revDSG für Handwerksbetriebe, was wirklich wichtig ist.

Disclaimer vorab: Wir sind keine Anwälte. Dieser Text ist eine praktische Einordnung für Handwerks­betriebe, kein Rechts­gutachten. Bei konkreten Streit­fällen frag deinen Anwalt oder den Eidgenössischen Daten­schutz­beauftragten (EDÖB).

Mit diesem Hinweis erledigt: Das revidierte Datenschutz­gesetz, kurz revDSG, gilt seit dem 1. September 2023. Es betrifft jeden, der personen­bezogene Daten bearbeitet, also auch dich, wenn du Kunden­adressen, Mitarbeiter­akten oder Lieferanten­kontakte führst. Das ist faktisch jeder Handwerks­betrieb.

Was sich gegenüber dem alten DSG geändert hat

Das alte DSG war von 1992 und für eine Welt ohne Smartphones, Cloud und KI gemacht. Das revDSG bringt vier wesentliche Neuerungen, die dich als Inhaber direkt betreffen:

• Erweiterte Informations­pflichten gegenüber Kunden und Mitarbeitern.
• Pflicht zum Bearbeitungs­verzeichnis grundsätzlich für alle, mit einer Ausnahme für KMU mit weniger als 250 Mitarbeitenden, sofern die Daten­bearbeitung nur ein geringes Risiko für die Persönlichkeit der Betroffenen darstellt (Art. 24 DSV).
• Meldepflicht bei Daten­schutz­ver­letzungen innerhalb kurzer Frist.
• Höhere Bussen bei Verstössen, bis CHF 250'000, und zwar gegen die verantwortliche natürliche Person, nicht die Firma.

Der letzte Punkt ist der, der Geschäfts­führer am meisten erstaunt. Bussen unter revDSG treffen die natürliche Person, die für den Verstoss verantwortlich ist. Das kann der Inhaber sein, der IT-Leiter oder, im Wieder­holungs­fall, beide.

Pflichten als Verantwortlicher im Handwerk

Du bist «Verantwortlicher» im Sinn des revDSG für alles, was du über Personen speicherst. Im typischen Handwerks­betrieb sind das mindestens:

• Kunden­daten: Name, Adresse, Telefon, Mail, ggf. Bank­verbindung, Rechnungs­historie.
• Mitarbeiter­daten: Personalien, AHV-Nummer, Lohn­daten, Arbeits­zeiten, Gesundheits­daten bei Krank­schreibungen.
• Lieferanten­kontakte: ähnlich wie Kunden, oft mit zusätzlichen Konditionen­daten.
• Foto­dokumentation: Baustellen­bilder, auf denen Personen sichtbar sind.
• Sprach­aufnahmen: wenn du Diktier­tools für Rapporte nutzt.

Für jeden dieser Bereiche musst du wissen, wo die Daten liegen, wer Zugriff hat, wie lange du sie aufbewahrst und wann du sie löschst. Das klingt nach Bürokratie. In der Praxis ist es eine zwei­seitige Liste, die du einmal anlegst und alle paar Jahre überprüfst.

Bearbeitungs­verzeichnis: Pflicht oder nicht?

Grundsätzlich verlangt das revDSG ein Bearbeitungs­verzeichnis von allen Verantwortlichen und Auftrags­bearbeitern. Die Daten­schutz­verordnung (DSV) sieht in Art. 24 aber eine Ausnahme für KMU vor: Unternehmen mit weniger als 250 Mitarbeitenden sind befreit, sofern ihre Daten­bearbeitung nur ein geringes Risiko für die Persönlichkeit der Betroffenen mit sich bringt.

«Geringes Risiko» ist ein unbestimmter Rechts­begriff, fällt aber praktisch weg, sobald du:

• regelmässig besonders schützens­werte Daten verarbeitest (Gesundheits­daten, biometrische Daten, religiöse oder politische Anschauungen). Im Handwerk eher selten, kann aber bei Pflege­dienst­leistungen, Schul­handwerker­einsätzen oder spezialisierten Sicherheits­installationen vorkommen.
• umfangreiche Profile bildest oder Daten in grossem Stil bearbeitest. Bei Standard-Handwerks­tätigkeit faktisch nicht relevant.

Heisst: Die meisten kleineren Handwerks­betriebe können sich auf die KMU-Ausnahme stützen. Trotzdem empfehlen wir, ein knapp gehaltenes Verzeichnis zu führen. Eine zwei­seitige Liste mit den oben genannten Daten­kategorien spart dir bei einer behördlichen Anfrage Wochen.

Was im Auftrags­verarbeitungs­vertrag (AVV) stehen muss

Sobald du eine Software nutzt, die deine Daten verarbeitet (also alles ab Cloud-Buchhaltung), musst du mit dem Anbieter einen Auftrags­verarbeitungs­vertrag haben. Den schliesst du normalerweise nicht aktiv ab, sondern akzeptierst ihn als Teil der AGB. Das ist legitim, solange er die Pflicht­bestand­teile enthält.

Pflicht­bestand­teile eines revDSG-konformen AVV:

1. Gegen­stand und Zweck der Daten­bearbeitung.
2. Art der bearbeiteten Daten und Kategorien betroffener Personen.
3. Pflichten und Rechte des Verantwortlichen (also dich).
4. Technische und organisatorische Massnahmen zur Datensicherheit.
5. Bedingungen für den Beizug von Sub-Auftrags­verarbeitern.
6. Pflicht zur Mitteilung bei Daten­schutz­ver­letzungen.
7. Vorgehen bei Vertrags­ende, insbesondere Löschung oder Rückgabe der Daten.

Wenn du eine neue Software einkaufst, frag aktiv nach dem AVV. Seriöse Anbieter haben ihn auf der Website verlinkt oder schicken ihn auf Anfrage. Wenn du eine ausweichende Antwort bekommst, ist das ein deutliches Warnsignal.

Schweizer Hosting: Pflicht oder Marketing?

Das revDSG verlangt nicht zwingend Schweizer Hosting. Daten dürfen ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutz­niveau besteht. Der Bundes­rat veröffentlicht eine Liste der akzeptierten Länder. Sie umfasst unter anderem die EU, das Vereinigte Königreich, Argentinien, Kanada sowie seit dem 15. September 2024 die USA, sofern der jeweilige Empfänger nach dem Swiss-US Data Privacy Framework zertifiziert ist.

Trotzdem ist Schweizer Hosting in den letzten zwei Jahren zum echten Verkaufs­argument geworden, aus drei Gründen:

• Politische Sicherheit: Daten in einem Schweizer Rechenzentrum unterstehen Schweizer Recht und Schweizer Gerichtsbarkeit.
• Latenz und Geschwindig­keit: Schweizer Daten­zentren liefern für Schweizer Nutzer kürzere Antwort­zeiten als Cloud-Regionen in Frankfurt oder Dublin.
• Vertrauens­signal: Kunden und Versicherungen fragen heute aktiv, wo die Daten liegen. Die Antwort «Schweiz» erspart Folge­fragen.

balio läuft mit Stammdaten, Rapporten und Rechnungen auf Servern in Zürich. Audio­daten für Sprach­rapporte werden zur Transkription an einen spezialisierten Sub-Auftrags­verarbeiter (Google Gemini Live, EU/USA, abgedeckt durch Adäquanz­beschluss bzw. Swiss-US Data Privacy Framework) übergeben und danach nicht dauerhaft gespeichert. Eure Daten werden nicht zum Training fremder Modelle verwendet. Diese Punkte sind explizit im AVV und im Verzeichnis der Sub-Auftrags­verarbeiter festgehalten.

Was bei einer Daten­panne droht

Wenn dir Daten ab­handen kommen, etwa weil ein Laptop mit unverschlüsselter Kunden­datei gestohlen wird oder ein Mitarbeiter eine Mail an den falschen Verteiler schickt, musst du das melden. An den EDÖB, sobald die Verletzung wahrscheinlich zu einem hohen Risiko für die Persönlichkeit der Betroffenen führt. «Möglichst rasch» heisst im Klartext: innerhalb weniger Tage.

Praktische Konsequenz: Du solltest wissen, wer in deinem Betrieb solche Vorfälle aufnimmt, dokumentiert und meldet. Als Einzelfirma oder Fünf-Personen-Betrieb bist das du selbst. Ab rund zehn Mitarbeitenden lohnt sich eine kleine Vorlage, die jeder Vorarbeiter hat.

Was passiert, wenn du es ignorierst?

Bussen bis CHF 250'000 stehen im Gesetz, treffen aber in der Praxis Wiederholungstäter und vorsätzliche Verstösse. Beim ersten kleinen Fehler eines KMU passiert in der Regel: Anhörung durch den EDÖB, Empfehlung zur Verbesserung, wirksame Frist. Erst wenn du diese ignorierst, kommt es zur Busse. Das System ist nicht auf Schikane ausgelegt, sondern auf Verbesserung. Trotzdem ist die Busse bei Vorsatz oder grober Fahrlässigkeit erheblich.

Konkrete Checkliste für Handwerks­betriebe

Wenn du einen Vormittag investieren willst und das Thema dann erledigt haben möchtest:

• Erstelle eine zwei­seitige Liste mit allen Datenarten, die du speicherst, und wo sie liegen.
• Aktualisiere deine Datenschutz­erklärung auf der Website (Vorlagen gibt es kostenlos beim EDÖB).
• Hole für jede genutzte Software den AVV ein, lege ihn ab und prüfe ihn alle zwei Jahre.
• Kläre intern, wer Daten­pannen aufnimmt und meldet.
• Lösche Kunden­daten, die du seit zehn Jahren nicht mehr brauchst, das verlangt das Steuer­recht ohnehin.

revDSG ist keine Bedrohung für Handwerks­betriebe, sondern eine Aufforderung, ein paar Sachen sauber aufzu­schreiben, die du eh schon weisst. Wer in der Wahl seiner Software auf Schweizer Hosting und einen sauberen AVV achtet, hat 80 Prozent der Pflichten implizit erledigt.

Was du als nächstes tun kannst:

• Wie balio deine Daten und KI-Verarbeitung absichert, mit AVV zum Download.
• QR-Rechnung Schritt für Schritt richtig machen, ergänzender Praxis-Artikel.
• Frage zu AVV oder Daten­schutz: info@balio.ch, persönliche Antwort, kein Standard­text.