Schweizer Datenschutz: FDPIC geht gegen Verstöße vor – bis 250.000 Franken Strafe

Der Bundesdatenschutz- und Öffentlichkeitsbeauftragte (FDPIC) hat seine Strukturen nach Inkrafttreten des revidierten Schweizer Datenschutzgesetzes (revDSG) am 1. September 2023 grundlegend umgebaut. Der aktuelle Jahresbericht für den Zeitraum 2024/2025, veröffentlicht im Juli 2025, bestätigt einen Personalaufwuchs von 30 Prozent in den Bereichen Überwachung und Durchsetzung. Diese personelle Verstärkung erlaubt es der Behörde nun, sich von der bisherigen Beratungs- und Aufklärungsarbeit zu lösen.

Ermittlungen und Verfahren nehmen Fahrt auf

Anzeige: Der FDPIC leitet immer mehr Aufsichtsverfahren ein – und Geschäftsführer haften persönlich mit bis zu 250.000 Franken. Unser Report zeigt, welche fünf Verstöße am häufigsten vorkommen und wie Sie sie vermeiden. Jetzt kostenlosen Report anfordern

Die Aufsichtsbehörde nutzt zunehmend ihre erweiterten Befugnisse nach Artikel 49ff. des revDSG, um formelle Aufsichtsverfahren einzuleiten. Diese Untersuchungen dienen der Klärung der Verwaltungspraxis und sollen erstinstanzliche Entscheidungen zu umstrittenen Datenverarbeitungsaktivitäten herbeiführen. Während die ersten Schritte dem Aufbau des rechtlichen Rahmens galten, liegt der Fokus nun auf der Überprüfung der Einhaltung von Vorschriften bei grenzüberschreitenden Datentransfers und risikoreichen Profiling-Aktivitäten.

Persönliche Haftung: Manager in der Verantwortung

Ein Alleinstellungsmerkmal des Schweizer Datenschutzrechts im internationalen Vergleich ist die individuelle strafrechtliche Verantwortlichkeit. Bei vorsätzlichen Verstößen gegen das revDSG drohen natürlichen Personen – Geschäftsführern, Vorstandsmitgliedern oder Datenschutzbeauftragten – persönliche Geldstrafen von bis zu 250.000 Schweizer Franken. Das Unternehmen selbst haftet nur dann direkt, wenn die Strafe 50.000 Franken oder weniger beträgt und die Identifizierung der verantwortlichen Person im Unternehmen unverhältnismäßigen Aufwand erfordern würde.

Aktuelle rechtliche Analysen aus dem Frühjahr 2026 zeigen, dass diese Sanktionen durch mehrere spezifische Pflichtverletzungen ausgelöst werden können:

• Falsche oder unvollständige Angaben bei der Datenerhebung
• Mangelnde Kooperation mit Ermittlungen des FDPIC
• Missachtung der Mindestanforderungen an die Datensicherheit
• Übermittlung personenbezogener Daten ins Ausland ohne ausreichende Schutzmaßnahmen

Erleichterungen für KMU – mit wichtigen Ausnahmen

Das revDSG gilt grundsätzlich für alle Unternehmen, die personenbezogene Daten von natürlichen Personen in der Schweiz verarbeiten. Allerdings gibt es administrative Erleichterungen für kleinere Organisationen. Betriebe mit weniger als 250 Mitarbeitern sind in der Regel von der Pflicht zur Führung eines Verarbeitungsverzeichnisses (ROPA) befreit – vorausgesetzt, ihre Datenverarbeitung birgt nur geringe Risiken für die Persönlichkeit oder die Grundrechte der Betroffenen.

Doch viele KMU kommen um eine Dokumentation nicht herum. Sobald ein Unternehmen sensible Daten verarbeitet – seit 2023 zählen dazu auch genetische und biometrische Informationen – oder ein risikoreiches Profiling durchführt, greift die Ausnahme nicht mehr. Zudem müssen alle Organisationen die Grundsätze des „Datenschutzes durch Technik" und „datenschutzfreundlicher Voreinstellungen" beachten. Das bedeutet: Technische und organisatorische Maßnahmen sind bereits in der frühesten Planungsphase jedes Datenverarbeitungsprojekts zu integrieren.

Internationale Datentransfers: Neue Regelungen stabilisieren die Lage

Die Rahmenbedingungen für internationale Datenflüsse haben sich nach mehreren wichtigen Aktualisierungen in den Jahren 2024 und 2025 stabilisiert. Seit dem 15. September 2024 ist das Swiss-US Data Privacy Framework (Swiss-US DPF) in Kraft. Es erlaubt Schweizer Unternehmen, personenbezogene Daten an zertifizierte Organisationen in den USA zu übermitteln – ohne zusätzliche vertragliche Sicherungen.

Anzeige: Auch wenn Ihr KMU weniger als 250 Mitarbeiter hat: Sobald Sie sensible Daten verarbeiten, greift die ROPA-Pflicht. Unser Leitfaden prüft Schritt für Schritt, ob Sie dokumentationspflichtig sind – und wie Sie sich absichern. ROPA-Prüfleitfaden jetzt sichern

Der FDPIC hat zudem die Anforderungen an die digitale Transparenz konkretisiert. Neue Richtlinien zu Cookies und Tracking-Technologien wurden am 3. Februar 2025 veröffentlicht und im Herbst 2025 aktualisiert. Sie betonen die Notwendigkeit einer klaren, verständlichen Sprache in Datenschutzerklärungen und enthalten konkrete Beispiele für rechtskonforme Einwilligungsmechanismen.

Meldepflicht bei Datenschutzverletzungen bleibt zentral

Die Meldung von Datenschutzverstößen hat weiterhin hohe Priorität. Im Geschäftsjahr 2024/2025 verzeichnete der FDPIC 363 gemeldete Datensicherheitsverletzungen. Anders als in einigen Nachbarländern mit einer festen 72-Stunden-Frist verlangt das Schweizer Recht eine Meldung an die Aufsichtsbehörde „so schnell wie möglich" – immer dann, wenn eine Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt.

de | wirtschaft | 69456516 |