die Datensicherheit gewährleisten kann (Art. 9 Abs. 2).

Aktion: Prüfen Sie alle Cloud-Verträge. Bestehen Auftragsbearbeitungsverträge (Art. 9)? Ist die Auslandsbekanntgabe korrekt abgesichert?

Besonders schützenswerte Personendaten (Art. 5 lit. c DSG)

13. Werden besonders schützenswerte Daten korrekt behandelt?

Das DSG definiert in Art. 5 lit. c eine Liste besonders schützenswerter Personendaten: religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Gesundheitsdaten, Daten zur Intimsphäre, Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten zur Identifizierung, Daten über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen, Daten über Massnahmen der sozialen Hilfe.

Für diese Daten gelten erhöhte Anforderungen: Die Informationspflicht ist strenger. Eine DSFA ist häufiger nötig. Die Datensicherheitsmassnahmen müssen dem erhöhten Risiko entsprechen.

Aktion: Prüfen Sie, ob in Ihrem Unternehmen besonders schützenswerte Personendaten bearbeitet werden (häufig: Gesundheitsdaten bei Personalwesen, biometrische Daten bei Zugangskontrollen).

Meldepflichten (Art. 24 DSG)

14. Ist ein Prozess für Datenschutzverletzungen vorhanden? (Art. 24)

Bei einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, muss der Verantwortliche dem EDÖB so rasch wie möglich Meldung erstatten (Art. 24 Abs. 1 DSG).

“So rasch wie möglich” heisst: nicht 30 Tage. Nicht nächste Woche. Sobald die Verletzung festgestellt wird. Der EDÖB erwartet eine Erstmeldung innerhalb von 72 Stunden.

Aktion: Haben Sie einen Incident-Response-Prozess? Wissen Ihre Mitarbeitenden, was bei einer Datenpanne zu tun ist? Ist klar, wer die Meldung an den EDÖB macht?

15. Werden betroffene Personen informiert? (Art. 24 Abs. 4)

Wenn es zum Schutz der betroffenen Personen erforderlich ist oder der EDÖB es verlangt, muss der Verantwortliche die betroffenen Personen informieren.

Aktion: Definieren Sie Kriterien, wann betroffene Personen zu informieren sind, und halten Sie Textvorlagen bereit.

Datenschutzberater (Art. 10 DSG)

16. Ist ein Datenschutzberater benannt? (Art. 10)

Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen (Art. 10 Abs. 1 DSG). Die Ernennung ist freiwillig, hat aber einen handfesten Vorteil: Wer einen Datenschutzberater ernennt, kann unter Umständen auf die vorgängige Konsultation des EDÖB bei der DSFA verzichten (Art. 23 Abs. 4 DSG).

Aktion: Prüfen Sie, ob die Ernennung eines Datenschutzberaters sinnvoll ist. Für Unternehmen mit regelmässiger DSFA-Pflicht: ja.

Einwilligung (Art. 6 Abs. 6-7 DSG)

17. Ist die Einwilligungspraxis korrekt? (Art. 6 Abs. 6-7)

Wo eine Einwilligung Voraussetzung der Datenbearbeitung ist, muss sie freiwillig, informiert und für den konkreten Fall erteilt werden. Für besonders schützenswerte Personendaten und Profiling mit hohem Risiko muss die Einwilligung ausdrücklich sein (Art. 6 Abs. 7).

Aktion: Prüfen Sie alle Einwilligungsflüsse: Newsletter-Anmeldungen, Cookie-Banner, Bewerbungsformulare. Ist die Einwilligung freiwillig? Informiert? Für den konkreten Zweck?

Profiling (Art. 5 lit. f-g DSG)

18. Werden Profiling-Aktivitäten korrekt gehandhabt?

Das DSG unterscheidet zwischen Profiling (Art. 5 lit. f: automatisierte Bearbeitung zur Bewertung bestimmter Aspekte einer Person) und Profiling mit hohem Risiko (Art. 5 lit. g: Profiling, das ein Persönlichkeitsprofil ergibt). Für Profiling mit hohem Risiko gelten erhöhte Anforderungen: ausdrückliche Einwilligung oder gesetzliche Grundlage nötig.

Aktion: Identifizieren Sie alle Profiling-Aktivitäten. KI-gestützte Kundensegmentierung, personalisierte Werbung, Scoring-Modelle.

Strafbestimmungen (Art. 60-66 DSG)

19. Sind die Strafrisiken bekannt?

Das DSG kennt Strafbestimmungen für vorsätzliche Verstösse. Gebüsst werden natürliche Personen, nicht Unternehmen (anders als bei der DSGVO):

  • Verletzung der Informationspflicht: bis CHF 250'000 (Art. 60)
  • Verletzung der Sorgfaltspflicht bei Auslandsbekanntgabe: bis CHF 250'000 (Art. 61)
  • Verletzung der Pflichten gegenüber dem EDÖB: bis CHF 250'000 (Art. 63)
  • Verletzung des Berufsgeheimnisses: bis CHF 250'000 (Art. 62)

CHF 250'000 Busse richtet sich gegen die verantwortliche Person. Das ist der Verwaltungsrat, der Geschäftsführer oder die Person, die die Entscheidung getroffen hat.

Aktion: Stellen Sie sicher, dass Geschäftsleitung und Verwaltungsrat die persönlichen Strafrisiken kennen.

Laufende Prüfung

20. Wird die Compliance regelmässig überprüft?

Datenschutz-Compliance ist kein einmaliges Projekt. Es ist ein laufender Prozess. Neue Dienstleister, neue Softwaretools, neue Geschäftsprozesse schaffen neue Datenbearbeitungen, die geprüft werden müssen.

Aktion: Führen Sie mindestens jährlich eine DSG-Compliance-Prüfung durch. Dokumentieren Sie die Ergebnisse. Passen Sie Ihre Massnahmen an.

Nächste Schritte

Wenn Sie mehr als drei Punkte auf dieser Checklist nicht erfüllen, ist eine strukturierte Compliance-Analyse sinnvoll. Wir liefern eine technische Bewertung Ihrer Datenschutzpraxis gegen die DSG-Anforderungen, mit konkreten Massnahmenempfehlungen und Artikelverweisen.

Dies ist eine technische Compliance-Analyse. Keine Rechtsberatung.

CTA: [Newsletter abonnieren: DSG- und Datenschutz-Updates direkt in Ihr Postfach.]

Zurück zum Blog

Verwandte Artikel

29 March 2026

DSG/FADP Compliance-Leitfaden für Schweizer Unternehmen

Umfassender Leitfaden zum Schweizer Datenschutzgesetz (DSG/FADP). Alle Pflichten, Definitionen, Checklisten und praktische Umsetzungshinweise. März 2026 Edition.
29 March 2026

EU AI Act: Was Schweizer Unternehmen bis August 2026 tun müssen

Der EU AI Act tritt am 2. August 2026 vollständig in Kraft. Was das für Schweizer Unternehmen bedeutet, welche Pflichten gelten und wie Sie sich in 18 Wochen vorbereiten.
19 March 2026

Schweizer Datensouveränität im Zeitalter der KI: Warum es für Ihre Firma zählt

Schweizer Datensouveränität ist kein Marketing-Feature für KI-Tools. Es ist eine rechtliche Anforderung für Anwaltskanzleien, Banken und Compliance-Fachleute. Warum es zählt, wo Ihre KI läuft.