CRM und Datenschutz: Was das DSG für dein Unternehmen bedeutet
Das revidierte Schweizer Datenschutzgesetz (DSG), in Kraft seit dem 1. September 2023, stellt klare Anforderungen an den Umgang mit Personendaten im CRM. Für Schweizer KMUs bedeutet das: Jedes CRM-System, das Kundendaten verarbeitet, muss DSG-konform sein. Verstösse können mit Bussen bis CHF 250'000 für die verantwortliche Privatperson geahndet werden — nicht die Firma, sondern die Person, die für den Datenschutz verantwortlich ist.
In diesem Artikel erfährst du, welche DSG-Anforderungen für CRM-Systeme gelten, welche Risiken bei Cloud-CRMs bestehen, und wie du mit einem DSG-konformen Setup arbeitest. Mit konkreten Checklisten und praxisnahen Empfehlungen für Schweizer KMUs.
Die DSG-Grundsätze für CRM-Datenverarbeitung
Das DSG definiert sieben Grundsätze, die direkt auf CRM-Systeme anwendbar sind:
| Grundsatz | Bedeutung für CRM | Umsetzung |
|---|---|---|
| Rechtmässigkeit | Rechtsgrundlage für Datenverarbeitung | Einwilligung oder überwegendes Interesse |
| Treu und Glauben | Transparente Verarbeitung | Datenschutzerklärung aktuell halten |
| Verhältnismässigkeit | Nur notwendige Daten erheben | Pflichtfelder minimieren |
| Zweckbindung | Daten nur für definierten Zweck nutzen | Nutzungszweck im CRM dokumentieren |
| Richtigkeit | Daten aktuell und korrekt halten | Regelmässige Datenbereinigung |
| Speicherbegrenzung | Löschung wenn Zweck erfüllt | Automatische Löschfristen |
| Datensicherheit | Technische und organisatorische Massnahmen | Verschlüsselung, Zugriffskontrollen |
Diese Grundsätze sind nicht optional — sie sind gesetzlich vorgeschrieben. Ein CRM-System, das diese Grundsätze nicht einhält, setzt das Unternehmen einem erheblichen Risiko aus.
Key Takeaway: DSG-Konformität im CRM ist keine einmalige Aktion, sondern ein laufender Prozess. Die sieben DSG-Grundsätze müssen in Technik, Prozessen und Organisation verankert sein.
Rechtsgrundlagen für CRM-Datenverarbeitung
Nicht jede Datenverarbeitung im CRM braucht eine explizite Einwilligung. Das DSG kennt mehrere Rechtsgrundlagen:
1. Vertragserfüllung Wenn du Kundendaten brauchst, um einen Vertrag zu erfüllen (Lieferadresse, Rechnungsdaten, Kommunikation), ist keine separate Einwilligung nötig. Das deckt den Grossteil der CRM-Daten im B2B-Bereich ab.
2. Überwegendes Interesse Für Bestandskunden darfst du Cross- und Upselling betreiben, wenn ein überwegendes Interesse besteht und der Kunde nicht widersprochen hat. Wichtig: Dokumentiere die Interessenabwägung.
3. Explizite Einwilligung Für Newsletter, Marketingkampagnen an Nicht-Kunden und Profiling brauchst du eine explizite, informierte Einwilligung. Diese muss im CRM dokumentiert und jederzeit widerrufbar sein.
4. Gesetzliche Pflicht Einige Daten müssen aufgrund gesetzlicher Pflichten gespeichert werden (Buchhaltungsbelege: 10 Jahre). Diese Pflicht geht dem Löschrecht vor.
Für ein CRM-System, das verschiedene Verarbeitungszwecke abdeckt, ist es entscheidend, die Rechtsgrundlage pro Datenkategorie zu dokumentieren. Ein massgeschneidertes CRM kann diese Dokumentation einbauen — Standard-SaaS-CRMs bieten das selten.
Cloud-CRM und Datentransfer: Das Schweiz-USA-Problem
Das grösste Datenschutzrisiko bei CRM-Systemen betrifft den internationalen Datentransfer. Die Situation:
| CRM-Anbieter | Firmensitz | Server-Standort | US-Zugriff | DSG-Risiko |
|---|---|---|---|---|
| HubSpot | USA | USA (EU optional) | CLOUD Act | Hoch |
| Salesforce | USA | EU/USA | CLOUD Act | Hoch |
| Pipedrive | Estland (EU) | EU (Frankfurt) | Kein | Mittel |
| Zoho | Indien | EU/USA/Indien | Kein CLOUD Act, aber Indien | Mittel |
| Custom (TYTOS) | Schweiz | CH/EU | Kein | Tief |
Das CLOUD-Act-Problem: US-Unternehmen sind gesetzlich verpflichtet, US-Behörden Zugriff auf Daten zu gewähren — unabhängig davon, wo die Daten physisch gespeichert sind. Das gilt auch für EU-Datencenter von US-Firmen.
Das Swiss-US Data Privacy Framework: Die Schweiz hat 2024 ein neues Framework mit den USA vereinbart, das Datentransfers erleichtern soll. Datenschutzexperten bezweifeln jedoch die Belastbarkeit — ähnliche Frameworks (Privacy Shield, Safe Harbor) wurden bereits vom EuGH gekippt.
Für Schweizer KMUs mit sensiblen Kundendaten — Treuhandbüros, Anwaltskanzleien, Gesundheitspraxen, Finanzberater — ist die sicherste Lösung ein CRM mit Schweizer oder EU-Hosting ohne US-Firmen in der Kette. TYTOS entwickelt CRM-Systeme mit Supabase (EU-Datencenter) und Vercel (Edge in Zürich) — ohne US-Zugriff. Mehr zu den Kosten erfährst du in unserem Artikel Was kostet Softwareentwicklung in der Schweiz.
Die DSG-Checkliste für dein CRM
Nutze diese Checkliste, um dein CRM auf DSG-Konformität zu prüfen:
Datenhaltung:
- Serverstandort dokumentiert (Schweiz/EU bevorzugt)
- Kein unkontrollierter Datentransfer in Drittstaaten
- Auftragsverarbeitungsvertrag (AVV) mit dem CRM-Anbieter abgeschlossen
- Verschlüsselung in Transit (TLS) und at Rest
Datensparsamkeit:
- Nur notwendige Felder als Pflichtfelder definiert
- Keine überflüssigen Datenerhebungen
- Verarbeitungszweck pro Datenkategorie dokumentiert
Betroffenenrechte:
- Auskunftsrecht: Daten können innerhalb 30 Tagen exportiert werden
- Löschrecht: Daten können vollständig gelöscht oder anonymisiert werden
- Berichtigungsrecht: Daten können korrigiert werden
- Widerspruchsrecht: Opt-out für Marketing dokumentiert und umgesetzt
Einwilligung:
- Consent für Marketing im CRM gespeichert (Zeitstempel, Quelle)
- Opt-out-Mechanismus implementiert
- Einwilligungen können nachgewiesen werden
Zugriffskontrolle:
- Rollenbasierte Berechtigungen im CRM konfiguriert
- Nur berechtigte Mitarbeiter haben Zugriff auf sensible Daten
- Zugriffe werden geloggt (Audit-Trail)
Löschkonzept:
- Automatische Löschfristen definiert (z.B. Interessenten ohne Kontakt nach 12 Monaten)
- Manuelle Löschung auf Anfrage möglich
- Löschung aus Backups nach definiertem Zeitraum
Key Takeaway: DSG-Konformität erfordert sowohl technische Massnahmen (Verschlüsselung, Zugriffskontrollen, Löschfunktionen) als auch organisatorische Prozesse (Dokumentation, Schulung, regelmässige Audits). Ein Custom CRM kann alle Anforderungen nativ einbauen.
Technische Massnahmen für DSG-konformes CRM
Die wichtigsten technischen Massnahmen, die ein CRM-System bieten muss:
1. Row Level Security (RLS) Datenbankebene-Sicherheit: Jeder Nutzer sieht nur die Daten, für die er berechtigt ist. Bei TYTOS ist RLS Standard für alle Supabase-basierten Projekte — nicht als Feature-Flag, sondern als Architekturprinzip.
2. Verschlüsselung
- In Transit: TLS 1.3 für alle Verbindungen
- At Rest: ÄS-256 für die Datenbank
- Field-Level: Besonders sensible Felder (AHV-Nr., Gesundheitsdaten) zusätzlich verschlüsselt
3. Audit-Trail Jede Änderung an personenbezogenen Daten wird protokolliert: Wer hat wann was geändert? Unverzichtbar für Compliance-Nachweise.
4. Automatische Löschung Daten werden nach Ablauf der definierten Frist automatisch gelöscht oder anonymisiert. Kein manueller Aufwand, kein Vergessen.
5. Datenexport Betroffene können ihre Daten in einem gängigen Format (JSON, CSV) exportieren — per Self-Service oder auf Anfrage.
6. Consent-Management Einwilligungen werden mit Zeitstempel, Quelle und Version der Datenschutzerklärung gespeichert. Opt-out wird sofort wirksam.
Typische Fehler bei CRM-Datenschutz
Diese Fehler sehen wir regelmässig bei Schweizer KMUs:
1. "Wir nutzen HubSpot, das ist sicher" HubSpot bietet gute Sicherheitsfunktionen, aber die Datenspeicherung in den USA ist ein DSG-Risiko. "Sicher" und "DSG-konform" sind nicht dasselbe.
2. "Wir haben eine Datenschutzerklärung auf der Website" Eine Datenschutzerklärung ist notwendig, aber nicht ausreichend. Die internen Prozesse müssen die Erklärung auch umsetzen.
3. "Unsere Daten sind nicht sensitiv" Jeder Personenname mit E-Mail-Adresse ist eine Personendaten-Verarbeitung unter dem DSG. Es gibt keine "nicht-sensitiven" Personendaten — nur verschiedene Schutzgrade.
4. "Löschen wir nicht, könnte ja nochmal gebraucht werden" Das verletzt den Grundsatz der Speicherbegrenzung. Daten ohne Verarbeitungszweck müssen gelöscht werden. Ein Löschkonzept ist Pflicht.
5. "Das macht die IT" Datenschutz ist Chefsache. Die verantwortliche Person (oft der Geschäftsführer) haftet persönlich mit bis zu CHF 250'000. Delegation der Umsetzung ist möglich, Delegation der Verantwortung nicht.
Branchenspezifische Anforderungen
Je nach Branche gelten zusätzliche Anforderungen für CRM-Daten:
| Branche | Zusätzliche Anforderung | CRM-Konsequenz |
|---|---|---|
| Treuhand/Finanzen | FINMA-Regulierung, Berufsgeheimnis | Strenge Zugriffskontrolle, Audit-Logs |
| Gesundheit | Besonders schützenswerte Daten | Explizite Einwilligung, Field-Level-Verschlüsselung |
| Recht | Anwaltsgeheimnis | Maximale Vertraulichkeit, kein Cloud-Zugriff |
| Immobilien | Mieter-/Eigentümerdaten | Löschfristen nach Vertragsende |
| Bau | Subunternehmer-Daten | AVV mit Subunternehmern |
Für regulierte Branchen ist ein massgeschneidertes CRM oft die einzige Option, die alle Anforderungen erfüllt. Lies dazu auch unseren Artikel über die Digitalisierung der Baubranche. Standard-SaaS-CRMs können branchenspezifische Compliance selten out-of-the-box abbilden.
EDÖB und Durchsetzung
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überwacht die Einhaltung des DSG. Was du wissen musst:
- Meldepflicht: Datenschutzverletzungen mit hohem Risiko müssen dem EDÖB "so rasch wie möglich" gemeldet werden
- Untersuchungen: Der EDÖB kann von Amtes wegen oder auf Anzeige Untersuchungen einleiten
- Massnahmen: Anordnung von Anpassungen, Verarbeitungsverbote, Datenlöschung
- Bussen: Bis CHF 250'000 für Privatpersonen (nicht Firmen), verhängt durch kantonale Gerichte
- Zivilklagen: Betroffene können unabhängig vom EDÖB klagen
Die Durchsetzung nimmt zu. 2025 hat der EDÖB erstmals Massnahmen gegen Schweizer Unternehmen wegen CRM-Datenschutz-Verstössen verhängt. Die Zeiten des "wird schon gutgehen" sind vorbei.
Fazit: DSG-Konformität als Wettbewerbsvorteil
DSG-konforme CRM-Nutzung ist nicht nur Pflicht — es ist ein Vertraünssignal an deine Kunden. In einer Zeit, in der Datenschutz-Skandale regelmässig Schlagzeilen machen, ist der Satz "Ihre Daten bleiben in der Schweiz" ein echtes Verkaufsargument.
Ein massgeschneidertes CRM mit Schweizer Hosting ist die sicherste und langfristig günstigste Lösung für DSG-Konformität. Bei TYTOS bauen wir DSG-Konformität von Anfang an in die Architektur ein — Row Level Security, Verschlüsselung, Audit-Trails, automatische Löschfristen und Consent-Management. Standard, kein Aufpreis.
Bereit für ein CRM, das DSG-konform ist? Kontaktiere uns für eine kostenlose Demo in 24 Stunden. Festpreis. Schweizer Qualität. Ohne Risiko.