StartseiteBlogRecht
Recht

Datenschutz und nDSG für Selbständige: Was du wissen musst

Das revidierte Datenschutzgesetz (nDSG) gilt seit dem 1.9.2023. Was Einzelfirmen beachten müssen: Informationspflicht, Datenschutzerklärung, Bearbeitungsverzeichnis und Strafen.

e
einzly Redaktion
Steuer- & Finanzredaktion
8 Min. Lesezeit
2. März 2026

01Das revidierte Datenschutzgesetz (nDSG) im Überblick

Am 1. September 2023 ist das totalrevidierte Bundesgesetz über den Datenschutz (DSG, oft nDSG genannt) in Kraft getreten. Es ersetzt das bisherige Datenschutzgesetz von 1992 und passt den Schweizer Datenschutz an die europäische Datenschutz-Grundverordnung (DSGVO) an -- ohne sie eins zu eins zu kopieren.

Für Selbständige und Inhaber von Einzelfirmen ist das relevant, weil das nDSG für alle gilt, die Personendaten bearbeiten -- unabhängig von der Unternehmensgrösse. Ob du als Freelancer Kundendaten in einer Excel-Tabelle verwaltest oder als Handwerker Adressen in deinem Telefon speicherst: Das nDSG betrifft dich.

Die wichtigsten Neuerungen auf einen Blick:

  • Nur noch Daten natürlicher Personen geschützt (juristische Personen nicht mehr)
  • Erweiterte Informationspflicht bei jeder Datenerhebung (Art. 19 DSG)
  • Pflicht zur Datenschutz-Folgenabschätzung bei hohem Risiko (Art. 22 DSG)
  • Meldepflicht bei Datensicherheitsverletzungen an den EDÖB (Art. 24 DSG)
  • Strafen bis CHF 250'000 für natürliche Personen bei vorsätzlichen Verstössen (Art. 60 ff. DSG)
  • Profiling mit hohem Risiko erfordert ausdrückliche Einwilligung (Art. 6 Abs. 7 DSG)
  • Privacy by Design und Privacy by Default als Grundsätze verankert (Art. 7 DSG)
Keine ÜbergangsfristDas nDSG ist seit dem 1. September 2023 ohne Übergangsfrist in Kraft. Wer seine Datenschutzpraktiken noch nicht angepasst hat, riskiert bereits heute Sanktionen. Das gilt auch für Einzelfirmen.

02Bearbeitungsgrundsätze: Die Regeln im Alltag

Das nDSG definiert in Art. 6 die Grundsätze, nach denen Personendaten bearbeitet werden müssen. Diese Grundsätze gelten für jede Bearbeitung -- ob du Kundendaten erfasst, Newsletter versendest oder Bewerbungsunterlagen speicherst.

GrundsatzBedeutung für Selbständige
Rechtmässigkeit (Art. 6 Abs. 1)Personendaten dürfen nur rechtmässig bearbeitet werden. Datenbearbeitung ist erlaubt, wenn ein Rechtfertigungsgrund vorliegt (Einwilligung, Vertrag, überwiegendes Interesse oder gesetzliche Pflicht).
Treu und Glauben (Art. 6 Abs. 2)Die Bearbeitung muss nachvollziehbar und fair sein. Keine versteckte Datensammlung.
Verhältnismässigkeit (Art. 6 Abs. 2)Nur die Daten erheben, die für den Zweck tatsächlich nötig sind. Nicht «auf Vorrat» sammeln.
Zweckbindung (Art. 6 Abs. 3)Daten nur für den Zweck verwenden, für den sie erhoben wurden. Kundenadressen für Rechnungen darfst du nicht einfach für Werbung nutzen.
Richtigkeit (Art. 6 Abs. 5)Du musst sicherstellen, dass die Daten korrekt sind und bei Bedarf berichtigt werden.
Speicherbegrenzung (Art. 6 Abs. 4)Daten löschen, sobald der Zweck erfüllt ist -- ausser es gibt eine gesetzliche Aufbewahrungspflicht (z.B. 10 Jahre für Buchungsbelege gemäss OR Art. 958f).
PraxisbeispielDu bist Grafikdesignerin und speicherst Kundendaten (Name, Adresse, E-Mail, Telefon) für die Auftragsabwicklung. Das ist durch den Vertragszweck gerechtfertigt. Du darfst diese Daten aber nicht einfach an einen Fotografen weitergeben oder für einen eigenen Newsletter nutzen, ohne die Kunden vorher zu informieren und ihnen ein Opt-out anzubieten.

03Informationspflicht und Datenschutzerklärung

Eine der wichtigsten Neuerungen des nDSG ist die erweiterte Informationspflicht (Art. 19--21 DSG). Bei jeder Beschaffung von Personendaten musst du die betroffene Person informieren -- nicht nur bei besonders schützenswerten Daten, wie es früher der Fall war.

Was du mitteilen musst (Art. 19 Abs. 2 DSG):

  • Identität und Kontaktdaten des Verantwortlichen (also deine Firma und Adresse)
  • Bearbeitungszweck: Wofür du die Daten verwendest
  • Empfänger oder Kategorien von Empfängern: An wen du Daten weitergibst (z.B. Treuhänder, Hosting-Provider)
  • Bei Auslandstransfer: In welches Land die Daten gehen und welche Schutzmassnahmen gelten
  • Rechte der betroffenen Person: Auskunfts-, Berichtigungs- und Löschungsrecht

In der Praxis erfüllst du diese Pflicht am einfachsten mit einer Datenschutzerklärung auf deiner Website -- neben deinen AGB eines der wichtigsten rechtlichen Dokumente. Auch wenn du keine Website hast, musst du Kunden auf Anfrage informieren können.

Deine Datenschutzerklärung sollte folgende Punkte abdecken:

  1. Name und Kontaktdaten deiner Firma
  2. Welche Daten du erhebst (z.B. Name, E-Mail, Telefon, Zahlungsdaten)
  3. Zweck der Datenbearbeitung (Auftragsabwicklung, Buchhaltung, Newsletter)
  4. Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse)
  5. Empfänger der Daten (Hosting-Anbieter, Buchhaltungssoftware, Behörden)
  6. Speicherdauer und Löschfristen
  7. Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Widerspruch)
  8. Verwendung von Cookies und Tracking-Tools (falls zutreffend)
  9. Kontaktmöglichkeit für Datenschutzanfragen
Kein Cookie-Banner wie in der EUIn der Schweiz gibt es (noch) keine generelle Cookie-Einwilligungspflicht wie unter der DSGVO/ePrivacy-Richtlinie. Technisch notwendige Cookies sind erlaubt. Für Tracking-Cookies (z.B. Google Analytics) empfiehlt der EDÖB jedoch eine Einwilligung -- insbesondere wenn du auch EU-Besucher hast.

04Verzeichnis der Bearbeitungstätigkeiten

Das nDSG führt die Pflicht ein, ein Verzeichnis der Bearbeitungstätigkeiten zu führen (Art. 12 DSG). Dieses Verzeichnis dokumentiert, welche Personendaten du bearbeitest, zu welchem Zweck und wie sie geschützt werden.

Die gute Nachricht für Selbständige: Es gibt eine KMU-Ausnahme. Unternehmen mit weniger als 250 Mitarbeitenden müssen das Verzeichnis nur führen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchführen (Art. 12 Abs. 5 DSG).

Für die meisten Einzelfirmen bedeutet das: Du bist von der Pflicht befreit. Trotzdem empfiehlt es sich, ein einfaches Verzeichnis zu führen -- es hilft dir, den Überblick zu behalten und deine Informationspflicht zu erfüllen.

Ein minimales Verzeichnis enthält:

FeldBeispiel
BearbeitungstätigkeitKundenadressverwaltung
ZweckAuftragsabwicklung und Rechnungsstellung
Kategorien betroffener PersonenKunden, Interessenten
Kategorien von PersonendatenName, Adresse, E-Mail, Telefon
EmpfängerBuchhaltungssoftware (einzly), Hosting (Vercel)
Aufbewahrungsdauer10 Jahre (gesetzliche Aufbewahrungspflicht)
Technische SchutzmassnahmenVerschlüsselung, Passwortschutz, Backups
Trotz Ausnahme: Verzeichnis empfohlenAuch wenn du als Einzelfirma unter 250 Mitarbeitende von der Pflicht befreit bist: Ein einfaches Verzeichnis in einer Excel-Tabelle kostet dich 30 Minuten und hilft dir, bei einer Anfrage des EDÖB oder eines Kunden sofort Auskunft geben zu können.

05Auftragsbearbeitung und Drittanbieter

Wenn du Personendaten durch Dritte bearbeiten lässt -- zum Beispiel durch eine Cloud-Buchhaltungssoftware, einen Newsletter-Dienst oder einen Hosting-Provider --, spricht man von Auftragsbearbeitung (Art. 9 DSG). Du bleibst als Verantwortlicher für den Datenschutz zuständig.

Die wichtigsten Pflichten bei der Auftragsbearbeitung:

  • Du darfst die Bearbeitung nur an Dritte übertragen, die einen angemessenen Datenschutz gewährleisten
  • Die Bearbeitung darf vertraglich oder gesetzlich nicht untersagt sein
  • Du musst dich vergewissern, dass der Auftragsbearbeiter die Datensicherheit gewährleisten kann
  • Der Auftragsbearbeiter darf die Daten nur so bearbeiten, wie du es selbst dürftest
  • Die Weiterübertragung an Sub-Auftragsbearbeiter bedarf deiner Genehmigung

In der Praxis schliesst du einen Auftragsbearbeitungsvertrag (AVV oder Data Processing Agreement, DPA) mit dem jeweiligen Anbieter ab. Die meisten seriösen Cloud-Dienste bieten standardmässig einen AVV an.

Daten ins Ausland?Wenn dein Cloud-Anbieter Daten ausserhalb der Schweiz speichert (z.B. in der EU oder den USA), gelten zusätzliche Regeln. Die Daten dürfen nur in Länder mit angemessenem Datenschutzniveau übertragen werden. Der Bundesrat führt eine Liste anerkannter Länder. Für die USA gilt seit dem Swiss-U.S. Data Privacy Framework (gültig seit 15.9.2024) ein angemessenes Niveau für zertifizierte Unternehmen.

06Strafen bei Verstössen: Bis CHF 250'000

Ein wesentlicher Unterschied zur DSGVO: Im Schweizer nDSG werden nicht Unternehmen gebüsst, sondern natürliche Personen -- also du als Inhaber der Einzelfirma persönlich. Die Bussen können bis CHF 250'000 betragen (Art. 60--63 DSG).

Strafbar sind folgende vorsätzliche Verstösse:

VerstossArtikelMaximale Busse
Verletzung der InformationspflichtArt. 60 Abs. 1 lit. a DSGCHF 250'000
Verletzung der AuskunftspflichtArt. 60 Abs. 1 lit. a DSGCHF 250'000
Verletzung der Sorgfaltspflicht bei AuslandsübermittlungArt. 61 DSGCHF 250'000
Verletzung der Pflichten bei AuftragsbearbeitungArt. 61 DSGCHF 250'000
Verletzung der Datensicherheit (Mindestanforderungen)Art. 61 DSGCHF 250'000
Missachtung von Verfügungen des EDÖBArt. 63 DSGCHF 250'000
Verletzung der beruflichen SchweigepflichtArt. 62 DSGCHF 250'000
Persönliche HaftungDie Busse trifft dich als natürliche Person -- nicht dein Unternehmen. Bei einer Einzelfirma bist du ohnehin die verantwortliche Person. Die Busse von bis zu CHF 250'000 wird nur bei vorsätzlichen Verstössen verhängt. Fahrlässigkeit ist grundsätzlich nicht strafbar, kann aber zivilrechtliche Konsequenzen haben.

Wichtig: Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kann Untersuchungen einleiten, Empfehlungen aussprechen und Verfügungen erlassen. Die Strafverfolgung obliegt den kantonalen Strafbehörden.

07Praktische Checkliste: nDSG für deine Einzelfirma

Datenschutz muss nicht kompliziert sein. Die folgende Checkliste hilft dir, die wichtigsten Anforderungen des nDSG zu erfüllen -- ohne Jurastudium.

1
Datenschutzerklärung erstellen oder aktualisieren:

Erstelle eine Datenschutzerklärung für deine Website (falls vorhanden) und halte sie griffbereit für Kundenanfragen. Sie muss Identität des Verantwortlichen, Bearbeitungszwecke, Empfänger und Rechte der Betroffenen enthalten.

2
Bearbeitungsverzeichnis anlegen (empfohlen):

Auch wenn du als KMU unter 250 MA davon befreit bist: Dokumentiere in einer einfachen Tabelle, welche Daten du zu welchem Zweck bearbeitest. Das hilft bei Auskunftsanfragen.

3
Auftragsbearbeitungsverträge prüfen:

Prüfe bei allen Cloud-Diensten (Buchhaltung, E-Mail, Hosting, CRM), ob ein AVV/DPA vorhanden ist. Seriöse Anbieter wie einzly stellen diese standardmässig bereit.

4
Datensicherheit gewährleisten:

Setze grundlegende technische Massnahmen um: starke Passwörter, Zwei-Faktor-Authentifizierung (2FA), verschlüsselte Datenübertragung (HTTPS), regelmässige Backups, aktuelle Software.

5
Löschkonzept definieren:

Lege fest, wann du welche Daten löschst. Kundendaten nach Vertragsende? Bewerbungsunterlagen nach 3 Monaten? Buchungsbelege nach 10 Jahren? Dokumentiere die Fristen.

6
Prozess für Betroffenenanfragen einrichten:

Kunden haben das Recht auf Auskunft, Berichtigung und Löschung. Richte einen einfachen Prozess ein: Wer beantwortet Anfragen, innert welcher Frist (gesetzlich: 30 Tage), in welcher Form?

7
Meldeprozess bei Datenpanne vorbereiten:

Falls Daten gestohlen oder versehentlich veröffentlicht werden, musst du den EDÖB so rasch wie möglich informieren (Art. 24 DSG). Halte die Kontaktdaten des EDÖB bereit und überlege dir vorab, wen du im Notfall kontaktierst.

einzly nimmt dir Datenschutz-Arbeit abeinzly speichert deine Kundendaten verschlüsselt in der Schweiz (Supabase/Vercel), bietet Zwei-Faktor-Authentifizierung und stellt einen Auftragsbearbeitungsvertrag bereit. So erfüllst du die nDSG-Anforderungen für deine Buchhaltungsdaten automatisch -- ohne zusätzlichen Aufwand.

08Häufige Fragen zum Datenschutz für Selbständige

Ja. Das nDSG gilt für alle natürlichen und juristischen Personen, die Personendaten bearbeiten -- unabhängig von der Unternehmensgrösse. Wenn du Kundenadressen, E-Mails oder Telefonnummern speicherst, bearbeitest du Personendaten und unterstehst dem nDSG.
Nein. Die Ernennung eines Datenschutzberaters (analog zum DPO in der DSGVO) ist im nDSG freiwillig (Art. 10 DSG). Für Einzelfirmen mit überschaubarer Datenbearbeitung ist das in der Regel nicht nötig. Wenn du allerdings besonders schützenswerte Daten bearbeitest (z.B. Gesundheitsdaten als Therapeut), kann eine Beratung sinnvoll sein.
Nur wenn deine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt (Art. 22 DSG). Für die meisten Einzelfirmen (Kundenverwaltung, Rechnungsstellung, einfache Website) ist das nicht der Fall. Beispiele für hohes Risiko: systematische Überwachung öffentlicher Bereiche, umfangreiche Bearbeitung von Gesundheitsdaten.
Ein Laptop-Diebstahl mit unverschlüsselten Kundendaten ist eine Datensicherheitsverletzung. Du musst den EDÖB so rasch wie möglich informieren, wenn ein hohes Risiko für die betroffenen Personen besteht (Art. 24 DSG). Die betroffenen Personen musst du ebenfalls informieren, wenn es zu ihrem Schutz nötig ist. Präventiv: Festplattenverschlüsselung aktivieren (FileVault bei Mac, BitLocker bei Windows).
Nur mit Einwilligung der Kunden. E-Mail-Werbung an natürliche Personen ohne deren Einwilligung ist gemäss UWG Art. 3 Abs. 1 lit. o unlauter. Du brauchst ein Opt-in (idealerweise Double-Opt-in) und musst in jedem Newsletter eine Abmeldemöglichkeit anbieten. Ausnahme: Du hast die E-Mail-Adresse im Rahmen eines Verkaufs erhalten und der Kunde hat nicht widersprochen (Soft-Opt-in für ähnliche Produkte).
Teilen