DSG-konforme CRM-Systeme: Was Schweizer KMU wissen müssen
Seit September 2023 gilt das neue Schweizer Datenschutzgesetz (DSG). Erfahren Sie, wie Schweizer KMU ihre CRM-Systeme DSG-konform betreiben und welche Lösungen empfehlenswert sind.
Das neue Schweizer Datenschutzgesetz (DSG): Was hat sich geändert?
Seit 1. September 2023 ist das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Für Schweizer KMU bedeutet das:
- Höhere Anforderungen an die Verarbeitung personenbezogener Daten
- Meldepflicht bei Datenschutzverletzungen
- Dokumentationspflicht für Datenbearbeitungen
- Bussgelder bis CHF 250'000 bei Verstößen
Besonders betroffen: CRM-Systeme, die personenbezogene Daten von Kunden, Interessenten und Kontakten verarbeiten.
Was macht ein CRM-System DSG-konform?
1. Rechtsgrundlage für die Datenverarbeitung
Nach DSG müssen Sie eine Rechtsgrundlage haben, um Kundendaten zu verarbeiten:
- Einwilligung des Kunden (explizit oder implizit)
- Vertragserfüllung (z.B. Angebot, Rechnung)
- Berechtigtes Interesse (z.B. CRM für Bestandskunden)
Ein gutes CRM sollte dokumentieren können, auf welcher Basis Sie Daten verarbeiten.
TecArt-Lösung: Einwilligungsverwaltung
TecArt bietet:
- Opt-in-Formulare mit DSG-konformen Checkboxen
- Einwilligungs-Tracking (Wann? Wo? Wie?)
- Double-Opt-in für Newsletter
- Widerrufsmöglichkeit für Kunden
2. Datenminimierung und Zweckbindung
Sie dürfen nur die Daten erheben, die Sie wirklich brauchen:
- Kein „Sammeln auf Vorrat"
- Klare Zweckbindung (z.B. „für Angebotserstellung")
- Automatisches Löschen nach Ablauf der Aufbewahrungspflicht
TecArt-Lösung: Anpassbare Datenfelder
- Definieren Sie selbst, welche Felder Pflicht sind
- Setzen Sie Löschfristen für inaktive Kontakte
- Automatisierte Erinnerungen an Datenlöschung
3. Informationspflicht (Datenschutzerklärung)
Kunden müssen informiert werden, wie ihre Daten verarbeitet werden:
- Welche Daten werden erhoben?
- Zu welchem Zweck?
- Wer hat Zugriff?
- Wie lange werden Daten gespeichert?
TecArt-Lösung: Eingebaute Datenschutzerklärungen
- Vorlagen für DSG-konforme Datenschutzerklärungen
- Automatische Verlinkung bei Formularen
- Versionierung von Einwilligungen
4. Auskunftsrecht und Recht auf Datenportabilität
Kunden können jederzeit Auskunft verlangen:
- Welche Daten haben Sie über mich?
- Woher stammen diese Daten?
- An wen wurden Daten weitergegeben?
Und sie können verlangen, dass Sie die Daten in maschinenlesbarer Form herausgeben.
TecArt-Lösung: Datenexport auf Knopfdruck
- Automatischer Export aller Kundendaten als PDF oder CSV
- Vollständige Auskunftsberichte in Sekunden
- Audit-Logs für alle Datenänderungen
5. Datensicherheit und technische Maßnahmen
Sie müssen angemessene technische Maßnahmen treffen:
- Verschlüsselung (Transport und Speicherung)
- Zugriffskontrolle (Wer darf welche Daten sehen?)
- Logging und Überwachung
- Regelmäßige Backups
TecArt-Lösung: Enterprise-Security
- SSL/TLS-Verschlüsselung für alle Übertragungen
- Datenbankverschlüsselung at-rest
- Rollenbasierte Zugriffskontrolle (RBAC)
- 2-Faktor-Authentifizierung (2FA)
- Automatische Backups (täglich, verschlüsselt)
- ISO 27001-zertifizierte Rechenzentren in der Schweiz/Deutschland
6. Meldepflicht bei Datenpannen
Bei Datenschutzverletzungen müssen Sie binnen 72 Stunden den EDÖB informieren.
TecArt-Lösung: Breach Detection
- Automatische Benachrichtigung bei ungewöhnlichen Zugriffen
- Audit-Logs für forensische Analysen
- Vorfalls-Management-System
Server-Standort: Warum „Schweiz oder Deutschland" wichtig ist
Das Problem mit US-Clouds
Viele CRM-Systeme (Salesforce, HubSpot, etc.) betreiben Server in den USA. Das ist problematisch:
- CLOUD Act erlaubt US-Behörden Zugriff auf Daten
- Schrems II-Urteil macht US-Clouds DSGVO-kritisch
- DSG-Konflikt bei Datentransfer in unsichere Drittstaaten
TecArt: Schweizer und deutsche Server
TecArt bietet:
- Server in der Schweiz (Rechenzentrum Zürich/Basel)
- Server in Deutschland (Frankfurt)
- Keine Datentransfers in die USA
- EU/Schweiz-Hosting nach Wahl
Cookieless Tracking: DSG-konforme Analytics
Das Cookie-Problem
Viele CRM-Systeme nutzen Tracking-Cookies für Website-Besucher:
- Google Analytics
- Facebook Pixel
- Proprietäre Tracking-Cookies
Nach DSG brauchen Sie für solche Cookies explizite Einwilligung (Cookie-Banner).
TecArt: Cookieless Tracking mit Matomo
TecArt integriert Matomo (ehemals Piwik):
- Kein Cookie-Banner nötig (wenn DSG-konform konfiguriert)
- IP-Anonymisierung standardmäßig
- Server in der Schweiz/Deutschland
- Volle Kontrolle über Ihre Analytics-Daten
Auftragsverarbeitungsvertrag (AVV)
Wenn Sie ein CRM nutzen, ist der Anbieter Ihr Auftragsverarbeiter nach DSG.
Sie brauchen einen AVV-Vertrag, der regelt:
- Welche Daten werden verarbeitet?
- Welche Sicherheitsmaßnahmen gelten?
- Was passiert bei Vertragsende?
TecArt: Standard-AVV inklusive
- Kostenloser AVV-Vertrag für alle Kunden
- DSG- und DSGVO-konform
- Digital unterschreibbar
Compliance-Checkliste: Ist Ihr aktuelles CRM DSG-konform?
Prüfen Sie:
| Kriterium | ✅ Ja | ❌ Nein | |-----------|-------|---------| | Server in der Schweiz oder EU? | | | | Verschlüsselung (Transport & Speicherung)? | | | | Einwilligungsverwaltung vorhanden? | | | | Datenexport auf Knopfdruck? | | | | Audit-Logs für alle Zugriffe? | | | | AVV-Vertrag abgeschlossen? | | | | Löschkonzept implementiert? | | | | 2-Faktor-Authentifizierung möglich? | | | | Cookieless Tracking oder explizite Einwilligung? | | |
Weniger als 7 ✅? Ihr CRM ist vermutlich nicht DSG-konform.
Die Kosten der Non-Compliance
Bußgelder nach DSG
Das DSG sieht Bußgelder bis CHF 250'000 vor – allerdings nur bei vorsätzlichen Verstößen durch natürliche Personen (z.B. Geschäftsführer).
Aber die wahren Kosten sind:
Reputationsschaden
- Medienberichte über Datenpannen
- Kundenvertrauen geht verloren
- Wettbewerbsnachteile gegenüber compliant Konkurrenten
Kundenanfragen und Beschwerden
- Auskunftsanfragen manuell bearbeiten (1-2 Stunden pro Anfrage)
- Beschwerden beim EDÖB (aufwändige Korrespondenz)
- Anwaltskosten bei Klagen
Betriebsunterbrechungen
Wenn eine Datenpanne gemeldet wird:
- IT-forensische Untersuchung (CHF 10'000 - 50'000)
- Meldung an EDÖB (72h-Frist, hoher Zeitdruck)
- Kunden-Informationen (wenn betroffen)
Best Practices für DSG-konforme CRM-Nutzung
1. Interne Schulung
- Datenschutz-Grundlagen für alle Mitarbeiter
- CRM-Spezifische Regeln (Wer darf was sehen?)
- Phishing-Awareness (E-Mail-Sicherheit)
2. Regelmäßige Audits
- Quartalsweise prüfen: Welche Daten haben wir?
- Löschung inaktiver Kontakte nach Ablauf der Frist
- Zugriffsrechte aktualisieren (neue/ehemalige Mitarbeiter)
3. Verschlüsselte Kommunikation
- TLS-Verschlüsselung für E-Mails (STARTTLS)
- Kein Versand sensibler Daten via unverschlüsselte E-Mail
- Sichere Dateifreigabe (nicht Dropbox/WeTransfer, sondern TecArt-integrierte Lösung)
4. Dokumentation
- Bearbeitungsverzeichnis führen (welche Daten, zu welchem Zweck?)
- Einwilligungen dokumentieren
- Löschfristen festlegen und einhalten
Warum TecArt die beste Wahl für DSG-Compliance ist
Schweizer KMU-Fokus
TecArt ist speziell für Schweizer und deutsche KMU entwickelt:
- CHF-Rechnungen und Schweizer MwSt.
- Deutschsprachiger Support (Zürich, Leipzig)
- DSG- und DSGVO-konform out-of-the-box
Keine versteckten Compliance-Kosten
Viele CRM-Anbieter verlangen extra für:
- AVV-Vertrag
- Datenschutz-Audits
- Compliance-Module
Bei TecArt ist alles im Preis inklusive.
Transparenz und Kontrolle
- Kein Vendor Lock-in – Datenexport jederzeit
- Offene APIs für Integrationen
- Eigene Server (kein Subprocessing in Drittländer)
Fazit: DSG-Compliance ist kein Nice-to-have
Seit September 2023 ist das revidierte DSG in Kraft. Für Schweizer KMU bedeutet das:
✅ Höhere Anforderungen an CRM-Systeme ✅ Meldepflicht bei Datenpannen ✅ Bußgelder bei Verstößen
Ein DSG-konformes CRM wie TecArt bietet:
✅ Server in der Schweiz/Deutschland ✅ Einwilligungsverwaltung und Opt-in-Formulare ✅ Datenexport auf Knopfdruck ✅ Audit-Logs für alle Zugriffe ✅ AVV-Vertrag inklusive ✅ Cookieless Tracking mit Matomo
Wenn Sie heute auf ein DSG-konformes CRM umsteigen, schützen Sie:
- Ihr Unternehmen vor Bußgeldern
- Ihre Kunden vor Datenmissbrauch
- Ihren Ruf vor Reputationsschäden
Jetzt beraten lassen: Als TecArt-Partner registrieren
Über den Autor: Dr. Thomas Schneider ist Datenschutzbeauftragter und berät seit über 10 Jahren Schweizer KMU zu DSG- und DSGVO-Compliance. Er hat TecArt bei der Entwicklung der Compliance-Features beraten.
Weiterführende Artikel
- Vendor Lock-in vermeiden – Datensouveränität und Flexibilität bewahren
- Salesforce-Alternativen für Schweizer KMU – Lokale Lösungen mit DSG-Konformität
- CRM-Migration: Schritt-für-Schritt Anleitung – Datenmigration DSG-konform gestalten
Dr. Thomas Schneider
Experte für CRM-Partnerschaften und Software-Empfehlungen im Schweizer KMU-Markt.
Bereit, als TecArt-Partner durchzustarten?
Prüfen Sie in 3 Minuten, ob Sie als Partner geeignet sind.
Jetzt Eignung prüfen →