Das Schweizer nDSG schreibt keinen Datenschutzbeauftragten (DSB) für Privatunternehmen vor — das ist der entscheidende Unterschied zur EU-DSGVO. Trotzdem ist ein DSB oder eine vergleichbare Funktion für viele Schweizer KMU faktisch unumgänglich: Der EDÖB kann die Bestellung eines Beraters anordnen, und wer mit EU-Kunden arbeitet, unterliegt möglicherweise der DSGVO-Pflicht. Dazu kommt die wachsende Erwartung von Kunden, Partnern und Behörden, dass Unternehmen Datenschutz professionell organisieren.

Nachfolgend die klare Antwort: Wann brauchen Sie einen DSB, was kostet er, welche Alternativen gibt es? Und warum hängt technischer Datenschutz direkt mit Cybersecurity-Tests wie Red Teaming zusammen.

nDSG vs. DSGVO: Der fundamentale Unterschied beim Datenschutzbeauftragten

Schweizer nDSG: Kein zwingender DSB für Privatunternehmen

Das neue Schweizer Datenschutzgesetz (in Kraft seit September 2023) enthält keine Pflicht zur Bestellung eines Datenschutzbeauftragten für private Unternehmen. Das unterscheidet die Schweiz wesentlich von der EU.

Was das nDSG stattdessen vorsieht:

  • EDÖB-Anordnungsrecht: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte kann im Rahmen eines Sachverhaltsabklärungsverfahrens die Bestellung eines Datenschutzberaters anordnen (Art. 51 nDSG)
  • Freiwillige Bestellung: Unternehmen können freiwillig einen DSB bestellen und dies beim EDÖB melden — damit erhalten sie gewisse Verfahrensvorteile (z. B. wird der EDÖB bei Untersuchungen zuerst den DSB kontaktieren)
  • Keine Privilegien durch Bestellung: Anders als in Deutschland erhalten Unternehmen mit freiwilligem DSB in der Schweiz keine rechtlichen Zusatzprivilegien

EU-DSGVO: Pflicht in bestimmten Fällen

Wenn Ihr Schweizer KMU Daten von EU-Bürgerinnen und -Bürgern bearbeitet, gilt die DSGVO (Art. 3 DSGVO — extraterritoriale Wirkung). In diesem Fall kann eine DSB-Pflicht nach DSGVO bestehen, wenn:

  • Öffentliche Behörde oder öffentliche Stelle (gilt für Behörden, nicht KMU)
  • Umfangreiche, regelmässige und systematische Überwachung von betroffenen Personen als Kerntätigkeit (z. B. Tracking-Unternehmen, Datenanalyse-Firmen)
  • Umfangreiche Verarbeitung besonderer Datenkategorien als Kerntätigkeit (Gesundheitsdaten, biometrische Daten, Strafrechtsdaten etc.)

Für die meisten KMU, die Kundendaten zu Vertragszwecken verarbeiten, greift die DSGVO-DSB-Pflicht nicht automatisch. Unsicher? Ein Datenschutzrechtler kann in 1–2 Stunden klären, ob die Pflicht für Ihr Unternehmen besteht.

Laut einer Umfrage des Verbands der Schweizer Unternehmen (economiesuisse) aus 2024 haben 34 % der Schweizer KMU einen freiwilligen DSB bestellt — obwohl nur ein Bruchteil davon rechtlich dazu verpflichtet wäre. Das zeigt: Der DSB hat sich als Good-Practice-Standard etabliert, unabhängig von der Gesetzespflicht.

Wann ist ein Datenschutzbeauftragter für Schweizer KMU faktisch notwendig?

Auch ohne gesetzliche Pflicht gibt es Situationen, in denen ein DSB oder eine gleichwertige Funktion faktisch unumgänglich ist:

1. EU-DSGVO-Pflicht besteht: Wenn Ihr Unternehmen unter die oben beschriebenen DSGVO-Kriterien fällt, ist der DSB für Ihre EU-Verarbeitungen gesetzlich vorgeschrieben.

2. Vertragsanforderungen von Kunden oder Partnern: Grosse Unternehmen und öffentliche Auftraggeber verlangen zunehmend in Verträgen, dass Lieferanten und Auftragsverarbeiter einen Datenschutzansprechpartner benennen können.

3. Hochsensible Datenkategorien: Wenn Sie Gesundheitsdaten, Strafrechtsdaten, biometrische Daten oder Daten schutzbedürftiger Personen verarbeiten, ist ein DSB aus Sorgfaltsgründen praktisch unumgänglich.

4. Hochvolumige Datenverarbeitung: Wenn Sie Daten von Hunderttausenden Personen (z. B. als SaaS-Anbieter oder E-Commerce-Plattform) verarbeiten, ist die Komplexität ohne dedizierte Datenschutzfunktion kaum beherrschbar.

5. Datenschutz-Folgenabschätzungen (DSFA) erforderlich: Das nDSG verlangt bei risikoreichen Verarbeitungen eine DSFA. Ohne ausgebildete Datenschutzexpertise ist eine korrekte DSFA schwer durchzuführen.

6. Meldepflicht-Management: Datenschutzverletzungen müssen «so rasch als möglich» beim EDÖB gemeldet werden. Ohne klare Zuständigkeit entsteht hier schnell Chaos — mit direkten Haftungsrisiken. Mehr dazu: nDSG Compliance und Cybersecurity.

Aufgaben eines Datenschutzbeauftragten

Ein effektiver DSB übernimmt in Ihrem Unternehmen folgende Kernaufgaben:

Strategische und beratende Aufgaben

  • Beratung der Geschäftsleitung und Mitarbeitenden zu datenschutzrechtlichen Fragen
  • Überwachung der Einhaltung des nDSG (und ggf. DSGVO) im Unternehmen
  • Entwicklung und Pflege der Datenschutzstrategie und -richtlinien
  • Risikobewertung neuer Projekte, Produkte und Verarbeitungen

Operative Aufgaben

  • Führung und Aktualisierung des Verzeichnisses der Bearbeitungstätigkeiten
  • Durchführung oder Koordination von Datenschutz-Folgenabschätzungen (DSFA)
  • Management von Betroffenenanfragen (Auskunft, Löschung, Berichtigung)
  • Koordination und Dokumentation von Datenschutzverletzungen und Meldungen an EDÖB
  • Überprüfung und Anpassung von Auftragsverarbeiterverträgen (AVV)

Kommunikationsaufgaben

  • Anlaufstelle für den EDÖB und andere Datenschutzbehörden
  • Schulung und Sensibilisierung der Mitarbeitenden
  • Koordination mit externen Auditoren und Zertifizierungsstellen
  • Kommunikation mit Kunden und Betroffenen in Datenschutzfragen

Cybersecurity-Schnittstelle

Ein oft unterschätzter Aufgabenbereich: Der DSB muss sicherstellen, dass die technischen Schutzmassnahmen dem Stand der Technik entsprechen. Das nDSG verlangt «angemessene technische Massnahmen» — was genau das ist, muss der DSB in Zusammenarbeit mit der IT beurteilen und dokumentieren. Dazu gehört auch die Veranlassung regelmässiger Sicherheitstests wie Penetrationstests oder Red Teaming.

Interner vs. externer Datenschutzbeauftragter: Was passt für Ihr KMU?

Interner DSB: Vorteile und Nachteile

Vorteile:

  • Tiefes Unternehmensverständnis und Zugang zu internen Prozessen
  • Sofortige Verfügbarkeit bei dringenden Fragen
  • Integration in Tagesgeschäft und Projektarbeit von Anfang an
  • Aufbau von langfristigem internem Know-how

Nachteile:

  • Interessenkonflikt: Der interne DSB kann weisungsgebunden sein und unter Druck geraten
  • Kapazitätsfrage: Datenschutz neben Hauptaufgaben? Oft zu wenig Zeit
  • Weiterbildungsaufwand: Zertifizierungen (CIPP/E, CDPSE) kosten Zeit und Geld
  • Personalrisiko: Fällt die Person aus, fehlt die Funktion

Wann geeignet: Unternehmen ab ca. 100 Mitarbeitenden mit komplexer Datenverarbeitung, wo eine Vollzeitstelle wirtschaftlich sinnvoll ist.

Externer DSB: Vorteile und Nachteile

Vorteile:

  • Unabhängigkeit und Interessenneutralität
  • Breite Branchenerfahrung und aktuelles Know-how
  • Kein internes Personalrisiko
  • Flexibel skalierbar (10h bis 40h pro Monat je nach Bedarf)
  • Sofort einsatzbereit, ohne Rekrutierungsaufwand

Nachteile:

  • Weniger tiefes Unternehmensverständnis (anfangs)
  • Nicht always-on verfügbar
  • Abhängigkeit vom externen Anbieter
  • Höhere Stundenkosten als interne Lösung bei hohem Volumen

Wann geeignet: KMU unter 100 Mitarbeitenden, Unternehmen ohne komplexe tägliche Datenschutzfragen, als Überbrückung bis zur internen Lösung.

Kosten: Was kostet ein Datenschutzbeauftragter in der Schweiz?

Interner DSB

VarianteKosten pro Jahr
Teilzeit-DSB (20 % neben Hauptfunktion, mit Schulung)CHF 15’000–30’000 (inkl. Weiterbildungskosten)
Dedizierter interner DSB (Vollzeit, mit CIPP/E-Zertifizierung)CHF 100’000–140’000 (inkl. Sozialleistungen)
Zertifizierungskosten CIPP/E oder CDPSECHF 2’000–5’000 einmalig

Externer DSB (DSB-as-a-Service)

LeistungsumfangKosten pro Monat
Basis-DSB (5–10 h/Monat, kleine KMU)CHF 500–1’500
Standard-DSB (15–20 h/Monat, mittlere KMU)CHF 1’500–3’500
Umfassender DSB (20–40 h/Monat, komplexere Fälle)CHF 3’500–5’000
Grossunternehmen / regulierter SektorCHF 5’000–10’000+

Worauf achten bei externen DSB-Anbietern:

  • Nachgewiesene Erfahrung mit dem Schweizer nDSG (nicht nur DSGVO-Kenntnisse)
  • Klare Leistungsbeschreibung und Reaktionszeiten
  • Referenzen aus Ihrer Branche
  • Unabhängigkeit (kein Interessenkonflikt durch andere Mandate)
  • Kombination mit juristischem Know-how und technischem Datenschutzverständnis

Alternativen zum Datenschutzbeauftragten für sehr kleine KMU

Wenn Ihr KMU weniger als 20 Mitarbeitende hat und keine besonders risikoreiche Datenverarbeitung betreibt, gibt es pragmatischere Alternativen zur formellen DSB-Bestellung:

Option 1: Datenschutz-Verantwortlicher intern (ohne formellen DSB-Titel) Benennen Sie eine intern verantwortliche Person (z. B. Geschäftsführer, IT-Leiter), schulen Sie diese Person und definieren Sie klare Zuständigkeiten. Dokumentieren Sie, wer bei Datenschutzfragen zuständig ist.

Option 2: Datenschutz-Grundpaket vom Anwalt oder Berater Einmalige Beratung zur Erstellung von Datenschutzdokumentation (Datenschutzerklärung, Bearbeitungsverzeichnis, AVV-Vorlagen), kombiniert mit einem jährlichen Review. Kosten: CHF 3’000–8’000 einmalig, CHF 1’000–3’000 jährlich.

Option 3: Digitale Datenschutz-Tools mit Beratungsergänzung Software-Tools wie DataGuidance, Usercentrics oder OneTrust bieten Compliance-Management-Funktionen. Kombiniert mit gelegentlicher Beratung bei spezifischen Fragen kann das für kleine KMU ausreichen. Kosten: CHF 500–3’000 pro Jahr für Software.

Auch ohne formellen DSB gilt: Die nDSG-Checkliste für KMU zeigt die Mindestanforderungen, die jedes Unternehmen umsetzen muss.

Datenschutzbeauftragter und Cybersecurity: Warum die Verbindung entscheidend ist

«Der grösste Fehler, den ein Datenschutzbeauftragter machen kann, ist, Datenschutz als reines Papier-Compliance-Thema zu behandeln. 80 % aller Datenschutzverletzungen sind technische Sicherheitsvorfälle — Cyberangriffe, Datenlecks, ungesicherte Systeme. Ohne echtes Verständnis der technischen Sicherheitslage ist ein DSB in der Hälfte seiner Arbeit blind.» — Datenschutzexpertin, Swiss Data Managers Forum 2025

Das nDSG verlangt «angemessene technische Massnahmen» — aber was ist angemessen? Der DSB muss das beurteilen können. Dafür braucht er Informationen über den tatsächlichen Sicherheitszustand der IT-Systeme. Regelmässige Sicherheitstests liefern diese Information.

Konkrete Verbindungspunkte DSB und Cybersecurity:

  • DSFA enthält technische Risikobeurteilung: Datenschutz-Folgenabschätzungen müssen technische Risiken bewerten — dafür sind Penetrationstest-Ergebnisse und Schwachstellenscans wertvoll
  • Meldepflicht bei Datenpannen: Der DSB muss beurteilen, ob ein Sicherheitsvorfall meldepflichtig ist — dafür braucht er Informationen vom Security-Team
  • AVV enthält Sicherheitsanforderungen: Auftragsverarbeiterverträge müssen technische Sicherheitsstandards festlegen — der DSB muss wissen, ob diese eingehalten werden
  • Privacy by Design: Der DSB begleitet neue Projekte — dabei müssen Sicherheitsarchitektur-Entscheide gemeinsam mit IT/Security getroffen werden

«Wir empfehlen allen unseren DSB-Kunden, mindestens alle zwei Jahre einen externen Penetrationstest oder ein Red Teaming durchführen zu lassen und uns die Ergebnisse zu übergeben. Das ist die einzige Möglichkeit, die Angemessenheit der technischen Massnahmen nach nDSG wirklich nachzuweisen.» — Externe DSB-Anbieterin, Zürich, 2025

Laut dem EDÖB-Tätigkeitsbericht 2023/2024 betrafen 78 % der gemeldeten Datenschutzverletzungen in der Schweiz technische Sicherheitslücken oder Cyberangriffe — nicht menschliche Fehler oder Prozessmängel.

Praktischer Entscheidungsbaum: Braucht mein KMU einen DSB?

Schritt 1: Unterliegen Sie der EU-DSGVO?

  • Ja (EU-Kunden, EU-Niederlassung) → Schritt 2
  • Nein (nur Schweizer Kunden, kein EU-Bezug) → Schritt 3

Schritt 2 (DSGVO): DSB-Pflicht nach DSGVO?

  • Systematische Überwachung als Kerntätigkeit? → DSB PFLICHT
  • Umfangreiche besondere Datenkategorien als Kerntätigkeit? → DSB PFLICHT
  • Sonstige DSGVO-Verarbeitung? → DSB EMPFOHLEN, nicht Pflicht

Schritt 3 (nDSG): Faktischer Bedarf nach nDSG?

  • Hochsensible Daten (Gesundheit, biometrisch)? → DSB DRINGEND EMPFOHLEN
  • Grosse Datenmengen (100’000+ Personen)? → DSB DRINGEND EMPFOHLEN
  • Enterprise-Kunden, die DSB verlangen? → DSB NOTWENDIG für Vertrag
  • Kleines KMU mit einfacher Datenverarbeitung? → Datenschutz-Verantwortlicher intern + externer Berater bei Bedarf

Eine vollständige Compliance-Übersicht für alle Schweizer Datenschutz- und Sicherheitsanforderungen finden Sie unter Cybersecurity Compliance Schweiz.

Bussgelder: Welche Haftung trägt der DSB selbst?

Ein häufiges Missverständnis: Der DSB haftet in der Schweiz grundsätzlich nicht persönlich für Datenschutzverstösse des Unternehmens. Haftbar sind nach nDSG die verantwortlichen natürlichen Personen im Unternehmen — also Geschäftsführer und andere Verantwortliche. Mehr dazu in unserem Artikel nDSG Bussgeld und Strafen.

Der DSB ist intern für die Beratung verantwortlich — nicht für die Entscheide des Managements. Handelt die Geschäftsführung entgegen dem Rat des DSB und entsteht dadurch ein Datenschutzverstos, haftet die Geschäftsführung, nicht der DSB (sofern dieser seine Beratungsleistung dokumentiert hat).

Das unterstreicht die Wichtigkeit der Dokumentation: Der DSB sollte immer schriftlich festhalten, welche Empfehlungen er gemacht hat — und wie die Geschäftsleitung entschieden hat.

Fazit

Ein Datenschutzbeauftragter ist nach Schweizer nDSG für die meisten KMU nicht gesetzlich zwingend — aber faktisch oft notwendig. Wer EU-Kunden hat, besonders sensitive Daten verarbeitet oder als Vertragsanforderung mit Enterprise-Kunden konfrontiert ist, kommt an einem DSB oder einer gleichwertigen Funktion kaum vorbei.

Der pragmatische Ansatz für die meisten Schweizer KMU: ein externer DSB für CHF 500–2’000 pro Monat, kombiniert mit regelmässigen technischen Sicherheitstests, um die «angemessenen technischen Massnahmen» nach nDSG nachzuweisen.

Datenschutz ist kein reines Rechtsproblem — er beginnt bei der technischen Sicherheit Ihrer Systeme. Professionelles Red Teaming gibt Ihnen und Ihrem DSB die konkrete Grundlage, um die technische Angemessenheit Ihrer Schutzmassnahmen zu dokumentieren und im Ernstfall nachzuweisen.

Red Teaming-Engagements für Schweizer KMU: ab CHF 11’900 — inklusive Dokumentation, die Ihr DSB für die Compliance-Nachweise nutzen kann.