Schweizer Kunden? Warum das revDSG für deutsche Geschäftsführer zur persönlichen Haftungsgefahr wird

Das revDSG kennt – genau wie die DSGVO – das sogenannte Marktortprinzip. Es kommt nicht darauf an, wo dein Unternehmen sitzt, sondern wo die betroffenen Personen ansässig sind. Sobald du Daten von Personen verarbeitest, die sich in der Schweiz befinden, bist du im Boot.

Typische Szenarien im deutschen Mittelstand und SaaS-Sektor sind:

• E-Commerce: Du betreibst einen Online-Shop und lieferst Waren an Kunden in der Schweiz (oft erkennbar an Preisen in CHF oder einer .ch-Domain).
• B2B-SaaS und Cloud-Dienste: Deine Software-Lösung wird von Schweizer Unternehmen oder deren Endnutzern verwendet.
• Digitales Marketing: Du trackst das Verhalten von Website-Besuchern aus der Schweiz zu Analyse- oder Werbezwecken.
• HR und Recruiting: Du beschäftigst Grenzgänger oder bearbeitest Bewerbungen von Personen mit Wohnsitz in der Schweiz.

Wichtig: Der Schutz des revDSG gilt für alle Personen mit Schweizer Aufenthaltsort – unabhängig von deren Staatsangehörigkeit.

In Deutschland und der EU ist man es gewohnt, dass Datenschutzverstöße das Unternehmen treffen. Zwar sind Millionenstrafen schmerzhaft für die Bilanz, sie bedrohen aber selten direkt das private Girokonto des Geschäftsführers.

In der Schweiz ist das anders. Das revDSG will absichtlich die Verantwortlichen disziplinieren.

• Die Geldstrafe von bis zu 250.000 CHF trifft dich als natürliche Person privat.
• Das Unternehmen darf diese Strafe in der Regel nicht für dich übernehmen (Regress- und Übernahmeverbote).
• Da es sich um eine strafrechtliche Sanktion handelt, droht im schlimmsten Fall ein Eintrag im Schweizer Strafregister.

Genauso wie im deutschen Strafrecht schützt dich hier auch kein „Unternehmensschild“. Wer die Entscheidungen trifft, steht im Fokus der Schweizer Ermittler.

Ein häufiges Missverständnis beruht auf dem Wortlaut des Gesetzes: Strafbar macht sich nach Art. 61 revDSG nur, wer vorsätzlich handelt. Viele Geschäftsführer wiegen sich daher in Sicherheit und denken: „Ich will ja niemanden schaden, also handele ich nicht vorsätzlich.“

Das ist eine gefährliche Fehlannahme. Im Strafrecht gibt es den Begriff des bedingten Vorsatzes (Eventualvorsatz). Dieser greift, wenn du eine Pflichtverletzung für möglich hältst und sie billigend in Kauf nimmst.

Wenn du im Jahr 2026 genau weißt, dass dein Unternehmen Schweizer Kunden bedient oder Daten aus der Schweiz verarbeitet, du aber aus Bequemlichkeit oder Kostengründen keine Compliance-Maßnahmen ergreifst, nimmst du den Gesetzesverstoß billigend in Kauf. Die Schweizer Behörden werten dieses systematische Ignorieren der Rechtslage als bedingten Vorsatz. Das Argument „Das haben wir nicht gewusst“ zählt nach über zwei Jahren revDSG-Praxis nicht mehr.

Wer bereits DSGVO-konform aufgestellt ist, hat etwa 80 % des Weges geschafft. Die verbleibenden 20 % entscheiden jedoch über die persönliche Haftung. Du musst folgende drei Unterschiede dringend prüfen und umsetzen:

1. Update der Informationspflichten (Datenschutzerklärung)

Das revDSG verlangt zwingend die Angabe aller Länder, in die Daten übermittelt werden (Drittstaatenübermittlung). Während die DSGVO hier oft mit pauschalen Formulierungen arbeitet, fordert die Schweiz Transparenz.

Deine Aufgabe: Ergänze deine Datenschutzerklärung um einen spezifischen Bereich für Schweizer Nutzer und liste die Empfängerländer lückenlos auf.

Tipp: Mit heyData erstellst und pflegst du deine Datenschutzerklärung - inklusive länderspezifischer Anpassungen für die Schweiz. Jetzt prüfen, ob deine Erklärung revDSG-konform ist.

2. Anpassung von Verträgen (AVV)

Ein Standard-Auftragsverarbeitungsvertrag (AVV) nach DSGVO reicht für Schweizer Kunden oder Dienstleister oft nicht aus. Das revDSG nutzt nicht nur eine eigene Terminologie („Auftragsbearbeiter“ statt „Auftragsverarbeiter“), sondern die Schweiz führt auch eine eigene, von der EU unabhängige Liste sicherer Drittstaaten.

Deine Aufgabe: Ergänze deine AVVs bei Schweizer Geschäftsbeziehungen um eine „Schweiz-Klausel“, die das revDSG und die Schweizer Exportregeln explizit einbezieht.

3. Prozesse für Betroffenenrechte und Datenpannen schärfen

Wenn ein Schweizer Kunde Auskunft über seine Daten verlangt (Art. 25 revDSG) und du diese verweigerst oder unvollständig erteilst, droht direkt die persönliche Strafbarkeit. Das Gleiche gilt bei der Verletzung der Meldepflicht von Datenpannen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Deine Aufgabe: Stelle sicher, dass dein Support- und Datenschutzteam Anfragen aus der Schweiz sofort erkennt und priorisiert. Eine Missachtung der Fristen ist kein Kavaliersdelikt.

Ein oft übersehener Punkt ist die Pflicht zur Benennung eines Vertreters in der Schweiz (Art. 14 revDSG). Das betrifft dich, wenn dein Unternehmen keinen Sitz in der Schweiz hat, aber:

• Umfangreich Daten von Personen in der Schweiz bearbeitet,
• die Bearbeitung ein hohes Risiko für die Persönlichkeit der Betroffenen birgt (z.B. durch Profiling oder die Verarbeitung sensibler Gesundheits- und Finanzdaten) und
• die Bearbeitung regelmäßig stattfindet.

Als Faustregel gilt: Reine Online-Shops im Standard-B2C-Geschäft brauchen selten einen Vertreter. Sobald du jedoch als SaaS-Anbieter sensible Unternehmens- und Nutzerdaten aus der Schweiz hostest oder intensives Tracking betreibst, wird der Schweizer Vertreter zur Pflicht. Es gibt mittlerweile spezialisierte Dienstleister, die diese Funktion kostengünstig als Schnittstelle zum EDÖB übernehmen.

Du möchtest wissen, wo dein Unternehmen beim revDSG gerade steht? Mit dem digitalen Audit von heyData findest du es schnell und einfach heraus. Buche deine kostenlose Erstberatung.

Das revidierte Schweizer Datenschutzgesetz ist kein zahnloser Tiger mehr. Im Jahr 2026 ist das revDSG für deutsche Geschäftsführer:innen zu einem realen, persönlichen Haftungsrisiko geworden. Wer den Schweizer Markt bedient, darf das Thema nicht länger auf die lange Bank schieben.

Die gute Nachricht ist: Das Risiko lässt sich mit überschaubarem Aufwand minimieren. Da die DSGVO-Basis in den meisten deutschen Unternehmen bereits steht, reichen gezielte Anpassungen der Datenschutzerklärung, der AVVs und der internen Prozesse für Auskunftsanfragen aus, um den Kopf aus der Schlinge zu ziehen. Wer jetzt handelt, schützt nicht nur das Unternehmen vor Reputationsschäden, sondern vor allem sich selbst vor empfindlichen privaten Geldstrafen.

Kann der Schweizer EDÖB mich in Deutschland überhaupt belangen?

Ja. Über internationale Rechtshilfeabkommen können Schweizer Strafbefehle auch in Deutschland vollstreckt werden. Zudem riskierst du bei einer ungelösten Strafsache in der Schweiz massive Probleme und im schlimmsten Fall eine Festnahme bei der nächsten Einreise oder dem nächsten Transitflug über Schweizer Boden.

Schützt mich mein Datenschutzbeauftragter vor der Haftung?

Nein. Ein Datenschutzbeauftragter (DSB) hat im Unternehmen eine beratende und überwachende Funktion. Die operative und rechtliche Verantwortung für die Einhaltung der Gesetze – und damit auch die strafrechtliche Komponente des revDSG – verbleibt immer bei den gesetzlichen Vertretern, also der Geschäftsführung.

Gilt das revDSG auch im reinen B2B-Geschäft?

Ja. Zwar wurde im revDSG der Schutz von juristischen Personen (Unternehmen) gestrichen, im B2B-Verkehr verarbeitest du aber unweigerlich Daten natürlicher Personen: E-Mail-Adressen von Ansprechpartnern, Telefonnummern von Einkäufern oder Log-in-Daten von Mitarbeitern deines Schweizer Kunden. Damit ist das Gesetz voll anwendbar.

Müssen wir für die Schweiz eine komplett separate IT-Infrastruktur aufbauen?

Nein. Die Schweiz erkennt das Datenschutzniveau der EU-Mitgliedstaaten als angemessen an. Du musst die Daten deiner Schweizer Kunden also nicht zwingend auf Schweizer Servern hosten, solange die vertraglichen Grundlagen und die Transparenz in der Datenschutzerklärung stimmen.