Datenschutz (revDSG/FADP) & DSGVO-Schnittstelle in der Schweiz

Was bedeutet Datenschutz nach revDSG/FADP – und warum ist die DSGVO-Schnittstelle wichtig?

Datenschutz (revDSG/FADP) ist das Schweizer Regelwerk für den rechtmässigen Umgang mit personenbezogenen Daten. Es betrifft nicht nur „IT“, sondern sämtliche Unternehmensprozesse: Vertrieb, Marketing, HR, Finance, Kundenservice, Plattformen, Cloud, Video, Websites und Lieferanten.

Die DSGVO-Schnittstelle ist relevant, sobald Ihr Unternehmen Berührungspunkte zur EU hat: EU-Kunden, EU-Mitarbeitende, EU-Partner, EU-Tracking, internationale Datenflüsse oder eine Konzernstruktur. In der Praxis brauchen Sie dann ein Setup, das Schweizer Anforderungen sauber erfüllt und gleichzeitig DSGVO-kompatibel bleibt, ohne doppelte Bürokratie.

Kernziel: Ein Datenschutzsystem, das im Alltag funktioniert, Risiken reduziert und bei Anfragen oder Vorfällen belastbar ist.

Für wen ist dieser Service besonders geeignet?

GmbH/Sàrl und AG/SA mit Kunden-, Mitarbeiter- oder Lieferantendaten
• SaaS-, IT- und Plattformunternehmen mit Tracking, Nutzerkonten, Subprozessoren
• Unternehmen mit EU-Kunden oder EU-Marketing (DSGVO-Schnittstelle)
• Firmen mit Cloud- und Outsourcing-Setup (CRM, Ticketing, Payment, Analytics)
• Unternehmen mit sensiblen Daten (HR, Gesundheit, Finanzen, Identitätsdaten)
• Gesellschaften, die bankfähig, investorenfähig oder revisionsnah arbeiten möchten
• Unternehmen, die eine klare, dokumentierte Datenschutz-Governance brauchen

Vorteile eines professionellen Datenschutz-Setups

Risikominimierung: weniger Fehler in Prozessen, weniger Eskalationen bei Anfragen und Vorfällen
Operative Klarheit: klare Regeln für Teams statt individueller „Interpretationen“
Vertrags- und Partnerfähigkeit: bessere Position bei Enterprise-Kunden und Ausschreibungen
Schnellere Sales-Zyklen: weniger Rückfragen zu Datenschutz, Sicherheit, Subprozessoren
Stabilität bei Wachstum: neue Tools, neue Märkte, neue Teams ohne Systembruch
Nachweisfähigkeit: dokumentierte Verantwortlichkeiten, Entscheidungen und Massnahmen

Typische Datenschutz-Risiken in der Praxis

• Daten werden gesammelt, aber Zweck, Rechtsgrundlage und Aufbewahrung sind nicht sauber definiert
• Websites/Tracking laufen ohne klare Einwilligungslogik oder ohne nachvollziehbare Dokumentation
• Vendoren und Cloud-Tools werden eingesetzt, ohne Auftragsbearbeitungs-/DPA-Struktur
• Mitarbeitende wissen nicht, wie sie mit Auskunfts-, Lösch- oder Berichtigungsanfragen umgehen sollen
• Sicherheitsmassnahmen sind „technisch“ vorhanden, aber organisatorisch nicht verankert
• Internationale Datenübermittlungen werden nicht als Prozess gesteuert, sondern ad hoc entschieden
• Incident-Response ist nicht vorbereitet: Zuständigkeiten, Fristen, Dokumentation fehlen

Was umfasst unsere Leistung: Datenschutz (revDSG/FADP) & DSGVO-Schnittstelle

1) Datenschutz-Assessment und Scope-Definition

Wir starten mit einer strukturierten Bestandsaufnahme:
• Datenkategorien, Systeme, Rollen (Verantwortlicher/Auftragsbearbeiter)
• Prozesse: Marketing, Sales, Support, HR, Finance, Produkt, Website
• Datenflüsse: Schweiz, EU, Drittstaaten, Konzern, Dienstleister
• Risikoprofil: sensible Daten, grosse Datenmengen, Profiling, Tracking, Video, Zutritt

Ergebnis: Prioritätenplan, der Aufwand und Wirkung sauber steuert.

2) Datenschutz-Governance und Verantwortlichkeiten

Ein Datenschutzsystem funktioniert nur mit klaren Zuständigkeiten:
• Rollenmodell (Owner je Prozess) und Eskalationswege
• Freigabe- und Change-Prozesse (neue Tools, neue Kampagnen, neue Datenfelder)
• Dokumentationsstandard (was muss nachvollziehbar sein und wo liegt es)
• Mitarbeitenden-Standard: einfache Regeln, die eingehalten werden

3) Verzeichnis, Informationspflichten und Transparenz

Wir bauen die Grundlage für Nachweis und Transparenz:
• Strukturierte Daten- und Prozessübersicht (praxisnah, nicht akademisch)
• Datenschutzinformationen / Privacy-Logik je Kontaktpunkt (Website, App, Vertrag, HR)
• Aufbewahrung, Lösch- und Archivregeln als Prozess, nicht als Wunschliste

4) Auftragsbearbeitung, Vendor-Management, Cloud-Setup

Ein grosser Teil des Datenschutzrisikos sitzt bei Drittanbietern:
• Vendor-Check: welche Tools verarbeiten welche Daten, zu welchem Zweck
• Vertragsmodule und Mindestanforderungen (DPA/AVV-Logik, Subprozessoren, Supportzugriffe)
• Verantwortlichkeiten: wer darf Tools onboarden, wer prüft, wer dokumentiert
• Standardisierte Checkliste für neue Anbieter, damit Wachstum nicht zu Chaos führt

5) DSGVO-Schnittstelle: EU-Bezug sauber integrieren

Wir schaffen eine Struktur, die Schweizer Anforderungen erfüllt und DSGVO-Logik nicht widerspricht:
• Einheitliche Begriffe, Prozesse und Rollen, damit Teams nicht doppelt arbeiten
• Handling von Betroffenenrechten als „One Process“ (statt CH-Prozess und EU-Prozess)
• Marketing/Tracking-Logik so gestalten, dass EU-Anforderungen mit abgedeckt sind
• Internationale Datenflüsse und Dienstleistermanagement so dokumentieren, dass es skalierbar bleibt

6) Technische und organisatorische Massnahmen

Datenschutz ist ohne Sicherheit nicht stabil. Wir setzen nicht „IT-Audit“, sondern praxistaugliche Mindeststandards:
• Zugriffskonzepte: Rollen, Rechte, Admin-Zugriffe, Offboarding
• Logging, Backup, Verschlüsselung, Geräte- und Passwortstandard
• Incident-Prozess: Erkennung, Bewertung, Dokumentation, Kommunikation
• Schulungs- und Awareness-Bausteine (kurz, wiederholbar, umsetzbar)

7) Betroffenenrechte, Anfragen und Streitfälle

Damit Anfragen nicht zu Stress werden, definieren wir einen klaren Ablauf:
• Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch: Zuständigkeiten und Templates
• Identitätsprüfung und Missbrauchsschutz (damit Daten nicht an die falsche Person gehen)
• Fristen- und Ticketlogik, die im Alltag funktioniert
• Dokumentation, damit Entscheidungen nachvollziehbar bleiben

Typische Deliverables (was Sie am Ende wirklich nutzen können)

• Datenschutz-Governance-Plan (Rollen, Prozesse, Freigaben, Ablage)
• Daten- und Prozessübersicht (als Steuerungs- und Nachweisbasis)
• Datenschutztexte/Informationslogik für relevante Kontaktpunkte
• Vendor-Checkliste und Vertragsmodule für Auftragsbearbeitung
• Incident-Response-Playbook (wer macht was, wie wird dokumentiert)
• Prozess für Betroffenenanfragen inkl. Templates und Eskalationsregeln
• Roadmap für 30/60/90 Tage: Prioritäten, Aufwand, Verantwortliche

Ablauf der Zusammenarbeit

  1. Kick-off und Scope
    Geschäftsmodell, Systeme, Länderbezug, Stakeholder, Prioritäten.

  2. Assessment und Risiko-Priorisierung
    Schnell klären, was kritisch ist und was später kommen kann.

  3. Setup Governance und Kernprozesse
    Rollen, Freigaben, Dokumentation, Vendor-Logik, Betroffenenrechte.

  4. Implementierung in Alltag und Tools
    Templates, Checklisten, Ablage, Verantwortliche, klare Routine.

  5. Stabilisierung und Update-Mechanik
    Datenschutz lebt: neue Tools, neue Märkte, neue Kampagnen. Wir setzen ein System, das mitwächst.

Premium-Preisniveau in der Schweiz

Datenschutzprojekte hängen stark von Komplexität, Tool-Landschaft, EU-Bezug und Datenarten ab. Premium bedeutet: klarer Scope, belastbare Deliverables, keine Endlosprojekte.

Orientierungsrahmen (Premium):
• Datenschutz-Basis-Setup (KMU, überschaubare Tools, klare Prozesse): ab ca. CHF 7’500–20’000
• Erweiterter Scope (SaaS/Plattform, viele Tools, EU-Bezug, Tracking, Subprozessoren): ab CHF 20’000–60’000+
• Laufende Datenschutz-Governance (Retainer, Updates, Vendor-Reviews, Anfragen/Incidents): ab CHF 2’500–10’000+ pro Monat

Häufige Fragen (FAQ)

1) Brauchen wir Datenschutz nur, wenn wir „sensible Daten“ verarbeiten?
Nein. Schon normale Kunden- und Mitarbeiterdaten lösen Pflichten aus. Sensible Daten erhöhen nur das Risiko und die Anforderungen an Prozesse.

2) Reicht eine Datenschutzerklärung auf der Website?
Nein. Website-Texte sind nur ein Teil. Entscheidend sind Prozesse, Verantwortlichkeiten, Vendor-Management, Incident-Logik und Betroffenenrechte.

3) Was ist die DSGVO-Schnittstelle konkret?
Ein einheitliches System, das Schweizer Anforderungen erfüllt und EU-Anforderungen mit abdeckt, sobald EU-Bezug entsteht. Ziel ist ein Prozess, nicht zwei Parallelwelten.

4) Welche Bereiche sind am häufigsten problematisch?
Tracking/Marketing, Cloud-Tools ohne DPA-Logik, fehlende Prozesse für Auskunft/Löschung und unklare Verantwortlichkeiten bei Vorfällen.

5) Können wir „schlank“ starten und später ausbauen?
Ja. Wir priorisieren nach Risiko und Wirkung. Ein stabiles Basis-Setup ist oft der beste Start.

6) Wie verhindern wir, dass Datenschutz den Vertrieb blockiert?
Mit klaren Standards: Vendor-Checkliste, klare Antworten auf typische Kundenfragen, nachvollziehbare Dokumentation und definierte Rollen.

7) Was passiert bei einem Incident?
Ohne Playbook entsteht Chaos. Mit einem Playbook haben Sie Zuständigkeiten, Entscheidungswege und Dokumentation – und reagieren schneller und kontrollierter.

8) Unterstützen Sie auch Vertrags- und IT-Themen im Datenschutzkontext?
Ja. Datenschutz ist ohne Vertragslogik (Vendoren, Auftragsbearbeitung) und ohne organisatorische Security-Standards nicht stabil.

Anfrage

Wenn Sie Datenschutz nach revDSG/FADP professionell umsetzen und gleichzeitig die DSGVO-Schnittstelle sauber abdecken möchten, senden Sie uns kurz:
• Geschäftsmodell (B2B/B2C, SaaS/Service/Handel)
• Tool-Landschaft (CRM, Marketing, Analytics, Cloud, Support)
• Länderbezug (Schweiz/EU/weitere)
• sensible Daten ja/nein, und ob Tracking/Profiling relevant ist

Wir melden uns mit einer klaren Premium-Offerte inklusive Scope, Deliverables und Zeitplan.