Plattform01 Sicherheit02 Branchen03 Preise04 Wissen05 Über uns06 FAQ07
Kostenlos starten

Compliance · Juni 2026 · 7 Min. Lesezeit

revDSG und Backup: Was das revidierte Datenschutzgesetz
für Schweizer KMU bedeutet

Das revidierte Datenschutzgesetz (revDSG) ist seit dem 1. September 2023 in Kraft und betrifft praktisch jedes KMU, das Personendaten bearbeitet — von Kundenadressen über Personaldossiers bis zu Patienten- und Mandantenakten. Dieser Beitrag ordnet ein, was das für die Datensicherung bedeutet und wie eine Schweizer Sicherung Sie technisch dabei unterstützt.

Was das revDSG für die Datensicherung bedeutet

Das revDSG hat das Datenschutzniveau in der Schweiz an europäische Standards angeglichen und stellt höhere Anforderungen an alle, die Personendaten bearbeiten. Für ein KMU heisst das nicht, dass Datensicherung neu erfunden werden muss — wohl aber, dass einige Grundsätze bewusst beachtet werden sollten. Die folgenden Punkte geben eine Orientierung; die verbindliche Beurteilung im Einzelfall gehört in fachkundige Hände.

  • Datensicherheit und angemessene Massnahmen.

    Das Gesetz verlangt angemessene technische und organisatorische Massnahmen (TOM), um Personendaten vor Verlust, unbefugtem Zugriff und Veränderung zu schützen. Eine verschlüsselte, redundante Sicherung ist ein zentraler Baustein davon.

  • Bearbeitungsgrundsätze.

    Personendaten sind nach Treu und Glauben und verhältnismässig zu bearbeiten. Wer Daten sichert, sollte deshalb nur das aufbewahren, was nötig ist — und kontrollieren können, wer Zugriff hat.

  • Meldepflicht bei Verletzungen der Datensicherheit.

    Geht eine Verletzung der Datensicherheit mit hohem Risiko einher, ist sie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Eine saubere Sicherung hilft, im Ernstfall schnell wieder handlungsfähig zu sein und den Schaden zu begrenzen.

  • Auftragsbearbeiter und Datenbekanntgabe ins Ausland.

    Ein Cloud-Anbieter, der Ihre Daten speichert, gilt als Auftragsbearbeiter. Werden Daten ins Ausland bekanntgegeben, braucht es einen angemessenen Schutz im Zielland. Liegen die Daten in der Schweiz, entfällt diese Hürde von vornherein.

Wo KMU das revDSG bei Backups unterschätzen

Viele KMU sichern Personendaten über einen US-Cloud-Dienst oder eine einfache Synchronisierung — bequem, aber datenschutzrechtlich oft heikler als gedacht. Der Unterschied zeigt sich erst, wenn man genauer hinsieht.

Wo es im Alltag hakt

Bequem, aber riskant

  • US-Cloud bedeutet Datenabfluss.

    Werden Personendaten bei einem US-Anbieter abgelegt, verlassen sie die Schweiz — und unterstehen je nach Anbieter ausländischem Recht, etwa einem möglichen Zugriff nach dem US-CLOUD-Act.

  • Ungeschützte Sync-Kopien.

    Eine einfache Synchronisierung übernimmt jedes Löschen und Überschreiben sofort — eine frühere, korrekte Fassung der Daten ist dann oft nicht mehr greifbar.

  • Keine Verschlüsselung, keine Nachvollziehbarkeit.

    Liegen Personendaten unverschlüsselt und ohne Protokoll, lässt sich kaum belegen, wer wann worauf zugegriffen hat — und der Schutz vor unbefugtem Zugriff ist schwach.

Wie eine Schweizer Sicherung hilft

Geschützt und nachvollziehbar

  • Datenstandort Schweiz.

    Die Daten verlassen die Schweiz nicht — kein Datenabfluss ins Ausland, keine Frage nach der Angemessenheit eines fremden Rechtssystems.

  • Zero-Knowledge und versioniert.

    Die Inhalte werden vor dem Hochladen verschlüsselt und in versionierten Ständen abgelegt — frühere Fassungen bleiben erhalten, statt überschrieben zu werden.

  • Protokolliert.

    Jede Wiederherstellung wird mit Zeitpunkt und Umfang protokolliert — das macht den Umgang mit Personendaten nachvollziehbar.

Wie Archiv3 Sie technisch unterstützt

Archiv3 ist keine Rechtsberatung und macht Sie nicht automatisch revDSG-konform. Die Plattform ist aber gezielt darauf ausgelegt, die oben genannten Anforderungen technisch zu stützen — damit Sie angemessene Massnahmen mit weniger Aufwand umsetzen können.

Zero-Knowledge-Verschlüsselung mit AES-256-GCM

Ihre Daten werden vor dem Hochladen auf Ihrem Gerät mit AES-256-GCM verschlüsselt. Nur Sie halten den Schlüssel — selbst Archiv3 kann die Inhalte nicht einsehen. Das ist ein starker Schutz vor unbefugtem Zugriff und besonders relevant für besonders schützenswerte Personendaten.

Datenstandort Schweiz, redundant gespeichert

Gespeichert wird ausschliesslich in der Schweiz, redundant auf gespiegelten Datenträgern. Es gibt keinen Datenabfluss ins Ausland — und ein einzelner Datenträgerausfall bedeutet keinen Datenverlust. Damit entfällt die heikle Frage nach der Angemessenheit eines ausländischen Speicherorts.

Versioniert und protokolliert

Jede Sicherung wird als eigener, unveränderlicher Stand mit Zeitstempel abgelegt. Wiederherstellungen werden protokolliert. So bleibt nachvollziehbar, welche Stände vorhanden sind und wann auf sie zugegriffen wurde — eine Grundlage, um die geforderte Nachvollziehbarkeit zu belegen. Wie Sie die Verfügbarkeit Ihrer Sicherung regelmässig prüfen, lesen Sie unter Restore-Test: warum Sie ihn brauchen.

Checkliste für Ihr KMU

Diese fünf Punkte helfen, die eigene Datensicherung strukturiert auf die revDSG-Grundsätze hin zu prüfen. Sie ersetzen keine rechtliche Beurteilung, geben aber eine erste Orientierung:

  1. 1. Personendaten identifizieren.

    Wo bearbeiten Sie Kunden-, Personal-, Patienten- oder Mandantendaten? Stellen Sie sicher, dass alle relevanten Bestände in die Sicherung einbezogen sind.

  2. 2. Datenstandort prüfen.

    Liegen die Daten in der Schweiz — oder fliessen sie über einen US-Dienst ins Ausland ab? Klären Sie, wo Ihr Anbieter tatsächlich speichert.

  3. 3. Verschlüsselung und Zugriff klären.

    Sind die Daten Ende-zu-Ende verschlüsselt? Wer hat technisch Zugriff auf die Inhalte — und kann der Anbieter sie selbst lesen?

  4. 4. Restore testen und protokollieren.

    Eine Sicherung, die sich nicht zurückspielen lässt, hilft im Ernstfall nicht. Testen Sie die Wiederherstellung regelmässig und halten Sie den Test fest.

  5. 5. Verbindliche Beurteilung einholen.

    Die konkrete Pflichtenlage Ihres Betriebs mit Ihrer Rechtsberatung abschliessend klären — diese Seite gibt nur eine technische Orientierung.

Wie Archiv3 diese Punkte in einzelnen Branchen abbildet, lesen Sie unter Archiv3 für Treuhänder, Arztpraxen und Anwaltskanzleien. Zur Aufbewahrung von Geschäftsunterlagen vertieft der Beitrag GeBüV & Backup für Treuhänder das Thema, und wie Sie Ihre Sicherung im Ernstfall prüfen, zeigt der Restore-Test.

In aller Regel ja. Das revDSG knüpft an die Bearbeitung von Personendaten an, nicht an die Unternehmensgrösse. Sobald Sie Kunden-, Mitarbeitenden-, Patienten- oder Mandantendaten bearbeiten, sind Sie betroffen — auch als Einzelfirma. Die verbindliche Beurteilung trifft Ihre Rechtsberatung.
Eine Datenbekanntgabe ins Ausland ist nur unter zusätzlichen Voraussetzungen zulässig, etwa bei angemessenem Schutz im Zielland. Bei US-Anbietern stellt sich zudem die Frage nach einem möglichen Zugriff nach ausländischem Recht. Wer in der Schweiz speichert, umgeht diese Hürde von vornherein.
Was angemessen ist, hängt von Art, Umfang und Risiko der Bearbeitung ab. Verschlüsselung, Zugriffskontrolle, redundante und versionierte Sicherung sowie Protokollierung gehören in vielen Fällen dazu. Den konkreten Massstab für Ihren Betrieb klären Sie mit Ihrer Rechtsberatung.
Nein. Archiv3 unterstützt Sie technisch dabei, angemessene Massnahmen umzusetzen — mit Zero-Knowledge-Verschlüsselung, Datenstandort Schweiz, Versionierung und Protokollierung. Ob Ihre Gesamtumsetzung konform ist, hängt vom gesamten Prozess ab und ist mit Ihrer Rechtsberatung verbindlich zu beurteilen.

Bereit?

Datenstandort Schweiz.
Restore in 3 Klicks.

Sehen Sie, wie Archiv3 Schweizer KMU bei einer datenschutzbewussten Sicherung unterstützt — oder starten Sie direkt mit Ihrer ersten Sicherung.

Kostenlos starten Branchen ansehen

14 Tage gratisKeine KreditkarteMonatlich kündbar

← Zurück zur Wissen-Übersicht

Rechtlicher Hinweis: Diese Seite erklärt, wie Archiv3 Sie bei Datenschutz- und Aufbewahrungspflichten technisch unterstützt — sie ist keine Rechtsberatung. Die verbindliche Beurteilung Ihrer konkreten Pflichten (DSG/revDSG, OR, GeBüV) trifft Ihr Rechtsanwalt bzw. Ihr Treuhänder.