Swiss Room · Leitfaden 7 von 15
EU & SCHWEIZ
Was dieser Leitfaden Ihnen gibt
Praxisleitfaden für Schweizer KMU und EU-Unternehmen
Dual Compliance · GDPR & revDSG · Regulierungslandkarte · Typische Fehler
Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.
Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.
Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.
Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.
Dieser Leitfaden hat zwei Zielgruppen: Schweizer KMU, die in der EU aktiv sind, und EU-Unternehmen, die in der Schweiz Fuss fassen. Beide sehen sich mit einem doppelten Regulierungsumfeld konfrontiert – und beide machen systematisch dieselben Fehler.
Der wichtigste Fehler: Wer in beiden Märkten aktiv ist, behandelt die Regulierungsanforderungen als zwei separate Compliance-Projekte. Das verdoppelt den Aufwand. Die Realität ist, dass GDPR und revDSG, AI Act und eine mögliche Schweizer KI-Regulierung, NIS2 und ISG erhebliche Überschneidungen haben. Wer diese Überschneidungen kennt, spart signifikant Zeit und Geld.
Überblick über die zentralen Regulierungsrahmen für digitale Dienste – wer unter welchem Regime steht und was der praktische Unterschied ist.
| Regime | Gilt für | CH-Relevanz | Kernunterschiede |
|---|---|---|---|
| GDPR | EU-Unternehmen + alle, die EU-Bürger-Daten verarbeiten | Ja, extraterritorial | One-Stop-Shop über Lead-Behörde; höhere Bussgelder |
| revDSG | Schweizer Unternehmen + alle, die CH-Bürger-Daten verarbeiten | Direkt anwendbar | Kein One-Stop-Shop; CH-Vertreter erforderlich |
| AI Act | EU-Unternehmen + Nicht-EU mit EU-Marktzugang | Ja, Brussels Effect | Risikobasiert; Provider/Deployer-Unterscheidung |
| NIS2 | EU-Unternehmen in kritischen Sektoren | Indirekt via Lieferkette | Direkte Meldepflichten für EU-Entitäten |
| DORA | EU-Finanzunternehmen | Indirekt via Lieferkette | Finanzsektor-spezifisch; ICT-Drittanbieter im Fokus |
| Data Act | Hersteller vernetzter Produkte + Cloud in EU | Ja, bei EU-Marktzugang | Datenwirtschaft; Zugangspflichten |
| ISG (CH) | Betreiber kritischer Infrastrukturen in CH | Direkt anwendbar | Meldepflichten an BACS; sektorale Regeln |
| FINMA-Rundschreiben | Beaufsichtigte Finanzinstitute in CH | Direkt anwendbar | IKT, Outsourcing, operationelle Risiken |
| Situation | EU-Recht gilt? | Schweizer Recht gilt? |
|---|---|---|
| Schweizer Unternehmen, nur in CH tätig | Nein – außer Daten von EU-Bürgern verarbeitet werden | Ja, vollständig |
| Schweizer Unternehmen mit EU-Kunden oder EU-Markt | Ja – extraterritorial (GDPR, AI Act, Data Act) | Ja, vollständig |
| Schweizer Unternehmen als EU-Lieferant (ohne EU-Niederlassung) | Indirekt via Vertragsanforderungen der EU-Kunden | Ja, vollständig |
| EU-Unternehmen, nur in EU tätig, keine CH-Daten | Ja, vollständig | Nein – außer CH-Bürger-Daten verarbeitet |
| EU-Unternehmen mit Schweizer Kunden oder CH-Markt | Ja, vollständig | Ja – extraterritorial (revDSG) |
Dieser Abschnitt richtet sich an Schweizer KMU, die EU-Kunden haben, EU-Märkte bedienen oder Teil europäischer Lieferketten sind.
GDPR gilt extraterritorial. Wenn Sie Daten von EU-Bürgern verarbeiten – Kundendaten, Mitarbeiterdaten, Websitebesucher – gilt GDPR unabhängig von Ihrem Unternehmenssitz.
| GDPR-Anforderung | Was das konkret bedeutet | Unterschied zu revDSG |
|---|---|---|
| Rechtsgrundlage für Verarbeitung | Einwilligung, Vertrag, berechtigtes Interesse – explizit dokumentiert | revDSG: ähnlich, aber leicht andere Definitionen |
| EU-Vertreter ernennen | Wenn kein EU-Sitz: schriftlich benannter Vertreter in der EU | revDSG: CH-Vertreter für ausländische Unternehmen |
| DPIA (Datenschutz-Folgenabschätzung) | Für Hochrisiko-Verarbeitungen pflicht | revDSG: ähnliche Pflicht, aber schwellenwertbasiert |
| Meldepflicht bei Datenpannen | 72 Stunden an Lead-Behörde; Betroffene informieren | revDSG: ohne strikte Frist, aber unverzüglich |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Portabilität | revDSG: vergleichbar, aber unterschiedliche Formulierungen |
Nicht jedes EU-Gesetz gilt für jedes Schweizer Unternehmen. Hier ist die Entscheidungsmatrix:
| EU-Regulierung | Gilt für Sie wenn... | Sofortmaßnahme |
|---|---|---|
| GDPR | Sie Daten von EU-Bürgern verarbeiten | EU-Vertreter, Privacy Policy, Verarbeitungsverzeichnis |
| AI Act | Sie KI entwickeln/betreiben mit EU-Marktbezug | Use-Case-Klassifizierung, Rollenzuordnung |
| NIS2 | Ihre EU-Kunden NIS2-pflichtig sind und Sie kritischer Lieferant sind | Sicherheitsnachweise, Incident-Response |
| DORA | Ihre EU-Kunden Finanzunternehmen sind und Sie ICT-Leistungen liefern | BCM/DR, Incident-Reporting, Auditfähigkeit |
| Data Act | Sie vernetzte Produkte herstellen oder Cloud-Dienste in der EU anbieten | Datenzugangs-API, Vertragsanpassung |
| DSA/DMA | Sie eine große Online-Plattform oder Gatekeeper sind | Selten relevant für KMU |
Mehrere EU-Regime verlangen, dass Nicht-EU-Unternehmen einen formalen Vertreter in der EU benennen. Das ist kein bürokratisches Detail – es ist der Ansprechpartner für Behörden und Betroffene.
GDPR Art. 27: Wenn Sie systematisch Daten von EU-Bürgern verarbeiten ohne EU-Niederlassung. Vertreter muss in einem EU-Mitgliedstaat ansässig sein.
AI Act: Für Nicht-EU-Provider, die High-Risk-KI in der EU in Verkehr bringen. EU-Bevollmächtigter erforderlich.
NIS2: Gilt direkt nur für EU-Unternehmen – aber de facto können EU-Kunden verlangen, dass Sie einen Ansprechpartner benennen.
Das ist die zentrale Effizienzfrage: Wie bauen Sie eine Datenschutzorganisation, die beide Regime gleichzeitig abdeckt?
| Element | GDPR-Anforderung | revDSG-Abweichung |
|---|---|---|
| Rechtsgrundlagenprüfung | Explizite Rechtsgrundlage für jede Verarbeitung | Vergleichbar; 'überwiegendes Interesse' statt 'berechtigtes Interesse' |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Portabilität, Widerspruch | Vergleichbar; kein One-Stop-Shop in CH |
| Datenpannen-Meldung | 72h an Lead-Behörde (meist CNIL, BfDI etc.) | An EDÖB, keine strikte Frist aber unverzüglich |
| DPIA/Datenschutz-Folgenabschätzung | Pflicht bei Hochrisiko | Pflicht bei Hochrisiko (ähnliche Kriterien) |
| Verarbeitungsverzeichnis | Pflicht ab 250 Mitarbeitende (mit Ausnahmen) | Pflicht ohne Mindestgrösse |
| Vertreter | EU-Vertreter wenn kein EU-Sitz | CH-Vertreter wenn kein CH-Sitz |
| Sanktionen | Bis 4% Weltumsatz oder 20 Mio. EUR | Bis CHF 250'000 persönlich für Verantwortliche |
Dieser Abschnitt richtet sich an EU-Unternehmen, die Schweizer Kunden haben, Schweizer Daten verarbeiten oder in der Schweiz Dienstleistungen anbieten.
Das revidierte Datenschutzgesetz (revDSG, seit 1. September 2023 in Kraft) ist in weiten Teilen an GDPR angelehnt – aber nicht identisch. Die Unterschiede sind klein, aber relevant.
| Aspekt | revDSG | Unterschied zu GDPR |
|---|---|---|
| Anwendungsbereich | Natürliche und juristische Personen | GDPR: nur natürliche Personen |
| Sanktionen | Bis CHF 250'000 persönlich für verantwortliche Personen | GDPR: Unternehmensbußen bis 4% Weltumsatz |
| One-Stop-Shop | Nicht vorhanden; EDÖB ist zuständige Behörde | GDPR: Lead-Behörde im EU-Hauptsitz-Land |
| Datentransfers | Angemessenheitsentscheid existiert für CH→EU und EU→CH | GDPR: Standardvertragsklauseln oder Angemessenheitsentscheid |
| Besondere Datenkategorien | Vergleichbar mit GDPR Art. 9 | Gesundheit, Genetik, Biometrie, religiöse Ansichten etc. |
| Profiling | Besondere Bestimmungen zu automatisierten Entscheidungen | Ähnlich GDPR Art. 22 |
| Sektor | Relevante CH-Regelung | Praktische Konsequenz |
|---|---|---|
| Finanzsektor | FINMA-Rundschreiben (IKT, Outsourcing, operationelle Risiken) | IT-Outsourcing an Dritte erfordert FINMA-konforme Vereinbarungen |
| Gesundheit | Datenschutzgesetze der Kantone + Bundesrecht | Gesundheitsdaten besonders streng geschützt; eHealth-Regeln beachten |
| Energie | Energieversorgungsgesetz, kantonal unterschiedlich | Intelligente Messpunkte (Smart Meter) unterliegen besonderen Datenschutzregeln |
| Kritische Infrastruktur | ISG (Informationssicherheitsgesetz des Bundes) | Meldepflichten bei Cyberangriffen an BACS (Bundesamt für Cybersicherheit) |
| Telekommunikation | FMG (Fernmeldegesetz) | Fernmeldegeheimnis; eigene Datenschutzregeln |
Der Datentransfer zwischen der Schweiz und der EU ist durch gegenseitige Angemessenheitsentscheide weitgehend erleichtert – aber nicht unbeschränkt.
EU→CH: Die EU-Kommission hat die Schweiz als Drittland mit angemessenem Datenschutzniveau anerkannt. Transfers sind grundsätzlich ohne Zusatzmaßnahmen möglich – aber unter Vorbehalt der FINMA-Regeln im Finanzbereich.
CH→EU: Die Schweiz anerkennt EU-Mitgliedstaaten als adäquate Drittländer. Transfers sind ohne zusätzliche Vertragsklauseln möglich.
Ausnahmen: Sensitive Daten (Gesundheit, Finanzen, biometrische Daten) unterliegen strengeren Regeln. Immer separat prüfen.
'Wir sitzen in der Schweiz, GDPR gilt für uns nicht.' Das ist falsch. GDPR gilt extraterritorial sobald Sie Daten von EU-Bürgern verarbeiten – auch wenn Ihre Server in der Schweiz stehen und Sie keine EU-Niederlassung haben. Der erste EDSA-Enforcement-Fall gegen ein Schweizer Unternehmen ist nur eine Frage der Zeit.
'revDSG ist doch nur das Schweizer GDPR, das läuft mit.' Falsch. Die Unterschiede bei Sanktionen (persönliche Haftung statt Unternehmensbußen), beim Verarbeitungsverzeichnis (keine Grössenschwelle) und beim One-Stop-Shop (gibt es nicht) sind substanziell und führen zu Compliance-Lücken.
Separate Teams für GDPR, AI Act, NIS2, revDSG, FINMA. Das bedeutet viermal dasselbe Verarbeitungsverzeichnis, viermal derselbe Datenkatalog, viermal dieselbe Lieferantenliste. Das ist das teuerste Missverständnis in der digitalen Compliance.
GDPR und revDSG sind die Basisanforderungen – aber wer im Finanzsektor, Gesundheitsbereich oder als kritische Infrastruktur tätig ist, hat zusätzliche Pflichten, die GDPR und revDSG nicht abdecken. FINMA-Rundschreiben, ISG, kantonale Gesundheitsdatenschutzgesetze – das sind separate Compliance-Pfade.
'Wir warten, bis der Digital Omnibus die Anforderungen vereinfacht.' Der Digital Omnibus ist eine politische Initiative, die Fristen verschieben könnte – aber keine Compliance-Pflichten abschaffen wird. Die Grundrichtung der EU-Digitalregulierung ändert sich nicht.
| Regime | GDPR + revDSG + DORA (wenn EU-Bankkunden) + FINMA |
|---|---|
| Komplexitätstreiber | Vier Regime gleichzeitig; FINMA und DORA haben Überschneidungen aber unterschiedliche Zuständigkeiten |
| Effizienz-Hebel | ISO 27001 als Backbone; DORA-Resilienz-Konzept deckt auch FINMA-IKT-Anforderungen ab |
| Priorität jetzt | Regulierungslandkarte für das eigene Unternehmen erstellen; Überschneidungen identifizieren; gemeinsame Dokumentationsbasis aufbauen |
| Regime | GDPR + revDSG + Data Act (Cloud Switching) |
|---|---|
| Was CH-Kunden verlangen | Datenhaltung in der Schweiz oder EU; FINMA-konforme Outsourcing-Verträge; revDSG-Auftragsverarbeitungsvertrag |
| Chance | Schweizer Datenhaltung als Premium-Option positionieren; FINMA-Kompatibilität als Differenzierungsmerkmal |
| Maßnahme | Schweizer KMU (EU-Markt) | EU-Unternehmen (CH-Markt) |
|---|---|---|
| Regulierungslandkarte | Welche EU-Regime gelten für Sie? | Gilt revDSG? Sektoralrecht? |
| Vertreter ernennen | EU-Vertreter für GDPR/AI Act | CH-Vertreter für revDSG |
| Verarbeitungsverzeichnis | GDPR-konform; revDSG-Ergänzungen | revDSG-konform; GDPR bereits vorhanden |
| Datenpannen-Prozess | 72h für GDPR; zusätzlich EDÖB-Meldung | Unverzüglich für revDSG; EDÖB statt EU-Behörde |
| Sektoralrecht prüfen | FINMA/ISG wenn relevant | FINMA/ISG/Kantonsgesetze |
| Dual-Compliance-Dokument | Gemeinsame Basis + GDPR-/revDSG-Module | Gemeinsame Basis + GDPR-/revDSG-Module |
| NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU | Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden |
|---|