Seit September 2023 ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Viele KMU sind verunsichert: Was müssen wir technisch umsetzen? Reicht eine Datenschutzerklärung? Brauchen wir einen Datenschutzberater?
Dieser Artikel erklärt die technischen Anforderungen des nDSG — ohne Juristendeutsch, mit konkreten Massnahmen.
Was das nDSG technisch verlangt
Das nDSG spricht in Artikel 8 von „angemessenen technischen und organisatorischen Massnahmen“, um Personendaten zu schützen. Der Bundesrat hat diese in der Datenschutzverordnung (DSV) konkretisiert:
- Zugriffskontrolle: Wer hat Zugang zu welchen Daten?
- Verschlüsselung: Sind Daten bei der Übertragung und Speicherung geschützt?
- Protokollierung: Werden Zugriffe und Änderungen nachvollziehbar protokolliert?
- Verfügbarkeit: Gibt es Backups und Wiederherstellungspläne?
- Regelmässige Überprüfung: Werden die Massnahmen periodisch geprüft?
Der letzte Punkt ist entscheidend — und wird am häufigsten vernachlässigt.
„Angemessen“ — was heisst das konkret?
Das Gesetz verlangt keine spezifischen Produkte oder Zertifizierungen. „Angemessen“ bedeutet: verhältnismässig zum Risiko und zur Grösse des Unternehmens.
Für ein KMU mit 20 Mitarbeitenden gelten andere Massstäbe als für eine Bank. Aber: „Wir sind zu klein, uns betrifft das nicht“ gilt nicht. Das nDSG gilt für jedes Unternehmen das Personendaten verarbeitet — und das tut praktisch jedes KMU (Kundendaten, Mitarbeiterdaten, E-Mail-Adressen).
7 konkrete Massnahmen die jedes KMU umsetzen sollte
1. Verschlüsselung erzwingen
Alle extern erreichbaren Dienste müssen TLS 1.2 oder höher verwenden. TLS 1.0 und 1.1 sind nicht mehr zeitgemäss und gelten als unsicher.
2. Zugriffsrechte prüfen
Wer hat Admin-Zugang? Wer kann auf Personendaten zugreifen? Prinzip der minimalen Berechtigung anwenden.
3. Software aktuell halten
Veraltete Software mit bekannten Schwachstellen ist ein Risiko, das sich bei einem Vorfall nur schwer rechtfertigen lässt.
4. Regelmässige Vulnerability Scans
Die DSV verlangt „regelmässige Überprüfung“ der Schutzmassnahmen. Ein automatisierter Vulnerability Scan ist der effizienteste Weg, diese Anforderung zu erfüllen.
5. Backup-Strategie dokumentieren
Regelmässige Backups mit getesteter Wiederherstellung. Ransomware-Schutz: Mindestens ein Backup offline oder unveränderbar.
6. Vorfallreaktion planen
Das nDSG verlangt Meldung an den EDÖB innert 72 Stunden bei Datenschutzverletzungen. Ein dokumentierter Prozess ist Pflicht.
7. Datenschutzerklärung aktualisieren
Informationspflicht gegenüber betroffenen Personen. Muss auf der Website und bei Datenerhebung zugänglich sein.
Was passiert bei Verstössen?
Das nDSG sieht Bussen bis CHF 250’000 vor — und zwar gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen. Das bedeutet: Geschäftsführer und IT-Verantwortliche haften persönlich.
In der Praxis wird der EDÖB (Eidgenössischer Datenschutzbeauftragter) vermutlich zuerst auf Kooperation und Verbesserung setzen. Aber: Bei einem Vorfall wird geprüft, ob angemessene Schutzmassnahmen vorhanden waren. Wer nichts vorweisen kann, hat ein Problem.
Dokumentation ist der Schlüssel
Das nDSG verlangt keine Zertifizierung. Aber es verlangt, dass Sie nachweisen können, dass Sie angemessene Massnahmen getroffen haben.
Das heisst konkret:
- Dokumentierte IT-Sicherheitsmassnahmen
- Regelmässige Prüfberichte (z.B. Vulnerability Scan Reports)
- Protokollierte Verbesserungen
- Nachvollziehbare Zugriffsrechte
Ein professioneller Scan-Bericht in Ihrer Sprache ist genau die Art von Nachweis, die ein Auditor oder der EDÖB sehen will.
Fazit
Das nDSG ist kein IT-Sicherheitsgesetz im engeren Sinn. Aber es verlangt technische Massnahmen, die sich mit IT-Sicherheits-Standards decken. Wer seine Systeme regelmässig prüft und die Ergebnisse dokumentiert, erfüllt den Grossteil der technischen Anforderungen.
ExposIQ erstellt automatisch nDSG-konforme Prüfberichte in Deutsch, Französisch, Italienisch und Englisch. Die Berichte dokumentieren geprüfte Systeme, gefundene Schwachstellen und empfohlene Massnahmen — genau das, was Auditoren und Regulatoren sehen wollen.
