nDSG und QR-Codes: Was Schweizer KMU 2026 wissen müssen

Was ist das nDSG eigentlich?

Das revidierte Schweizer Datenschutzgesetz (nDSG, manchmal auch nFADP genannt für „new Federal Act on Data Protection") trat am 1. September 2023 in Kraft und ersetzt das frühere Datenschutzgesetz von 1992. Es orientiert sich stark an der DSGVO der EU, ist aber nicht identisch — und das ist für Schweizer KMU relevant.

Wichtige Eckpunkte:

• Es schützt nur natürliche Personen (anders als bisher, wo auch Firmen geschützt waren)
• Es gilt extraterritorial — auch ausländische Anbieter, die Daten Schweizer Personen bearbeiten, müssen es einhalten
• Die Aufsichtsbehörde ist der EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragte)
• Bussgeldhöhe bis CHF 250'000 bei Verstössen (Privatpersonen verantwortliche), CHF 50'000 bei Unternehmen — niedriger als DSGVO

Wo das nDSG QR-Codes berührt

Wenn Sie als Schweizer KMU dynamische QR-Codes einsetzen, sind zwei Datenschutz-Aspekte relevant:

1. Was wird beim Scan erfasst? (Scan-Tracking)
2. Wo werden die Daten verarbeitet? (Hosting des Anbieters)

Beide Aspekte sind nicht nur „nice-to-know" — sie können konkrete rechtliche Folgen haben, wenn ein Datenleck auftritt oder ein Kunde Auskunft verlangt.

Aspekt 1: Was beim Scan erfasst werden darf

Bei jedem Scan eines dynamischen QR-Codes wird mindestens folgendes Datum erfasst:

• IP-Adresse (zumindest temporär für die Geolocation)
• Zeitpunkt des Scans
• User-Agent (Gerät, Browser, OS)

Was davon ist „Personendaten"?

Die IP-Adresse gilt nach nDSG (und auch DSGVO) als Personendatum, wenn sie zur Identifizierung einer Person verwendet werden kann. Bei dynamischen IPs aus dem Mobilfunknetz ist das praktisch nicht möglich — aber rechtlich kann sie trotzdem als Personendatum eingestuft werden.

Welche Pflichten ergeben sich?

Wenn Personendaten verarbeitet werden, müssen Sie:

• Informieren (Datenschutzerklärung)
• Datenminimierung anwenden — nur erfassen, was nötig ist
• Zweckbindung sicherstellen — Scan-Daten nur für die ursprüngliche Auswertung verwenden
• Datensicherheit gewährleisten — verschlüsselte Übertragung (HTTPS), sichere Speicherung
• Auftragsverarbeitungs-Vertrag (AVV) mit dem QR-Code-Anbieter abschliessen

Wie QRTool das löst

QRTool erfasst IP-Adressen nur temporär (für die Geolocation), hasht sie sofort nach Auflösung und speichert nur das Land/die Stadt-Information. Es findet keine personenbezogene Speicherung statt. Der Auftragsverarbeitungs-Vertrag wird mit jedem zahlenden Kunden auf Wunsch ausgehändigt.

Aspekt 2: Hosting und Datenstandort

Das nDSG erlaubt grundsätzlich die Verarbeitung in der EU — die EU gilt als „angemessenes Schutzniveau". Für die USA gilt das nicht automatisch. Daten in die USA dürfen nur unter bestimmten Bedingungen übertragen werden:

• EU-US Data Privacy Framework (vergleichbar mit dem ehemaligen Privacy Shield)
• Standardvertragsklauseln (SCC) als Vertragsbasis
• Verbindliche Unternehmensregelungen (BCR) für Konzern-interne Übertragungen
• Schweizer Pendant zum DPF (seit 2024 in Kraft)

Welcher Anbieter ist also „nDSG-konform"?

Drei Kategorien sind zu unterscheiden:

| Hosting-Standort | nDSG-Status | Beispielanbieter | |---|---|---| | Schweiz | Vollständig konform, kein Drittlandtransfer | QRTool | | EU | Konform mit Datenschutzerklärung + AVV | qr-code-generator.com, QRCodeMonkey (Bitly Europe Berlin) | | USA | Nur mit Data Privacy Framework + AVV; höherer Aufwand | Bitly, Uniqode, Beaconstac |

Wer als Schweizer KMU in regulierten Branchen tätig ist (Banken, Versicherungen, Spitäler, öffentliche Verwaltung), wählt typischerweise ein Schweizer Hosting, um den Datenexport komplett zu vermeiden.

Konkrete Pflichten für Schweizer KMU

1. Datenschutzerklärung anpassen

Wenn Sie dynamische QR-Codes mit Scan-Tracking einsetzen, ergänzen Sie Ihre Datenschutzerklärung mindestens um:

• Wer ist der Anbieter (Name + Sitz)
• Welche Daten werden erfasst (IP, Zeit, Gerät — falls anwendbar)
• Wie lange gespeichert
• Wo werden Daten verarbeitet (Schweiz, EU, USA)
• Rechtsgrundlage (berechtigtes Interesse, Vertragserfüllung)

2. Auftragsverarbeitungs-Vertrag

Bei jedem Anbieter, der für Sie Daten verarbeitet, brauchen Sie einen AVV. Bei QRTool wird dieser auf Anfrage zur Verfügung gestellt.

3. Verzeichnis der Bearbeitungstätigkeiten

Seit 2023 verpflichtend: ein internes Verzeichnis aller Datenverarbeitungen mit Zweck, Datenkategorien, Empfängern und Aufbewahrungsfristen. QR-Code-Scans gehören dort hinein — auch wenn sie anonym aussehen.

4. Meldepflicht bei Datenpannen

Wenn Daten kompromittiert werden, müssen Sie das dem EDÖB innerhalb angemessener Frist melden — bei „hohem Risiko" für betroffene Personen sogar diese informieren. Daher: nur Anbieter mit nachweisbarer Security wählen.

Was Sie als Auftraggeber rechtlich tun müssen

Auch wenn Sie nur Kunde eines QR-Code-Anbieters sind, bleiben Sie datenschutzrechtlich verantwortlich. Das heisst konkret:

1. Anbieter prüfen — Sitz, Hosting, Sicherheit, Zertifikate
2. Vertrag schliessen — AVV mit klarer Aufgabenverteilung
3. Bei Bedarf eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn die Verarbeitung „mit hohem Risiko" für Betroffene verbunden ist (bei reinem Scan-Tracking selten nötig)

Häufig gestellte Fragen

Brauche ich für einen QR-Code mit Tracking ein Cookie-Banner?

Nicht zwingend. Wenn keine personenbezogenen Daten direkt verarbeitet werden (nur anonyme Aggregate) und keine Cookies gesetzt werden, ist kein Banner erforderlich. Auf der Ziel-Webseite gelten dann allerdings die regulären Cookie-Regeln Ihres eigenen Analyse-Tools.

Was ist der Unterschied zwischen nDSG und DSGVO?

Praktisch sind sich beide ähnlich. Wesentliche Unterschiede: nDSG schützt nur natürliche Personen, hat niedrigere Bussgelder und einen anderen Bürokratie-Aufwand. Wer DSGVO-konform arbeitet, ist meist auch nDSG-konform — aber nicht zwingend umgekehrt.

Was, wenn ich Kunden ausserhalb der Schweiz habe?

Wenn Sie Daten von EU-Bürgern bearbeiten, gilt zusätzlich die DSGVO. Beide Gesetze sind kompatibel — am sichersten ist es, sich an der strengeren Regelung zu orientieren.

Sind QR-Code-Anbieter automatisch Auftragsverarbeiter?

Ja — wenn sie für Sie Scan-Daten erfassen und auswerten, sind sie Auftragsverarbeiter (Art. 5 lit. k nDSG). Ein AVV ist gesetzlich vorgeschrieben.

Was kostet die nDSG-Compliance?

Für die meisten Schweizer KMU ist der zusätzliche Aufwand gering: Datenschutzerklärung anpassen (einmalig 2–4 Stunden), AVV mit dem Anbieter (kostenlos), Verzeichnis der Bearbeitungen pflegen (Stunden pro Quartal). Echter Aufwand entsteht erst, wenn Daten in unsichere Drittländer übertragen werden oder grosse Datenmengen verarbeitet werden.

Fazit

Das nDSG ist für Schweizer KMU keine Hürde, sondern ein klarer Orientierungsrahmen: Wer einen Anbieter mit Schweizer Hosting wählt, anonymisierte Tracking-Daten verarbeitet und Datenschutzerklärung sowie AVV sauber pflegt, ist auf der sicheren Seite. Wer auf US-Anbieter setzt, übernimmt zusätzliche Compliance-Pflichten und sollte sich vor der Wahl genau überlegen, ob das mehr bringt als ein Schweizer Anbieter.