Das revidierte Schweizer Datenschutzgesetz (DSG) ist seit September 2023 in Kraft. Viele KMU haben die Anforderungen noch nicht vollständig umgesetzt. Dieser Artikel zeigt, was IT-seitig zu tun ist.
Das revidierte Datenschutzgesetz (DSG) ist seit dem 1. September 2023 in Kraft. Es bringt neue Pflichten für Schweizer Unternehmen – und deutlich höhere Bussen bei Verstössen. Bis zu 250.000 Franken Busse können gegen Verantwortliche persönlich verhängt werden.
Viele KMU haben die Anforderungen noch nicht vollständig umgesetzt. Dieser Artikel konzentriert sich auf die IT-seitigen Massnahmen, die das DSG erfordert – ohne juristische Ausschweifungen, aber mit konkreten Handlungsempfehlungen.
Was das DSG von KMU verlangt
Das DSG gilt für alle Unternehmen, die Personendaten von Schweizer Bürgerinnen und Bürgern bearbeiten. Das betrifft praktisch jedes KMU.
- 1
Datenschutz durch Technikgestaltung (Privacy by Design): Datenschutz muss von Anfang an in IT-Systeme eingebaut werden, nicht nachträglich.
- 2
Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default): Standardmässig dürfen nur die Daten bearbeitet werden, die für den jeweiligen Zweck notwendig sind.
- 3
Verzeichnis der Bearbeitungstätigkeiten: Unternehmen müssen dokumentieren, welche Personendaten sie zu welchem Zweck bearbeiten.
- 4
Meldepflicht bei Datenschutzverletzungen: Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen, müssen dem EDÖB gemeldet werden.
- 5
Recht auf Datenherausgabe: Betroffene Personen können verlangen, dass ihre Daten in einem gängigen elektronischen Format herausgegeben werden.
Wichtig: Im Gegensatz zur DSGVO richtet sich die Strafbarkeit nach dem DSG gegen natürliche Personen (Geschäftsführung, IT-Verantwortliche), nicht gegen Unternehmen. Das erhöht den persönlichen Handlungsdruck erheblich.
IT-Massnahmen, die das DSG konkret erfordert
Viele DSG-Anforderungen lassen sich direkt in IT-Massnahmen übersetzen.
- 1
Verschlüsselung: Personendaten müssen bei der Übertragung und Speicherung verschlüsselt werden. Das gilt für E-Mails, Datenbanken und Backups.
- 2
Zugriffskontrolle: Nur autorisierte Personen dürfen auf Personendaten zugreifen. Rollenbasierte Zugriffsrechte und Multi-Faktor-Authentifizierung sind Pflicht.
- 3
Logging und Monitoring: Zugriffe auf Personendaten müssen protokolliert werden. Bei einem Vorfall muss nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.
- 4
Datensicherung: Personendaten müssen regelmässig gesichert werden. <a href='/managed-it-services/backup' class='kpx-inline-link'>Backups</a> müssen ebenfalls verschlüsselt und geschützt sein.
- 5
Datenschutz-Folgenabschätzung: Bei risikoreichen Bearbeitungen muss eine formale Risikoanalyse durchgeführt werden.
Incident Response und Meldepflicht
Das DSG verpflichtet Unternehmen, Datenschutzverletzungen zu erkennen, zu dokumentieren und dem EDÖB zu melden. Dafür brauchen Sie einen Incident Response Plan und die technischen Mittel, um Vorfälle zu erkennen.
Ein Ransomware-Angriff, bei dem Personendaten betroffen sind, ist eine meldepflichtige Datenschutzverletzung. Ohne Monitoring und Logging können Sie nicht einmal feststellen, welche Daten betroffen waren – was die Meldung beim EDÖB unmöglich macht und das rechtliche Risiko erhöht.
KPX-Services für DSG-Compliance
Wir helfen KMU, die IT-seitigen Anforderungen des DSG umzusetzen – pragmatisch und ohne Überdimensionierung:
Managed Security (SOC)
24/7 Monitoring, Logging und Incident Detection. Grundlage für DSG-konforme Überwachung und Meldepflicht-Erfüllung.
Managed Microsoft 365
DSG-konforme M365-Konfiguration: Datenschutzeinstellungen, Zugriffsrechte, Aufbewahrungsrichtlinien und Verschlüsselung.
Möchten Sie wissen, ob Ihre IT die Anforderungen des DSG erfüllt? Wir prüfen Ihre aktuelle Konfiguration und erstellen einen konkreten Massnahmenplan.
Jetzt Ihre individuelle ErstanalyseThemen