Die EU-Datenschutz-Grundverordnung (DSGVO) und das Schweizer Datenschutzgesetz (nDSG) verpflichten Unternehmen, die personenbezogene Daten verarbeiten, zu angemessenen technischen und organisatorischen Schutzmassnahmen. Für beide Regelwerke gilt: Datenschutz ohne IT-Sicherheit ist nicht möglich. Wer personenbezogene Daten verarbeitet, muss diese auch technisch schützen.
Betrifft Sie die DSGVO?
Als Schweizer Unternehmen sind Sie von der DSGVO betroffen, wenn Sie:
- Personenbezogene Daten von Personen in der EU verarbeiten
- Waren oder Dienstleistungen an Personen in der EU anbieten
- Das Verhalten von Personen in der EU beobachten (z.B. Website-Tracking, Profiling)
Seit September 2023 ist zudem das revidierte Schweizer Datenschutzgesetz (nDSG) in Kraft. Es stellt vergleichbare Anforderungen an den Schutz personenbezogener Daten und gilt für alle Datenverarbeitungen mit Auswirkung auf die Schweiz. Unternehmen mit EU-Geschäft müssen beide Regelwerke einhalten.
Technische Anforderungen
Sowohl die DSGVO (Art. 32) als auch das nDSG (Art. 8) verlangen «angemessene technische und organisatorische Massnahmen» zum Schutz personenbezogener Daten. Konkret bedeutet das:
- Regelmässige Sicherheitsüberprüfungen – Systeme, die personenbezogene Daten verarbeiten, müssen periodisch auf Schwachstellen getestet werden
- Vulnerability- und Patch-Management – Bekannte Schwachstellen müssen zeitnah identifiziert und behoben werden
- Zugriffskontrolle und Verschlüsselung – Nur autorisierte Personen dürfen auf personenbezogene Daten zugreifen, Daten müssen in Transit und at Rest verschlüsselt sein
- Meldepflicht bei Datenschutzverletzungen – Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, das nDSG fordert eine Meldung «so rasch wie möglich» an den EDÖB
- Datenschutz-Folgenabschätzung (DSFA) – Bei Verarbeitungen mit hohem Risiko für die betroffenen Personen muss vorab eine Risikoanalyse durchgeführt werden
Wie Zerberos unterstützt
Wir helfen Ihnen, die technischen Anforderungen der DSGVO und des nDSG nachweisbar zu erfüllen:
- Penetration Testing – Wir identifizieren Schwachstellen in Ihren Systemen, bevor Angreifer es tun. Die Ergebnisse dokumentieren gleichzeitig die Erfüllung Ihrer Prüfpflichten.
- Vulnerability Scanning – Regelmässige automatisierte Scans mit fachkundiger Interpretation und Priorisierung der Ergebnisse.
- Security Audits – Umfassende Überprüfung Ihrer Infrastruktur, Prozesse und Konfigurationen.
- Compliance-Beratung – Gap-Analyse Ihrer technischen Massnahmen gegen die Anforderungen von DSGVO und nDSG.
- Incident Response – Unterstützung im Ernstfall, wenn eine Datenschutzverletzung eingetreten ist und schnelles Handeln gefragt ist.
Unser Fokus liegt auf der technischen Seite der Compliance. Für rechtliche und organisatorische Fragen – etwa die Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen oder die Bestellung eines Datenschutzbeauftragten – arbeiten wir mit erfahrenen Partnern zusammen und vermitteln gerne den Kontakt.
Bussen und Konsequenzen
Die finanziellen und reputationsbezogenen Risiken bei Verstössen sind erheblich:
- DSGVO – Bussen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- nDSG – Bussen von bis zu CHF 250’000, und zwar als persönliche Haftung der verantwortlichen Personen – nicht des Unternehmens
- Reputationsschaden – Datenschutzverletzungen werden öffentlich, Meldepflichten sorgen für Transparenz, und Kunden verlieren das Vertrauen
- Betriebsunterbrechung – Aufsichtsbehörden können Verarbeitungstätigkeiten untersagen, bis die Mängel behoben sind
Die Investition in angemessene Sicherheitsmassnahmen steht in keinem Verhältnis zu den möglichen Konsequenzen eines Verstosses.
Kontaktieren Sie uns für ein unverbindliches Gespräch. Wir zeigen Ihnen, wo Sie stehen und welche Massnahmen sinnvoll sind.