What is the revised Swiss FADP?

The revised Swiss Federal Act on Data Protection (FADP/nDSG), effective 1 September 2023, modernises Switzerland's data protection framework. It introduces mandatory DPIAs, a 72-hour breach notification duty to the FDPIC, stricter cross-border transfer rules (Art. 16–17), and a Record of Processing Activities obligation for controllers. The full text is published at fedlex.admin.ch.

How does the Swiss FADP differ from the EU GDPR?

Key differences include: the FADP protects only natural persons (not legal entities as under the old law), criminal sanctions target individuals rather than companies, there is no 'legitimate interest' legal basis — instead Swiss law uses 'overriding private or public interest', and the supervisory authority (FDPIC) has recommendation powers rather than direct fining authority. Both frameworks require ROPA, DPIAs, and breach notification.

Who must comply with the Swiss FADP?

All private persons and federal bodies that process personal data of individuals in Switzerland must comply. The FADP also applies extraterritorially to foreign companies whose data processing has effects in Switzerland, similar to the GDPR's extraterritorial scope under Art. 3.

What is a DPIA under the Swiss FADP?

A Data Protection Impact Assessment (DPIA) under Art. 22 FADP must be conducted when processing poses a high risk to the personality or fundamental rights of data subjects. It must describe the planned processing, assess necessity and proportionality, evaluate risks, and document mitigation measures. If residual high risk remains, the FDPIC must be consulted.

What are the breach notification requirements under the FADP?

Under Art. 24 FADP, controllers must notify the FDPIC as quickly as possible of data breaches that pose a high risk to data subjects. Affected individuals must also be informed when necessary for their protection. The FDPIC recommends notification within 72 hours, aligning with GDPR practice.

Does Priverion support both FADP and GDPR compliance?

Yes. Priverion maps processing activities to both the Swiss FADP and the EU GDPR simultaneously. ROPAs, DPIAs, privacy notices, and cross-border transfer documentation are generated with the correct legal bases and requirements for each framework.

Where is Priverion data hosted?

Priverion is hosted on Google Cloud Switzerland (Zurich region), not merely an EU region. The platform is ISO 27001 certified and governed by Swiss law, ensuring data residency within Switzerland.

What are the penalties for non-compliance with the Swiss FADP?

Under Art. 60–63 FADP, intentional violations — such as failing to provide required information, failing to cooperate with the FDPIC, or breaching professional secrecy — can result in fines of up to CHF 250,000. Unlike the GDPR, fines target responsible individuals, not the organisation itself.

Swiss-made revDSG-Compliance-Software, gehostet in der Schweiz Mit unserem Schweizer Team sprechen

Swiss-made für Schweizer Recht

revDSG-Compliance für Schweizer Konzerne — entwickelt von einem Schweizer Team, gehostet in der Schweiz

Aktualisiert 2026-06-22

Das Wichtigste in Kürze: Priverion ist eine in der Schweiz gehostete SaaS-Plattform, die alle sieben Bereiche der revDSG-Compliance automatisiert — Verarbeitungsverzeichnis, DSFA, Meldung von Datenschutzverletzungen, grenzüberschreitende Datentransfers und Lieferantenmanagement.

Das revDSG hat die Anforderungen deutlich verschärft — insbesondere rund um DSFA, grenzüberschreitende Datentransfers und die Meldung von Datenschutzverletzungen. Viele Schweizer Unternehmen sind noch in Verzug. Wenn Sie dazugehören, zeigen wir Ihnen, wie Sie die Lücken schliessen.

Mit unserem Schweizer Compliance-Team sprechen Noch nicht bereit?

Über 50 Datenschutzteams in 14 Ländern vertrauen darauf

Gesundheitswesen

Luftfahrt

Energie

Recht

Technologie

Anforderungen des revDSG

Alles, was Sie für die revDSG-Compliance brauchen

Priverion deckt alle 7 Bereiche des revDSG ab — mit schweizspezifischen Rechtsgrundlagen, EDÖB-tauglichen Berichten und integrierter Dokumentation grenzüberschreitender Datentransfers.

Aufzeichnungspflichten

Verarbeitungsverzeichnis

Unter dem revDSG muss jeder Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten führen (manchmal auch «Verarbeitungsverzeichnis» genannt), ähnlich dem Verarbeitungsverzeichnis der DSGVO. Dieses Verzeichnis bildet die Grundlage für Rechenschaftspflicht und Transparenz.

Das Verarbeitungsverzeichnis muss Folgendes dokumentieren:

Die Identität und Kontaktdaten des Verantwortlichen (und allfälliger gemeinsam Verantwortlicher)
Die Zwecke der Datenbearbeitung
Die Kategorien betroffener Personen und der bearbeiteten Personendaten
Die Kategorien von Empfängern, einschliesslich Datenübermittlungen ins Ausland
Die Aufbewahrungsfristen, sofern bekannt
Eine allgemeine Beschreibung der Datensicherheitsmassnahmen
Die Rechtfertigungsgrundlage (z. B. Einwilligung, überwiegendes privates/öffentliches Interesse, gesetzliche Pflicht)

Ergebnis: Halten Sie jede Verarbeitungstätigkeit dokumentiert und aktuell — mit automatisch abgedeckten schweizspezifischen Mindestinhalten.

Rechenschaftspflicht

Governance- und Rechenschaftsdokumente

Verantwortliche sollten eine Datenschutzrichtlinie führen, die Compliance-Grundsätze, Rollen und Verantwortlichkeiten festlegt.

Dieses Dokument belegt die Umsetzung des Rechenschaftsprinzips und definiert, wie der Datenschutz in den täglichen Betrieb integriert ist.

Ergänzende Schulungsnachweise, interne Audits und Datenschutz-Governance-Aufzeichnungen zeigen ein fortlaufendes Bewusstsein und eine kontinuierliche Aufsicht.

Ergebnis: Belegen Sie die revDSG-Rechenschaftspflicht mit Richtlinienverwaltung, Schulungsnachweisen und Audit-Trails — alles an einem Ort.

Datenschutzerklärungen

Transparenz- und Kommunikationsdokumente

Um die Informationspflichten zu erfüllen, müssen Verantwortliche klare Datenschutzerklärungen bereitstellen, die Folgendes beschreiben:

Identität des Verantwortlichen und Zwecke der Bearbeitung
Empfänger und Angaben zu Übermittlungen
Rechte der betroffenen Personen
Automatisierte Einzelentscheidungen, sofern zutreffend

Diese Erklärungen stellen sicher, dass betroffene Personen nachvollziehen und steuern können, wie ihre Daten verwendet werden.

Ergebnis: Erstellen Sie Datenschutzerklärungen, die zu Ihrem Verarbeitungsverzeichnis passen — stets aktuell, stets revDSG-konform.

DSFA-Anforderungen

Risiko- und Folgenabschätzungsdokumente

Für Verarbeitungstätigkeiten, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen darstellen, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

Ein DSFA-Register oder eine Dokumentationsdatei sollte Folgendes enthalten:

Beschreibung der Bearbeitung und der Risiken
Beurteilung von Erforderlichkeit und Verhältnismässigkeit
Massnahmen zur Risikominderung
Nachweis der Konsultation des EDÖB, falls erforderlich

Dies dient als Nachweis, dass Risiken bewertet und adressiert wurden.

Ergebnis: Erstellen Sie DSFA mit Nachverfolgung der EDÖB-Konsultation — in Stunden statt Wochen.

Erfahren Sie, wie Priverion die revDSG-Compliance für Ihre Organisation übernimmt

Mit unserem Schweizer Team sprechen

Drittparteienmanagement

Dokumente zum Auftragsverarbeiter- und Drittparteienmanagement

Verantwortliche sind dafür verantwortlich, dass Auftragsverarbeiter ausreichende Garantien für den Datenschutz bieten.

Ein Register der Auftragsverarbeiterverträge sollte Folgendes festhalten:

Identitäten und Zwecke der Auftragsverarbeiter
Wesentliche Vertragsklauseln zur Sicherstellung der Compliance
Allfällige grenzüberschreitende Unterauftragsverarbeiter

Dieses Register belegt die Sorgfaltspflicht und die Einhaltung der Verantwortlichkeiten zwischen Verantwortlichem und Auftragsverarbeiter.

Ergebnis: Vollständige Lieferantenkontrolle — jeder Auftragsverarbeitervertrag, Unterauftragsverarbeiter und jede grenzüberschreitende Vereinbarung nachverfolgt.

Meldung von Datenschutzverletzungen

Dokumente zum Sicherheits- und Vorfallsmanagement

Die Dokumentation der technischen und organisatorischen Massnahmen (TOM) liefert detaillierte Informationen zu Sicherheitsmassnahmen wie Zugriffsverwaltung, Verschlüsselung und Datensicherung.

Verantwortliche müssen ausserdem ein Register der Datenschutzverletzungen führen, um alle Verletzungen des Schutzes von Personendaten zu dokumentieren, einschliesslich:

Datum, Art und Umfang der Verletzung
Risikobeurteilung und ergriffene Gegenmassnahmen
Meldungen an den EDÖB und an betroffene Personen

Zusammen belegen diese die Einhaltung von Art. 8 (Datensicherheit) und Art. 24 (Meldung von Datenschutzverletzungen).

Ergebnis: Reaktion auf Datenschutzverletzungen von der Entdeckung bis zur Meldung an den EDÖB dokumentiert — die 72-Stunden-Frist wird automatisch gesteuert.

Datentransfers

Dokumentation grenzüberschreitender Datentransfers

Für Übermittlungen in Länder ohne angemessenen Schutz müssen Verantwortliche Folgendes dokumentieren:

Das Bestimmungsland und die verwendete rechtliche Garantie (z. B. Standardvertragsklauseln, Einwilligung, überwiegendes Interesse)
Die Transfer-Folgenabschätzung (TIA), falls Risiken bestehen

Diese Dokumentation unterstützt die Einhaltung von Art. 16–17 revDSG und belegt die Sorgfaltspflicht bei Übermittlungen.

Ergebnis: Die schweizspezifischen Angemessenheitsentscheide und TIA-Anforderungen werden abgedeckt — die Einhaltung von Art. 16–17 ist dokumentiert.

Warum eine Schweizer Plattform

Ihre Daten bleiben in der Schweiz. Ihr AVV untersteht Schweizer Recht.

Swiss

Gehostet auf Google Cloud Schweiz

Nicht «EU-Region» — tatsächlich in der Schweiz

75%

Weniger manuelle Pflege des Verarbeitungsverzeichnisses

Durchschnitt über alle Enterprise-Kunden

revDSG + DSGVO

Beide Rechtsrahmen in einer Plattform

Verarbeitungsverzeichnisse werden automatisch beiden Regelwerken zugeordnet

DSGVO-Compliance

ISO-27001-Compliance

Bereit, Ihr Datenschutzmanagement zu vereinfachen?

Sie sind in guter Gesellschaft. Priverion ersetzt verstreute Excel-Tabellen und manuelle Abläufe durch eine einheitliche, intelligente Plattform für Datenschutz und Informationssicherheit. Unser Team begleitet Sie vom ersten Tag an, damit die Einführung reibungslos verläuft und langfristig Erfolg bringt.

So funktioniert es

The Privacy Compliance Briefing

Monatliche Einblicke in Durchsetzungstrends der DSGVO, Aktualisierungen zum revDSG und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Mit dem Absenden dieses Formulars willigen Sie ein, dass wir Sie kontaktieren dürfen, um Ihnen Informationen zu unseren Produkten und Dienstleistungen bereitzustellen. Weitere Einzelheiten finden Sie in unserer Datenschutzerklärung.

Vielen Dank für Ihre Anmeldung zu unserem Newsletter. Wir freuen uns, Sie an Bord zu haben, und halten Sie über die neuesten Entwicklungen und Trends auf dem Laufenden.

Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.

▸ Über diese Seite — Quellen, Definitionen und häufige Fragen

Das Wichtigste in Kürze — revDSG-Compliance mit Priverion

Das revidierte Datenschutzgesetz (revDSG/nDSG), das seit dem 01.09.2023 in Kraft ist, verpflichtet Verantwortliche, ein Verarbeitungsverzeichnis zu führen, für risikoreiche Tätigkeiten DSFA durchzuführen, dem EDÖB schwerwiegende Verletzungen zu melden und grenzüberschreitende Datentransfers mit angemessenen Garantien zu dokumentieren. Priverion ist eine in der Schweiz gehostete SaaS-Plattform, die alle sieben Compliance-Bereiche automatisiert — Verarbeitungsverzeichnis, Governance, Datenschutzerklärungen, DSFA, Lieferantenmanagement, Meldung von Datenschutzverletzungen und grenzüberschreitende Datentransfers — unter dem revDSG und der DSGVO in einem einzigen Arbeitsbereich.

Was ist das revidierte Datenschutzgesetz (revDSG/nDSG)?

Das Schweizer Bundesgesetz über den Datenschutz (revDSG), auf Deutsch bekannt als Datenschutzgesetz (DSG), ist die zentrale Datenschutzvorschrift der Schweiz. Die vollständig revidierte Fassung trat am 01.09.2023 in Kraft und ersetzte das Gesetz von 1992. Sie richtet den Schweizer Datenschutz stärker an der DSGVO aus, behält jedoch schweizspezifische Merkmale bei, etwa die individuelle strafrechtliche Verantwortlichkeit und das beratende Durchsetzungsmodell des EDÖB. Der vollständige konsolidierte Text ist verfügbar unter fedlex.admin.ch.

Wie unterscheidet sich das revDSG von der DSGVO?

Während beide Rechtsrahmen Kernprinzipien teilen — Rechtmässigkeit, Zweckbindung, Datenminimierung und Rechenschaftspflicht — bestehen wesentliche Unterschiede. Das revDSG kennt keine Rechtsgrundlage des «berechtigten Interesses»; stattdessen erlaubt das Schweizer Recht die Bearbeitung gestützt auf ein «überwiegendes privates oder öffentliches Interesse» (Art. 31 revDSG). Strafrechtliche Bussen nach Art. 60–63 revDSG richten sich gegen verantwortliche Einzelpersonen (bis zu CHF 250'000), nicht gegen die Organisation. Der EDÖB erlässt Empfehlungen statt verbindliche Anordnungen mit direkten Bussen. Laut der IAPP ist dieses Modell der individuellen Haftung unter den grossen Datenschutzregimen weltweit einzigartig.

Wer muss das revDSG einhalten?

Alle privaten Personen und Bundesorgane, die Personendaten von Einzelpersonen in der Schweiz bearbeiten, müssen es einhalten. Das revDSG gilt extraterritorial: Ausländische Unternehmen, deren Bearbeitung sich in der Schweiz auswirkt, unterstehen ebenfalls dem Gesetz (Art. 3 Abs. 1 revDSG). Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) überwacht die Einhaltung und veröffentlicht Leitlinien für inländische und ausländische Verantwortliche.

Was ist eine DSFA unter dem revDSG?

Nach Art. 22 revDSG muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn eine geplante Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen mit sich bringt. Die Abschätzung muss die Bearbeitung beschreiben, Erforderlichkeit und Verhältnismässigkeit bewerten, Risiken identifizieren und Massnahmen zur Risikominderung dokumentieren. Verbleibt nach den Massnahmen ein hohes Restrisiko, muss der Verantwortliche vor der Durchführung den EDÖB konsultieren (Art. 23 revDSG). Die DSFA-Leitlinien des EDSA werden, obwohl EU-fokussiert, von Schweizer Fachleuten weithin als methodische Orientierung herangezogen (EDSA-Leitlinien 4/2017).

Welche Anforderungen gelten unter dem revDSG für die Meldung von Datenschutzverletzungen?

Art. 24 revDSG verpflichtet Verantwortliche, dem EDÖB Verletzungen des Schutzes von Personendaten, die ein hohes Risiko darstellen, «so rasch als möglich» zu melden. Der EDÖB empfiehlt eine Meldefrist von 72 Stunden, im Einklang mit der Praxis der DSGVO. Betroffene Personen müssen ebenfalls informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Ein dokumentiertes Register der Datenschutzverletzungen — mit Datum, Art, Umfang, Risikobeurteilung und Abhilfemassnahmen — ist ein wesentlicher Nachweis der Compliance.

Welche Sanktionen drohen bei Verstössen gegen das revDSG?

Vorsätzliche Verstösse gegen zentrale Pflichten — darunter die Verletzung der Informationspflicht (Art. 60), die Verweigerung der Mitwirkung gegenüber dem EDÖB (Art. 63) und die Verletzung der beruflichen Schweigepflicht (Art. 62) — können mit Bussen von bis zu CHF 250'000 gegen die verantwortliche Einzelperson geahndet werden. Laut einer Umfrage der IAPP aus dem Jahr 2024 gaben 68% der Schweizer Datenschutzfachleute an, dass das Modell der individuellen Haftung die Aufmerksamkeit auf Geschäftsleitungsebene für die Datenschutz-Compliance erhöht hat.

Wie automatisiert Priverion die revDSG-Compliance?

Priverion ordnet jede Verarbeitungstätigkeit gleichzeitig dem revDSG und der DSGVO zu. Die Plattform automatisiert das Verarbeitungsverzeichnis mit schweizspezifischen Mindestinhaltsfeldern, erstellt EDÖB-taugliche DSFA-Dokumentation, verfolgt Auftragsverarbeiterverträge und Unterauftragsverarbeiterketten, steuert die Fristen für die Meldung von Datenschutzverletzungen und dokumentiert grenzüberschreitende Datentransfers mit Transfer-Folgenabschätzungen (TIA) nach Art. 16–17 revDSG. Alle Daten werden auf Google Cloud Schweiz (Region Zürich) mit ISO-27001-Zertifizierung gehostet.

Statistiken und Kontext

Laut dem IAPP-EY Privacy Governance Report 2023 wendet eine durchschnittliche Organisation rund 54% ihres Datenschutzbudgets für operative Compliance-Aufgaben auf, etwa die Pflege des Verarbeitungsverzeichnisses, die Durchführung von DSFA und Lieferantenbewertungen. Eine Prognose von Gartner aus dem Jahr 2024 geht davon aus, dass bis 2026 60% der grossen Unternehmen automatisierte Plattformen für das Datenschutzmanagement einsetzen werden, gegenüber weniger als 15% im Jahr 2021. Der Tätigkeitsbericht 2023–2024 des EDÖB verzeichnete einen deutlichen Anstieg der Konsultationsanfragen nach Inkrafttreten des revDSG und unterstreicht damit die Compliance-Last für Schweizer Organisationen. Der Bericht zur Bedrohungslage 2023 der ENISA (ENISA) identifizierte Ransomware und Angriffe auf die Lieferkette als die grössten Bedrohungen für Personendaten und unterstreicht damit die Bedeutung robuster Prozesse für die Meldung von Datenschutzverletzungen und das Lieferantenmanagement.

revDSG vs. DSGVO — Vergleichstabelle

Aspekt	revDSG (nDSG)	DSGVO
Datum des Inkrafttretens	01.09.2023	25.05.2018
Geltungsbereich	Natürliche Personen in der Schweiz; extraterritorial	Natürliche Personen im EWR; extraterritorial
Aufsichtsbehörde	EDÖB (beratende Befugnisse / Empfehlungen)	Nationale Datenschutzbehörden (verbindliche Anordnungen, direkte Bussen)
Maximale Busse	CHF 250'000 (Einzelperson)	20 Mio. € oder 4% des weltweiten Umsatzes (Organisation)
Rechtsgrundlage für die Bearbeitung	Überwiegendes privates/öffentliches Interesse, Einwilligung, gesetzliche Pflicht	Berechtigtes Interesse, Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtiges Interesse, öffentliche Aufgabe
DSFA erforderlich	Ja (Art. 22 revDSG)	Ja (Art. 35 DSGVO)
Meldung von Datenschutzverletzungen	EDÖB, so rasch als möglich (72 Std. empfohlen)	Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO)
Anforderung an Datenschutzbeauftragten	Optional (Datenschutzberater)	In bestimmten Fällen zwingend (Art. 37 DSGVO)
Grenzüberschreitende Datentransfers	Art. 16–17 revDSG; Angemessenheitsliste des Bundesrates	Art. 44–49 DSGVO; Angemessenheitsbeschlüsse der EU-Kommission

Ihr vertrauenswürdiger Partner für einen intelligenteren, effizienteren Ansatz im Datenschutzmanagement.

Produkt

Priverion-Plattform Systemstatus

über uns

Über Priverion Karriere

Impressum Datenschutzerklärung Nutzungsbedingungen Rückerstattungsrichtlinie

OneTrust, TrustArc, Drata, Vanta, BigID, DataGuard, Kertos, Securiti und Sprinto sind Marken ihrer jeweiligen Inhaber. Die Priverion Solutions AG ist ein unabhängiges Schweizer Unternehmen und steht in keiner Verbindung zu diesen Unternehmen und wird von ihnen weder gesponsert noch unterstützt. Verweise auf diese Produkte erfolgen im Rahmen der Ausnahme für vergleichende Werbung (Schweizer UWG Art. 3 Abs. 1 lit. a, b, e; EU-Richtlinie 2006/114/EG Art. 4) und dienen ausschliesslich der Information potenzieller Kunden. Methodik und Quellen für vergleichende Aussagen werden auf jeder Seite offengelegt, die solche enthält; siehe auch unsere Richtlinie für vergleichende Werbung. Um eine bestimmte Aussage zu beanstanden, schreiben Sie an [email protected].