Wichtig compliance

revDSG (Schweizer Datenschutzgesetz)

Auch bekannt als: revidiertes DSG, Revised DSG, Schweizer Datenschutzgesetz 2023, DSG-CH

Aktualisiert 2026-05-07 · von Marco Biner

1. Kurzdefinition

Das revDSG (revidiertes Datenschutzgesetz) ist das seit 1. September 2023 gültige Schweizer Datenschutzgesetz. Es ersetzt das DSG von 1992 und harmonisiert mit der EU-DSGVO, ohne deckungsgleich zu sein. Für GEO-relevant: KI-Verarbeitung personenbezogener Daten, Datenexport-Regulierung und Privacy-Disclosure-Pflichten.

2. Ausführliche Erklärung

Das revDSG ist seit 1. September 2023 das geltende Schweizer Datenschutzgesetz und ersetzt das alte DSG von 1992. Die Revision war notwendig, weil die EU-DSGVO (General Data Protection Regulation) seit 2018 europäische Datenschutz-Standards setzt, denen die Schweiz angeglichen werden musste — insbesondere für Schweizer Unternehmen, die EU-Bürger als Kunden haben oder Daten in EU-Räume exportieren. Das revDSG ist nicht deckungsgleich mit der DSGVO, aber strukturell vergleichbar, mit einigen Schweizer Spezifika.

Vier zentrale Veränderungen vom alten DSG. Erstens erweiterte Informationspflichten: bei Datenerhebung müssen Unternehmen detailliert offenlegen, wofür Daten verwendet werden, an wen sie weitergegeben werden, ob sie ins Ausland exportiert werden. Zweitens Privacy-by-Design und Privacy-by-Default: datenschutzfreundliche Voreinstellungen sind Pflicht, nicht Option. Drittens Verzeichnis der Bearbeitungstätigkeiten: Unternehmen mit mehr als 250 Mitarbeitenden oder hohem Risiko-Profil müssen ein formelles Bearbeitungs-Verzeichnis führen. Viertens verschärfte Sanktionen: Bussen bis 250'000 CHF pro Verstoss, bei vorsätzlichen Verstössen bis 500'000 CHF — vor revDSG waren Sanktionen deutlich niedriger.

Für GEO-Setups bringt revDSG drei Anforderungen mit sich. Erstens Privacy-Disclosure-Pflicht: die Datenschutz-Erklärung muss explizit über KI-basierte Datenverarbeitung informieren — falls die Site KI-Tools wie Analytics, Personalisierung oder Chat-Bots einsetzt. Zweitens Cookie-Consent-Disziplin: Tracking-Cookies brauchen aktives Opt-in-Consent, nicht Opt-out. Generic Cookie-Banner ohne klare Pre-Selektion sind nicht revDSG-konform. Drittens Datenexport-Klarheit: wenn Daten zu KI-Anbietern in den USA fliessen (OpenAI, Anthropic, Google), muss das in der Datenschutz-Erklärung explizit genannt werden plus Begründung der Rechtsgrundlage.

Praktisch sollten Schweizer Sites 2026 drei Kern-Dokumente haben. Datenschutz-Erklärung (separater Page /datenschutz, nicht Teil von Impressum) mit revDSG-konformen Detail-Angaben. Cookie-Banner mit aktivem Opt-in pro Cookie-Kategorie, nicht generischem Accept-All. Verzeichnis der Bearbeitungstätigkeiten bei Unternehmen ab 250 Mitarbeitenden oder bei Hochrisiko-Datenverarbeitung. Wer diese drei Dokumente nicht in revDSG-Konformität pflegt, riskiert Bussen plus reputationsschäden.

Wichtig zur Abgrenzung: revDSG ist nicht DSGVO. Die EU-DSGVO gilt für Schweizer Unternehmen, die EU-Bürger als Kunden haben (etwa eCommerce-Sites, die in EU-Länder verkaufen). Reine Schweiz-fokussierte KMU müssen primär revDSG einhalten. Im Zweifel ist DSGVO-Compliance strenger und deckt revDSG mit ab. Wer nur Schweiz-Kunden hat, kann auf revDSG-fokussierte Pflege beschränken — deutlich weniger Aufwand als volle DSGVO-Compliance.

3. Praxisbeispiel

Beispiel revDSG-konforme Datenschutz-Sektion zu KI-Tools:

# Auszug aus /datenschutz

## 5. KI-basierte Datenverarbeitung

Wir setzen auf unserer Website folgende KI-Tools ein, die
personenbezogene Daten verarbeiten können:

1. **OpenAI ChatGPT-API** (Dienstleister: OpenAI L.L.C., USA)
   - Zweck: AI GEO-Berater im Pro-Plus-Plan
   - Verarbeitete Daten: Konversations-Inhalte, Site-URL
   - Datenexport: USA (Standardvertragsklauseln SCC abgeschlossen)
   - Rechtsgrundlage: Art. 31 revDSG (Vertragserfuellung)

2. **Anthropic Claude-API** (Dienstleister: Anthropic PBC, USA)
   - Zweck: SEAKT-Bewertung der Dimensionen E und K
   - Verarbeitete Daten: Site-Crawl-Inhalte
   - Datenexport: USA (SCC + DPA)
   - Rechtsgrundlage: Art. 31 revDSG

## 6. Ihre Rechte nach revDSG

Sie haben das Recht auf:
- Auskunft (Art. 25 revDSG)
- Berichtigung (Art. 32 Abs. 1 revDSG)
- Löschung (Art. 32 Abs. 2 revDSG)
- Datenuebertragbarkeit (Art. 28 revDSG)
- Widerspruch gegen Bearbeitung (Art. 30 revDSG)

Anfragen an: datenschutz@geoquality.ai

Diese Struktur ist revDSG-konform und gleichzeitig DSGVO-kompatibel — deckt beide Rechtsräume ab.

4. Typische Fehler & Missverständnisse

×Datenschutz-Erklärung von 2018 weiter nutzen — revDSG-Anforderungen seit 2023 sind detaillierter, alte Erklärungen sind nicht konform.
×KI-Tool-Einsatz nicht in Datenschutz offenlegen — Verstoss gegen Informationspflicht, Bussen-Risiko bis 250'000 CHF.
×Generic Cookie-Banner mit Accept-All-Default einsetzen — revDSG verlangt aktives Opt-in pro Cookie-Kategorie.
×Datenexport in USA nicht explizit nennen — Pflicht-Information, fehlende Disclosure ist Verstoss.
×revDSG und DSGVO vermischen — sind verwandt, aber nicht identisch; falsche Querverweise verwirren Kunden und sind rechtlich unklar.

5. Best Practices

✓Pflege separate /datenschutz-Seite (nicht im Impressum integriert) mit revDSG-konformen Detail-Angaben.
✓Liste alle KI-Tools, die personenbezogene Daten verarbeiten, explizit auf — inkl. Anbieter, Zweck, Datenexport.
✓Implementiere Cookie-Banner mit aktivem Opt-in pro Cookie-Kategorie statt Accept-All-Default.
✓Bei Datenexport in USA: Standardvertragsklauseln (SCC) abschliessen und in Datenschutz nennen.
✓Nimm einen externen Datenschutz-Berater oder Anwalt für die initiale revDSG-Konformitäts-Prüfung — Aufwand 4-8 Stunden, kostet typisch 800-2'000 CHF.
✓Halte Datenschutz-Erklärung jährlich aktuell — neue Tools, neue Anbieter, geänderte Datenströme.

6. Fakten

Das revDSG trat am 1. September 2023 in Kraft — etwa 5 Jahre nach der EU-DSGVO (25. Mai 2018).
Bussen nach revDSG können bis 250'000 CHF betragen, bei vorsätzlichen Verstössen bis 500'000 CHF — deutlich höher als unter dem alten DSG.
Im DACH-Raum 2026 haben schätzungsweise 25-35% aller KMU-Sites unvollständige oder veraltete revDSG-Datenschutz-Erklärungen — grosses Compliance-Risiko.
EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist die Aufsichtsbehörde für revDSG-Compliance — kann Bussen verhängen und Untersuchungen führen.
Schweizer Unternehmen, die EU-Bürger als Kunden haben, müssen sowohl revDSG als auch DSGVO einhalten — DSGVO ist meist strenger und deckt revDSG mit ab.
Die separate /datenschutz-Seite ist 2026 nicht nur revDSG-Pflicht, sondern auch Voraussetzung für Google OAuth-Branding-Verifikation.

Definition von Marco Biner · Certified GEO Expert

Marco Biner — Founder geoquality.ai, Certified GEO Expert

revDSG ist 2026 für Schweizer KMU eine reale Pflicht, die viele unterschätzen. Bei Klienten thematisiere ich es in der ersten Beratungsstunde: 'Habt ihr seit 2023 die Datenschutz-Erklärung aktualisiert? Habt ihr KI-Tool-Einsatz dokumentiert?'. In etwa 60 Prozent der Fälle ist die Antwort: nein. Das ist Compliance-Risiko mit konkreten Bussen-Betraegen — bis 250'000 CHF pro Verstoss. Mein Standard-Tipp: revDSG-Compliance ist kein GEO-Hebel im engeren Sinn, aber Pflicht-Foundation. Eine Site, die Datenschutz-Verstoesse hat, kann nicht nachhaltig auf Authority und Citation-Rate optimiert werden — das rechtliche Risiko unterminiert das ganze GEO-Setup.

GEO Importance Rank

Wie wichtig ist dieser Begriff für Generative Engine Optimization?

55 /100

Wichtig Range 50–69

FAQs

Was ist der Unterschied zwischen revDSG und DSGVO?

revDSG ist das Schweizer Datenschutzgesetz seit 2023; DSGVO ist die EU-Verordnung seit 2018. Beide sind strukturell ähnlich, aber nicht identisch. Schweizer Unternehmen ohne EU-Kunden müssen primär revDSG einhalten. Schweizer Unternehmen mit EU-Kunden müssen beide einhalten — DSGVO ist meist strenger und deckt revDSG mit ab.

Wann gilt revDSG für meine Site?

Sobald die Site personenbezogene Daten von Schweizer Personen verarbeitet — was praktisch jede Site mit Kontaktformular, Newsletter, Login oder Cookies tut. Auch reine Marketing-Sites mit Google Analytics fallen typisch unter revDSG-Pflicht. Ausnahmen sind nur reine Statik-Sites ohne jegliche Datenerhebung.

Welche KI-Tools muss ich in der Datenschutz-Erklärung nennen?

Alle KI-Tools, die personenbezogene Daten verarbeiten — typisch: ChatGPT-API, Claude-API, Google Analytics mit AI-Insights, Personalisierungs-Engines, Chat-Bots. Pro Tool nennen: Anbieter, Zweck, verarbeitete Daten, Datenexport-Land, Rechtsgrundlage.

Wie hoch sind die Bussen bei revDSG-Verstössen?

Bis 250'000 CHF pro Verstoss, bei vorsätzlichen Verstössen bis 500'000 CHF. Höher als unter dem alten DSG. EDÖB als Aufsichtsbehörde kann Bussen verhängen und Untersuchungen führen. Im KMU-Bereich sind Bussen-Risiken konkret und nicht zu vernachlässigen.

Brauche ich einen Datenschutz-Beauftragten?

Nicht zwingend für KMU unter 250 Mitarbeitenden. Pflicht-Bestellung gilt nur für grosse Unternehmen oder bei Hochrisiko-Datenverarbeitung. Empfehlung: für KMU ist ein externer Datenschutz-Berater (etwa für initiale Konformitäts-Prüfung) sinnvoll — Aufwand 4-8 Stunden, kostet 800-2'000 CHF.

Wirkt revDSG-Compliance auf GEO?

Indirekt ja. Vollständige Datenschutz-Erklärung ist Trust-Signal-Foundation und Voraussetzung für Google OAuth-Branding-Verifikation. Sites mit unvollständiger revDSG-Compliance werden zwar nicht direkt von KI-Citations ausgeschlossen, aber sie schwächen ihr Trust-Profil und reputieren als unprofessionell — was indirekt Citation-Rate reduziert.

Eigene AI-Sichtbarkeit messen

Kostenlose SEAKT-Analyse für jede Website — Score in unter 2 Minuten.

Jetzt analysieren →