Incognify
AnmeldenKostenlos testen
Alle Beiträge
Recht 25. Juni 2026 8 Min. Lesezeit

nDSG vs. DSGVO: Was Sozialwerke in der Schweiz wirklich unterscheiden müssen

nDSG vs. DSGVO: Was Sozialwerke in der Schweiz wirklich unterscheiden müssen

Wer in der Schweiz Cloud-KI wie ChatGPT, Claude oder Gemini einsetzt, stösst schnell auf die Frage nDSG vs DSGVO: Welches Datenschutzgesetz gilt eigentlich — das revidierte Schweizer Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023), die EU-Datenschutz-Grundverordnung (DSGVO) oder beides? Für viele Unternehmen lautet die Antwort: beide gleichzeitig, dazu in Österreich noch das nationale DSG AT.

Dieser Artikel vergleicht die drei Rechtsräume Punkt für Punkt — Anwendungsbereich, besonders schützenswerte Personendaten, Bearbeitungsverzeichnis, Meldepflicht bei Datensicherheitsverletzungen, Bussen, Datenschutz-Folgenabschätzung und Auftragsbearbeitung. Und er zeigt, warum eine konsequente Anonymisierung der einfachste Weg ist, Cloud-KI in der Schweiz, Deutschland und Österreich rechtskonform zu nutzen.

Anwendungsbereich: Warum das Marktortprinzip nDSG vs DSGVO verzahnt

Der vielleicht grösste Irrtum lautet: «Wir sind ein Schweizer Unternehmen, also gilt für uns nur das Schweizer Recht.» Das stimmt so nicht. Sowohl das nDSG als auch die DSGVO kennen ein Marktortprinzip — entscheidend ist nicht der Sitz des Unternehmens, sondern die Wirkung der Datenbearbeitung. Wer Personen in der EU Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, fällt unter die DSGVO, auch wenn das Unternehmen in Zürich oder Bern sitzt.

Umgekehrt erfasst das revidierte Schweizer DSG nach Art. 3 Abs. 1 nDSG Sachverhalte, die sich in der Schweiz auswirken — selbst wenn sie im Ausland veranlasst werden. Ein deutsches Unternehmen, das Schweizer Kundinnen und Kunden bearbeitet, kann damit gleichzeitig der DSGVO und dem nDSG unterliegen. In Österreich tritt das nationale DSG AT als Ergänzung zur DSGVO hinzu und regelt nationale Spezialfragen wie Bildverarbeitung, Verein und Aufsicht.

Rechtliche Grundlage: CH — Art. 3 nDSG (räumlicher Geltungsbereich, Auswirkungsprinzip). DE/EU — Art. 3 DSGVO (Niederlassungs- und Marktortprinzip). AT — DSG AT ergänzt die DSGVO national; Aufsicht ist die Datenschutzbehörde (DSB).

Für Cloud-KI hat das eine unmittelbare Folge: Jede Eingabe in ChatGPT & Co. ist eine Bearbeitung von Personendaten, sobald der Text Namen, Adressen, Krankheitsbilder oder Vertragsdaten enthält. Und weil die meisten KI-Server im Ausland stehen, kommt regelmässig auch noch das Thema Auslandbekanntgabe ins Spiel. Wer hingegen ausschliesslich anonymisierten Text übermittelt, entzieht diese Bearbeitung dem Anwendungsbereich beider Gesetze — dazu später mehr.

Besonders schützenswerte Personendaten

Alle drei Rechtsräume kennen eine verschärfte Kategorie von Daten — nur die Terminologie unterscheidet sich. Das Schweizer nDSG spricht in Art. 5 lit. c von besonders schützenswerten Personendaten, die DSGVO in Art. 9 von besonderen Kategorien personenbezogener Daten. Das DSG AT übernimmt die DSGVO-Definition und ergänzt sie national.

Das nDSG fasst diese Kategorie sogar etwas weiter: Es zählt ausdrücklich auch Daten über verwaltungs- und strafrechtliche Verfolgungen sowie Massnahmen der sozialen Hilfe dazu — Aspekte, die in der DSGVO nicht in identischer Form als besondere Kategorie geführt werden. Wer solche Daten in eine Cloud-KI eingibt, bewegt sich also im sensibelsten Bereich des Datenschutzrechts.

  • Gesundheitsdaten, Diagnosen und Therapieverläufe
  • Religiöse, weltanschauliche, politische und gewerkschaftliche Ansichten
  • Daten über die Intimsphäre und die ethnische Herkunft
  • Biometrische und genetische Daten zur eindeutigen Identifizierung
  • Daten über strafrechtliche oder verwaltungsrechtliche Verfolgungen (im nDSG ausdrücklich erfasst)
  • Daten über Massnahmen der sozialen Hilfe (Schweizer Besonderheit)

Rechtliche Grundlage: CH — Art. 5 lit. c nDSG. DE/EU — Art. 9 DSGVO. AT — Art. 9 DSGVO i.V.m. DSG AT. Für diese Daten gelten erhöhte Anforderungen an Rechtfertigung, Einwilligung und technische Schutzmassnahmen.

Bearbeitungsverzeichnis, DSFA und Auftragsbearbeitung

Verzeichnis der Bearbeitungstätigkeiten

Das nDSG verlangt in Art. 12 ein Verzeichnis der Bearbeitungstätigkeiten. Eine Erleichterung gilt für Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Bearbeitung kein hohes Risiko mit sich bringt. Die DSGVO kennt mit Art. 30 eine sehr ähnliche Pflicht und ebenfalls die 250-Mitarbeitenden-Schwelle — allerdings entfällt die Ausnahme, sobald regelmässig oder besonders sensible Daten bearbeitet werden. In Österreich gilt Art. 30 DSGVO unverändert, ergänzt durch das DSG AT.

Datenschutz-Folgenabschätzung (DSFA)

Bringt eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich, ist vorab eine Datenschutz-Folgenabschätzung nötig — im nDSG in Art. 22, in der DSGVO in Art. 35. Der Einsatz von Cloud-KI auf umfangreichen oder sensiblen Datenbeständen ist ein klassischer Auslöser einer solchen DSFA-Pflicht. Wer hingegen nur anonymisierte Daten verarbeitet, reduziert das Risiko so weit, dass eine DSFA in vielen Fällen entfällt.

Auftragsbearbeitung

Ein Cloud-KI-Anbieter, der Personendaten im Auftrag bearbeitet, ist rechtlich Auftragsbearbeiter (nDSG) bzw. Auftragsverarbeiter (DSGVO). Nötig ist dann ein Vertrag nach Art. 9 nDSG bzw. Art. 28 DSGVO, der Zweck, Umfang und Schutzmassnahmen festlegt. Das DSG AT folgt Art. 28 DSGVO. Genau hier entsteht in der Praxis die grösste Lücke: Viele kostenlose KI-Dienste bieten gar keinen solchen Vertrag an — und schon die Eingabe von Klardaten wird zum Verstoss.

Meldepflicht bei Datensicherheitsverletzungen: 72 Stunden vs. «so rasch als möglich»

Kommt es zu einer Verletzung der Datensicherheit — etwa weil sensible Daten ungewollt in einer Cloud-KI landen oder abfliessen — greifen Meldepflichten. Hier zeigt sich ein interessanter Unterschied in der Frist: Die DSGVO verlangt in Art. 33 eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden. Das nDSG formuliert in Art. 24 weicher: Die Meldung an den EDÖB hat «so rasch als möglich» zu erfolgen — ohne starre Stundenangabe, dafür mit dem Massstab eines hohen Risikos für die betroffenen Personen.

In Österreich gilt die 72-Stunden-Frist der DSGVO unverändert; Meldeadressat ist die Datenschutzbehörde (DSB). In der Praxis sollten Schweizer Unternehmen die Schweizer Formulierung nicht als Entwarnung verstehen: «So rasch als möglich» bedeutet unverzüglich, sobald die Sachlage ausreichend geklärt ist — und wer ohnehin der DSGVO unterliegt, muss die 72 Stunden einhalten.

Rechtliche Grundlage: CH — Art. 24 nDSG, Meldung an den EDÖB «so rasch als möglich». DE/EU — Art. 33 DSGVO, 72 Stunden an die Aufsichtsbehörde. AT — Art. 33 DSGVO, Meldung an die DSB. Hinzu kommt jeweils eine Pflicht, betroffene Personen bei hohem Risiko zu informieren.

Bussen: persönliche Verantwortung in der Schweiz, Unternehmensbussen in der EU

Beim Sanktionsregime trennen sich die Wege im Vergleich nDSG vs DSGVO am deutlichsten. Das Schweizer nDSG sanktioniert in Art. 60 ff. natürliche Personen — also die verantwortliche Person im Unternehmen — mit Bussen bis zu CHF 250'000. Nicht das Unternehmen als solches steht primär im Fokus, sondern die handelnde oder verantwortliche Einzelperson. Das macht Geschäftsleitung und Datenschutzverantwortliche persönlich angreifbar.

Die DSGVO zielt umgekehrt auf das Unternehmen: Bussgelder reichen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 DSGVO). In Österreich verhängt die Datenschutzbehörde (DSB) Bussgelder nach demselben DSGVO-Rahmen. Die Schweizer Beträge wirken auf den ersten Blick niedriger — die persönliche Haftung macht sie für die Verantwortlichen aber spürbar.

KriteriumSchweiz (nDSG)Deutschland / EU (DSGVO)Österreich (DSG AT)
In Kraft seit1. September 202325. Mai 2018DSG AT seit 2018 (mit DSGVO)
AnwendungsbereichAuswirkungsprinzip (Art. 3)Marktort-/Niederlassung (Art. 3)DSGVO + nationale Ergänzung
AufsichtEDÖBLandes-/BundesbehördenDatenschutzbehörde (DSB)
Sensible DatenArt. 5 lit. c (weiter gefasst)Art. 9 DSGVOArt. 9 DSGVO + DSG AT
Meldepflicht«So rasch als möglich»72 Stunden72 Stunden
DSFA-PflichtArt. 22 (hohes Risiko)Art. 35 (hohes Risiko)Art. 35 DSGVO
BussenBis CHF 250'000 gegen PersonenBis 20 Mio. EUR / 4 % UmsatzBis 20 Mio. EUR / 4 % Umsatz
Adressat der BusseNatürliche PersonUnternehmenUnternehmen

Was das konkret für Cloud-KI bedeutet

Fasst man die Unterschiede zusammen, ergibt sich für die Praxis ein klares Bild: Sobald Klardaten in eine Cloud-KI fliessen, lösen Sie potenziell sämtliche der oben beschriebenen Pflichten gleichzeitig aus — Rechtsgrundlage, Auftragsbearbeitungsvertrag, Verzeichnis, eventuell eine DSFA, Regeln zur Auslandbekanntgabe und im Schadensfall die Meldepflicht. In der Schweiz haftet dafür im Zweifel eine natürliche Person, in der EU und Österreich das Unternehmen mit empfindlichen Bussgeldern.

  • Jede Texteingabe mit Personenbezug ist eine meldepflichtige Datenbearbeitung im Sinne aller drei Gesetze.
  • KI-Server im Ausland lösen zusätzlich die Regeln zur Auslandbekanntgabe bzw. Drittlandübermittlung aus.
  • Kostenlose KI-Dienste bieten oft keinen Auftragsbearbeitungsvertrag — die Nutzung wird damit schnell unzulässig.
  • Besonders schützenswerte Daten (Gesundheit, Soziales, Strafverfahren) verschärfen die Anforderungen massiv.

Der entscheidende Hebel: Wenn die Eingabe keine Personendaten mehr enthält, greifen nDSG, DSGVO und DSG AT nicht. Genau hier setzt eine konsequente Anonymisierung an — sie verschiebt die Cloud-KI-Nutzung aus dem regulierten Bereich heraus.

Wie Anonymisierung in allen drei Rechtsräumen entlastet

Anonymisierte Daten sind keine Personendaten mehr. Damit fallen sie weder unter das nDSG noch unter die DSGVO oder das DSG AT — eine Aussage, die in allen drei Rechtsräumen gleichermassen gilt. Wer also vor jeder KI-Eingabe alle persönlichen Daten zuverlässig entfernt, muss sich um Rechtsgrundlage, DSFA, Auftragsbearbeitung und Meldepflichten in diesem Schritt nicht mehr sorgen. Anonymisierung ist dabei nicht der Selbstzweck, sondern das Mittel, das den rechtskonformen Einsatz von Cloud-KI erst ermöglicht.

Genau das ist die Idee hinter Incognify: die Symbiose aus Datenschutzrecht und Cloud-KI. Vor der Übermittlung an ChatGPT, Claude oder Gemini erkennt das System Namen, Adressen, Geburtsdaten, IBAN, Diagnosen und weitere sensible Daten automatisch und ersetzt sie durch neutrale Platzhalter. Diese kontextbasierte, KI-gestützte Anonymisierung läuft so, dass die Originaldaten Ihr Unternehmen nicht verlassen. Die Details dazu finden Sie unter So funktioniert Incognify im Detail und im Compliance-Überblick für CH, DE und AT.

Wichtig ist dabei die Abgrenzung zur blossen Pseudonymisierung — denn nur eine echte, irreversible Anonymisierung entzieht die Daten dem Anwendungsbereich der Gesetze. Warum dieser Unterschied rechtlich über alles entscheidet, lesen Sie im Beitrag Anonymisierung vs. Pseudonymisierung.

Drei Länder, ein Grundsatz: Ob nDSG, DSGVO oder DSG AT — auf wirklich anonymisierte Daten findet keines dieser Gesetze Anwendung. Anonymisierung ist damit die wirksamste und zugleich einfachste Massnahme, um Cloud-KI in der Schweiz, Deutschland und Österreich rechtssicher zu nutzen.

Mit Incognify rechtssicher über alle drei Rechtsräume

Ob Sie dem nDSG, der DSGVO oder dem österreichischen DSG AT unterliegen — Incognify anonymisiert Personendaten automatisch, bevor sie an eine Cloud-KI gehen. So nutzen Sie ChatGPT, Claude und Gemini rechtskonform, ohne persönliche Haftung und ohne Bussgeldrisiko. So funktioniert Incognify oder direkt zum Compliance-Überblick.

Quellen: fedlex.admin.ch — Datenschutzgesetz (nDSG), gesetze-im-internet.de — BDSG, eur-lex.europa.eu — DSGVO, ris.bka.gv.at — DSG AT.

Häufige Fragen

Gilt für Schweizer Unternehmen das nDSG oder die DSGVO?
Oft beide. Das nDSG greift über das Auswirkungsprinzip bei Sachverhalten in der Schweiz, die DSGVO über das Marktortprinzip, sobald Sie Personen in der EU bearbeiten. In Österreich kommt das DSG AT als Ergänzung hinzu. Massgeblich ist die Wirkung der Datenbearbeitung, nicht der Firmensitz.
Wie unterscheiden sich die Meldefristen bei Datenpannen?
Die DSGVO verlangt eine Meldung innerhalb von 72 Stunden an die Aufsichtsbehörde, in Österreich an die DSB. Das Schweizer nDSG fordert eine Meldung an den EDÖB «so rasch als möglich», ohne starre Frist. Wer beiden Regimen unterliegt, sollte sich an den strengeren 72 Stunden orientieren.
Wie hoch sind die Bussen im Vergleich nDSG vs DSGVO?
Das nDSG sanktioniert natürliche Personen mit Bussen bis CHF 250'000, also die Verantwortlichen persönlich. Die DSGVO zielt auf Unternehmen mit Bussgeldern bis 20 Mio. EUR oder 4 % des Jahresumsatzes. In Österreich verhängt die DSB Bussgelder im selben DSGVO-Rahmen.
Brauche ich für Cloud-KI eine Datenschutz-Folgenabschätzung?
Bei hohem Risiko ja, sowohl nach Art. 22 nDSG als auch nach Art. 35 DSGVO und im DSG AT. Umfangreiche oder sensible Datenbestände in einer Cloud-KI sind ein klassischer Auslöser. Wer nur anonymisierte Daten verarbeitet, senkt das Risiko meist so weit, dass eine DSFA entfällt.
Befreit Anonymisierung wirklich von nDSG, DSGVO und DSG AT?
Ja. Wirklich anonymisierte Daten sind keine Personendaten mehr und fallen damit aus dem Anwendungsbereich aller drei Gesetze. Voraussetzung ist eine irreversible Anonymisierung, nicht nur eine Pseudonymisierung. Das macht Anonymisierung zur wirksamsten Massnahme für rechtskonforme Cloud-KI in CH, DE und AT.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.