DSGVO und revFADP: Was CRM-Empfehler 2026 beachten müssen
Schweizer revFADP, EU-DSGVO, Datenresidenz und DPA: Praxisleitfaden für Treuhänder und IT-Berater, die CRM-Software empfehlen — mit Checkliste.
Auf einen Blick
- Das revFADP (Schweizer revidiertes Datenschutzgesetz) ist seit 01.09.2023 in Kraft
- Der DSGVO-Schutzstandard wurde weitgehend übernommen, aber mit eigenständigen Schweizer Regelungen
- CRM-Empfehler sind nicht direkt verantwortlich für die DSG-Konformität des Anbieters, aber haftbar für falsche Beratung
- Schweizer Hosting (mprofi AG, Hetzner CH, Infomaniak) eliminiert Auslandsdaten-Komplexität
- Auftragsverarbeitungsvertrag (AVV/DPA) ist bei jeder CRM-Empfehlung Pflicht-Bestandteil
Was sich seit 01.09.2023 geändert hat
Das revidierte Schweizer Datenschutzgesetz (revFADP, oft auch revDSG genannt) ersetzt seit dem 1. September 2023 das alte Datenschutzgesetz von 1993. Die wesentlichen Neuerungen:
- Erweiterte Informations-Pflichten beim Erheben personenbezogener Daten (Art. 19)
- Datenschutz-Folgenabschätzung bei hohem Risiko (Art. 22)
- Meldepflicht bei Datenverletzungen an den EDÖB (Art. 24)
- Privacy by Design / by Default (Art. 7)
- Erhöhte Bussen bis CHF 250 000 für natürliche Personen (Art. 60)
- Pflicht zum Bearbeitungsverzeichnis für Unternehmen ≥ 250 Mitarbeitende oder bei sensitiven Daten
Das revFADP nähert sich der EU-DSGVO an, ist aber nicht identisch — es bleibt ein eigenständiges Schweizer Gesetz.
DSGVO vs. revFADP — die wichtigsten Unterschiede
| Aspekt | DSGVO (EU) | revFADP (CH) | |--------|-----------|--------------| | Anwendungsbereich | EU-Bürger weltweit | In der Schweiz bearbeitete Personendaten | | Bussen | Bis EUR 20 Mio. oder 4 % Umsatz | Bis CHF 250 000 (Person) | | Datenschutzbeauftragter | Pflicht ab gewissen Schwellen | Empfohlen, nicht zwingend | | Recht auf Datenübertragbarkeit | Ja (Art. 20) | Ja (Art. 28) | | Recht auf Vergessenwerden | Ja (Art. 17) | Indirekt über Korrektur-Recht | | Auftragsverarbeitungsvertrag | Pflicht (Art. 28) | Pflicht (Art. 9) |
Wer Schweizer Mandanten berät, deren Daten nicht in die EU fliessen, kann sich primär auf revFADP fokussieren. Bei EU-Bezug (z.B. EU-Mitarbeitende, EU-Kunden) gilt zusätzlich DSGVO.
Datenresidenz — der kritische Punkt
Die Datenresidenz ist 2026 das zentrale Compliance-Kriterium bei CRM-Empfehlungen. Drei Szenarien:
Szenario 1: Schweizer Hosting (z.B. TecArt bei mprofi AG)
- Daten bleiben in der Schweiz (Hetzner Bex/Falkenstein, Infomaniak Genf)
- Keine Auslandsdaten-Übermittlung
- revFADP nativ erfüllt
- Kein DPA für Datenübertragung nötig (nur AVV nach Art. 9 revFADP)
- Empfehlung ohne Compliance-Vorbehalt möglich
Szenario 2: EU-Hosting (z.B. Pipedrive Frankfurt, HubSpot EU-Region)
- Daten werden in der EU bearbeitet
- DSGVO direkt anwendbar
- Aus Schweizer Sicht: Datenübertragung in einen Drittstaat (EU = adäquates Schutzniveau anerkannt)
- Standard-Datenschutzklauseln (SCC) ratsam, aber nicht zwingend
- DPA mit Anbieter Pflicht
Szenario 3: US-Hosting (z.B. Salesforce US, HubSpot Default)
- Daten in den USA bearbeitet
- USA = kein adäquates Schutzniveau aus Schweizer Sicht (FDPIC-Stellungnahme)
- Übermittlung nur mit Zusatzgarantien zulässig:
- Schweiz–US Data Privacy Framework (DPF)
- Standard-Datenschutzklauseln (SCC)
- Bindende Konzern-Datenschutzregeln (BCR)
- DPA + Transfer Impact Assessment empfohlen
- Höchstes Compliance-Risiko bei sensitiven Daten
Auftragsverarbeitungsvertrag (AVV/DPA)
Jede CRM-Implementierung erfordert einen Auftragsverarbeitungsvertrag zwischen Mandant (Verantwortlicher) und CRM-Anbieter (Auftragsverarbeiter). Pflichtinhalte nach revFADP Art. 9:
- Gegenstand und Dauer der Bearbeitung
- Art und Zweck der Datenbearbeitung
- Kategorien betroffener Personen und Datenarten
- Pflichten und Rechte des Verantwortlichen
- Datensicherheits-Massnahmen des Auftragsverarbeiters
- Sub-Auftragsverarbeiter (Hosting, Backup, Monitoring)
- Auskunfts- und Berichtigungs-Rechte
- Beendigung und Daten-Rückgabe / -Löschung
Schweizer CRM-Anbieter wie TecArt liefern AVV-Templates standardmässig. Bei US-Anbietern muss die DSGVO/revFADP-Konformität individuell geprüft werden.
Haftung des Empfehlers
Wer als Treuhänder oder IT-Berater eine CRM-Software empfiehlt, ist nicht direkt für deren DSG-Konformität verantwortlich — diese liegt beim Anbieter und beim Mandanten.
Aber: Falsche Beratung kann haftungsrechtlich relevant sein. Wenn Sie einem Mandanten ein CRM empfehlen, ohne auf bekannte Datenschutz-Risiken hinzuweisen, kann das eine Sorgfaltspflicht-Verletzung darstellen (OR 398).
Praxis-Tipp: Eine schriftliche Empfehlung sollte folgende Punkte enthalten:
- Datenresidenz des Anbieters
- Vorhandensein eines AVV/DPA-Templates
- Bekannte Compliance-Risiken (z.B. US-Hosting bei sensitiven Daten)
- Empfehlung zur Datenschutz-Folgenabschätzung bei Risiko-Datenarten
Checkliste: CRM-Empfehlung DSG-konform
Bei jeder CRM-Empfehlung sollten Sie folgende Punkte mit dem Mandanten klären:
- [ ] Datenarten identifiziert (Kontaktdaten, Bonität, Gesundheits-Info?)
- [ ] Sensitive Datenarten gesondert markiert (revFADP Art. 5 lit. c)
- [ ] Datenresidenz des CRM-Anbieters geklärt (CH/EU/US?)
- [ ] AVV/DPA vorhanden und unterzeichnet?
- [ ] Sub-Auftragsverarbeiter dokumentiert?
- [ ] Datenschutz-Folgenabschätzung bei hohem Risiko durchgeführt?
- [ ] Bearbeitungsverzeichnis ergänzt?
- [ ] Mitarbeiter-Schulung zur CRM-Nutzung geplant?
- [ ] Lösch-Konzept für nicht mehr benötigte Daten definiert?
- [ ] Audit-Mechanismus etabliert (jährliche Überprüfung)?
Wann Datenschutz-Folgenabschätzung nötig ist
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach revFADP Art. 22 pflichtig, wenn die Bearbeitung "ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann".
Typische Auslöser:
- Umfangreiche Bearbeitung sensitiver Datenarten
- Profilbildung mit rechtlichen oder vergleichbar erheblichen Folgen
- Systematische Überwachung öffentlicher Bereiche
- Neue Technologien mit unklarem Risiko
Bei einer "Standard"-CRM-Implementierung mit Kontakt- und Vertriebsdaten ist eine DSFA in der Regel nicht zwingend, aber empfohlen.
Fazit: Datenresidenz first
Für Schweizer Mandanten ist die einfachste Compliance-Strategie: CRM-Anbieter mit Schweizer Hosting wählen. Damit entfallen die Komplexitäten der Auslandsdaten-Übermittlung, das revFADP wird nativ erfüllt, und der AVV reduziert sich auf den Schweizer Standard-Inhalt.
TecArt bei mprofi-AG-Hosting erfüllt diese Anforderungen by Design. Bei Empfehlungen für US-Anbieter (Salesforce, HubSpot) ist die Compliance-Last höher und sollte in der Beratung explizit dokumentiert werden.
Wichtiger Hinweis: Datenschutzrecht ist komplex und ändert sich regelmässig. Dieser Artikel ist allgemeine Information, keine Rechtsberatung. Bei kritischen Konstellationen konsultieren Sie eine spezialisierte Anwaltskanzlei oder den EDÖB.
Quellen
André Beherzig
Experte für CRM-Partnerschaften und Software-Empfehlungen im Schweizer KMU-Markt.
Weitere Artikel
Interessenkonflikt bei CRM-Empfehlungen: Wie Sie als Treuhänder rechtskonform und glaubwürdig bleiben
Provisionen sind erlaubt — Verschweigen nicht. OR Art. 400, UWG Art. 3 und Berufsstandes-Regeln im Klartext. Mustertexte für Beratungsberichte und Mandanten-Disclosure.
9 min LesezeitRecht & SteuernSteuerliche Behandlung von Provisionen für Selbstständige in der Schweiz
Affiliate-Provisionen, MWSt-Pflicht, AHV-Abrechnung, Quellensteuer. Wie Schweizer Selbstständige CRM-Empfehlungs-Einkommen korrekt deklarieren.
10 min LesezeitBereit, als TecArt-Partner durchzustarten?
Prüfen Sie in 3 Minuten, ob Sie als Partner geeignet sind.
Jetzt Eignung prüfen →