revDSG 18 Monate später — welche Schweizer IT-Teams ihre Hausaufgaben gemacht haben
Das überarbeitete Datenschutzgesetz ist seit September 2023 in Kraft. Die Realität in Schweizer KMU-IT-Abteilungen: Unterschiedlich gründlich, aber zunehmend sauber.
1 Quelle
Das revidierte Datenschutzgesetz (revDSG) ist seit 1. September 2023 in Kraft. Eineinhalb Jahre nach dem Stichtag zeigen Reports des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) und Erfahrungen aus der IT-Praxis ein gemischtes Bild: Die grossen Unternehmen sind durch, die kleinen aufgewacht — aber Lücken bleiben.
Was in KMU tatsächlich umgesetzt ist
Verzeichnis der Bearbeitungstätigkeiten: bei geschätzt 60 Prozent der befragten Schweizer KMU vorhanden, bei 40 Prozent regelmässig gepflegt. Datenschutz-Folgenabschätzungen für neue Tools: 35 Prozent machen sie standardmässig, 65 Prozent nur auf Aufforderung. Vertragliche Regelung mit Auftragsbearbeitern (Art. 9 revDSG): meist ad-hoc, wenn ein grosses Projekt läuft.
Die Copilot-Falle
Der häufigste Compliance-Fehler 2025/2026 ist nicht ein grosser Vorfall, sondern der schnelle Rollout von Copilot ohne explizite Datenschutz-Prüfung. Nutzer geben in Prompts Kundennamen ein, Copilot zieht dafür interne Dokumente heran — und niemand hat im DPA des Microsoft 365 Copilot den Datenflux geprüft. Technisch läuft alles in EU-/Schweizer-Rechenzentren; rechtlich bleibt die Dokumentationspflicht bei der Organisation.