DSGVO im Projektmanagement 2026 — Was Schweizer KMU jetzt wissen müssen

DSGVO und das revidierte Schweizer Datenschutzgesetz (revDSG) haben weitreichende Auswirkungen auf die Wahl und Nutzung von Projektmanagement-Software. Dieser Leitfaden erklärt die wichtigsten Pflichten 2026 und gibt konkrete Handlungsempfehlungen.

DSGVO vs. revDSG — Was gilt für Schweizer KMU?

Schweizer Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten (Kunden, Mitarbeitende, Lieferanten), müssen die EU-DSGVO einhalten — auch wenn sie nicht in der EU ansässig sind. Zusätzlich gilt das Schweizer revDSG (in Kraft seit 1. September 2023) für die Verarbeitung von Daten Schweizer Personen.

Die gute Nachricht: revDSG ist eng an DSGVO angelehnt. Wer nach DSGVO-Standards aufgebaut ist, erfüllt 90 Prozent der revDSG-Anforderungen automatisch. Wichtige Unterschiede: revDSG kennt keine Bußgelder gegen Unternehmen (nur gegen natürliche Personen, bis CHF 250'000), erlaubt aber Berufsverbote für verantwortliche Personen.

Welche Daten in PM-Tools sind heikel?

• ·Mitarbeiter-Namen, E-Mails, Stundenerfassung (interne Personalbeurteilung)
• ·Kundennamen, Kontakte, Vertragsdaten (Geschäftsbeziehungen)
• ·Patienten- oder Mandanten-Daten in Branchen wie Healthcare, Anwaltskanzleien
• ·Finanzdaten (Budgets, Kostenstellen)
• ·Performance-Daten (Aufgaben-Erfüllung, Velocity, Geschwindigkeit)

Auftragsverarbeitungsvertrag (AVV) — Pflicht für jedes SaaS-Tool

Wenn ein PM-Tool personenbezogene Daten verarbeitet, ist gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag zwischen Ihrem Unternehmen und dem Tool-Anbieter Pflicht. Ohne AVV verstoßen Sie gegen die DSGVO — Bußgelder bis 4 Prozent des Jahresumsatzes oder EUR 20 Millionen drohen.

Wichtige AVV-Klauseln, auf die Sie achten müssen: Daten-Lokalisierung (wo werden Daten gehostet?), Sub-Verarbeiter (welche Drittdienste nutzt der Anbieter?), Kündigung und Datenrückgabe (was passiert mit Daten bei Vertragsende?), Audit-Rechte (dürfen Sie den Anbieter prüfen lassen?), Datenpannen-Meldung (wie schnell informiert der Anbieter Sie?).

Schweizer Hosting vs. EU-Hosting vs. US-Hosting

Die Wahl des Hosting-Standorts ist eine der wichtigsten DSGVO/revDSG-Entscheidungen. Hier ein Vergleich:

Schweizer Hosting

Vorteil: Daten unterliegen dem Schweizer Bankgeheimnis-äquivalenten revDSG. Keine FBI/CIA-Zugriffe via CLOUD Act möglich. Aufsichtsbehörde ist der EDÖB (Eidgenössischer Datenschutzbeauftragter).

Nachteil: Tendenziell höhere Kosten als EU-Hosting. Einige US-basierte SaaS-Anbieter bieten kein Schweizer Hosting an.

EU-Hosting (Frankfurt, Dublin, Stockholm)

Vorteil: nach DSGVO-Standards aufgebaut out-of-the-box. Datenschutz-Schild zur Schweiz (Angemessenheitsbeschluss). Breite Anbieter-Auswahl.

Nachteil: Bei US-Tochtergesellschaften (z.B. Microsoft EU) theoretisch CLOUD-Act-Zugriff möglich. Daher: bei sensiblen Branchen (Banking, Healthcare, Anwalt) lieber rein europäische Anbieter oder Schweizer Hosting.

US-Hosting (Asana, Monday, ClickUp, Notion)

Problem: Privacy Shield ist seit 2020 ungültig (Schrems II). Daten-Transfer in die USA erfordert zusätzliche Garantien (Standard-Vertragsklauseln + technische Maßnahmen wie Ende-zu-Ende-Verschlüsselung). In der Praxis: viele KMU vermeiden US-Tools für sensible Daten.

Praktische Empfehlungen für 2026

• ·Wählen Sie ein DACH-natives Tool mit Schweizer oder EU-Hosting (z.B. Flenio, awork, factro)
• ·Lesen Sie den AVV vor Vertragsabschluss — verlangen Sie Sonder-Klauseln wenn Standard-AVV ungenügend ist
• ·Dokumentieren Sie Ihre Datenverarbeitung in einem Verzeichnis (Art. 30 DSGVO Pflicht)
• ·Schulen Sie Mitarbeitende: keine Klarnamen in öffentlichen Boards, keine sensitiven Daten in Kommentaren
• ·Etablieren Sie Datenpannen-Prozess: 72-Stunden-Meldepflicht an EDÖB
• ·Regelmäßige Datenschutz-Folgenabschätzungen (DSFA) bei hochriskanten Verarbeitungen

Datenschutz-Folgenabschätzung (DSFA) — Pflicht in welchen Fällen?

Eine DSFA ist Pflicht bei hochriskanten Datenverarbeitungen — z.B. Profiling von Mitarbeitenden, große Mengen sensibler Daten, neuartige Technologien. Die DSFA dokumentiert Risiken und Schutzmaßnahmen und ist bei Inspektionen vorzulegen.

Bei Standard-PM-Tool-Nutzung (interne Projekte, normale Mitarbeitenden-Daten) ist meist keine formale DSFA nötig — aber eine Verarbeitungs-Verzeichnis (Art. 30) trotzdem Pflicht. Bei AI-Funktionen (Aufgaben-Vorschläge via KI) wird ab 2026 zusätzlich der EU AI Act relevant — siehe separater Ratgeber.

Fazit: DSGVO ist kein Hindernis, sondern Wettbewerbsvorteil

DSGVO-Compliance ist mehr als Pflicht-Erfüllung — sie ist ein Wettbewerbsvorteil. Schweizer KMU, die nach DSGVO-Standards aufgebaut arbeiten, gewinnen Vertrauen bei Kunden und Partnern. Die Investition in ein nach DSGVO-Standards aufgebautes Tool (mit Schweizer oder EU-Hosting, ordentlichem AVV, transparentem Sub-Verarbeiter-Management) zahlt sich mehrfach aus.