Die Struktur des revDSG im Jahr 2026

Das revDSG ersetzte das schweizerische Datenschutzregime von 1992 durch einen Rahmen, der in den meisten Betriebsaspekten eng der DSGVO folgt und dabei eine Handvoll dezidiert schweizerischer Positionen beibehält. Die revidierte Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen, beide in Kraft neben dem revDSG, füllen die betrieblichen Einzelheiten aus.

Was die Revision änderte

Die Revision führte ein: Pflicht zur Meldung von Datenschutzverletzungen an den FDPIC, Pflicht zur Führung eines Bearbeitungsverzeichnisses für die meisten Verantwortlichen, Datenschutz-Folgenabschätzungen für hochriskante Bearbeitungen, einen echten extraterritorialen Anwendungsbereich ähnlich Art. 3 Abs. 2 DSGVO, gestärkte Rechte der betroffenen Personen und eine strafrechtliche Haftungsgarantie, die für Einzelpersonen gilt und nicht nur für die verantwortliche Organisation. Die Definition personenbezogener Daten, die Grundlagen der rechtmässigen Bearbeitung und die Struktur der Betroffenenrechte sind alle eng auf die DSGVO abgestimmt, was die Schweizer Compliance für Verlage, die bereits ein DSGVO-Programm betreiben, erheblich vereinfacht — aber nicht eliminiert.

Wer reguliert wird

Das revDSG gilt für die Bearbeitung von Daten in der Schweiz und für Bearbeitungen ausserhalb der Schweiz, die Personen in der Schweiz betreffen. Ausländische Verlage, die Schweizer Traffic über lokalisierte Websites, eine .ch-Domain, auf Schweizer Publikum ausgerichtete deutsch-französisch-italienisch-rätoromanische Inhalte oder programmatische Inventare bedienen, die gegen Schweizer IP-Adressen eingekauft wurden, fallen typischerweise in den Anwendungsbereich, und der FDPIC hat die extraterritoriale Auslegung in seinen Leitlinienaktualisierungen von 2025 bestätigt.

Verwaltungsbussen und strafrechtliche Garantie

Die am meisten diskutierte Abweichung des revDSG von der DSGVO ist, dass seine Sanktionsarchitektur primär strafrechtlicher und nicht verwaltungsrechtlicher Natur ist. Individuelle Bussen — typischerweise gegen die verantwortlichen natürlichen Personen wie Direktoren, Datenschutzbeauftragte oder Compliance-Verantwortliche — können bei vorsätzlichen Verstössen pro Verletzung bis zu CHF 250.000 erreichen, mit paralleler strafrechtlicher Haftung für das gravierendste Verhalten. Der Höchstbetrag liegt in absoluten Zahlen unter dem Vier-Prozent-des-Umsatzes-Deckel der DSGVO, aber die Ausrichtung der Haftung — auf die genannte Einzelperson und nicht nur auf die Organisation — verändert die Risikoabwägung in der Praxis. Mehrere Verlage haben 2025 interne Freigabe-Workflows gezielt umstrukturiert, um die Belastung zu verteilen.

Was als Personendaten nach dem revDSG gilt

Die Definition von Personendaten im revDSG folgt eng der DSGVO. Personendaten sind Angaben über eine bestimmte oder bestimmbare Person, und der FDPIC hat Cookies, Werbe-IDs, IP-Adressen, Geräte-Fingerprints und Verhaltensprofile durchgehend als Personendaten behandelt, wenn sie direkt oder durch Kombination mit anderen Angaben einer Person zugeordnet werden können.

Besonders schützenswerte Personendaten

Das revDSG bezeichnet eine Kategorie als besonders schützenswerte Personendaten, die etwas breiter ist als die besonderen Kategorien der DSGVO. Sie umfasst: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten und Tätigkeiten, Gesundheitsdaten, Daten über die Intimsphäre oder die rassische bzw. ethnische Herkunft, genetische und biometrische Daten, die eine Person eindeutig identifizieren, Daten über administrative und strafrechtliche Verfahren oder Sanktionen sowie Daten über Sozialhilfemassnahmen. Die Bearbeitung besonders schützenswerter Personendaten löst erhöhte Einwilligungs- und Transparenzanforderungen aus.

Warum das für Cookies relevant ist

Ein Cookie, das eine routinemässige Werbe-ID speichert, enthält gewöhnliche Personendaten. Ein Cookie, das ein Zielgruppensegment speist, das die besonders schützenswerte Liste berührt — Gesundheitsinteressen, politische Neigungen, religiöse Zugehörigkeit — enthält besonders schützenswerte Personendaten und erfordert eine ausdrückliche Einwilligung, getrennt vom allgemeinen Werbeeinwilligungsfluss. Schweizersprachiges Audience-Targeting, das diese Liste überschneidet, sollte gezielt im Hinblick auf die Grenze geprüft werden, die etwas anders gezogen ist als die Sonderkateg orienlinie der DSGVO.

Cookie-Einwilligung nach dem revDSG im Jahr 2026

Das revDSG erlaubt mehrere Rechtsgrundlagen für die Bearbeitung, und anders als die ePrivacy-Richtlinie in EU-Mitgliedstaaten legt das Schweizer Recht keine gesetzliche Einwilligungspflicht als Baseline für nicht-essentielle Cookies fest. In der Praxis haben die Leitlinien des FDPIC von 2024 und 2025 und die jüngsten Durchsetzungsentscheide jedoch zu einer Position konvergiert, die der EU-Baseline für mit Werbung, Analytik und kontextübergreifendem Profiling verknüpfte Cookies sehr nahesteht.

Die Betriebsposition des FDPIC

Die veröffentlichte Position des FDPIC ist, dass nicht-essentielle Cookies — einschliesslich Werbung, Retargeting, seitenübergreifende Analytik und Personalisierung — eine vorherige, informierte, freiwillig erteilte und spezifische Einwilligung erfordern, die vor dem Setzen des Cookies eingeholt wird. Unbedingt erforderliche Cookies und Cookies, die eine vom Nutzer ausdrücklich angeforderte Dienstleistung unterstützen, können auf Grundlage des berechtigten Interesses oder auf Grundlage der Vertragserfüllung ohne vorherige Einwilligungsaufforderung gesetzt werden, doch liegt die Beweislast für die Klassifizierung eines Cookies als unbedingt erforderlich beim Verantwortlichen und wurde in mehreren Beschwerden im Jahr 2025 angefochten.

Die Elemente einer gültigen Einwilligung

Die Einwilligung nach dem revDSG muss:

• Freiwillig erteilt worden sein — ohne Zwang, Kopplung mit der Erbringung wesentlicher Dienste oder eine Cookie-Mauer, die den Zugang zu Kerninhalten vom Akzeptieren nicht-essentieller Cookies abhängig macht
• Informiert sein — die betroffene Person versteht, welche Daten bearbeitet werden, von wem, zu welchem Zweck und an welche Empfänger
• Spezifisch sein — an klar identifizierte Bearbeitungszwecke gebunden und nicht eine Sammeleinwilligung
• Eindeutig sein — durch eine klare aktive Handlung ausgedrückt, nicht aus Scrollen, weiterem Surfen oder Inaktivität abgeleitet
• Ausdrücklich sein in Fällen, die besonders schützenswerte Personendaten betreffen, mit einer separaten Einwilligung für die sensible Bearbeitung

Wie ein konformes CMP für Schweizer Traffic aussieht

Ein für die Schweiz konfiguriertes CMP sollte im Jahr 2026 präsentieren:

• Ein Banner in der Sprache des Nutzers — Deutsch, Französisch, Italienisch oder Rätoromanisch — bevor ein nicht-essentielles Cookie gesetzt wird, wobei die Sprachauswahl der Lokalisierung der .ch-Website entspricht und nicht standardmässig Englisch verwendet wird
• Gleichwertige visuelle Prominenz für die Aktionen Akzeptieren, Ablehnen und Einstellungen — die FDPIC-Leitlinien von 2025 kritisieren ausdrücklich Banner-Designs, bei denen Ablehnen optisch gegenüber Akzeptieren zurückgesetzt ist
• Granulare Umschalter pro Zweck: Analytik, Werbung, Personalisierung, grenzüberschreitende Übermittlung und jede besonders schützenswerte Kategorie
• Einen separaten Einwilligungsfluss für jede Bearbeitung besonders schützenswerter Personendaten, der hinter einer eigenen Aktion liegt und nicht in der allgemeinen Einwilligung gebündelt ist
• Einen dauerhaften, leicht auffindbaren Mechanismus zum Widerruf der Einwilligung nach der Erstwahl, mit gleichem Aufwand wie bei der Einwilligungserteilung
• Eine vollständige datenschutzrechtliche Information in Schweizer Landessprache, die Identität des Verantwortlichen, Auftragsbearbeiter, Zwecke, Empfänger, Aufbewahrungsfristen, Übermittlungsmechanismen und den Weg zu den Betroffenenrechten offenlegt

Einwilligungsnachweise

Verantwortliche müssen Nachweise zur Einwilligung führen — wer eingewilligt hat, wann, in welche spezifischen Zwecke und über welche Benutzeroberfläche. Unzureichende Einwilligungsnachweise tauchten 2025 in mehreren Untersuchungsschreiben des FDPIC auf, und zeitgestempelte, exportierbare Protokolle, die für den einschlägigen Verjährungszeitraum aufbewahrt werden, sind die Mindesterwartung.

Grenzüberschreitende Übermittlungen nach der Angemessenheitsanpassung von 2024

Grenzüberschreitende Datenübermittlungen sind der Bereich des revDSG, in dem die Schweizer Position am deutlichsten von der EU-Position abweicht und ihr leicht hinterherhinkt. Die Anpassung von 2024, die auf die Übernahme des EU-US Data Privacy Framework durch die EU folgte, erzeugte ein paralleles Swiss-US Data Privacy Framework, dessen Anwendungsbereich und Bedingungen jedoch nicht identisch sind.

Die anerkannten Übermittlungsmechanismen

Das revDSG und die DSV erkennen mehrere Wege an:

• Angemessenheitsbeschlüsse des Schweizerischen Bundesrats für Länder, die als angemessenes Schutzniveau bietend bewertet werden — die aktuelle Liste umfasst den EEA, das Vereinigte Königreich und eine Handvoll weiterer Jurisdiktionen
• Das Swiss-US Data Privacy Framework für Übermittlungen an US-Organisationen, die sich nach dem Rahmen selbst zertifiziert haben, der nach 2024 den Swiss-US Privacy Shield ablöste
• Standardvertragsklauseln (SCC), die vom FDPIC anerkannt werden, einschliesslich der EU-SCC mit einem Schweizer Addendum, das der FDPIC veröffentlicht hat
• Verbindliche interne Datenschutzvorschriften (BCR), die vom FDPIC genehmigt wurden
• Spezifische Ausnahmen einschliesslich ausdrücklicher Einwilligung mit angemessener Offenlegung, Vertragsnotwendigkeit, lebenswichtigen Interessen und erheblichen öffentlichen Interessen

Das Swiss-US DPF in der Praxis

Das Swiss-US DPF deckt Übermittlungen an US-Organisationen ab, die sich selbst zertifiziert haben und ihre Zertifizierung aufrechterhalten. Verlage sollten den aktiven Zertifizierungsstatus jedes US-amerikanischen Adtech- oder Analytik-Anbieters in der DPF-Liste prüfen, anstatt sich auf eine einmalige Kontrolle zu verlassen, weil abgelaufene Zertifizierungen frühere Übermittlungen nicht rückwirkend ungültig machen, aber für laufende Datenflüsse sofortige Abhilfemassnahmen erfordern. Wo ein Anbieter nicht DPF-zertifiziert ist, bleiben die EU-SCC mit dem FDPIC-Schweizer-Addendum die funktionsfähige Alternative.

Der praktische Ansatz für 2026

Für die meisten Verlage besteht der gangbare Ansatz darin, jeden grenzüberschreitenden Datenfluss aus dem Schweizer Traffic seinem Zielland und Mechanismus zuzuordnen, die geeigneten SCC-mit-Schweizer-Addendum auszuführen, wo die DPF-Zertifizierung den Anbieter nicht abdeckt, den Mechanismus in der datenschutzrechtlichen Information in Schweizer Landessprache zu dokumentieren und nur dort eine einwilligungsbasierte Genehmigung zu ergänzen, wo die strukturierten Mechanismen nicht sauber zur Bearbeitung passen.

Betroffenenrechte nach dem revDSG

Das revDSG gewährt einen Rechtekatalog, der eng der DSGVO folgt, mit einigen spezifisch schweizerischen Konturen:

• Auskunftsrecht über beim Verantwortlichen gespeicherte Personendaten, mit einem kostenlosen ersten Zugang pro Jahr und einer Kostenersatzobergrenze für Folgeanfragen oder solche mit grossem Umfang
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten
• Recht auf Löschung
• Recht auf Einschränkung der Bearbeitung
• Recht auf Datenübertragbarkeit für auf Einwilligungs- oder Vertragsbasis automatisiert bearbeitete Daten
• Recht auf Widerspruch gegen die Bearbeitung
• Recht auf Widerruf der Einwilligung
• Recht, nicht einer automatisierten Einzelfallentscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden, mit einer Garantie für manuelle Überprüfung
• Recht, beim FDPIC Beschwerde einzulegen oder zivilrechtliche Verfahren einzuleiten

Antwortfristen

Verantwortliche müssen Auskunftsbegehren von Betroffenen innerhalb von 30 Tagen nach dem allgemeinen Rahmen beantworten, verlängerbar durch eine begründete Mitteilung in komplexen Fällen. Die operative Bereitschaft für dieses Fenster — mit Schweizer-Landessprachen-Werkzeugen und Runbooks auf Deutsch, Französisch und Italienisch — ist eine häufige Lücke bei ausländischen Verlagen, die ihr Programm auf eine einzige europäische Sprache ausgerichtet haben.

Sanktionen und Durchsetzungshaltung im Jahr 2026

Die Durchsetzungsaktivität des FDPIC eskalierte im Verlauf der Jahre 2024 und 2025 merklich, und 2026 setzt den Kurs fort, anstatt zu stagnieren.

Die Bussenstruktur

Bussen sind primär strafrechtlicher Natur und gegen namentlich genannte Personen gerichtet — Direktoren, Datenschutzbeauftragte (DPOs), Compliance-Verantwortliche — mit einem Höchstbetrag von CHF 250.000 pro vorsätzlicher Verletzung. Die am häufigsten genannten Kategorien in der Durchsetzung von 2025 waren: unzureichende Informationen an betroffene Personen, Verletzung der Sorgfaltspflicht bei grenzüberschreitenden Übermittlungen, Nichterfüllung der Pflicht zur Meldung von Datenschutzverletzungen an den FDPIC innerhalb der erforderlichen Frist und Nichtbefolgen von Entscheiden oder Anordnungen des FDPIC.

Die strafrechtliche Garantie

Anders als bei der DSGVO richtet sich der strafrechtliche Haftungsweg des revDSG gegen die verantwortliche natürliche Person und nicht nur gegen die juristische Person, was 2025 zu einer erheblichen internen Umstrukturierung der Freigabe-Workflows führte. Der praktische Effekt ist, dass Compliance-Bescheinigungen und Prüfpfade nicht nur für die Haftung der Organisation, sondern auch für die Haftung der Einzelperson relevant sind — und Datenschutzbeauftragte (DPOs) haben ihre Dokumentationspraxis entsprechend angepasst.

Durchsetzungsthemen

Die Massnahmen des FDPIC aus 2025 und Anfang 2026 konzentrieren sich auf: Cookie-Banner, die die Ablehnen-Aktion optisch abschwächen oder vorausgewählte Kontrollkästchen verwenden, Datenschutzerklärungen, die nicht in der schweizerischen Landessprache des Nutzers verfügbar sind, grenzüberschreitende Übermittlungen an US-Anbieter, die nicht DPF-zertifiziert sind und keinen alternativen Mechanismus vorweisen können, Nichtbeantwortung von Anfragen betroffener Personen innerhalb der 30-Tage-Frist sowie verspätete oder fehlende Verletzungsmeldungen. Ausländische Verlage wurden in allen fünf Kategorien genannt, wobei die Banner-Design- und Drittlandsübermittlungskategorien die Fälle anführen.

Audit-Checkliste für Schweizer Traffic im Jahr 2026

• Das CMP-Banner wird in der schweizerischen Landessprache des Nutzers (DE, FR, IT oder RM) mit gleichwertiger visueller Prominenz für Akzeptieren, Ablehnen und Einstellungen ausgespielt
• Einwilligungszwecke sind granular und separieren besonders schützenswerte Bearbeitungen hinter einem eigenen Einwilligungsfluss
• Die Datenschutzerklärung ist in jeder einschlägigen Schweizer Landessprache mit vollständiger Offenlegung von Verantwortlichem, Auftragsbearbeitern, Zwecken, Aufbewahrung, Rechten und FDPIC-Beschwerdeweg verfügbar
• Jeder grenzüberschreitende Datenfluss aus dem Schweizer Traffic ist seinem Zielland und Mechanismus zugeordnet — Angemessenheit, Swiss-US DPF-Zertifizierung, FDPIC-Schweizer-Addendum-SCC, BCR oder dokumentierte Ausnahme
• Der DPF-Zertifizierungsstatus des US-Anbieters wird in der veröffentlichten Liste neu verifiziert, anstatt einmalig geprüft und vergessen zu werden
• Einwilligungsprotokolle sind zeitgestempelt, exportierbar und für den einschlägigen Verjährungszeitraum aufbewahrt
• Der Anfragenworkflow für Betroffenenrechte kann innerhalb von 30 Tagen vollständig bearbeiten, auf Deutsch, Französisch und Italienisch
• Das Meldeverfahren für Verletzungen ist auf die Fristen des revDSG ausgerichtet und in den internen Incident-Response-Prozess integriert
• Freigabe-Workflows spiegeln die strafrechtliche Einzelpersonenhaftungsarchitektur wider, mit namentlich genannten Genehmigenden und Dokumentationspfad
• Zielgruppensegmente der besonders schützenswerten Kategorien sind hinter einer ausdrücklichen, separat eingeholten Einwilligung gesperrt
• Die Cookie-Klassifizierung wurde mit kritischem Blick darauf überprüft, welche Cookies nach den Leitlinien des FDPIC tatsächlich als unbedingt erforderlich qualifizieren

Der Ausblick auf 2026

Das Schweizer Datenschutzregime hat sich von einem respektierten, aber stillen älteren Gesetz zu einem funktionierenden Instrument entwickelt, das die operative Spezifität, die Durchsetzungskapazität und die strafrechtliche Haftungsarchitektur besitzt, um Compliance-Prioritäten eigenständig zu gestalten, anstatt lediglich am EU-Programm zu hängen. Die Angemessenheitsanpassung von 2024 schloss die bedeutsamste strukturelle Lücke bei den US-Übermittlungen, und die eskalierte Durchsetzungshaltung des FDPIC im Jahr 2025 ist konsistent mit einer Behörde, die nachhaltig ausbaut, anstatt eine einmalige Kampagne zu fahren. Für Verlage, die bereits einen DSGVO-konformen Consent-Stack betreiben, ist die Lücke zur revDSG-Compliance enger als die Lücke für jede andere Nicht-EU-Jurisdiktion — aber sie ist real und lebt im Detail: Banner und Datenschutzerklärungen in Schweizer Landessprachen, DPF-versus-SCC-Zuordnung für jeden US-Anbieter, die leicht anders gezogene Linie der besonders schützenswerten Kategorie, der 30-Tage-Antwortrhythmus in drei oder vier Sprachen und die strafrechtliche Haftungsarchitektur, die individuelle Freigabedokumentation zu einem erstklassigen Compliance-Artefakt macht und nicht nur zu einem netten Extra. Die Lücke kann in wenigen Wochen geschlossen werden, wenn sie priorisiert wird, und die Schweizer Publisher-CPMs machen die Priorisierung wirtschaftlich geradlinig. Die Verlage, die die Schweiz bis 2024 still als DSGVO-Passthrough behandelten, finden 2026 deutlich anspruchsvoller — und der Trend ist eindeutig.