nDSG Checkliste für KMU: Alle Anforderungen auf einen Blick

Das neue Schweizer Datenschutzgesetz (nDSG) ist seit September 2023 in Kraft — und es betrifft jedes Unternehmen in der Schweiz, unabhängig von der Grösse. Für KMU-Geschäftsführer und IT-Verantwortliche bedeutet das: Sie tragen persönliche Verantwortung. Bei Verstössen drohen Bussen bis CHF 250’000 — nicht gegen das Unternehmen, sondern gegen Sie als verantwortliche natürliche Person.

«Das nDSG stellt den Schutz der Persönlichkeit und der Grundrechte ins Zentrum. Unternehmen, die Personendaten bearbeiten, müssen angemessene technische und organisatorische Massnahmen treffen — und dies auch nachweisen können.» — Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Gemäss dem EDÖB haben viele Schweizer KMU die nDSG-Anforderungen noch nicht vollständig umgesetzt. Laut einer Studie von SwissLegal und der Universität Zürich hatten Ende 2024 erst 35 % der Schweizer KMU die wichtigsten nDSG-Anforderungen vollständig implementiert. Gleichzeitig zeigen die Statistiken des Nationalen Zentrums für Cybersicherheit (NCSC) über 63’000 gemeldete Cybervorfälle im Jahr 2024 — eine Zahl, die verdeutlicht, dass Datenschutz ohne Cybersecurity nicht funktioniert.

Diese praxisnahe Checkliste hilft Ihnen, in 15 Minuten zu prüfen, wo Ihr Unternehmen steht — und welche Massnahmen Sie priorisieren sollten. Ergänzend empfehlen wir unsere Cybersecurity-Checkliste für KMU mit 25 konkreten technischen Massnahmen.

Warum ist nDSG-Compliance für KMU nicht verhandelbar?

nDSG-Compliance ist für jedes Schweizer KMU eine rechtliche Pflicht mit persönlichen Konsequenzen bei Verstössen. Drei Gründe machen deutlich, warum Sie das Thema priorisieren müssen:

1. Persönliche Haftung der Geschäftsführung

Anders als bei der EU-DSGVO, die Unternehmen mit prozentualen Umsatzbussen belegt, richtet sich das nDSG an natürliche Personen. Das bedeutet: Als Geschäftsführer, IT-Leiter oder Verwaltungsrat können Sie persönlich mit bis zu CHF 250’000 gebüsst werden. Gemäss Art. 64 Abs. 2 nDSG kann zwar in bestimmten Fällen das Unternehmen die Busse tragen — aber nur wenn die Busse CHF 50’000 nicht übersteigt und die Ermittlung der verantwortlichen Person unverhältnismässig aufwändig wäre.

2. Steigende Durchsetzung durch den EDÖB

Der EDÖB hat seit Inkrafttreten des nDSG seine Kapazitäten deutlich ausgebaut. Die Zahl der formellen Untersuchungen und Vorabklärungen steigt kontinuierlich. Seit Inkrafttreten wurden über 200 formelle Beratungen und Vorabklärungen durchgeführt. Zudem hat der EDÖB erweiterte Untersuchungsbefugnisse erhalten — einschliesslich des Rechts, Strafverfahren bei den kantonalen Strafverfolgungsbehörden zu empfehlen.

3. Datenschutz als Wettbewerbsvorteil

Gemäss einer Studie der Universität St. Gallen betrachten 78 % der Schweizer Konsumentinnen und Konsumenten Datenschutz als wichtiges Kriterium bei der Wahl eines Anbieters. KMU, die nDSG-Compliance nachweisen können, gewinnen Vertrauen bei Kunden, Geschäftspartnern und in Ausschreibungsprozessen.

Detaillierte Informationen zum nDSG und Cybersecurity finden Sie in unserem detaillierten Leitfaden: nDSG-Compliance und Cybersecurity-Anforderungen.

Schnell-Check: Sind Sie nDSG-compliant? 10 Fragen in 5 Minuten

Dieser Schnell-Check zeigt Ihnen in fünf Minuten den Stand Ihrer nDSG-Compliance. Beantworten Sie die folgenden zehn Fragen ehrlich mit Ja oder Nein. Jedes «Nein» bedeutet eine konkrete Lücke in Ihrer Compliance:

1. Haben Sie ein aktuelles Verzeichnis aller Bearbeitungstätigkeiten? (Welche Personendaten werden wo, wie und warum verarbeitet?)

2. Haben Sie eine Datenschutzberaterin oder einen Datenschutzberater ernannt oder die Funktion klar zugewiesen?

3. Informieren Sie betroffene Personen vollständig über die Erhebung und Verarbeitung ihrer Daten (Datenschutzerklärung auf der Website, in Verträgen etc.)?

4. Haben Sie einen dokumentierten Incident-Response-Plan für Datenschutzverletzungen, inklusive Meldeprozess an den EDÖB?

5. Ist Multi-Faktor-Authentifizierung (MFA) aktiviert für alle Systeme, die Personendaten verarbeiten?

6. Werden Personendaten verschlüsselt — sowohl bei der Übertragung (TLS 1.2+) als auch bei der Speicherung?

7. Haben Sie Auftragsbearbeitungsverträge mit allen externen Dienstleistern, die Zugang zu Personendaten haben?

8. Führen Sie regelmässige Cybersecurity-Schulungen für alle Mitarbeitenden durch (mindestens jährlich)?

9. Haben Sie die technischen Schutzmassnahmen in den letzten 12 Monaten durch einen unabhängigen Test (Pentest oder Red Teaming) überprüfen lassen?

10. Können Sie auf Auskunftsbegehren betroffener Personen innert 30 Tagen vollständig antworten?

Auswertung:

• 8-10 Ja: Ihre Grundlagen sind solide. Fokussieren Sie sich auf die kontinuierliche Verbesserung und regelmässige Überprüfung.
• 5-7 Ja: Sie haben Lücken, die zeitnah geschlossen werden sollten. Nutzen Sie die detaillierte Checkliste unten.
• 0-4 Ja: Dringender Handlungsbedarf. Beginnen Sie sofort mit den organisatorischen Grundlagen und holen Sie bei Bedarf externe Unterstützung.

Detaillierte nDSG-Checkliste: Organisatorische Massnahmen

Fünf organisatorische Massnahmen bilden das Fundament Ihrer nDSG-Compliance. Ohne diese Grundlagen sind technische Schutzmassnahmen wirkungslos:

O1: Datenschutz-Verantwortlichkeiten definieren

• Datenschutzberaterin oder Datenschutzberater ernannt oder Funktion zugewiesen
• Stellvertretung für Datenschutzfragen geregelt
• Datenschutz als Traktandum in der Geschäftsleitung etabliert (mindestens quartalsweise)
• Verantwortlichkeiten für Datenschutz in Stellenbeschreibungen verankert

Warum es wichtig ist: Ohne klare Verantwortlichkeiten versandet Datenschutz. Der EDÖB erwartet, dass Unternehmen nachweisen können, wer für den Datenschutz zuständig ist.

O2: Verzeichnis der Bearbeitungstätigkeiten erstellen

• Vollständiges Inventar aller Personendaten erstellt (Datenmapping)
• Zweck der Bearbeitung für jeden Datensatz dokumentiert
• Aufbewahrungsfristen definiert und dokumentiert
• Kategorien betroffener Personen erfasst (Kunden, Mitarbeitende, Lieferanten)
• Datenflüsse zu Dritten und ins Ausland dokumentiert

Hinweis: KMU mit weniger als 250 Mitarbeitenden sind unter bestimmten Voraussetzungen von dieser Pflicht befreit — es wird jedoch dringend empfohlen, ein Verzeichnis zu führen, da es die Grundlage für alle weiteren Massnahmen bildet.

O3: Informationspflichten umsetzen

• Datenschutzerklärung auf der Unternehmenswebsite aktualisiert
• Datenschutzhinweise in Verträgen, Formularen und Bewerbungsprozessen integriert
• Informationen über Datenbearbeitungen transparent und verständlich formuliert
• Bei Datenerhebung bei Dritten: Informationspflicht gegenüber betroffenen Personen sichergestellt

O4: Schulungs- und Sensibilisierungsprogramm etablieren

• Initiale Datenschutz-Schulung für alle Mitarbeitenden durchgeführt
• Regelmässige Auffrischungsschulungen geplant (mindestens jährlich)
• Spezifische Schulungen für Mitarbeitende mit Zugang zu sensiblen Daten
• Schulungsteilnahme dokumentiert (wichtig als Compliance-Nachweis)
• Phishing-Awareness als Bestandteil des Schulungsprogramms

O5: Prozesse für Betroffenenrechte etablieren

• Prozess für die Bearbeitung von Auskunftsbegehren definiert (Frist: 30 Tage)
• Prozess für Löschbegehren und Datenportabilität etabliert
• Verantwortlichkeiten und Fristen dokumentiert
• Vorlagen für Antwortschreiben erstellt

Detaillierte nDSG-Checkliste: Technische Massnahmen

Art. 8 nDSG verpflichtet Unternehmen zu «angemessenen» technischen Massnahmen zum Schutz von Personendaten. Die Datenschutzverordnung (DSV) konkretisiert diese Anforderung risikoorientiert: Je sensibler die Daten, desto höher die Anforderungen. Laut dem NCSC sind Phishing-Angriffe und Ransomware die häufigsten Ursachen für Datenschutzverletzungen bei Schweizer KMU.

T1: Zugangskontrolle und Authentifizierung

• Multi-Faktor-Authentifizierung (MFA) für alle Systeme mit Personendaten aktiviert
• Rollenbasierte Zugriffskontrollen (RBAC) nach dem Prinzip der minimalen Berechtigung implementiert
• Zugriffsrechte quartalsweise überprüft und nicht mehr benötigte Rechte entzogen
• Automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen konfiguriert
• Separate Admin-Konten für administrative Tätigkeiten (nicht für den täglichen Gebrauch)

T2: Verschlüsselung

• Verschlüsselung bei der Datenübertragung (TLS 1.2 oder höher) für alle Systeme
• Verschlüsselung gespeicherter Personendaten (AES-256 oder vergleichbar)
• E-Mail-Verschlüsselung für den Versand sensibler Personendaten
• Sichere Schlüsselverwaltung mit regelmässiger Rotation

T3: Netzwerksicherheit

• Netzwerksegmentierung: Systeme mit Personendaten in separaten Netzwerkzonen
• Firewall konfiguriert und Regeln regelmässig überprüft
• Intrusion Detection/Prevention System (IDS/IPS) aktiv
• DNS-Filter gegen bekannte schädliche Domains aktiv

T4: Endpunkt-Sicherheit

• Aktuelle Endpoint-Protection-Software auf allen Geräten (inkl. BYOD)
• Automatische Betriebssystem- und Software-Updates aktiviert
• Makro-Ausführung in Office-Dokumenten aus externen Quellen blockiert
• Mobile Device Management (MDM) für Firmengeräte implementiert

T5: Backup und Wiederherstellung

• 3-2-1-Backup-Strategie umgesetzt (3 Kopien, 2 Medien, 1 offsite/offline)
• Backups verschlüsselt
• Wiederherstellung quartalsweise getestet
• Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) definiert

T6: Protokollierung und Monitoring

• Zugriffe auf Personendaten protokolliert
• Log-Daten vor Manipulation geschützt und mindestens 12 Monate aufbewahrt
• Anomalie-Erkennung für kritische Systeme konfiguriert
• Regelmässige Auswertung der Protokolle

T7: Sichere Entwicklung und Konfiguration

• Systeme nach dem Prinzip «Privacy by Design» konfiguriert
• Standardmässig datenschutzfreundliche Voreinstellungen («Privacy by Default»)
• Sichere Konfigurationsbaselines für alle Systeme dokumentiert

T8: Regelmässige Sicherheitsüberprüfung

• Mindestens jährlicher Penetrationstest durch einen qualifizierten Anbieter
• Vulnerability-Scans mindestens monatlich
• Ergebnisse dokumentiert und Massnahmen nachverfolgt
• Idealerweise: Red Team Assessment zur vollständigen Überprüfung

Detaillierte nDSG-Checkliste: Dokumentation

Dokumentation ist der rechtlich bindende Nachweis Ihrer Compliance. Bei einer Untersuchung durch den EDÖB müssen Sie belegen können, dass angemessene Massnahmen getroffen wurden — das Fehlen dieser Dokumentation wird als Sorgfaltspflichtverletzung gewertet.

D1: Datenschutzkonzept

• Übergeordnetes Datenschutzkonzept erstellt und von der Geschäftsleitung genehmigt
• Datenschutzrichtlinien für Mitarbeitende veröffentlicht und zugänglich
• Konzept mindestens jährlich überprüft und aktualisiert

D2: Technische und organisatorische Massnahmen (TOM)

• Alle implementierten technischen Massnahmen dokumentiert
• Alle organisatorischen Massnahmen dokumentiert
• TOM-Dokument als Anlage zu Auftragsbearbeitungsverträgen verfügbar
• Regelmässige Aktualisierung bei Änderungen an Systemen oder Prozessen

D3: Datenschutz-Folgenabschätzungen (DSFA)

• Prozess für die Durchführung von DSFA definiert
• DSFA für Verarbeitungen mit hohem Risiko durchgeführt und dokumentiert
• Ergebnisse und abgeleitete Massnahmen nachverfolgt

D4: Verträge mit Dritten

• Auftragsbearbeitungsverträge mit allen Dienstleistern abgeschlossen
• Unterauftragnehmer dokumentiert und vertraglich geregelt
• Datentransfers ins Ausland rechtlich abgesichert (Angemessenheitsbeschluss, Standardvertragsklauseln)

D5: Nachweis der Sicherheitsüberprüfungen

• Penetrationstest-Berichte archiviert und nachverfolgbar
• Vulnerability-Scan-Ergebnisse dokumentiert
• Schulungsnachweise aufbewahrt
• Incident-Protokolle und Lessons-Learned dokumentiert

Detaillierte nDSG-Checkliste: Meldepflichten

Das nDSG verpflichtet Unternehmen, Datenschutzverletzungen dem EDÖB «so rasch als möglich» zu melden, wenn ein hohes Risiko für betroffene Personen besteht. Ein vorbereiteter Meldeprozess ist entscheidend — Verzögerungen werden als Compliance-Verstoss gewertet.

M1: Meldung an den EDÖB

• Prozess für die Meldung von Datenschutzverletzungen an den EDÖB definiert
• Kriterien für die Meldepflicht dokumentiert (Meldung erforderlich bei hohem Risiko für betroffene Personen)
• Meldeformular des EDÖB bekannt und zugänglich (databreach.edoeb.admin.ch)
• Verantwortlichkeiten und Fristen definiert (Meldung «so rasch als möglich» — empfohlen: innert 72 Stunden)

M2: Benachrichtigung betroffener Personen

• Prozess für die Benachrichtigung betroffener Personen bei hohem Risiko definiert
• Kommunikationsvorlagen erstellt (E-Mail, Brief, Website-Meldung)
• Kanäle für die Benachrichtigung definiert und getestet

M3: Interne Dokumentation und Eskalation

• Jede Datenschutzverletzung wird intern dokumentiert — auch wenn keine Meldepflicht besteht
• Eskalationswege definiert (IT → Datenschutzberater → Geschäftsleitung)
• Post-Incident-Analyse als Standard etabliert
• Lessons-Learned-Prozess zur Vermeidung wiederholter Vorfälle

Wie validiert Red Teaming Ihre nDSG-Compliance?

Red Teaming ist der einzige Weg, Ihre nDSG-Schutzmassnahmen unter realistischen Bedingungen zu testen. Eine Checkliste abzuhaken ist ein guter Anfang — aber sie beantwortet nicht die entscheidende Frage: Funktionieren Ihre Schutzmassnahmen in der Praxis?

Das nDSG verlangt «angemessene» technische und organisatorische Massnahmen. Doch was angemessen ist, zeigt sich erst unter realistischen Bedingungen. Genau hier setzt Red Teaming an:

Was Red Teaming für Ihre nDSG-Compliance leistet

• Technische Massnahmen unter Beweis stellen: Ein Red Team testet, ob Ihre Verschlüsselung, Zugangskontrolle und Netzwerksegmentierung einem realistischen Angriff standhalten — nicht nur auf dem Papier.
• Organisatorische Massnahmen validieren: Erkennen Ihre Mitarbeitenden einen Phishing-Angriff? Funktioniert der Incident-Response-Plan? Wird korrekt eskaliert?
• Schwachstellen vor dem EDÖB finden: Besser, Sie entdecken Lücken in Ihrem Schutz durch ein kontrolliertes Red Team Assessment als durch einen echten Cyberangriff, der eine Meldung an den EDÖB erfordert.
• Compliance-Nachweis generieren: Der Red-Team-Bericht dokumentiert den Zustand Ihrer Sicherheitsmassnahmen und dient als Nachweis der Sorgfaltspflicht — ein wertvolles Dokument bei einer EDÖB-Untersuchung.
• Priorisierte Verbesserungen: Statt alle Massnahmen gleichzeitig anzugehen, zeigt das Red Team, welche Schwachstellen das grösste Risiko für Personendaten darstellen.

Der nDSG-Compliance-Kreislauf

1. Checkliste prüfen: Identifizieren Sie offene Punkte mit dieser Checkliste.
2. Massnahmen umsetzen: Schliessen Sie die identifizierten Lücken.
3. Red Teaming durchführen: Lassen Sie die Massnahmen unter realistischen Bedingungen testen.
4. Verbesserungen umsetzen: Beheben Sie die im Red Teaming identifizierten Schwachstellen.
5. Wiederholen: Mindestens jährlich — die Bedrohungslandschaft ändert sich ständig.

Mehr zum Thema FINMA-Anforderungen an die Cybersecurity finden Sie hier: FINMA-Cybersecurity-Anforderungen.

Red Teaming ab CHF 11’900 — Ihre nDSG-Compliance realistisch getestet

Eine Checkliste sagt Ihnen, was Sie tun sollten. Red Teaming zeigt Ihnen, ob es funktioniert.

RedTeam Partners (CREST-zertifiziert, Zürich) bietet professionelles Red Teaming speziell für Schweizer KMU — ab CHF 11’900, zum Preis eines herkömmlichen Penetrationstests.

Was Sie erhalten:

• Realistische Angriffssimulation, die Ihre technischen und organisatorischen Massnahmen gleichzeitig testet
• nDSG-relevante Bewertung: Fokus auf den Schutz von Personendaten und die Einhaltung der gesetzlichen Anforderungen
• Detaillierter Compliance-Bericht als Nachweis der Sorgfaltspflicht
• Management-Summary für die Geschäftsleitung und den Verwaltungsrat
• Priorisierte Handlungsempfehlungen, die Ihre Compliance-Lücken gezielt schliessen

Persönliche Bussen bis CHF 250’000 sind ein reales Risiko. Eine Red-Team-Überprüfung für CHF 11’900 ist eine Investition in Ihre persönliche und unternehmerische Sicherheit.

Jetzt Red Teaming anfragen — nDSG-Compliance realistisch validieren

Fazit: nDSG-Compliance ist ein kontinuierlicher Prozess

Das nDSG verlangt keine einmalige Umsetzung, sondern einen kontinuierlichen Verbesserungsprozess. Diese Checkliste gibt Ihnen den Startpunkt — doch die eigentliche Arbeit liegt in der konsequenten Umsetzung und regelmässigen Überprüfung.

Drei Empfehlungen für den Start:

1. Machen Sie den Schnell-Check oben und identifizieren Sie Ihre dringendsten Lücken.
2. Arbeiten Sie die detaillierte Checkliste systematisch ab — beginnen Sie mit den organisatorischen Grundlagen.
3. Lassen Sie Ihre Massnahmen durch ein Red Team Assessment validieren — denn nur ein realistischer Test zeigt, ob Ihre Compliance auch einem Angriff standhält.

Die persönliche Haftung im nDSG ist kein theoretisches Risiko — sie ist Realität. Handeln Sie, bevor der EDÖB oder ein Cyberkrimineller die Schwachstellen findet.

Weiterführende Ressourcen

• nDSG-Compliance und Cybersecurity — der vollständige Leitfaden
• Cybersecurity-Checkliste für KMU — 25 Massnahmen die sofort wirken
• Phishing-Schutz für Unternehmen — die grösste Bedrohung verstehen
• Red Teaming vs. Penetrationstest — der entscheidende Unterschied
• FINMA-Cybersecurity-Anforderungen für regulierte Unternehmen
• Red Teaming für Schweizer KMU — ab CHF 11’900