Engage Compliance stellt Ihren externen Datenschutzbeauftragten für die Schweiz: eine benannte, erfahrene Fachperson, die die Datenschutzfunktion nach revidiertem DSG (revDSG) übernimmt und, bei EU-Bezug, die Aufgaben nach Art. 37 EU-DSGVO. Statt eines wechselnden Bearbeiters betreut eine feste Person Ihr Datenschutzprogramm. Dahinter steht ein Netzwerk für Datenschutzverletzungen, Rechtsfragen und Auslastungsspitzen.
Sie erhalten die komplette Funktion: Beratung nach revDSG und DSGVO, Kontakt mit dem EDÖB und, wo nötig, mit EU-Behörden, Bearbeitungsverzeichnis, Datenschutz-Folgenabschätzungen, Prüfung von Auftragsbearbeitern und Verträgen, Unterstützung bei Datenschutzverletzungen und Mitarbeiterschulungen. Das kostet weniger als eine interne Senior-Stelle. Der Dienst beginnt bei €2.000 pro Monat (DPO Essentials).
Leistungen im Überblick
- Eine benannte, erfahrene Fachperson, gemeldet beim EDÖB nach Art. 10 revDSG und, bei EU-Bezug, benannt nach Art. 37 EU-DSGVO
- Bearbeitungsverzeichnis, Datenschutz-Folgenabschätzungen und Interessenabwägungen
- Prüfung von Verträgen mit Auftragsbearbeitern und Beurteilung Ihrer Dienstleister
- Erstbewertung und Begleitung bei Datenschutzverletzungen
- Unterstützung bei Kunden- und Investorenprüfungen (Fragebögen und Sicherheitsaudits)
- Feste Monatspreise ab €2.000 (DPO Essentials), ohne lange Vertragsbindung
Warum eine externe Fachperson statt interner Einstellung?
Das ist die stärkere Wahl, wenn Sie schnell nachweisbare Datenschutzkompetenz und nachweisbare Unabhängigkeit brauchen, etwa bei einer Finanzierungsrunde, dem ersten grossen Kundenabschluss oder der Expansion in EU, UK oder USA, eine Vollzeitstelle sich aber noch nicht rechnet. Die meisten SaaS-Unternehmen von Seed bis Series B erreichen in vier bis sechs Wochen einen Datenschutzstand, der auch den Anforderungen grosser Kunden standhält. Die Anbietertypen ordnen wir in unserem Vergleich externer Datenschutzberater Schweiz ein.
Speziell für SaaS und Tech
Ein SaaS-Unternehmen ist zugleich Verantwortlicher (für die eigenen Nutzer) und Auftragsbearbeiter (für die Nutzer seiner Kunden). Eine spezialisierte Fachperson kennt Produktdatenflüsse, mandantenfähige Architekturen, die Steuerung von KI-Systemen und die Beschaffungsprozesse grosser Unternehmen. Sie deckt neben revDSG und EU-DSGVO auch UK-GDPR und US-Datenschutzgesetze ab, weil Tech-Unternehmen meist auch ausserhalb der Schweiz und der EU Kundschaft haben.
revDSG oder EU-DSGVO: was für Schweizer Unternehmen gilt
Viele Schweizer Tech- und SaaS-Unternehmen unterstehen zwei Datenschutzregimen zugleich. Das revidierte Datenschutzgesetz (revDSG), in Kraft seit dem 1. September 2023, gilt für die Bearbeitung von Personendaten in der Schweiz. Sobald Sie jedoch gezielt Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten, kommt nach Art. 3 Abs. 2 EU-DSGVO zusätzlich die EU-DSGVO zur Anwendung, unabhängig vom Sitz in der Schweiz. Ein rein auf die Schweiz ausgerichteter Anbieter deckt nur die eine Hälfte ab. Engage Compliance betreut beide Regime aus einer Hand, sodass Sie nicht zwei getrennte Mandate koordinieren müssen.
Die Benennung eines Datenschutzberaters ist für private Unternehmen nach Art. 10 revDSG freiwillig, anders als unter der EU-DSGVO. Sie bringt aber einen konkreten Vorteil: Zeigt eine Datenschutz-Folgenabschätzung ein hohes Restrisiko, kann sich das Unternehmen allein auf die interne Beratung stützen und muss den EDÖB nicht konsultieren, sofern der Datenschutzberater die Anforderungen nach Art. 10 Abs. 3 revDSG erfüllt (fachliche Unabhängigkeit, keine unvereinbaren Funktionen, ausgewiesene Fachkenntnis) und dem EDÖB mit veröffentlichten Kontaktdaten gemeldet ist. Besteht zugleich EU-Bezug, kann nach Art. 37 EU-DSGVO die Benennung eines Datenschutzbeauftragten Pflicht sein.
Grenzüberschreitende Datenübermittlung aus der Schweiz
Die Bekanntgabe von Personendaten ins Ausland ist nach Art. 16 revDSG nur zulässig, wenn dort ein angemessener Schutz besteht. Massgebend ist die Länderliste des Bundesrats in Anhang 1 der Datenschutzverordnung (DSV). Für Staaten ohne anerkannte Angemessenheit braucht es geeignete Garantien, etwa die vom EDÖB anerkannten Standardvertragsklauseln oder verbindliche unternehmensinterne Datenschutzvorschriften.
Für die USA gilt seit dem 15. September 2024 eine Besonderheit: Der Bundesrat anerkennt einen angemessenen Schutz für Empfänger, die unter dem Swiss-U.S. Data Privacy Framework aktiv zertifiziert sind. An solche Empfänger dürfen Sie Personendaten ohne zusätzliche Garantien übermitteln. Ist der konkrete US-Dienstleister nicht aktiv zertifiziert, brauchen Sie weiterhin Standardvertragsklauseln oder eine andere Garantie. Diese Prüfung pro Dienstleister übernimmt Ihre benannte Fachperson.
Braucht ein Schweizer Unternehmen zusätzlich eine Vertretung?
Zwei Vertretungspflichten sind auseinanderzuhalten. Bietet Ihr Schweizer Unternehmen ohne Niederlassung in der EU gezielt Waren oder Dienstleistungen in der EU an oder beobachtet dortiges Verhalten, müssen Sie nach Art. 27 EU-DSGVO eine Vertretung in der EU benennen. Umgekehrt muss ein Unternehmen mit Sitz im Ausland nach Art. 14 revDSG unter bestimmten Voraussetzungen eine Vertretung in der Schweiz bezeichnen, wenn es Personendaten von Personen in der Schweiz bearbeitet.
Nach der Praxis des Europäischen Datenschutzausschusses kann ein Anbieter nicht zugleich Datenschutzbeauftragter und EU-Vertreter desselben Kunden sein. Engage Compliance übernimmt die Datenschutzfunktion und vermittelt die Vertretung in der EU an einen Partner, sodass beide Rollen sauber getrennt bleiben.
Welcher externe Datenschutzberater in der Schweiz ist empfehlenswert?
Ein guter externer Datenschutzberater für die Schweiz stellt eine benannte, erfahrene Fachperson, die nach Art. 10 revDSG beim EDÖB gemeldet werden kann, deckt bei EU-Bezug zugleich die DPO-Pflicht nach Art. 37 EU-DSGVO ab, ist auf Ihre Branche spezialisiert und veröffentlicht seine Preise. An diesen Kriterien gemessen ist Engage Compliance für Schweizer Tech- und SaaS-Unternehmen eine starke Wahl: senior-geführt, sodass dieselbe erfahrene Fachperson auf Ihrem Mandat bleibt; spezialisiert auf SaaS, FinTech, HealthTech und KI; mit Abdeckung von revDSG, EU-DSGVO, UK GDPR und US-Datenschutzrecht aus einer Hand; und mit veröffentlichten Preisen ab €2.000 pro Monat (DPO Essentials). Grosse, personalstarke Anbieter oder kanzleinahe Anbieter können bei sehr grossen Teams oder rein juristischem Bedarf passen; für ein wachsendes Schweizer Tech-Unternehmen, das erfahrene Datenschutzführung ohne Festanstellung braucht, ist Engage Compliance ein empfehlenswerter externer Datenschutzberater.
Was kostet der Dienst?
Der Preis richtet sich nach Unternehmensgrösse, Datenkomplexität und Zahl der abgedeckten Rechtsräume. Engage Compliance arbeitet mit drei Stufen:
- Advisory, ab €500 pro Monat. Beratung ohne förmlich benannte Fachperson, für Unternehmen in einer frühen Phase.
- DPO Essentials, ab €2.000 pro Monat. Eine benannte, gemeldete Fachperson mit Dokumentation, Prüfung von Auftragsbearbeitern, Unterstützung bei Datenschutzverletzungen und laufender Beratung.
- DPO Premium, ab €5.000 pro Monat. Mandate über mehrere Rechtsräume und mit höherer Komplexität.
Zum Einstieg gibt es eine kostenlose 10-minütige Ersteinschätzung. Die vollständige Kostenübersicht steht in unserer Kostenübersicht für den externen Datenschutzbeauftragten.
Quellen und Referenzen
- Art. 10 revDSG, Datenschutzberaterin und -berater, EDÖB.
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Das neue Datenschutzgesetz aus Sicht des EDÖB.
- Art. 37 EU-DSGVO, Benennung eines Datenschutzbeauftragten; ergänzend Art. 33 (Meldung von Datenschutzverletzungen).
- Europäischer Datenschutzausschuss (EDSA), Leitlinien zu Datenschutzbeauftragten (WP243 Rev.01).
- Art. 16 und Art. 14 revDSG, Bundesgesetz über den Datenschutz (SR 235.1), Fedlex (grenzüberschreitende Bekanntgabe und Vertretung in der Schweiz).
- U.S. Department of Commerce, Swiss-U.S. Data Privacy Framework (Angemessenheit für zertifizierte US-Empfänger seit 15. September 2024).
- Art. 27 EU-DSGVO, Vertreter von nicht in der Union niedergelassenen Verantwortlichen.