Datenschutz-Folgenabschätzung (DSFA): Anleitung für KMU

Q: Wann ist eine DSFA für Ihr KMU Pflicht – und was droht bei Unterlassung?

See section: Wann ist eine DSFA für Ihr KMU Pflicht – und was droht bei Unterlassung?

Q: Was ist eine Datenschutz-Folgenabschätzung?

See section: Was ist eine Datenschutz-Folgenabschätzung?

Q: Wann ist eine DSFA für KMU obligatorisch?

See section: Wann ist eine DSFA für KMU obligatorisch?

Q: Was kostet eine DSFA?

See section: Was kostet eine DSFA?

Wann ist eine DSFA für Ihr KMU Pflicht – und was droht bei Unterlassung?

Eine Datenschutz-Folgenabschätzung (DSFA) ist keine optionale Massnahme: Wer als Schweizer KMU bestimmte Datenbearbeitungen durchführt, ohne vorher eine DSFA erstellt zu haben, riskiert Bussgelder bis zu CHF 250’000 und Reputationsschäden. Das neue Datenschutzgesetz (nDSG), das seit dem 1. September 2023 in Kraft ist, macht die DSFA für Bearbeitungen mit hohem Risiko zur gesetzlichen Pflicht.

Die gute Nachricht: Eine strukturierte DSFA ist für die meisten KMU intern durchführbar – wenn Sie wissen, wann sie notwendig ist und wie sie korrekt aufgebaut wird. Nachfolgend eine praxisnahe Anleitung, eine Schritt-für-Schritt-Struktur und zeigt, wie die DSFA mit einer robusten Cybersecurity-Strategie verknüpft werden sollte.

Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA ist ein dokumentierter Prozess, mit dem ein Unternehmen analysiert, ob und wie eine geplante oder bestehende Datenbearbeitung die Persönlichkeitsrechte und Grundrechte der betroffenen Personen gefährdet. Sie dient dazu, Risiken frühzeitig zu identifizieren, zu bewerten und durch geeignete Massnahmen zu reduzieren.

Anders als eine einfache Datenschutzdokumentation bewertet die DSFA explizit die Verhältnismässigkeit der Datenbearbeitung und dokumentiert, warum der Eingriff in die Privatsphäre gerechtfertigt ist – oder welche Schutzmassnahmen das Risiko auf ein akzeptables Niveau senken.

Rechtliche Grundlage: Art. 22 nDSG (Datenschutz-Folgenabschätzung) sowie Art. 23 nDSG (Beizug des Datenschutzbeauftragten des Bundes).

Wann ist eine DSFA für KMU obligatorisch?

Das nDSG schreibt eine DSFA vor, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Das Gesetz nennt dabei folgende Indikatoren:

Obligatorische Auslöser für eine DSFA

Profiling mit hohem Risiko: Systematische Auswertung von Personendaten, die eine Einschätzung von Persönlichkeitsmerkmalen erlaubt (z.B. Kreditwürdigkeitsprüfungen, HR-Analytics, Verhaltensprofile).
Grossmassstäbliche Bearbeitung besonders schützenswerter Daten: Gesundheitsdaten, biometrische Daten, Daten über politische Ansichten, religiöse Überzeugungen, genetische Daten.
Systematische Überwachung öffentlicher Bereiche: Videoüberwachung, Standorttracking, Bewegungsprofile.
Neue Technologien mit unbekannten Risiken: KI-gestützte Entscheidungssysteme, IoT-Datenerhebungen, Gesichtserkennung.
Automatisierte Einzelentscheidungen: Systeme, die ohne menschliche Prüfung bindende Entscheide treffen.

Praktische Beispiele für KMU

Branche	Bearbeitung	DSFA notwendig?
Detailhandel	Kundenkarten mit Kaufverhalten	Ja (Profiling)
Personalvermittlung	KI-gestützte Bewerberauswahl	Ja (automatisierte Entscheidung)
Arztpraxis	Elektronische Patientendossiers	Ja (besonders schützenswerte Daten)
Fitnessstudio	Biometrische Zugangskontrollen	Ja (biometrische Daten)
Webshop	Standard-Bestelldaten	Nein (geringes Risiko)
Buchhaltungssoftware	Lohndaten der eigenen Mitarbeitenden	Grauzone – prüfen

Statistik: Laut einer Erhebung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) haben im ersten Jahr nach Inkrafttreten des nDSG weniger als 20% der betroffenen KMU eine vollständige DSFA durchgeführt.

Schritt-für-Schritt-Anleitung: DSFA für KMU

Schritt 1: Vorprüfung – Ist eine DSFA notwendig?

Bevor Sie Zeit in eine vollständige DSFA investieren, führen Sie einen Schwellenwert-Test durch. Beantworten Sie folgende Fragen:

Handelt es sich um besonders schützenswerte Personendaten?
Werden Daten in grossem Massstab bearbeitet (mehr als einige hundert Personen)?
Werden Daten systematisch verknüpft oder ausgewertet (Profiling)?
Werden öffentliche Bereiche systematisch überwacht?
Werden neue oder unerprobte Technologien eingesetzt?

Wenn Sie zwei oder mehr Fragen mit Ja beantworten: DSFA ist erforderlich.

Schritt 2: Beschreibung der Bearbeitung

Dokumentieren Sie vollständig:

Zweck der Bearbeitung: Warum werden die Daten erhoben und verwendet?
Art der Daten: Welche Datenkategorien werden bearbeitet?
Betroffene Personen: Wer ist betroffen (Kunden, Mitarbeitende, Dritte)?
Datenflüsse: Woher kommen die Daten, wo werden sie gespeichert, an wen werden sie weitergegeben?
Aufbewahrungsfristen: Wie lange werden die Daten gespeichert?
Zugangsberechtigungen: Wer hat Zugriff auf welche Daten?

Schritt 3: Bewertung der Notwendigkeit und Verhältnismässigkeit

Prüfen Sie, ob die Bearbeitung dem Grundsatz der Datensparsamkeit entspricht:

Sind alle erhobenen Daten wirklich notwendig?
Gibt es mildere Alternativen zur Erreichung des Zwecks?
Ist die Bearbeitung auf das Minimum beschränkt?

Schritt 4: Risikoidentifikation und -bewertung

Identifizieren Sie für jede Bearbeitungsphase mögliche Risiken:

Risikokategorien:

Unbefugter Zugriff auf Personendaten
Datenverlust oder -zerstörung
Unbeabsichtigte Weitergabe an Dritte
Zweckentfremdung der Daten
Diskriminierung durch algorithmusbasierte Entscheidungen
Identitätsdiebstahl oder Betrug

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit (gering/mittel/hoch) und Schadensausmass (gering/mittel/schwerwiegend).

“Eine DSFA ist kein bürokratischer Akt, sondern ein strategisches Werkzeug. Wer sie ernst nimmt, entdeckt Schwachstellen in seinen Prozessen, bevor es zu einem Vorfall kommt – und bevor der EDÖB anklopft.” – Schweizer Datenschutzrechtsexperte, veröffentlicht in der Zeitschrift für Datenschutzrecht (ZD), 2024

Schritt 5: Massnahmen zur Risikoreduzierung

Für jedes identifizierte Risiko legen Sie konkrete Massnahmen fest:

Technische Massnahmen:

Verschlüsselung von Daten at rest und in transit
Zugriffskontrollen und Rollenmanagement
Pseudonymisierung oder Anonymisierung wo möglich
Regelmässige Backups und Notfallpläne
Sicherheitsaudits und Penetrationstests

Organisatorische Massnahmen:

Schulung der Mitarbeitenden
Verträge mit Auftragsbearbeitern (Art. 9 nDSG)
Verarbeitungsverzeichnis gemäss Art. 12 nDSG
Zugriffsprotokollierung
Incident-Response-Prozesse

Dieser letzte Punkt ist entscheidend: Die technischen Massnahmen, die Sie in Ihrer DSFA festlegen, müssen auch tatsächlich funktionieren. Genau hier setzt Red Teaming an – durch realistische Angriffssimulationen wird geprüft, ob Ihre definierten Schutzmassnahmen einem echten Angriff standhalten würden.

Schritt 6: Konsultation des EDÖB (wenn nötig)

Wenn die identifizierten Risiken trotz aller Massnahmen hoch bleiben, müssen Sie gemäss Art. 23 nDSG den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) konsultieren, bevor Sie mit der Bearbeitung beginnen. Der EDÖB hat dann 3 Monate Zeit, Empfehlungen abzugeben.

Schritt 7: Dokumentation und Überprüfung

Die DSFA muss schriftlich dokumentiert und bei wesentlichen Änderungen der Bearbeitung oder alle zwei bis drei Jahre überprüft werden.

DSFA-Vorlage: Minimalstruktur für KMU

Ihre DSFA-Dokumentation sollte mindestens folgende Abschnitte enthalten:

1. Deckblatt
   - Name des Projekts/Systems
   - Verantwortliche Person
   - Datum der Erstellung und letzten Überprüfung
   - Versionsnummer

2. Beschreibung der Datenbearbeitung
   - Zweck(e) der Bearbeitung
   - Rechtsgrundlage
   - Betroffene Datenkategorien
   - Betroffene Personengruppen
   - Datenflussdiagramm
   - Aufbewahrungsfristen
   - Empfänger/Auftragsbearbeiter

3. Notwendigkeit und Verhältnismässigkeit
   - Begründung der Notwendigkeit
   - Prüfung von Alternativen
   - Datensparsamkeit

4. Risikoanalyse
   - Risikotabelle (Bedrohung / Wahrscheinlichkeit / Ausmass / Risikostufe)

5. Massnahmen
   - Technische Massnahmen
   - Organisatorische Massnahmen
   - Restrisiko nach Massnahmen

6. Konsultationsentscheid
   - EDÖB-Konsultation erforderlich: Ja/Nein

7. Genehmigung und Überprüfungsplan

DSFA und Cybersecurity: Die Verbindung, die KMU übersehen

Eine DSFA ist nur so gut wie die Sicherheitsmassnahmen, die sie vorschreibt. Viele KMU erstellen eine sorgfältige DSFA, stellen darin technische Massnahmen wie Verschlüsselung und Zugangskontrollen als vorhanden dar – ohne je geprüft zu haben, ob diese Massnahmen tatsächlich wirksam sind.

Statistik: Laut dem Schweizer KMU-Sicherheitsbarometer 2024 haben 67% der befragten KMU in ihrer DSFA Verschlüsselung als Schutzmassnahme angegeben, jedoch hatten nur 31% eine unabhängige Überprüfung dieser Massnahmen je durchgeführt.

Das ist ein regulatorisches und operatives Risiko. Der EDÖB kann bei einer Kontrolle nicht nur die DSFA selbst, sondern auch die tatsächliche Wirksamkeit der darin beschriebenen Massnahmen prüfen.

Verknüpfen Sie Ihre DSFA mit:

Regelmässigen Sicherheitsüberprüfungen
Unserer Cybersecurity-Checkliste für KMU
nDSG-Compliance-Massnahmen

Häufige Fehler bei der DSFA in KMU

Fehler 1: DSFA als einmalige Aufgabe betrachten

Eine DSFA ist kein “Einmal erledigt”-Dokument. Sie muss bei wesentlichen Änderungen der Bearbeitung, neuen Risiken oder spätestens alle zwei bis drei Jahre überprüft werden.

Fehler 2: Zu enge Sichtweise auf die Bearbeitung

Viele KMU beschränken die DSFA auf den eigentlichen Bearbeitungsvorgang, vergessen aber die Datenweitergabe an Auftragsbearbeiter, Cloud-Dienste oder Drittanbieter.

Fehler 3: Massnahmen ohne Wirksamkeitsprüfung

Technische Massnahmen werden aufgelistet, aber nie getestet. Führen Sie regelmässige Tests durch – von einfachen internen Überprüfungen bis hin zu professionellen Red-Teaming-Assessments.

Fehler 4: Kein Bezug zur nDSG-Checkliste

Nutzen Sie die nDSG-Checkliste für KMU als Grundlage, um sicherzustellen, dass Ihre DSFA alle gesetzlichen Anforderungen abdeckt.

Fehler 5: EDÖB-Konsultation versäumen

Wenn das Restrisiko nach allen Massnahmen hoch bleibt, ist die Konsultation des EDÖB keine Option, sondern Pflicht.

DSFA und nDSG: Abgrenzung und Zusammenhang

Die DSFA ist ein zentrales Element des nDSG-Compliance-Frameworks, aber nicht das einzige:

Anforderung	Rechtsgrundlage	Für KMU relevant?
Verzeichnis der Bearbeitungstätigkeiten	Art. 12 nDSG	Ab 250 MA oder hohem Risiko
Datenschutz durch Technik (Privacy by Design)	Art. 7 nDSG	Ja, immer
Datenschutz-Folgenabschätzung	Art. 22 nDSG	Bei hohem Risiko
Bekanntgabe ins Ausland	Art. 16 ff. nDSG	Bei Cloud-Nutzung oft relevant
Meldung von Datenschutzverletzungen	Art. 24 nDSG	Ja, immer

Für eine gründliche Übersicht empfehlen wir unsere Analyse der nDSG-Auswirkungen auf Schweizer KMU sowie einen Blick auf die NIS2-Auswirkungen für die Schweiz.

Was kostet eine DSFA?

Die Kosten für eine DSFA hängen von der Komplexität der Bearbeitung und der Frage ab, ob Sie intern oder mit externer Unterstützung arbeiten:

Interne Durchführung (einfache Bearbeitung): 4–16 Arbeitsstunden, vorwiegend Personalkosten

Externe Unterstützung (komplexe Bearbeitung): CHF 2’000 – 8’000 je nach Scope

Vollständiges Datenschutz-Audit inklusive DSFA: CHF 5’000 – 20’000

Im Vergleich dazu: Eine Busse wegen unterlassener DSFA oder ungenügender Schutzmassnahmen kann bis zu CHF 250’000 betragen. Die Investition rechnet sich.

“Schweizer KMU unterschätzen systematisch den Aufwand für eine rechtskonform durchgeführte DSFA. Gleichzeitig wird der Schaden durch eine unterlassene oder mangelhafte DSFA – bei einem tatsächlichen Vorfall – massiv unterschätzt. Datenschutz ist kein IT-Thema, sondern eine Geschäftsleitungsverantwortung.” – Datenschutzberaterin mit Fokus auf KMU, Zürich, 2025

Internationale Bezüge: DSGVO und nDSG im Vergleich

Schweizer KMU, die mit EU-Kunden oder EU-Daten arbeiten, müssen neben dem nDSG auch die DSGVO berücksichtigen. Die DSFA-Anforderungen sind ähnlich, aber nicht identisch:

Kriterium	nDSG (Schweiz)	DSGVO (EU)
Begriff	Datenschutz-Folgenabschätzung (DSFA)	Datenschutz-Folgenabschätzung (DSFA)
Auslöser	Hohes Risiko für Persönlichkeit	Hohes Risiko für Rechte/Freiheiten
Konsultationspflicht	EDÖB	Zuständige Aufsichtsbehörde
Blacklists	EDÖB kann veröffentlichen	Aufsichtsbehörden veröffentlichen
Dokumentationspflicht	Ja	Ja

Fazit

Die Datenschutz-Folgenabschätzung ist für Schweizer KMU mit bestimmten Datenbearbeitungen keine optionale Massnahme, sondern eine gesetzliche Pflicht gemäss Art. 22 nDSG. Eine strukturierte, gut dokumentierte DSFA schützt Ihr Unternehmen vor Bussgeldern bis CHF 250’000 – und, noch wichtiger, vor realem Schaden durch Datenpannen.

Die sieben Schritte dieses Leitfadens geben Ihnen eine praxisnahe Grundlage. Denken Sie aber daran: Die besten Schutzmassnahmen auf dem Papier nützen nichts, wenn sie in der Praxis versagen. Regelmässige, unabhängige Überprüfungen Ihrer Sicherheitsmassnahmen sind der einzige Weg, um sicherzustellen, dass Ihre DSFA nicht nur compliant, sondern auch wirklich schützend ist.

Ihre Sicherheitsmassnahmen auf dem Prüfstand: Mit einem professionellen Red-Teaming-Assessment von CybersecuritySwitzerland prüfen wir, ob die in Ihrer DSFA beschriebenen technischen und organisatorischen Schutzmassnahmen einem realen Angriff standhalten – bevor es ein Angreifer tut. Unsere Assessments starten ab CHF 11’900 und liefern Ihnen nicht nur Befunde, sondern konkrete Handlungsempfehlungen für eine lückenlose DSFA-konforme Sicherheitsarchitektur.

Jetzt Red-Teaming-Assessment anfragen