DSGVO

DSGVO-Compliance für Schweizer KMU: Wann gilt die EU-Verordnung und was muss ich tun?

ComplianceCore Redaktion·Veröffentlicht: 28. April 2026·7 Min. Lesezeit

Die DSGVO gilt für Schweizer Unternehmen nicht automatisch — aber in drei klar definierten Situationen sehr wohl: EU-Niederlassung, aktives Anbieten an EU-Personen oder Beobachten von EU-Verhalten (Tracking). Wer darunter fällt, muss neben dem revDSG ein zweites, oft strengeres Regelwerk einhalten — mit Bussen bis 4% des weltweiten Jahresumsatzes oder EUR 20 Mio.

Szenarien, die DSGVO auslösen

Max. Busse vom Jahresumsatz (DSGVO)

72 h

Meldepflicht bei Datenpannen (DSGVO)

Die drei Szenarien — wann gilt die DSGVO?

Szenario 1: Niederlassung in der EU (Art. 3 Abs. 1 DSGVO)

Hat Ihr Unternehmen eine Filiale, Tochtergesellschaft, Vertriebsbüro oder auch nur einen stabilen Mitarbeitenden in einem EU-Land? Dann gilt die DSGVO für alle Datenverarbeitungen im Zusammenhang mit dieser Niederlassung — auch wenn die Verarbeitung selbst in der Schweiz stattfindet.

Beispiel: Zürcher Maschinenbauer mit Verkaufsbüro in München. Alle Kundendaten über dieses Büro → DSGVO gilt.

Szenario 2: Aktives Anbieten an EU-Personen (Art. 3 Abs. 2 lit. a DSGVO)

Bieten Sie aktiv Waren oder Dienstleistungen an Personen in der EU an — auch kostenlose? Indizien für aktives Anbieten:

Website in EU-Landessprachen (Niederländisch, Polnisch etc.)
Preisangaben in Euro
Werbung in EU-Medien (Google Ads, Meta auf DE/AT/FR)
Erwähnung von EU-Märkten oder -Kunden auf der Website

Genügt nicht: Mehrsprachige Website ohne gezieltes EU-Marketing.

Szenario 3: Verhalten von EU-Personen beobachten (Art. 3 Abs. 2 lit. b DSGVO)

Tracken Sie das Verhalten von Personen in der EU — z.B. durch Google Analytics, Remarketing-Pixel (Meta, Google), App-Verhaltensanalysen oder Profiling von EU-Interessenten im CRM?

⚠️

Praktisch jede Schweizer Website mit EU-Besuchern und aktivem Tracking löst Szenario 3 aus. Cookie-Consent ist für EU-Nutzer kein «Nice-to-have» — es ist DSGVO-Pflicht.

Was müssen Schweizer KMU bei DSGVO-Pflicht tun?

1. EU-Vertreter benennen (Art. 27 DSGVO)

Schweizer Unternehmen ohne EU-Niederlassung müssen einen EU-Vertreter in einem EU-Mitgliedstaat benennen. Kosten ab EUR 350/Jahr. Ausnahme (greift selten): nur gelegentliche Verarbeitung, keine sensiblen Daten, kein hohes Risiko.

2. DSGVO-Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)

Die DSGVO kennt — anders als das revDSG — einen Erlaubnisvorbehalt: Jede Verarbeitungshandlung braucht eine ausdrückliche Rechtsgrundlage (Vertrag, berechtigtes Interesse, Einwilligung etc.). Das VVT muss entsprechend um DSGVO-Spalten ergänzt werden.

3. Cookie-Consent (strengere EU-Anforderungen)

Die DSGVO verlangt für nicht-essentielle Cookies ein aktives Opt-in. Das revDSG kennt diese Pflicht nicht. Für EU-Nutzer Ihrer Website: Consent-Tool implementieren.

4. Datenpannen-Meldung: 72-Stunden-Frist

Bei Datenpannen mit EU-Bezug: Meldung an die EU-Aufsichtsbehörde innerhalb 72 Stunden — unabhängig vom Risikoniveau (Ausnahme: nachgewiesenermassen kein Risiko). Das revDSG kennt keine feste Frist und setzt die Schwelle höher (hohes Risiko).

Synergien: revDSG und DSGVO gemeinsam umsetzen

Anforderung	revDSG	DSGVO
VVT führen	Pflicht (Art. 12)	Pflicht (Art. 30)
Informationspflicht / DSE	Pflicht (Art. 19–21)	Pflicht (Art. 13–14)
Datensicherheit	Pflicht (Art. 8)	Pflicht (Art. 32)
Datenpanne melden	«Baldmöglichst», hohes Risiko	72h, ab jedem Risiko
Cookie-Consent	Empfohlen, nicht Pflicht	Opt-in Pflicht
DPO / Berater	Freiwillig	Pflicht unter Bedingungen
Rechtsgrundlage je Verarbeitung	Erlaubnisgrundsatz	Verbot mit Erlaubnisvorbehalt

ℹ️

Fazit: Ein gut aufgesetztes Datenschutzmanagementsystem, das beide Regelwerke berücksichtigt, schützt Schweizer Unternehmen umfassend — und liefert die Grundlage für Grosskunden-Due-Diligence in beiden Rechtsräumen.

Checkliste: Bin ich DSGVO-pflichtig?

Niederlassung prüfen

Hat unser Unternehmen eine Filiale, Tochtergesellschaft oder einen Mitarbeitenden in einem EU-Staat? → DSGVO gilt.

Aktives Anbieten prüfen

Bieten wir Produkte/DL aktiv an EU-Personen an (EU-Sprachen, EUR-Preise, EU-Werbung)? → DSGVO gilt.

Tracking prüfen

Beobachten wir das Verhalten von EU-Personen (Analytics, Remarketing, Profiling)? → DSGVO gilt.

EU-Vertreter

Wenn DSGVO gilt: EU-Vertreter in einem EU-Mitgliedstaat bestellt?

DSGVO-Rechtsgrundlagen

Wenn DSGVO gilt: DSGVO-Rechtsgrundlagen für jede Verarbeitung im VVT dokumentiert?

Cookie-Consent

Wenn DSGVO gilt: Cookie-Consent-Tool für EU-Nutzer implementiert?

72h-Frist

Wenn DSGVO gilt: 72-Stunden-Meldefrist für Datenpannen im Incident-Prozess verankert?

Häufige Fragen

Gilt die DSGVO auch, wenn wir nur gelegentlich an EU-Kunden verkaufen?+

Entscheidend ist, ob das Anbieten aktiv an EU-Personen gerichtet ist. Ein gelegentlicher EU-Kauf über eine Schweizer Website ohne aktives EU-Marketing genügt nach herrschender Meinung nicht für die DSGVO-Anwendbarkeit. Sobald Sie gezielt EU-Märkte adressieren (Google Ads auf Deutschland, EUR-Preise), gilt die DSGVO.

Welche EU-Aufsichtsbehörde ist für mein Schweizer Unternehmen zuständig?+

Ohne EU-Niederlassung richtet sich die Zuständigkeit nach dem Wohnsitzort der betroffenen Personen — in der Praxis nach dem EU-Land, in dem die meisten Ihrer EU-Kunden wohnen. Der EU-Vertreter kann bei der Bestimmung der zuständigen Behörde helfen.

Schützt der Angemessenheitsbeschluss der EU für die Schweiz vor DSGVO-Pflichten?+

Nein. Der Angemessenheitsbeschluss erleichtert nur den Datentransfer von der EU in die Schweiz. Er befreit Schweizer Unternehmen nicht von der DSGVO, wenn diese durch das Marktortprinzip anwendbar ist.

Wer vollzieht DSGVO-Bussen gegenüber Schweizer Unternehmen?+

Zuständig sind die nationalen EU-Datenschutzbehörden. Vollstreckung bei Unternehmen ohne EU-Niederlassung ist komplex, aber nicht unmöglich. Das Clearview-AI-Beispiel (EUR 20 Mio. gegen ein US-Unternehmen ohne EU-Niederlassung) zeigt, dass EU-Behörden auch Drittstaatenunternehmen sanktionieren.

Lohnt sich DSGVO-Compliance, wenn ich nur wenige EU-Kunden habe?+

Ja — insbesondere bei B2B-Kunden in der EU. Grosse EU-Unternehmenskunden verlangen routinemässig DSGVO-konforme AVV-Verträge. Ohne diese können Aufträge verloren gehen. Die Compliance-Investition ist meist kleiner als der Opportunity-Cost eines verlorenen EU-Kundenauftrags.

CH + EU Compliance in einem System

ComplianceCore ist für die Schweizer Doppelexposition gebaut: VVT mit revDSG- und DSGVO-Feldern, Incident-Workflows für beide Meldefristen, AVV-Tracker für CH- und EU-Anforderungen.

Jetzt Beta-Zugang sichern →

Diese Inhalte dienen zu Informationszwecken und stellen keine Rechtsberatung dar.