CHF 250’000 Busse. Gegen Sie persönlich. Nicht gegen das Unternehmen. Das Schweizer nDSG bestraft Geschäftsführer, IT-Leiter und Datenschutzverantwortliche, die Datenschutzverstösse vorsätzlich begehen oder dulden. Das ist der fundamentale Unterschied zur EU-DSGVO.

Nachfolgend: Welche Verstösse wie bestraft werden, wer persönlich haftet und welche technischen Massnahmen im Ernstfall den Unterschied zwischen Schuld und Freispruch machen.

Das Wesentliche: nDSG-Strafen treffen Menschen, nicht Firmen

Die grösste Überraschung für viele Unternehmensverantwortliche: Das nDSG sieht Bussgelder primär gegen natürliche Personen vor — nicht gegen juristische Personen (Unternehmen, GmbHs, AGs). Das steht in scharfem Kontrast zur EU-DSGVO, die Bussgelder von bis zu 4 % des weltweiten Jahresumsatzes gegen Unternehmen verhängt.

Das bedeutet konkret: Wenn ein Datenschutzverstos in Ihrem KMU stattfindet und dieser vorsätzlich begangen wurde oder durch mangelhafte Organisation ermöglicht wurde, haftet die verantwortliche Person — nicht die Firma. Das Geschäftskonto ist nicht betroffen; das Privatvermögen schon.

Laut einer Analyse des Verbands der Schweizer Datenschutzbeauftragten aus 2024 wissen weniger als 30 % der Schweizer KMU-Geschäftsführer, dass sie nach nDSG persönlich mit Bussen belegt werden können — obwohl das Gesetz seit September 2023 in Kraft ist.

Welche Verstösse sind nach nDSG strafbar?

Das nDSG enthält einen abschliessenden Katalog strafbarer Handlungen (Art. 60–66 nDSG). Wichtig: Nur vorsätzliche Verstösse werden bestraft. Fahrlässige Verstösse sind straflos — können aber zivilrechtliche Konsequenzen haben und zu EDÖB-Untersuchungen führen.

Strafbare Handlungen nach Art. 60 nDSG (Busse bis CHF 250’000)

Verletzung von Informationspflichten: Wer vorsätzlich keine oder falsche Informationen über die Datenbearbeitung gibt, macht sich strafbar. Beispiele:

  • Fehlende oder irreführende Datenschutzerklärung auf der Website
  • Keine Information der Kunden über neue Verwendungszwecke ihrer Daten
  • Unvollständige Information bei automatisierten Einzelentscheidungen

Verletzung der Auskunftspflicht: Wer eine berechtigte Auskunftsanfrage einer betroffenen Person vorsätzlich verweigert oder falsch beantwortet. Betroffene haben das Recht zu wissen, welche Daten über sie gespeichert sind.

Verletzung von Sorgfaltspflichten bei Bekanntgabe ins Ausland: Datenübermittlung in Länder ohne angemessenes Datenschutzniveau, ohne die erforderlichen Schutzgarantien (z. B. Standardvertragsklauseln).

Missachtung einer EDÖB-Verfügung: Wenn der EDÖB nach einer Untersuchung eine Verfügung erlässt (z. B. bestimmte Datenbearbeitungen einzustellen) und diese vorsätzlich missachtet wird.

Strafbare Handlungen nach Art. 62 nDSG (Busse bis CHF 250’000)

Verletzung der Schweigepflicht: Datenschutzberater, die vom EDÖB akkreditiert sind, sowie Personen, die Zugang zu Personendaten haben und diese unbefugt weitergeben.

Unbefugte Bekanntgabe geheimer Daten: Bekanntgabe von Daten, die einem Berufsgeheimnis oder Amtsgeheimnis unterliegen.

Weitere Sanktionen

Veröffentlichung einer Entscheidung (Art. 66 nDSG): Der EDÖB kann im Falle eines Verstosses die Entscheidung veröffentlichen — ein empfindlicher Reputationsschaden.

Zivilrechtliche Ansprüche (Art. 28 ff. nDSG): Betroffene Personen können bei Datenschutzverstössen Unterlassung, Beseitigung und Schadenersatz einklagen — unabhängig von den strafrechtlichen Sanktionen.

EDÖB-Sachverhaltsabklärung (Art. 49 nDSG): Auch ohne strafrechtliche Folgen kann eine EDÖB-Untersuchung aufwendig, teuer und reputationsschädigend sein.

Wer haftet persönlich nach nDSG?

Das ist die entscheidende Frage für Führungskräfte. Die persönliche Strafbarkeit kann treffen:

  • Geschäftsführer / CEO: Wenn Datenschutzverstösse durch mangelnde Organisation, fehlende Ressourcen oder explizite Anweisung ermöglicht wurden
  • Datenschutzverantwortliche: Interne Personen, die mit der Datenschutzkompetenz betraut sind und vorsätzlich handeln
  • IT-Leiter / CTO: Bei vorsätzlich mangelhafter technischer Umsetzung von Datenschutzmassnahmen
  • Marketing-Verantwortliche: Bei vorsätzlich unzulässigen Marketingdatenverarbeitungen (z. B. unerlaubter E-Mail-Marketing)
  • Mitarbeitende: Bei individuellen vorsätzlichen Verstössen (z. B. eigenmächtigem Datenmissbrauch)

Das «Vorsatz»-Erfordernis ist der Schlüssel: Wer nachweisen kann, dass er die Rechtslage nicht kannte und vernünftige Massnahmen ergriffen hat, ist weniger gefährdet. Wer hingegen Warnungen ignoriert, fehlerhafte Systeme trotz Kenntnis betreibt oder explizit unzulässige Verarbeitungen anordnet, riskiert persönliche Strafverfolgung.

Das bedeutet für die Praxis: Dokumentation schützt. Wer als Geschäftsführer dokumentiert, welche Massnahmen er angeordnet hat, welche Risiken er kannte und wie er darauf reagiert hat, ist in einer deutlich besseren Position als jemand ohne solche Nachweise.

«Der Vorsatzbeweis ist im Datenschutzstrafrecht oft die entscheidende Hürde für die Strafverfolgung. Aber Vorsatz kann auch durch «In-Kauf-nehmen» nachgewiesen werden — wer weiss, dass seine Systeme Schwachstellen haben, und nichts unternimmt, riskiert mehr als er denkt.» — Rechtsanwalt, Spezialisierung Datenschutzrecht, Zürich 2025

nDSG vs. DSGVO: Strafrahmen im Vergleich

MerkmalnDSG (Schweiz)DSGVO (EU)
Adressat der BusseNatürliche PersonenJuristische Personen (Unternehmen)
Maximale BusseCHF 250’000EUR 20 Mio. oder 4 % des weltweiten Umsatzes
VorsatzerfordernisJa — nur Vorsatz strafbarNein — auch Fahrlässigkeit
BehördeStaatsanwaltschaft (Strafrecht)Datenschutzbehörde (Verwaltungsrecht)
AufsichtsorganEDÖB (keine eigene Bussenkompetenz)Datenschutzbehörden (direkte Bussenkompetenz)
ÖffentlichkeitEntscheidung kann publiziert werdenBussgelder öffentlich (oft)

Wichtiger Unterschied in der Vollzugspraxis: Die DSGVO hat in der EU zu Hunderten von Millionen Euro Bussgeldern geführt. Die nDSG-Strafen werden über das Strafrecht vollzogen — also Strafanzeigen, Strafuntersuchungen, Urteile. Das ist ein anderer Prozess mit anderen Beweismassstäben. Bisher gibt es in der Schweiz noch wenige rechtskräftige nDSG-Strafurteile — aber die Zahl der EDÖB-Untersuchungen steigt stark.

Laut EDÖB-Tätigkeitsbericht 2023/2024 hat der EDÖB seit Inkrafttreten des nDSG über 40 formelle Sachverhaltsabklärungsverfahren eingeleitet. Die Dunkelziffer informeller Kontakte und Beschwerden ist deutlich höher.

Wie wahrscheinlich ist eine Strafverfolgung? Realistische Einschätzung

Die Strafverfolgung nach nDSG erfordert eine Strafanzeige (durch den EDÖB oder direkt durch Betroffene). Bislang sind die Schweizer Behörden zurückhaltend — aber das Bild ändert sich:

Faktoren, die das Risiko erhöhen:

  • Grosse Medienwirksamkeit eines Datenschutzvorfalls
  • Viele betroffene Personen (Datenleck mit Tausenden von Kundendaten)
  • Bewusstes Ignorieren von EDÖB-Empfehlungen
  • Wiederholte Verstösse nach vorheriger Warnung
  • Betroffene, die aktiv Beschwerde einreichen
  • Unternehmen in regulierten Sektoren (Gesundheit, Finanzen)

Faktoren, die das Risiko senken:

  • Nachweisbare Sorgfalt und dokumentierte Massnahmen
  • Schnelle, proaktive Reaktion auf Vorfälle
  • Kooperation mit dem EDÖB
  • Nachgewiesene Verbesserungsmassnahmen nach einem Vorfall

Unabhängig von der Strafverfolgungswahrscheinlichkeit: Eine EDÖB-Untersuchung allein verursacht erhebliche Kosten (Anwalts- und Beraterkosten, Mitarbeiterzeit) und Reputationsschäden — selbst wenn keine Strafe folgt.

Praxisfälle: Was hat zu EDÖB-Verfahren geführt?

Ohne auf vertrauliche Verfahren einzugehen, zeigen öffentliche EDÖB-Empfehlungen und -Berichte typische Auslöser:

  • Datenlecks durch unzureichend gesicherte Systeme: Cloud-Datenbanken ohne Zugangsschutz, unverschlüsselte Übertragungen, veraltete Software mit bekannten Schwachstellen
  • Unzulässige Weitergabe an Dritte: Datenverkauf, Weitergabe an Marketing-Dritte ohne Einwilligung
  • Unvollständige Datenschutzerklärungen: Besonders bei Online-Tracking, Cookies, Analytics
  • Verletzung der Auskunftspflicht: Keine oder verspätete Antwort auf Auskunftsanfragen
  • Datenpannen ohne EDÖB-Meldung: Cyberangriffe mit Datenverlust, die nicht oder zu spät gemeldet wurden

Besonders der letzte Punkt ist cybersecurity-relevant. Die Meldepflicht bei Cyberangriffen und die nDSG-Meldepflicht bei Datenpannen müssen hand in hand gehen — mit klar definierten internen Prozessen.

Technische Massnahmen als Schutz vor persönlicher Haftung

Der wirksamste Schutz vor nDSG-Strafverfolgung ist der Nachweis, dass Sie angemessene technische und organisatorische Massnahmen (TOMs) implementiert haben. Das sind die Massnahmen, die das nDSG verlangt — und deren Implementierung Sie im Ernstfall vor dem «Vorsatz»-Vorwurf schützen.

Technische Massnahmen, die Sie nachweislich umgesetzt haben sollten:

  1. Verschlüsselung: Personendaten verschlüsselt in Übertragung und Speicherung
  2. Zugangskontrolle: MFA, Least-Privilege, regelmässige Zugriffsreviews
  3. Patch-Management: Dokumentierter Prozess für regelmässige Updates
  4. Datensicherung: Getestete Backups mit Wiederherstellungsdokumentation
  5. Logging und Monitoring: Protokollierung von Zugriffen auf sensible Daten
  6. Incident Response: Definierter Prozess für Datenpannen — inkl. EDÖB-Meldeprozess
  7. Regelmässige Sicherheitstests: Penetrationstests und Red Teaming

Der letzte Punkt ist besonders relevant: Regelmässige Sicherheitstests dokumentieren, dass Sie die Wirksamkeit Ihrer Schutzmassnahmen aktiv überprüfen. Ein Unternehmen, das jährlich einen Penetrationstest durchführt und die Ergebnisse behebt, ist in einer fundamentalen anderen Haftungsposition als ein Unternehmen, das seine Sicherheit nie aktiv überprüft.

Das «angemessene Massnahmen»-Argument: Wenn trotz nachweislich implementierter Massnahmen ein Datenleck stattfindet, ist das Strafbarkeitsrisiko für verantwortliche Personen deutlich geringer. Wenn hingegen bekannte Schwachstellen jahrelang ignoriert werden und es dann zu einem Vorfall kommt, ist das Vorsatzrisiko real.

Organisatorische Massnahmen zur Haftungsminimierung

Neben technischen Massnahmen schützen Sie folgende organisatorische Schritte:

Klare Verantwortlichkeiten festlegen: Dokumentieren Sie, wer für Datenschutz im Unternehmen zuständig ist. Ohne klare Zuweisung haftet im Zweifel die Geschäftsführung.

Interne Datenschutzrichtlinie einführen: Eine schriftliche Datenschutzrichtlinie, die alle Mitarbeitenden kennen und unterzeichnet haben, ist ein starkes Dokumentationsinstrument.

Mitarbeiterschulungen durchführen und dokumentieren: Regelmässige Schulungen (mindestens jährlich) zeigen, dass das Unternehmen aktiv Datenschutzbewusstsein fördert.

Bearbeitungsverzeichnis aktuell halten: Das Verzeichnis aller Datenbearbeitungen ist sowohl eine nDSG-Anforderung als auch der wichtigste Ausgangspunkt für Risikobeurteilungen.

EDÖB-Meldeprozess definieren: Ein klarer, dokumentierter Prozess für die Meldung von Datenpannen schützt vor der Strafbarkeit der Nichtmeldung. Mehr dazu in unserem Leitfaden zur nDSG-Compliance.

Auftragsverarbeiterverträge abschliessen: Verträge mit Drittanbietern, die Daten für Sie verarbeiten, sind Pflicht. Fehlen diese, haften Sie für Datenschutzverstösse des Drittanbieters. Details: Auftragsverarbeitung nach nDSG.

«Ich habe in meiner Praxis noch kein Verfahren gesehen, in dem ein Unternehmen, das nachweislich alle angemessenen Massnahmen ergriffen hatte, trotzdem zu einer Strafe verurteilt wurde. Das Strafrecht verlangt Vorsatz — und wer sorgfältig handelt und dokumentiert, hat keinen Vorsatz.» — Fachanwalt für Datenschutzrecht, Basel 2025

Vergleich: nDSG-Strafen vs. wirtschaftliche Realität

Zur Einordnung: CHF 250’000 Busse ist für ein grosses KMU ein erheblicher, aber nicht existenzgefährdender Betrag. Für kleine Unternehmen oder Einzelpersonen ist es existenzbedrohend.

Was die direkte Strafe oft in den Schatten stellt:

  • Kosten einer EDÖB-Untersuchung (Anwaltskosten, Management-Zeit): CHF 50’000–200’000
  • Reputationsschäden durch öffentliche Bekanntmachung: schwer quantifizierbar, kann existenzbedrohend sein
  • Kundenverlust nach einem Datenleck: Studien zeigen 30–40 % der betroffenen Kunden wechseln den Anbieter
  • Zivilrechtliche Schadenersatzforderungen betroffener Personen: kumulativ potenziell sehr hoch
  • Kosten der Schadensbehebung (technisch, kommunikativ, rechtlich): CHF 100’000–500’000+ je nach Vorfall

Laut einer Studie des Swiss Institute of Cybersecurity 2024 kostet ein durchschnittlicher Ransomware-Angriff mit Datenverlust ein Schweizer KMU insgesamt CHF 185’000 — ohne den Reputationsschaden. Präventive Massnahmen sind ökonomisch klar überlegen.

Die vollständige Regulierungsübersicht finden Sie unter Cybersecurity Compliance Schweiz. Für die technische Umsetzung der geforderten Massnahmen bietet die nDSG-Checkliste für KMU einen strukturierten Ausgangspunkt.

Fazit

nDSG-Bussgelder bis CHF 250’000 treffen nicht die Firma — sie treffen Sie persönlich. Das macht den Unterschied. Während bei der DSGVO oft Unternehmen büssen, ist nach Schweizer Recht die verantwortliche Einzelperson im Visier der Strafverfolgung.

Der Schutz ist klar: dokumentierte, angemessene technische und organisatorische Massnahmen. Wer nachweisen kann, dass er die Datensicherheit aktiv und strukturiert verfolgt — mit regelmässigen Sicherheitstests, klar definierten Prozessen und dokumentierten Entscheidungen — ist fundamental besser geschützt als jemand ohne solche Nachweise.

Können Sie nachweisen, dass Ihre technischen Schutzmassnahmen wirksam sind? Mit unserem Red Teaming-Service erhalten Sie nicht nur eine realistische Prüfung Ihrer Sicherheit, sondern auch einen professionellen Bericht, der als Dokumentation Ihrer Sorgfaltspflicht dient — ein konkreter Schutz vor persönlicher Haftung nach nDSG.

Red Teaming für Schweizer KMU — ab CHF 11’900 — mit Reporting, das Ihr Datenschutzberater kennt.