Nur in der Schweiz verfügbar

Schweizerform ist derzeit ausschliesslich für Nutzerinnen und Nutzer in der Schweiz verfügbar. Die Kontoerstellung aus Ihrer Region ist eingeschränkt.
Schweizerform LogoSchweizerform
Back to Blog

nDSG vs DSGVO: Bestimmungen im Vergleich

Der massgebliche Vergleich von Schweizer nDSG (revDSG) und EU-DSGVO: Geltungsbereich, Rechtsgrundlage, sensible Daten, Meldepflicht, automatisierte Entscheidungen und KI, Sanktionen und wer sie trägt — mit offiziellen Quellen. Allgemeine Information, keine Rechtsberatung.

nDSG vs DSGVO: Bestimmungen im Vergleich

Wer in der Schweiz ein Unternehmen führt, lebt fast sicher unter zwei Datenschutzgesetzen zugleich. Das revidierte Schweizer Datenschutzgesetz — das nDSG (revDSG) — regelt die Bearbeitung im Inland. Die EU-Datenschutz-Grundverordnung — die DSGVO — erfasst Sie, sobald Sie Personen in der EU Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachten. Für die meisten Schweizer Organisationen mit auch nur moderater EU-Kundschaft lautet die praktische Frage nie „welches gilt?“, sondern „wo decken sie sich, und wo muss ich nach dem Strengeren gestalten?“.

Dieser Leitfaden ist die Antwort im Nebeneinander. Er erklärt, was jedes Gesetz ist, wer einzuhalten hat, und stellt die wichtigsten Bestimmungen in einer grossen Vergleichstabelle dar — Inkrafttreten, Geltungsbereich, Rechtsgrundlage, sensible Daten, Einwilligung, Informationspflichten, Verzeichnisse, Datenschutzberater, Folgenabschätzung, Meldepflicht, automatisierte Entscheidungen, Betroffenenrechte, Datenexporte, Vertretung und Sanktionen. Danach vertiefen wir die wenigen Stellen echter Abweichung, mit einem eigenen Abschnitt zu automatisierten Entscheidungen und KI, und nennen die offiziellen Quellen zum Selbstnachlesen.

Allgemeine Information, keine Rechtsberatung

Dieser Beitrag fasst nDSG und DSGVO konzeptionell zur Orientierung zusammen. Es ist Marketinginhalt, keine Rechtsberatung, und kann Ihren konkreten Sachverhalt, Branchenregeln oder die jeweils aktuellste Praxis nicht abbilden. Konsultieren Sie vor Compliance- oder Beschaffungsentscheidungen qualifizierte Schweizer und EU-Datenschutzberatung und lesen Sie die am Ende genannten offiziellen Texte.

Für wen dieser Beitrag ist

Gründerinnen, Produktverantwortliche, Datenschutzverantwortliche und Rechtsverantwortliche in Schweizer und EU-Organisationen, die eine klare, korrekte Übersicht brauchen, wie nDSG und DSGVO zueinanderstehen — besonders alle, die wählen, wie sie Personendaten über Online-Formulare erheben.

Was das nDSG ist

Das nDSG ist die vollständig revidierte Fassung des Schweizer Datenschutzgesetzes. Es wurde im September 2020 vom Parlament verabschiedet und trat am 1. September 2023 ohne Übergangsfrist in Kraft. Es ersetzte das frühere Datenschutzgesetz von 1992, das aus einer Zeit vor Smartphone, Cloud und modernem Profiling stammte.

Die Schweiz revidierte das Gesetz aus zwei zusammenhängenden Gründen. Erstens, um das modernisierte Übereinkommen 108+ des Europarats zur automatisierten Datenbearbeitung umzusetzen. Zweitens, kommerziell ebenso wichtig, um den EU-Angemessenheitsbeschluss zu erhalten: die Anerkennung der EU-Kommission, dass das Schweizer Recht ein im Wesentlichen gleichwertiges Schutzniveau wie die DSGVO bietet, sodass Personendaten ohne zusätzliche Garantien aus der EU in die Schweiz fliessen können. Das nDSG wurde bewusst nah an der DSGVO gehalten, damit die Angemessenheit die EU-Modernisierung überlebt.

  • Erweiterung der besonders schützenswerten Personendaten um genetische Daten und biometrische Daten, die eine Person eindeutig identifizieren
  • Einführung von Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen als gesetzliche Pflichten
  • Pflicht zum Verzeichnis der Bearbeitungstätigkeiten und zur Datenschutz-Folgenabschätzung bei hohem Risiko
  • Meldepflicht für Datensicherheitsverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
  • Stärkere Transparenz, einschliesslich einer eigenen Pflicht zur Information über automatisierte Einzelentscheidungen
  • Strafbarkeit bestimmter vorsätzlicher Pflichtverletzungen, gerichtet gegen die verantwortlichen natürlichen Personen

Das Ergebnis ist ein Gesetz, das jeder, der die DSGVO kennt, vertraut findet, das aber einen klar schweizerischen Charakter behält — am sichtbarsten bei der Rechtsgrundlage und bei der Ahndung von Verstössen.

Was die DSGVO ist

Die DSGVO — Verordnung (EU) 2016/679 — ist die umfassende Datenschutzverordnung der Europäischen Union. Sie wurde 2016 verabschiedet und gilt seit dem 25. Mai 2018 unmittelbar in allen EU- und EWR-Staaten. Als Verordnung statt Richtlinie gilt sie, ohne dass jedes Land ein eigenes Umsetzungsgesetz erlassen müsste, auch wenn die Mitgliedstaaten in einzelnen Punkten — etwa beim Einwilligungsalter von Kindern — begrenzten Spielraum behalten.

Die DSGVO baut auf einem Katalog von Grundsätzen (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) und einer abschliessenden Liste von Rechtsgrundlagen auf. Sie gewährt betroffenen Personen starke Rechte, legt Verantwortlichen und Auftragsverarbeitern detaillierte Pflichten auf und wird durch unabhängige Aufsichtsbehörden je Mitgliedstaat durchgesetzt, koordiniert über den Europäischen Datenschutzausschuss (EDSA). Sie ist der Referenzpunkt, an dem die meisten modernen Datenschutzgesetze — auch das nDSG — gemessen werden.

Wer welches Gesetz einhalten muss

Die beiden Gesetze haben überlappende, aber unterschiedliche territoriale Reichweite — genau deshalb landen so viele Organisationen unter beiden.

Geltungsbereich des nDSG

Das nDSG gilt für private Personen und Bundesorgane, deren Datenbearbeitung sich in der Schweiz auswirkt — selbst wenn die Bearbeitung im Ausland geschieht. Praktisch: Sind Sie in der Schweiz niedergelassen oder bearbeiten Sie Personendaten von Menschen in der Schweiz mit Wirkung dort, sind Sie erfasst. Ein ausländischer Online-Shop, der an Schweizer Kundschaft liefert, kann ebenso unter das nDSG fallen wie ein inländisches Unternehmen.

Geltungsbereich der DSGVO

Die DSGVO gilt für die Bearbeitung durch eine Niederlassung in der EU, unabhängig vom Ort der Bearbeitung, und — über den extraterritorialen Art. 3 Abs. 2 — für Organisationen ausserhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Ein Schweizer Unternehmen mit einer Website, die in Euro bestellt, nach Deutschland liefert oder EU-Besucher analysiert, liegt klar in DSGVO-Reichweite.

Die Doppelregime-Realität

Eine Schweizer Klinik mit Anmeldungen deutscher Patienten, ein Zürcher SaaS-Anbieter mit spanischer Kundschaft, eine Genfer Kanzlei mit Mandanten in der ganzen EU — jede unterliegt nDSG und DSGVO zugleich. Angemessenheit erlaubt freien Datenfluss zwischen Schweiz und EU, verschmilzt die beiden Gesetze aber nicht. Sie müssen weiterhin beide erfüllen.

nDSG vs DSGVO: die wichtigsten Bestimmungen im Nebeneinander

Die folgende Tabelle ist das Herzstück dieses Leitfadens: die wichtigsten Bestimmungen beider Gesetze an einem Ort. Wo eine Zeile „deckungsgleich“ nahelegt, genügt meist eine gut gestaltete Kontrolle für beide Regime. Wo sie abweicht, gestalten Sie nach der strengeren Anforderung und dokumentieren den Unterschied.

BestimmungSchweizer nDSGEU-DSGVO
Inkrafttreten1. September 2023 (revidiert; Vorgänger seit 1992)25. Mai 2018 (2016 verabschiedet)
RechtsformBundesgesetz (Fedlex SR 235.1) plus DatenschutzverordnungUnmittelbar geltende EU-Verordnung (2016/679)
Territorialer GeltungsbereichBearbeitung mit Wirkung in der Schweiz, auch aus dem AuslandEU-Niederlassungen plus Nicht-EU-Stellen, die Personen in der EU ansprechen oder beobachten (Art. 3)
Rechtsgrundlage zur BearbeitungKein allgemeiner Rechtsgrundlagen-Katalog; private Bearbeitung ist rechtmässig, sofern keine widerrechtliche Verletzung der PersönlichkeitBearbeitung braucht eine von sechs Rechtsgrundlagen nach Art. 6 (Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen)
Sensible DatenkategorienArt. 5: u. a. Gesundheit, religiöse/politische/weltanschauliche/gewerkschaftliche Ansichten, Intimsphäre, Rasse/Ethnie, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, sowie Daten zu Verwaltungs-/Strafverfahren und SozialhilfeArt. 9: besondere Kategorien u. a. Gesundheit, rassische/ethnische Herkunft, politische/religiöse/weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Sexualleben/-orientierung
EinwilligungFür bestimmte Fälle nötig (z. B. sensible Daten, Profiling mit hohem Risiko, gewisse Transfers); freiwillig und informiertEine von mehreren Rechtsgrundlagen; wo genutzt, freiwillig, spezifisch, informiert, unmissverständlich, so leicht widerrufbar wie erteilt
InformationspflichtenArt. 19: Information bei Beschaffung (Identität des Verantwortlichen, Zweck, Empfänger, Transferländer)Art. 13–14: detaillierte Transparenz inkl. Rechtsgrundlage, Aufbewahrungsfristen, Rechte und Kontakt des Datenschutzbeauftragten
Verzeichnis der BearbeitungArt. 12: erforderlich, aber Unternehmen mit weniger als 250 Mitarbeitenden und risikoarmer Bearbeitung sind ausgenommenArt. 30: erforderlich, mit ähnlicher Ausnahme für kleine Organisationen bei risikoarmer Bearbeitung
Datenschutzbeauftragte/-beraterBestellung eines Datenschutzberaters ist für private Stellen freiwillig (mit Verfahrensvorteilen)Datenschutzbeauftragte in definierten Fällen zwingend (Kern-Grossüberwachung oder umfangreiche Bearbeitung besonderer Kategorien; Behörden)
FolgenabschätzungArt. 22 (DSFA): nötig, wenn hohe Risiken für Persönlichkeit oder Grundrechte wahrscheinlich sindArt. 35 (DSFA): nötig bei voraussichtlich hohem Risiko für die betroffenen Personen
Datenschutz durch Technik/VoreinstellungErforderlich (Art. 7)Erforderlich (Art. 25)
Meldepflicht bei VerletzungenMeldung an den EDÖB „so rasch als möglich“, nur bei voraussichtlich hohem Risiko; Information der Betroffenen, soweit zu ihrem Schutz nötigMeldung an die Aufsichtsbehörde ohne unangemessene Verzögerung, möglichst binnen 72 Stunden; Information der Betroffenen bei hohem Risiko für ihre Rechte und Freiheiten
Automatisierte EinzelentscheidungArt. 21: Pflicht zur Information über eine ausschliesslich automatisierte Entscheidung mit rechtlicher/erheblicher Wirkung; Recht auf Stellungnahme und Überprüfung durch eine natürliche PersonArt. 22: Recht, keiner ausschliesslich automatisierten Entscheidung mit rechtlicher/erheblicher Wirkung unterworfen zu werden, mit Ausnahmen und Garantien (inkl. menschlichem Eingreifen)
BetroffenenrechteAuskunft, Berichtigung, Widerspruch, Löschung/Vernichtung (über Persönlichkeitsschutz), Datenherausgabe, einschränkungsähnliche MittelAuskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch und Rechte zu automatisierten Entscheidungen
Internationale TransfersZulässig in Länder mit angemessenem Schutz (Liste des Bundesrats); sonst Garantien wie StandardvertragsklauselnZulässig bei Angemessenheitsbeschluss oder geeigneten Garantien (SCC, BCR) nach Kapitel V
VertretungspflichtBestimmte ausländische private Verantwortliche, die Daten in der Schweiz bearbeiten, müssen eine Schweizer Vertretung bezeichnenArt. 27: viele Nicht-EU-Verantwortliche/-Verarbeiter müssen eine EU-Vertretung bezeichnen
Sanktionen — HöheBussen mit strafrechtlichem Charakter bis CHF 250'000Bussgelder bis EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist
Sanktionen — wer zahltGegen die verantwortliche private Person (strafrechtlicher Charakter); das Unternehmen haftet nur subsidiär bis CHF 50'000 in definierten FällenGegen das Unternehmen (Verantwortlicher oder Verarbeiter als Organisation)

Von oben nach unten gelesen ist das Muster klar: Die beiden Gesetze decken sich weit mehr, als sie abweichen. Angemessenheit ist kein Zufall, sondern Ergebnis bewusster Annäherung. Interessant sind die Zeilen, in denen sie auseinandergehen — und die verdienen einen genaueren Blick.

Wo die Gesetze echt voneinander abweichen

Philosophie der Rechtsgrundlage

Das ist der tiefste strukturelle Unterschied. Die DSGVO ist erlaubnisbasiert: Personendaten dürfen gar nicht bearbeitet werden, ohne dass eine der sechs Rechtsgrundlagen nach Art. 6 vorliegt, und Sie müssen sie benennen können. Das nDSG setzt für die private Bearbeitung das Gegenteil als Default. Es gibt keinen allgemeinen Rechtsgrundlagen-Katalog; die Bearbeitung von Personendaten ist grundsätzlich rechtmässig und wird erst rechtswidrig, wenn sie die Persönlichkeit der betroffenen Person widerrechtlich verletzt — etwa indem ein Widerspruch ignoriert, gegen den ausdrücklichen Willen bearbeitet oder sensible Daten ohne Rechtfertigung an Dritte bekanntgegeben werden. Einwilligung, überwiegendes Interesse oder Gesetz wirken dann als Rechtfertigungsgründe, die eine sonst widerrechtliche Bearbeitung heilen, nicht als Voraussetzungen vorab.

Praktisch erfüllt eine Organisation, die für jede Bearbeitung bereits eine DSGVO-Rechtsgrundlage dokumentiert, die nDSG-Schwelle bequem. Umgekehrt ist es nicht sicher: Wer nur nach dem Schweizer Modell baut und dann annimmt, EU-Kundschaft sei abgedeckt, lässt überall dort Lücken, wo die DSGVO eine positive, nie erfasste Grundlage verlangt.

Sanktionen gegen Personen statt gegen Unternehmen

Die Schlagzahlen weisen in entgegengesetzte Richtungen — und auch das Ziel. DSGVO-Bussgelder sind hoch und administrativ: bis EUR 20 Mio. oder 4 % des globalen Jahresumsatzes, von einer Aufsichtsbehörde gegen das Unternehmen verhängt. Die nDSG-Bussen sind absolut kleiner — bis CHF 250'000 — aber strafrechtlicher Natur und, entscheidend, gegen die verantwortliche natürliche Person gerichtet, nicht gegen das Unternehmen. Führungspersonen, Datenschutzverantwortliche und andere Einzelne können für bestimmte vorsätzliche Verletzungen persönlich gebüsst werden, etwa für vorsätzlich falsche Angaben im Datenschutzhinweis oder die Verletzung der beruflichen Schweigepflicht. Das Unternehmen selbst haftet nur subsidiär bis CHF 50'000 in definierten Fällen, in denen die Ermittlung der verantwortlichen Person unverhältnismässigen Aufwand erfordern würde.

Persönliche Exposition ist der Schweizer Dreh

Lesen Sie die tiefere CHF-Zahl nicht als „das nDSG ist milder“. Eine Busse mit strafrechtlichem Charakter, die eine namentlich verantwortliche Führungsperson treffen kann, verändert Anreize anders als ein administratives Bussgeld gegen eine juristische Person. Die beiden Systeme bestrafen sehr unterschiedlich.

Schwellen und Fristen der Meldepflicht

Beide Gesetze verlangen die Meldung von Verletzungen der Datensicherheit, aber Auslöser und Uhr unterscheiden sich. Nach der DSGVO melden Sie der Aufsichtsbehörde ohne unangemessene Verzögerung und möglichst binnen 72 Stunden ab Kenntnis jeder Verletzung mit Risiko für Personen; Betroffene informieren Sie, wenn das Risiko für ihre Rechte und Freiheiten hoch ist. Nach dem nDSG melden Sie dem EDÖB „so rasch als möglich“, aber nur bei voraussichtlich hohem Risiko für die betroffenen Personen — eine höhere Schwelle als der Behörden-Auslöser der DSGVO. Pragmatisch fährt ein Doppelregime-Unternehmen ein einziges 72-Stunden-Playbook nach dem strengeren DSGVO-Takt und wendet dann je Gesetz die Schwelle an, um zu entscheiden, wer tatsächlich gemeldet wird.

Listen sensibler Daten

Die beiden Kataloge sind nahe, aber nicht identisch. Die Modernisierung des nDSG fügte ausdrücklich genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer Person hinzu und brachte es so in Linie mit Art. 9 DSGVO. Doch die nDSG-Liste umfasst zusätzlich ausdrücklich Daten zu Verwaltungs- und Strafverfahren oder Sanktionen sowie Daten zu Massnahmen der sozialen Hilfe — Kategorien, die die DSGVO über separate Regeln statt über ihre Kernliste behandelt. Ein Formular, das nach Strafregister, laufenden Verfahren oder Sozialhilfe-Vorgeschichte fragt, kann unter dem nDSG eine Sensibel-Behandlung auslösen, wo Art. 9 DSGVO bei gleichem Wortlaut dies nicht täte.

Automatisierte Entscheidungen und KI unter nDSG und DSGVO

Da immer mehr Formulardaten Scoring-Modelle, Berechtigungsmaschinen und KI-Systeme speisen, sind die Bestimmungen zu automatisierten Entscheidungen vom Randthema zur Frontlinie geworden. Hier teilen beide Gesetze ein Ziel — den Menschen sinnvoll im Spiel zu halten — erreichen es aber über unterschiedliche Mechanik.

DSGVO Art. 22: Recht, keiner automatisierten Entscheidung unterworfen zu werden

Die DSGVO formuliert dies als Verbot mit Ausnahmen. Nach Art. 22 hat eine betroffene Person das Recht, keiner ausschliesslich auf automatisierter Bearbeitung — einschliesslich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt. Solche Entscheidungen sind nur zulässig, wenn sie für einen Vertrag erforderlich, gesetzlich erlaubt oder auf ausdrücklicher Einwilligung gegründet sind, und selbst dann muss der Verantwortliche Garantien vorsehen, darunter das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung. Die Bearbeitung besonderer Kategorien in solchen Entscheidungen ist weiter eingeschränkt.

nDSG Art. 21: Pflicht zur Information über automatisierte Entscheidungen

Das nDSG geht dasselbe Problem als Transparenz- und Überprüfungspflicht statt als Verbot an. Trifft der Verantwortliche nach Art. 21 eine ausschliesslich auf automatisierter Bearbeitung beruhende Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung der betroffenen Person, muss er sie darüber informieren. Die betroffene Person kann dann verlangen, ihren Standpunkt darzulegen und die Entscheidung durch eine natürliche Person überprüfen zu lassen. Es gibt Ausnahmen — etwa wenn die Entscheidung in unmittelbarem Zusammenhang mit Abschluss oder Abwicklung eines Vertrags steht und dem Begehren entsprochen wird, oder bei Einwilligung. Das Ziel ähnelt der DSGVO: Hinter der Maschine muss ein Mensch erreichbar sein. Der Rahmen unterscheidet sich: Das nDSG beginnt mit „Sie müssen informieren“, die DSGVO mit „sie haben das Recht zu verweigern“.

Was das für die Datenerhebung im KI-Zeitalter bedeutet

Speist Ihr Online-Formular ein Modell, das etwas Folgenreiches entscheidet — Kredit, Versicherungspreis, Fraud-Flags, Berechtigung, Vorauswahl — sind beide Gesetze im Spiel. Weisen Sie die automatisierte Entscheidung im Formularhinweis aus, machen Sie eine menschliche Überprüfung wirklich erreichbar und beurteilen Sie das Risiko vor dem Start (eine DSFA kann nötig sein). Die KI ist nicht ausgenommen, weil der Input über ein einfaches Webformular kam; das Formular ist genau der Ort, an dem die Pflicht beginnt.

Offizielle Quellen

Vergleiche sind nur so gut wie die Texte dahinter. Dies sind die massgeblichen Quellen zum direkten Nachlesen — wir nennen sie im Text, damit Sie die aktuellen Fassungen selbst suchen können, statt sich auf eine Sekundärzusammenfassung — auch diese — zu verlassen.

  • Das nDSG selbst: das Schweizer Datenschutzgesetz, in der Systematischen Rechtssammlung Fedlex unter der Nummer SR 235.1, zusammen mit der Datenschutzverordnung (SR 235.11)
  • Schweizer Aufsichtsleitfäden: der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), der Leitfäden und Erläuterungen zum nDSG veröffentlicht
  • Die DSGVO selbst: Verordnung (EU) 2016/679, in allen EU-Sprachen über EUR-Lex, die offizielle Rechtsdatenbank der EU
  • EU-Aufsichtsleitfäden: der Europäische Datenschutzausschuss (EDSA), der Leitlinien, Empfehlungen und Stellungnahmen zur Anwendung der DSGVO herausgibt, neben den nationalen Aufsichtsbehörden
  • Die Angemessenheits-Grundlage: der Angemessenheitsbeschluss der EU-Kommission zur Schweiz und das modernisierte Übereinkommen 108+ des Europarats, das der Schweizer Revision zugrunde liegt

Gesetzestexte und Leitfäden werden mit der Zeit aktualisiert. Prüfen Sie stets die geltende Fassung an der oben genannten offiziellen Quelle, bevor Sie sich auf eine konkrete Bestimmung stützen.

Was das für Ihre Datenerhebung und Formulare bedeutet

Online-Formulare sind der Ort, an dem die meisten Organisationen erstmals Personendaten berühren — und damit der natürliche Ort, um all das Obige umzusetzen. Die Doppelregime-Realität verlangt keine zwei parallelen Compliance-Stacks; sie verlangt, jedes Formular nach der strengeren anwendbaren Regel zu gestalten und die Unterschiede zu dokumentieren. Hier eine praktische Abfolge.

1

Daten je Formular klassifizieren

Felder auflisten. Sensibles nach Art. 9 DSGVO oder Art. 5 nDSG markieren — und die zusätzlichen nDSG-Kategorien (Strafverfahren, Sozialhilfe-Vorgeschichte) beachten, die die DSGVO-Liste anders behandelt.

2

Anwendbares Recht zuordnen

Sind die Antwortenden in der Schweiz, der EU oder beidem? Wenn beidem, laufen DSGVO und nDSG parallel. Notieren, wo eine positive DSGVO-Rechtsgrundlage nötig ist, obwohl das nDSG keine verlangt.

3

Minimieren, was Sie fragen

Datenminimierung ist in beiden Regimen Grundsatz. Jedes entfernte Feld kann nicht leaken, nicht herausverlangt werden und muss nie gerechtfertigt werden. Erheben Sie nur, was der Zweck wirklich verlangt.

4

Sichern, was Sie erheben

Sicherheit angemessen zum Risiko anwenden (Art. 8 nDSG, Art. 32 DSGVO). Für sensible Einsendungen wird Ende-zu-Ende-Verschlüsselung zunehmend zum erwarteten Standard, nicht zum Luxus.

5

Alles dokumentieren

Verzeichnisse führen, wo nötig, einen klaren Datenschutzhinweis schreiben, der Art. 19 nDSG und Art. 13–14 DSGVO erfüllt, automatisierte Entscheidungen ausweisen und eine DSFA durchführen, wo die Bearbeitung hochriskant ist.

Wie Verschlüsselung Ihre Exposition unter beiden Gesetzen verändert

Eine technische Kontrolle verbessert Ihre Lage unter beiden Regimen zugleich, fast unbemerkt: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung von Formular-Einsendungen. Werden Daten im Browser der antwortenden Person verschlüsselt und speichert die Plattform nur Chiffrat, kann der Betreiber sie nicht lesen — und das verändert mehrere der obigen Pflichten.

  • Die Schwere der Verletzung sinkt. Werden exponierte Daten durch starke Verschlüsselung unverständlich und sind die Schlüssel nicht kompromittiert, ist eine Verletzung weit weniger geeignet, das die Individualmeldung auslösende „hohe Risiko“ zu erzeugen — die DSGVO anerkennt dies ausdrücklich in Art. 34, und starke Verschlüsselung senkt das Risiko auch in der Hochrisiko-Beurteilung des nDSG materiell
  • Die Transfer-Analyse wird einfacher. Verlässt nur Chiffrat die Jurisdiktion, das der Anbieter nicht entschlüsseln kann, wird die Frage zusätzlicher Massnahmen, die Transfer-Beurteilungen dominiert, viel leichter zu beantworten
  • Die Verarbeiter-Oberfläche schrumpft. Ein Anbieter, der Einsendungen nicht lesen kann, hält keinen Klartext für eine Herausgabe und exponiert keinen lesbaren Inhalt gegenüber Insidern

Schweizerform ist genau um diese Architektur gebaut. Jede Einsendung samt Dateianhängen wird im Browser der antwortenden Person mit AES-256-GCM verschlüsselt; der Schlüssel je Einsendung wird mit dem öffentlichen RSA-OAEP-2048-Schlüssel des Formulars gewrappt, und die Schlüsselkette ist über den Access Code der Inhaberin per PBKDF2 geschützt. Die Server speichern nur Chiffrat, ausschliesslich in der Schweiz auf Infomaniak-Infrastruktur — App-Server, Datenbank, Objektspeicher und E-Mail — ohne US- oder EU-Anbieter im Datenpfad und ohne Third-Party-Tracker auf der Formularseite. Der Betreiber kann Einsendungen nicht lesen, auch nicht unter rechtlichem Zwang.

Dieser Leitfaden vergleicht die beiden Regime auf Gesetzesebene. Für eine formularspezifische Vertiefung — Auftragsverträge, Transfer-Mechanik und Meldeplaybooks für Online-Formulare — siehe den Begleitbeitrag zu DSGVO versus nFADP für Formulardaten auf diesem Blog.

Das Fazit

Das nDSG und die DSGVO sind von Konstruktion her nahe Verwandte: Die Schweiz revidierte ihr Gesetz gezielt, um mit der EU Schritt zu halten und die Angemessenheit zu wahren. Gestalten Sie nach der strengeren Anforderung, dokumentieren Sie die wenigen echten Abweichungen — der positive Rechtsgrundlagen-Katalog der DSGVO, die strafrechtliche Exposition Einzelner im nDSG, die unterschiedlichen Meldeschwellen, die zusätzlichen Schweizer Sensibel-Kategorien und die zwei Ansätze zu automatisierten Entscheidungen — und eine gut gestaltete Compliance-Haltung trägt Sie durch beide.

Formulare sind der Ort, an dem diese Haltung zuerst geprüft wird. Klassifizieren, minimieren, sichern, dokumentieren — und lassen Sie die Architektur des Werkzeugs, nicht nur den Wortlaut einer Policy, so viel Arbeit wie möglich übernehmen.

Schweizerform ist für den Punkt gebaut, an dem nDSG und DSGVO zusammentreffen: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte im kostenlosen Tarif.

Hinweis: Dieser Artikel ist allgemeine Information und Marketinginhalt, keine Rechts- oder Compliance-Beratung. Bezugnahmen auf nDSG, DSGVO, EDÖB- und EDSA-Vorgaben, Angemessenheitsbeschlüsse und das Übereinkommen 108+ sind konzeptionell zusammengefasst und unterliegen der Auslegung und künftigen Gesetzesänderungen. Spezifische Situationen — branchenspezifische Regeln, grenzüberschreitende Konzernstrukturen sowie hochriskante oder KI-gestützte Bearbeitung — verlangen massgeschneiderte Beratung. Konsultieren Sie qualifizierte Schweizer und EU-Datenschutzberatung und lesen Sie die offiziellen Quellen, bevor Sie auf Basis eines einzelnen Artikels — auch dieses — Compliance- oder Beschaffungsentscheidungen treffen.