Das revidierte Schweizer DSG verlangt, Datenschutz von Anfang an mitzudenken («Datenschutz durch Technik und Voreinstellung»): Personendaten nur zweckgebunden, verhältnismässig (Datensparsamkeit) und transparent verarbeiten, ihre Sicherheit gewährleisten und bei risikoreichen Verarbeitungen vorab prüfen. Für Projekte heisst das: früh klären, welche Personendaten wie verarbeitet werden — nachträgliche Korrektur ist teuer, im Zweifel ist die Datenschutzstelle beizuziehen.
Wann Datenschutz ein Projektthema ist
Die verbreitete Annahme, Datenschutz betreffe nur grosse IT- oder Marketingprojekte, ist falsch: Personendaten sind fast überall — Mitarbeiterdaten in einem HR-Projekt, Kundendaten in einem CRM-Vorhaben, Namen und Kontakte in einer neuen Datenbank, sogar Teilnehmerlisten und Protokolle. Sobald ein Projekt solche Daten erhebt, speichert, auswertet, weitergibt oder ein System dafür baut, ist das revidierte Datenschutzgesetz (DSG) relevant. Der Fehler, den viele Projekte machen: Datenschutz wird als nachgelagerte Prüfung behandelt, kurz vor dem Go-live von einer Fachstelle abgesegnet. Dann ist es zu spät — Datenschutzanforderungen, die man erst am Ende einbaut, führen zu teuren Nachbesserungen an fertigen Konzepten und Systemen. Das Gesetz selbst verlangt das Gegenteil: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen — also von Anfang an mitgedacht, nicht nachträglich draufgesetzt.
Die Grundsätze und was sie praktisch bedeuten
- Zweckbindung: Personendaten werden für einen bestimmten, erkennbaren Zweck erhoben und nicht zweckfremd verwendet. Praktisch: klären, wofür Daten im Projekt gebraucht werden — und nur dafür.
- Verhältnismässigkeit / Datensparsamkeit: nur so viele Daten wie nötig. Praktisch: nicht «erfassen wir mal alles, könnte nützlich sein», sondern gezielt das Erforderliche — jedes zusätzliche Datenfeld ist eine Begründungspflicht.
- Transparenz: Betroffene wissen, dass und wie ihre Daten bearbeitet werden. Praktisch: Informationspflichten mitdenken, keine heimliche Verarbeitung.
- Richtigkeit und Sicherheit: Daten aktuell und korrekt halten, angemessen gegen unbefugten Zugriff schützen. Praktisch: Zugriffskonzepte, Löschfristen und Sicherheitsmassnahmen gehören ins Projektdesign.
Diese Grundsätze sind keine abstrakten Prinzipien, sondern konkrete Designvorgaben: Wer ein System oder einen Prozess plant, der Personendaten verarbeitet, muss sie in Architektur, Datenmodell und Abläufe einbauen. Ein Datenfeld, das man aus Bequemlichkeit erhebt, ohne es zu brauchen, verletzt die Datensparsamkeit — und muss später aufwändig entfernt werden.
Datenschutz im Projektverlauf mitführen
- 01Früh erheben, welche Daten im Spiel sindZu Projektbeginn klären: Werden Personendaten verarbeitet, welche, von wem, wofür? Diese Bestandsaufnahme entscheidet, wie intensiv Datenschutz das Projekt begleiten muss.
- 02Risikoreiche Verarbeitungen vorab prüfenBei Verarbeitungen mit hohem Risiko für die Betroffenen (etwa besonders schützenswerte Daten, umfangreiche Profilbildung) verlangt das DSG eine vorgängige Folgenabschätzung. Diese gehört früh eingeplant, nicht ans Ende.
- 03Auftragsbearbeitung regelnWerden Daten von Dienstleistern (Cloud, externe Verarbeiter, auch KI-Dienste) verarbeitet, braucht es entsprechende Verträge und Garantien — inklusive Klärung von Serverstandort und Drittlandübermittlung.
- 04Betroffenenrechte einbauenAuskunft, Berichtigung, Löschung: Systeme und Prozesse müssen ermöglichen, dass Betroffene ihre Rechte wahrnehmen können. Das nachträglich einzubauen ist teuer — vorgesehen ist es günstig.
Die Rolle der Projektleitung
Projektleitende müssen keine Datenschutzjuristen sein — aber sie müssen Datenschutz als Projektthema erkennen und die richtigen Stellen einbinden. Das heisst konkret: die Datenschutzverantwortlichen oder -berater der Organisation früh einbeziehen (nicht erst zur Schlussabnahme), Datenschutzanforderungen als Anforderungen behandeln (im Anforderungsmanagement, nicht als lästige Randbedingung) und bei Unsicherheit fragen statt annehmen. Der revidierte Rechtsrahmen hat die Anforderungen und teils die Sanktionsmöglichkeiten verschärft — Datenschutzverstösse sind kein Kavaliersdelikt mehr, und die Verantwortung liegt bei der Organisation, die das Projekt betreibt. Für die Projektleitung ist das gut handhabbar, solange Datenschutz von Anfang an mitläuft: Er wird dann zu einer von vielen Anforderungen, die man sauber managt, statt zu einer Krise kurz vor dem Ziel.
Dieser Beitrag gibt eine praxisorientierte Orientierung, keine Rechtsberatung. Die konkrete Anwendung des DSG hängt vom Einzelfall ab; bei Personendatenverarbeitung, besonders bei risikoreichen Vorhaben, ist die Datenschutzverantwortliche der Organisation oder rechtliche Beratung frühzeitig einzubeziehen.
Diese Methode lässt sich in einem Projekt-Tool wie Flenio direkt abbilden — DACH-nativ und DSG-konform gehostet.
Häufige Fragen
- Betrifft das DSG auch interne Projekte ohne Kundendaten?
- Ja — sobald Personendaten verarbeitet werden, auch von Mitarbeitenden: HR-Projekte, interne Verzeichnisse, Auswertungen mit Personenbezug. Die Grundsätze (Zweckbindung, Sparsamkeit, Transparenz, Sicherheit) gelten unabhängig davon, ob die Betroffenen Kunden oder Kollegen sind.
- Was ist eine Datenschutz-Folgenabschätzung und wann braucht es sie?
- Eine vorgängige Prüfung der Risiken für die Betroffenen, die das DSG bei Verarbeitungen mit voraussichtlich hohem Risiko verlangt — etwa bei umfangreicher Verarbeitung besonders schützenswerter Daten oder systematischer Profilbildung. Ob sie im konkreten Fall nötig ist, klärt man früh mit der Datenschutzstelle; nachträglich ist sie ein Projektstopper.
- Gilt das DSG oder die DSGVO für mein Projekt?
- Das kommt auf den Kontext an: Das Schweizer DSG gilt für Bearbeitungen in der Schweiz; die EU-DSGVO kann zusätzlich greifen, wenn Personen in der EU betroffen sind oder Daten dorthin fliessen. Viele Schweizer Projekte müssen beide im Blick haben — die genaue Abgrenzung gehört fachlich geklärt, gerade bei grenzüberschreitenden Vorhaben.