16. April 2026

revDSG

Revidiertes Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023.

Das revidierte Datenschutzgesetz bringt die Schweiz auf DSGVO-Niveau — mit eigenen Akzenten. Für Unternehmen, die mobile Geräte mit personenbezogenen Daten einsetzen, heisst das: Dokumentationspflichten, AVV-Pflicht, Meldepflicht, Privacy by Design.

Was am revDSG neu ist

  • Klare Informationspflichten bei jeder Datenerhebung — betroffene Personen müssen wissen, was wann warum verarbeitet wird.
  • Pflicht zum Auftragsverarbeitungsvertrag (AVV) mit jedem externen Dienstleister, der Daten verarbeitet.
  • Meldepflicht bei Datenverletzungen an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).
  • Erweiterte Dokumentationspflicht: Verzeichnis der Bearbeitungstätigkeiten (VVT).
  • Privacy by Design und Privacy by Default als verbindliche Anforderungen.
  • Strengere Anforderungen an die Datenübermittlung ins Ausland — Angemessenheitsbeschluss oder Standardvertragsklauseln.

Was revDSG für mobile Flotten bedeutet

Konkret für Organisationen mit einer Geräteflotte: Der MDM-Anbieter ist ein Auftragsverarbeiter und braucht einen AVV. Die Datenhaltung sollte idealerweise in der Schweiz erfolgen — das senkt den Aufwand für Standardvertragsklauseln. Der Rückgabeprozess muss eine zertifizierte Datenlöschung dokumentieren (NIST 800-88). Und: jeder Datenvorfall muss erkennbar und meldbar sein — das setzt saubere MDM-Logs voraus.

revDSG und Sektoren

Besonders strenge Anforderungen gelten in der Gesundheitsbranche (besonders schützenswerte Personendaten), im Finanzsektor und in der öffentlichen Hand. Dort ist revDSG-Konformität nicht Option, sondern Minimalanforderung für den regulären Betrieb.

Umsetzung in der Praxis

Unser Ratgeber MDM-Auswahl für Spitex zeigt die revDSG-Anforderungen im Pflegekontext konkret auf. Für die öffentliche Hand siehe Beschaffung für die öffentliche Hand. Die Branche Gesundheitswesen fasst die regulatorischen Besonderheiten zusammen.

Häufige Fehler

  • AVV nicht geprüft oder unvollständig — Haftungsrisiko bei Datenverlust.
  • VVT als Einmal-Dokument behandelt, statt laufend aktualisiert.
  • Meldeweg für Datenverletzungen nicht definiert — im Ernstfall verstreichen die Meldefristen.
  • Rückgabe ohne Löschprotokoll: Geräte gehen in den Zweitmarkt, Daten bleiben potenziell erreichbar.

Aus unseren Projekten

Ein Jahr nach Inkrafttreten des revDSG beobachten wir, dass die meisten Schweizer KMU die technischen Anforderungen erfüllen — aber bei der Dokumentation Schwächen haben. Das VVT existiert, ist aber nicht aktuell; der AVV liegt unterzeichnet vor, wurde aber nicht geprüft; der Meldeprozess für Datenvorfälle ist bekannt, aber nie geübt. Eine jährliche Compliance-Übung mit Datenschutzverantwortlichem — inklusive Rollen-Simulation bei einem Datenvorfall — schliesst diese Lücken effizienter als neue Policy-Dokumente. Der grösste Gewinn liegt nicht im zusätzlichen Papier, sondern in einem klar geübten Reflex im Ernstfall.

Weiterlesen

Verwandte Begriffe: AVV, NIST 800-88, Rückkauf. Persönliche Einordnung: Strategiegespräch.