DSGVO vs nFADP: Leitfaden für Schweizer Unternehmen
Doppelregulierungs-Überblick für Schweizer Unternehmen, die EU- und Schweizer Personendaten über Online-Formulare verarbeiten. Wo sich DSGVO und nFADP decken, wo sie auseinandergehen — und was das für Intake-Formulare, Auftragsbearbeiter und Vorfallmeldungen bedeutet.
Eine Schweizer Klinik nimmt Online-Anmeldungen deutscher Patienten entgegen. Ein Zürcher SaaS-Anbieter sammelt Feedback-Formulare spanischer Kundinnen. Eine Genfer Kanzlei betreibt einen Aufnahmefragebogen, der von Mandanten in der EU und weltweit genutzt wird. In jedem dieser alltäglichen Szenarien greifen zwei Datenschutzregime gleichzeitig — die EU-DSGVO und das revidierte Schweizer Datenschutzgesetz (nFADP / revDSG), in Kraft seit dem 1. September 2023.
Die beiden Gesetze sind bewusst eng aufeinander abgestimmt: Das nFADP wurde so formuliert, dass der EU-Angemessenheitsstatus der Schweiz erhalten bleibt. Wer das eine erfüllt, erfüllt weitgehend das andere. Doch „weitgehend“ heisst nicht „vollständig“ — und die Unterschiede zählen, besonders bei Online-Formularen, dem Punkt, an dem die meisten Unternehmen Personendaten erstmalig anfassen. Dieser Beitrag ist ein praktischer, feldbezogener Vergleich — spezifisch für das, was Schweizer Unternehmen mit Formularen tatsächlich tun.
Für wen dieser Beitrag ist
Schweizer Unternehmen — KMU, professionelle Dienstleister, Gesundheitswesen, Finanzsektor, E-Commerce — die Personendaten über Online-Formulare erheben und deren Kundschaft, Patienten oder Nutzer EU-Ansässige einschliessen. Auch relevant für EU-Unternehmen, die Schweizer Daten in nennenswertem Umfang verarbeiten.
Warum Schweizer Unternehmen oft beiden Gesetzen unterstehen
Das nFADP erfasst jede Bearbeitung von Personendaten mit Wirkung in der Schweiz — kurz: Ist das Unternehmen Schweizerisch oder betrifft die Bearbeitung Personen in der Schweiz, liegt Anwendbarkeit vor. Die DSGVO greift extraterritorial nach Art. 3 Abs. 2, sobald ein Nicht-EU-Unternehmen Personen in der EU Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet. Für die meisten Schweizer Unternehmen mit auch nur moderater EU-Kundschaft sind beide Voraussetzungen gleichzeitig erfüllt.
Die sinnvolle Frage lautet daher nicht „welches Gesetz wählen wir?“, sondern: Wo decken sich DSGVO und nFADP (und eine Kontrolle genügt), und wo gehen sie auseinander (und muss man nach dem Strengeren gestalten)?
DSGVO vs nFADP: feldweiser Vergleich für Online-Formulare
| Thema | EU-DSGVO | Schweizer nFADP |
|---|---|---|
| In Kraft seit | 25. Mai 2018 | 1. September 2023 (revDSG; Vorgänger seit 1992) |
| Extraterritorialität | Ja — Art. 3 Abs. 2 erfasst Nicht-EU-Unternehmen bei EU-Angebot | Ja — Anwendbar bei Bearbeitung mit Wirkung in der Schweiz |
| Angemessenheit | Erkennt die Schweiz als sicher an (Transfer EU → CH frei) | Erkennt die EU als sicher an (Transfer CH → EU frei) |
| Besondere Kategorien / sensible Daten | Art. 9: Gesundheit, Biometrie, Genetik, Sexualität, Religion, Politik, Gewerkschaft, Herkunft | Art. 5: dieselben Kategorien plus Verwaltungs-/Strafverfahren und Sozialhilfe |
| Rechtsgrundlage | Sechs Grundlagen (Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse) | Bearbeitung grundsätzlich zulässig; Einwilligung v.a. für sensible Daten, Profiling, Transfer in nicht-angemessene Länder |
| Cookie- / Formular-Tracking-Einwilligung | Opt-in, ausdrücklich, granular (ePrivacy + DSGVO) | Grundsätzlich lockerer; EU-adressierte Sites nutzen oft DSGVO-Default |
| Auskunftsrecht | Art. 15 — inkl. Datenkopie | Art. 25 — ähnlich; Quelle, Empfänger, Aufbewahrung |
| Löschrecht | Art. 17 — „Recht auf Vergessenwerden“ mit Ausnahmen | Art. 32 — Berichtigung oder Löschverlangen; etwas enger als DSGVO Art. 17 |
| Datenübertragbarkeit | Art. 20 — in strukturiertem, maschinenlesbarem Format | Art. 28 — Neuerung der Revision; ähnliche Struktur |
| Meldung an die Behörde | Binnen 72 Stunden (Art. 33) | So rasch wie möglich (Art. 24) — keine starre 72h-Frist, aber zügig |
| Meldung an Betroffene | Bei hohem Risiko (Art. 34); Ausnahme bei unverständlich gemachten Daten (z.B. starke Verschlüsselung) | Soweit zum Schutz erforderlich (Art. 24) oder auf Ersuchen der Behörde |
| Bussen | Bis EUR 20 Mio. oder 4% des weltweiten Umsatzes | Bis CHF 250'000 — gegen verantwortliche natürliche Personen, was direkte Exposition für Führung und Datenschutzverantwortliche schafft |
| Auftragsbearbeiter-Pflichten | Art. 28 — schriftliche Vereinbarung | Art. 9 — inhaltlich vergleichbar; schriftlich, dokumentierte Garantien |
| Verarbeitungsverzeichnis | Art. 30 — Pflicht ab 250 MA oder bei sensiblen Daten | Art. 12 — Pflicht; KMU mit nicht-sensiblen Daten können per Verordnung ausgenommen sein |
| Datenschutzbeauftragter | Pflicht für öffentliche Stellen und grossangelegte sensible Bearbeitung (Art. 37) | Keine Pflicht; möglich ist die Ernennung eines „Datenschutzberaters“ (Art. 10) |
| Transfers in Drittländer | Angemessenheit, SCC, BCR, Ausnahmen — Schrems II gilt | Länderliste des Bundesrats; sonst SCC, Garantien, ausdrückliche Einwilligung im Regelfall |
| Strafbarkeit | Keine DSGVO-eigenen Straftatbestände (Mitgliedstaaten können ergänzen) | Strafbarkeit natürlicher Personen bei bestimmten Pflichtverletzungen bis CHF 250'000 |
Wo eine Kontrolle beide Regime abdeckt
Bei Online-Formularen decken sich beide Regime stärker als sie abweichen. Ein Schweizer Unternehmen, das die DSGVO-Kontrollen für Formulare umsetzt, erfüllt den nFADP-Standard meist automatisch. Konkret:
- Ein klarer Datenschutzhinweis auf der Formularseite (Verantwortlicher, Zweck, Rechtsgrundlage, Aufbewahrung, Empfänger) genügt beiden Regimen
- Ein Auftragsbearbeitungsvertrag mit dem Formular-Anbieter erfüllt DSGVO Art. 28 und nFADP Art. 9 zugleich
- Starke technische Massnahmen — Transport- und Ruheverschlüsselung, Zugangskontrolle — zählen für Art. 32 DSGVO und Art. 8 nFADP
- Ein auf 72h-Meldung ausgerichteter Vorfall-Plan genügt der strengeren Frist und damit auch der nFADP
- Ein DSGVO-Verzeichnis der Verarbeitungstätigkeiten deckt weitgehend nFADP Art. 12
- Dokumentierte Transfer-Garantien (z.B. SCC für nicht-angemessene Länder) wirken in beiden Regimen
Praktische Heuristik
In den meisten Formular-Szenarien: Kontrollen zum DSGVO-Niveau designen und die nFADP-Spezifika explizit dokumentieren. Ein Betriebsmodell statt zwei parallelen.
Wo DSGVO und nFADP auseinandergehen — und warum das für Formulare zählt
Sensible Daten: nFADP umfasst mehr
Der nFADP-Katalog in Art. 5 fügt „Daten zu Verwaltungs- und Strafverfahren oder Sanktionen“ und „Daten zu Massnahmen der sozialen Hilfe“ hinzu — Kategorien, die die DSGVO über allgemeine Regeln adressiert, nicht über Art. 9. Für Formulare zu Strafregister (Bewerbungen, Mietgesuche, Finanzprüfungen) oder Sozialhilfe-Vorgeschichte kann das nFADP eine ausdrückliche Rechtfertigung verlangen, die die DSGVO in dieser Form nicht fordert.
Strafbarkeit natürlicher Personen
Die am häufigsten zitierte Abweichung ist die strafrechtliche Struktur. Das nFADP knüpft persönliche Strafbarkeit an bestimmte vorsätzliche Pflichtverletzungen der verantwortlichen natürlichen Person — insbesondere wissentlich falsche Angaben im Datenschutzhinweis oder Verletzung der Schweigepflicht — bis CHF 250'000. Das verändert die Anreize für Führung und Datenschutzverantwortliche: Ein Compliance-Versagen landet in der Schweiz bei einer Person, nicht nur bei der juristischen Person. DSGVO-Bussen greifen demgegenüber beim Verantwortlichen als Organisation.
Transfers ausserhalb des Angemessenheitskreises
Beide Regime beschränken Transfers in Länder ohne angemessenen Schutz. Die Listen sind nahe, aber nicht identisch — der Bundesrat führt eine eigene Liste. Für ein Schweizer Unternehmen mit US-Formular-Anbieter greifen Schrems II (DSGVO) und Schweizer Transferregeln parallel; ein einziger Satz SCC plus technische Garantien (etwa Zero-Knowledge-Verschlüsselung, die der Anbieter nicht entschlüsseln kann) deckt meist beides. Die Architektur des Anbieters — ob er die Einsendung lesen kann — beeinflusst materiell, wie viel dieser Gymnastik nötig ist.
Meldefristen und -inhalt
DSGVO: 72h. nFADP: so rasch wie möglich. In der Praxis deckt ein 72h-Prozess beides. Wichtiger ist die Ausnahme für verschlüsselte Daten: Nach DSGVO Art. 34 Abs. 3 Bst. a entfällt die Individualmeldung ggf., wenn exponierte Daten durch starke Verschlüsselung unverständlich gemacht wurden und die Schlüssel nicht kompromittiert sind. Das nFADP kodifiziert die Ausnahme nicht ausdrücklich, doch starke Verschlüsselung bleibt ein materiell risikomindernder Faktor in der „soweit zum Schutz erforderlich“-Beurteilung nach Art. 24.
Profiling und hochriskantes Profiling
Das nFADP führt den Begriff des „Profiling mit hohem Risiko“ ein und verlangt dafür ausdrückliche Einwilligung. DSGVO Art. 22 beschränkt ausschliesslich automatisierte Entscheidungen mit rechtlicher Wirkung. Speist Ihr Formular ein Scoring- oder Entscheidungsmodell (Kredit, Versicherung, Fraud, Berechtigung), verlangen beide Regime sorgfältige Prüfung und ausdrückliche Hinweise im Formular.
Doppelregime-Checkliste für Online-Formulare
Daten kartieren
Felder je Formular listen, Personendaten klassifizieren, sensible Kategorien nach DSGVO Art. 9 bzw. nFADP Art. 5 markieren. Beachten: Straf- und Sozialhilfe-Felder sind nur nach nFADP spezifisch sensibel.
Rechtsgrundlage / Rechtfertigung festlegen
Je Formular die DSGVO-Grundlage (Einwilligung, Vertrag, berechtigtes Interesse u.a.) und die nFADP-Rechtfertigung notieren (oft Vertrag oder berechtigtes Interesse; ausdrückliche Einwilligung für sensible Kategorien, hochriskantes Profiling, Transfer in nicht-angemessene Länder).
Einen Datenschutzhinweis für beide
Hinweis zum DSGVO-Standard entwerfen — Verantwortlicher, Zwecke, Grundlage, Aufbewahrung, Empfänger, Rechte, Kontakt — und zusätzlich die nFADP-Informationspflicht nach Art. 19 abdecken (Datenquelle, Zweck, Empfänger, Transfers, Aufbewahrungskriterien).
Auftragsbearbeitungsvertrag mit dem Formular-Anbieter
Ein Art.-28-DSGVO-Vertrag, gegengeprüft gegen nFADP Art. 9, deckt das Formale. Die substanzielle Frage: Kann der Anbieter die Einsendungen überhaupt lesen? Ein Zero-Knowledge-Anbieter verengt Ihre Exposition in beiden Regimen erheblich.
Aufbewahrung und Löschung
Pro Formular eine Aufbewahrungsdauer definieren und umsetzen, orientiert an Geschäftsnotwendigkeit und Branchenregeln (Steuer, GwG, Patientenakten). Beide Regime verlangen nicht länger als nötig; nFADP Art. 6 statuiert explizit eine Rechtmässigkeits-Pflicht.
Vorfall-Response zum strengeren Standard
72h-Playbook designen: Erkennung, Eindämmung, Vorbewertung, Behördenmeldung (EDÖB + einschlägige EU-Behörden), Individualmeldung falls nötig, Dokumentation. Die Ausnahme für verschlüsselte Daten mitdenken.
Betroffenenrechte dokumentieren
Beide Regime gewähren Auskunft, Berichtigung, Löschung (mit Grenzen). Einen einheitlichen Intake-Prozess haben — idealerweise selbst als Formular — und ein internes SLA. DSGVO: ein Monat (plus zwei verlängerbar); nFADP: so rasch wie möglich, spätestens 30 Tage.
Was verschlüsselte Formulare an der Rechnung ändern
Viel von der DSGVO/nFADP-Doppelarbeit löst sich, wenn der Anbieter Einsendungen tatsächlich nicht lesen kann. Auftragsverträge werden enger (der Bearbeiter hat keine lesbaren Daten). Die Transfer-Analyse wird verteidigungsfähiger (was die Schweiz verlässt, ist Chiffrat, nicht Inhalt). Die Meldeaussetzung wird leichter begründbar. Und sensible Einsendungen erhalten eine technische Kontrolle, die dem rechtlichen Gewicht beider Regime entspricht.
Schweizerform ist entlang dieser Architektur gebaut: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting für die Antwort-Payloads und native EN / DE / FR / IT-Unterstützung für typische Schweiz-plus-EU-Kundschaft. Es ersetzt kein Compliance-Programm — aber es löst mehrere der unangenehmsten Ecken von DSGVO vs nFADP in einer einzigen technischen Kontrolle auf.
Das Fazit
Bei Online-Formularen überlappen DSGVO und nFADP deutlich mehr, als sie abweichen. Ein Schweizer Unternehmen, das Formulare nach DSGVO-Niveau gestaltet, besteht auch die nFADP-Prüfung in den meisten Punkten; die abweichenden Teile — erweiterte sensible Kategorien, persönliche Strafbarkeit, EDÖB-Erwartungen, hochriskantes Profiling — brauchen bewusste Behandlung, aber keinen Parallel-Compliance-Stack.
Wählen Sie eine Formular-Architektur, die die harten Teile leichter macht: einen Anbieter, der sensible Einsendungen nicht lesen kann, Schweizer Hosting für Schweizer Daten und Sprachabdeckung, die Ihre tatsächliche Kundschaft trifft. Dokumentieren Sie das Programm einmal, nicht zweimal.
Schweizerform liefert einen einzigen verschlüsselten Formular-Layer, der sauber auf DSGVO- und nFADP-Erwartungen abbildet. Schweizer Hosting, Zero-Knowledge-Verschlüsselung und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte im kostenlosen Tarif.
Hinweis: Dieser Artikel ist allgemeine Information und Marketinginhalt, keine Rechts- oder Compliance-Beratung. Bezugnahmen auf DSGVO, nFADP, EDÖB-/FINMA-Vorgaben, Länderlisten des Bundesrats, Schrems-II-Rechtsprechung und verwandte Regelwerke sind konzeptionell zusammengefasst und unterliegen jurisdiktionsspezifischer Auslegung und künftigen Gesetzesänderungen. Branchenspezifisches (Gesundheit, Finanz, öffentliche Hand), grenzüberschreitende Konzernstrukturen und hochriskante Bearbeitung verlangen massgeschneiderte Beratung. Konsultieren Sie qualifizierte Schweizer und EU-Datenschutzberatung, bevor Sie auf Basis eines einzelnen Beitrags — auch dieses — Compliance- oder Beschaffungsentscheidungen treffen.