+40% Anfragen zu Datenschutzverletzungen seit Inkrafttreten des nDSG (EDÖB Tätigkeitsbericht). Das Gesetz verpflichtet jedes Unternehmen zu technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten. Penetrationstests und Sicherheitsaudits gehören laut EDÖB zu den empfohlenen Massnahmen.

Nachfolgend die konkreten nDSG-Anforderungen an die Cybersecurity, praxisnahe Umsetzungsmassnahmen und der Zusammenhang zwischen technischer Sicherheit und Datenschutz-Compliance.

Was bedeutet das nDSG für die Cybersecurity von Schweizer Unternehmen?

Das revidierte Datenschutzgesetz (nDSG) hat den Datenschutz in der Schweiz grundlegend modernisiert. Es orientiert sich stärker an der EU-DSGVO und stellt neue Anforderungen an die IT-Sicherheit von Unternehmen jeder Grösse. Anders als das alte DSG von 1992 verlangt das nDSG explizit, dass Unternehmen «angemessene technische und organisatorische Massnahmen» treffen, um Personendaten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

Die wichtigsten Änderungen im Überblick:

  • Meldepflicht bei Datenschutzverletzungen: Unternehmen müssen Datenschutzverletzungen, die ein hohes Risiko für die betroffenen Personen darstellen, «so rasch als möglich» dem EDÖB melden. Laut EDÖB-Statistiken wurden im ersten Jahr nach Inkrafttreten über 320 Meldungen zu Datenschutzverletzungen eingereicht — davon betrafen rund 60 % Cyberangriffe.
  • Privacy by Design und Privacy by Default: Die Datenschutzprinzipien müssen bereits bei der Entwicklung von Systemen und Prozessen berücksichtigt werden.
  • Datenschutz-Folgenabschätzung (DSFA): Bei Verarbeitungen mit hohem Risiko ist eine formelle Folgenabschätzung erforderlich, die auch Cybersecurity-Risiken berücksichtigt.
  • Erweiterte Informationspflichten: Betroffene Personen müssen gründlich über die Datenverarbeitung informiert werden, einschliesslich der Sicherheitsmassnahmen.
  • Strafrechtliche Sanktionen: Verstösse können mit Bussen bis CHF 250’000 gegen natürliche Personen geahndet werden — ein deutlicher Anstieg gegenüber dem alten Gesetz.

Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete 2024 über 63’000 gemeldete Cybervorfälle in der Schweiz, was die Dringlichkeit robuster Sicherheitsmassnahmen unterstreicht. Unternehmen, die das nDSG ignorieren, setzen sich nicht nur rechtlichen Risiken aus, sondern gefährden auch das Vertrauen ihrer Kunden und Geschäftspartner.

Welche technischen Massnahmen verlangt das nDSG konkret?

Artikel 8 des nDSG in Verbindung mit der Datenschutzverordnung (DSV) definiert die Anforderungen an technische Massnahmen. Die Verordnung konkretisiert in Artikel 1-5, welche Schutzmassnahmen Unternehmen implementieren müssen. Diese Massnahmen sind risikoorientiert auszugestalten — je sensibler die Daten, desto höher die Anforderungen.

Zugangskontrolle und Authentifizierung

  • Multi-Faktor-Authentifizierung (MFA) für alle Systeme, die Personendaten verarbeiten
  • Rollenbasierte Zugriffskontrollen (RBAC) nach dem Prinzip der minimalen Berechtigung
  • Regelmässige Überprüfung der Zugriffsrechte (mindestens quartalsweise)
  • Protokollierung aller Zugriffe auf sensible Personendaten
  • Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen

Verschlüsselung und Datenintegrität

  • Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2 oder höher)
  • Verschlüsselung ruhender Daten (AES-256 oder vergleichbar)
  • Integritätsprüfungen zur Erkennung unbefugter Datenmanipulationen
  • Sichere Schlüsselverwaltung mit regelmässiger Rotation
  • Ende-zu-Ende-Verschlüsselung für besonders schützenswerte Personendaten

Netzwerksicherheit

  • Segmentierung von Netzwerken zur Isolierung kritischer Datenbestände
  • Firewalls und Intrusion-Detection-/Prevention-Systeme (IDS/IPS)
  • Regelmässige Vulnerability-Scans und Penetrationstests
  • Sichere Konfiguration aller Netzwerkkomponenten
  • Überwachung des Netzwerkverkehrs auf Anomalien

Datensicherung und Wiederherstellung

  • Regelmässige verschlüsselte Backups aller Personendaten
  • Getestete Wiederherstellungsprozesse (mindestens halbjährlich)
  • Geografisch getrennte Backup-Speicherung
  • Dokumentierte Recovery-Time-Objectives (RTO) und Recovery-Point-Objectives (RPO)

«Die technischen Massnahmen des nDSG sind nicht als statische Checkliste zu verstehen, sondern als kontinuierlicher Prozess. Unternehmen müssen ihre Sicherheitsmassnahmen regelmässig überprüfen und an die aktuelle Bedrohungslage anpassen — Penetrationstests sind dabei ein unverzichtbares Werkzeug.» — Prof. Dr. David Rosenthal, Datenschutzexperte und Partner bei Vischer AG, Zürich

Welche organisatorischen Massnahmen sind für die nDSG-Compliance erforderlich?

Neben technischen Massnahmen verlangt das nDSG auch gründliche organisatorische Vorkehrungen. Diese bilden das Fundament einer robusten Datenschutzstrategie und sind für die nDSG-Compliance ebenso wichtig wie technische Kontrollen.

Datenschutz-Governance

  • Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters (empfohlen, in bestimmten Fällen obligatorisch)
  • Erstellung und Pflege eines Verzeichnisses der Bearbeitungstätigkeiten
  • Dokumentation aller Datenflüsse und Verarbeitungsprozesse
  • Regelmässige Berichterstattung an die Geschäftsleitung über den Stand des Datenschutzes
  • Integration des Datenschutzes in das Risikomanagement

Schulung und Sensibilisierung

  • Regelmässige Datenschutz- und Cybersecurity-Schulungen für alle Mitarbeitenden
  • Spezifische Schulungen für Mitarbeitende mit Zugang zu sensiblen Daten
  • Phishing-Simulationen und Social-Engineering-Awareness-Programme
  • Dokumentation der durchgeführten Schulungen
  • Laut einer Studie des NCSC sind über 35 % aller erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen — Schulungen sind daher ein kritischer Compliance-Faktor

Incident-Response-Prozess

  • Dokumentierter Incident-Response-Plan für Datenschutzverletzungen
  • Klare Eskalationswege und Verantwortlichkeiten
  • Definierte Prozesse für die Meldung an den EDÖB (innert 72 Stunden empfohlen)
  • Kommunikationsvorlagen für die Benachrichtigung betroffener Personen
  • Regelmässige Übungen und Tabletop-Simulationen

Auftragsbearbeitung und Drittparteien

  • Datenschutzrechtliche Überprüfung aller Auftragsbearbeiter
  • Vertragliche Regelung der Datenschutzpflichten (Auftragsbearbeitungsvertrag)
  • Regelmässige Audits der Auftragsbearbeiter
  • Sicherstellung angemessener Schutzmassnahmen bei Datenübermittlungen ins Ausland
  • Dokumentation aller Unterauftragnehmer

Welche Strafen drohen bei Verstössen gegen das nDSG?

Das Sanktionsregime des nDSG unterscheidet sich fundamental von der EU-DSGVO. Während die DSGVO primär Unternehmen mit prozentualen Umsatzbussen belegt, zielt das nDSG auf natürliche Personen ab — also auf die verantwortlichen Entscheidungsträger in Unternehmen.

Strafrechtliche Sanktionen

  • Vorsätzliche Verletzung der Informations- und Auskunftspflichten: Busse bis CHF 250’000
  • Vorsätzliche Verletzung der Sorgfaltspflichten: Busse bis CHF 250’000
  • Vorsätzliche Verletzung der beruflichen Schweigepflicht: Busse bis CHF 250’000
  • Missachtung von Verfügungen des EDÖB: Busse bis CHF 250’000

Anders als bei der DSGVO werden Bussen nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person verhängt. Laut Art. 64 Abs. 2 nDSG kann jedoch das Unternehmen zur Zahlung der Busse verurteilt werden, wenn die Ermittlung der verantwortlichen Person einen unverhältnismässigen Aufwand erfordern würde und die Busse CHF 50’000 nicht übersteigt.

Durchsetzung durch den EDÖB

Der EDÖB hat mit dem nDSG erweiterte Untersuchungsbefugnisse erhalten:

  • Einleitung von Untersuchungen von Amtes wegen oder auf Anzeige
  • Recht auf Zugang zu allen relevanten Informationen und Systemen
  • Anordnung von Massnahmen zur Wiederherstellung des rechtmässigen Zustands
  • Empfehlung zur Einleitung von Strafverfahren an die kantonalen Strafverfolgungsbehörden
  • Veröffentlichung von Empfehlungen und Entscheiden

Gemäss dem Jahresbericht des EDÖB wurden seit Inkrafttreten des nDSG bereits mehrere formelle Untersuchungen eingeleitet. Die Behörde hat ihre Kapazitäten signifikant ausgebaut, um die neuen Befugnisse effektiv wahrnehmen zu können. Bis Ende 2025 wurden über 200 formelle Beratungen und Vorabklärungen durchgeführt.

Reputationsrisiken

Neben den direkten finanziellen Strafen drohen erhebliche Reputationsschäden:

  • Veröffentlichung von EDÖB-Entscheidungen
  • Medienberichterstattung über Datenschutzverletzungen
  • Vertrauensverlust bei Kunden und Geschäftspartnern
  • Mögliche zivilrechtliche Schadenersatzforderungen betroffener Personen

Wie helfen Penetrationstests bei der nDSG-Compliance?

Penetrationstests sind ein zentrales Instrument zur Überprüfung der technischen Datenschutzmassnahmen. Sie simulieren reale Angriffe auf IT-Systeme und decken Schwachstellen auf, die Personendaten gefährden könnten. Im Kontext des nDSG erfüllen Penetrationstests mehrere wichtige Funktionen.

Nachweis angemessener technischer Massnahmen

Das nDSG verlangt «angemessene» technische Massnahmen — doch was ist angemessen? Penetrationstests liefern einen objektiven Nachweis, dass die implementierten Sicherheitsmassnahmen wirksam sind. Dieser Nachweis ist besonders wertvoll bei:

  • Untersuchungen durch den EDÖB
  • Datenschutz-Folgenabschätzungen
  • Audits durch Auftraggeber oder Kunden
  • Nachweispflichten gegenüber Regulierungsbehörden

Identifikation von Schwachstellen vor Angreifern

Professionelle Penetrationstests identifizieren Sicherheitslücken, bevor Cyberkriminelle diese ausnutzen können. Die Experten von Red Team Partners führen gründliche Sicherheitsüberprüfungen durch, die speziell auf die nDSG-Anforderungen zugeschnitten sind. Ein typischer nDSG-orientierter Penetrationstest umfasst:

  • Überprüfung der Zugangskontrollen zu Personendaten
  • Test der Verschlüsselungsimplementierung
  • Prüfung der Netzwerksegmentierung
  • Analyse der API-Sicherheit bei Datenverarbeitungssystemen
  • Social-Engineering-Tests zur Überprüfung der organisatorischen Massnahmen
  • Bewertung der Incident-Detection-Fähigkeiten

Unterstützung der Datenschutz-Folgenabschätzung

Bei der gemäss Art. 22 nDSG erforderlichen Datenschutz-Folgenabschätzung müssen Risiken für die betroffenen Personen identifiziert und bewertet werden. Penetrationstest-Ergebnisse liefern konkrete, technisch fundierte Risikoeinschätzungen, die die DSFA substantiell unterstützen.

Kontinuierliche Verbesserung

Das nDSG verlangt keine einmalige Umsetzung, sondern einen kontinuierlichen Verbesserungsprozess. Regelmässige Penetrationstests (empfohlen: mindestens jährlich, bei kritischen Systemen quartalsweise) stellen sicher, dass die Sicherheitsmassnahmen mit der sich verändernden Bedrohungslandschaft Schritt halten.

Laut dem Alpine Excellence Cybersecurity Report haben Unternehmen, die regelmässige Penetrationstests durchführen, ein um 60 % geringeres Risiko für erfolgreiche Datenschutzverletzungen.

Wie sieht eine praxisnahe nDSG-Compliance-Checkliste aus?

Die folgende Checkliste unterstützt Schweizer Unternehmen bei der systematischen Umsetzung der nDSG-Cybersecurity-Anforderungen. Sie ist als Ausgangspunkt zu verstehen und muss an die spezifische Risikosituation des jeweiligen Unternehmens angepasst werden.

Phase 1: Bestandsaufnahme und Gap-Analyse

  • Inventar aller Personendaten erstellen (Datenmapping)
  • Verzeichnis der Bearbeitungstätigkeiten anlegen oder aktualisieren
  • Bestehende technische Sicherheitsmassnahmen dokumentieren
  • Gap-Analyse zwischen Ist-Zustand und nDSG-Anforderungen durchführen
  • Risikobewertung für alle Datenverarbeitungsprozesse erstellen
  • Auftragsbearbeiter identifizieren und deren Datenschutzniveau bewerten

Phase 2: Technische Massnahmen implementieren

  • Verschlüsselung für Daten in Transit und at Rest implementieren
  • Multi-Faktor-Authentifizierung für alle relevanten Systeme aktivieren
  • Rollenbasierte Zugriffskontrollen einrichten und dokumentieren
  • Netzwerksegmentierung überprüfen und optimieren
  • Logging und Monitoring für Personendaten-Zugriffe einrichten
  • Backup- und Recovery-Prozesse implementieren und testen
  • Penetrationstest durch qualifizierten Anbieter durchführen lassen

Phase 3: Organisatorische Massnahmen umsetzen

  • Datenschutzberaterin oder -berater ernennen
  • Incident-Response-Plan für Datenschutzverletzungen erstellen
  • Meldeprozess an den EDÖB definieren und dokumentieren
  • Schulungsprogramm für alle Mitarbeitenden entwickeln und durchführen
  • Datenschutzrichtlinien erstellen oder aktualisieren
  • Auftragsbearbeitungsverträge abschliessen oder aktualisieren
  • Prozess für Datenschutz-Folgenabschätzungen etablieren

Phase 4: Überwachung und kontinuierliche Verbesserung

  • Regelmässige Überprüfung der Zugriffsrechte (quartalsweise)
  • Jährliche Penetrationstests und Vulnerability-Assessments
  • Halbjährliche Überprüfung des Incident-Response-Plans
  • Kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden
  • Jährliche Überprüfung und Aktualisierung des Datenschutzkonzepts
  • Monitoring regulatorischer Änderungen und Anpassung der Massnahmen

Welche besonderen Anforderungen gelten für spezifische Branchen?

Das nDSG unterscheidet grundsätzlich nicht nach Branche, jedoch ergeben sich aus der Art der verarbeiteten Daten und den sektorspezifischen Regulierungen unterschiedliche Anforderungen.

Finanzbranche

Finanzinstitute unterliegen neben dem nDSG auch der FINMA-Regulierung, die spezifische Cybersecurity-Anforderungen stellt. Die Kombination beider Regelwerke ergibt erhöhte Anforderungen:

  • Verstärkte Zugangskontrollen für Finanzdaten
  • Erweiterte Logging-Anforderungen
  • Regelmässige FINMA-konforme Sicherheitsaudits
  • Spezifische Anforderungen an die Aufbewahrung und Löschung von Daten

Gesundheitswesen

Medizinische Daten gelten als «besonders schützenswerte Personendaten» gemäss Art. 5 lit. c nDSG. Für das Gesundheitswesen gelten daher erhöhte Anforderungen:

  • Strikte Zugangskontrolle zu Patientendaten nach dem Need-to-know-Prinzip
  • Verschlüsselung aller medizinischen Daten
  • Erweiterte Protokollierung aller Datenzugriffe
  • Spezifische Anforderungen an die Interoperabilität von Gesundheitssystemen
  • Einhaltung des Patientengeheimnisses (Art. 321 StGB)

Technologie und SaaS

Technologieunternehmen und SaaS-Anbieter verarbeiten häufig Daten im Auftrag ihrer Kunden und müssen besondere Anforderungen erfüllen:

  • Robuste Mandantentrennung (Multi-Tenancy-Sicherheit)
  • Transparente Datenlokalisierung und Datenverarbeitungsketten
  • API-Sicherheit und sichere Schnittstellen
  • Automatisierte Datenlöschung nach Vertragsende
  • Regelmässige Sicherheitszertifizierungen (ISO 27001, SOC 2)

Detailhandel und E-Commerce

Unternehmen im Detailhandel und E-Commerce verarbeiten grosse Mengen an Kundendaten und sind häufig Ziel von Cyberangriffen:

  • Sichere Zahlungsabwicklung (PCI-DSS-Compliance)
  • Schutz von Kundenprofilen und Kaufhistorien
  • Cookie-Compliance und Tracking-Einschränkungen
  • Sichere Verarbeitung von Adress- und Kontaktdaten

Wie unterscheidet sich das nDSG von der EU-DSGVO im Bereich Cybersecurity?

Obwohl das nDSG stark an die EU-DSGVO angelehnt ist, gibt es wesentliche Unterschiede, die für die Cybersecurity-Compliance relevant sind. Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, müssen beide Regelwerke berücksichtigen.

Wesentliche Unterschiede

AspektnDSGEU-DSGVO
SanktionenBussen bis CHF 250’000 gegen natürliche PersonenBussen bis 4 % des Jahresumsatzes gegen Unternehmen
Meldepflicht«So rasch als möglich» an den EDÖBInnerhalb von 72 Stunden an die Aufsichtsbehörde
DPO-PflichtEmpfohlen, nicht obligatorischObligatorisch in bestimmten Fällen
Privacy Impact AssessmentDSFA bei hohem RisikoDSFA bei hohem Risiko (ähnlich)
Technische Massnahmen«Angemessene» TOM«Geeignete» TOM (ähnlicher Standard)
AuftragsbearbeitungVertragliche Regelung erforderlichAuftragsverarbeitungsvertrag (Art. 28)

Harmonisierung als Chance

Für Schweizer Unternehmen mit EU-Bezug empfiehlt sich die Umsetzung eines harmonisierten Datenschutz- und Cybersecurity-Frameworks, das beide Regelwerke abdeckt. Dies spart Ressourcen und reduziert Komplexität. Detaillierte Informationen zur internationalen Compliance finden Sie auf CybersecuritySwitzerland.com.

nDSG-Compliance als Wettbewerbsvorteil

Die Einhaltung des nDSG signalisiert Kunden und Geschäftspartnern ein hohes Datenschutz- und Sicherheitsniveau. Gemäss einer Studie der Universität St. Gallen betrachten 78 % der Schweizer Konsumentinnen und Konsumenten Datenschutz als wichtiges Kriterium bei der Wahl eines Anbieters. Unternehmen, die proaktiv in nDSG-Compliance investieren, profitieren daher von einem messbaren Vertrauensvorsprung.

Häufig gestellte Fragen zur nDSG-Cybersecurity-Compliance

Muss jedes Schweizer Unternehmen das nDSG einhalten?

Ja, das nDSG gilt für alle Unternehmen, die Personendaten von Personen in der Schweiz bearbeiten — unabhängig von der Unternehmensgrösse. Auch ausländische Unternehmen, die Daten von Personen in der Schweiz verarbeiten, unterliegen dem nDSG. KMU mit weniger als 250 Mitarbeitenden sind unter bestimmten Voraussetzungen von der Pflicht zum Verzeichnis der Bearbeitungstätigkeiten befreit, müssen aber alle anderen Anforderungen erfüllen.

Wie oft sollten Penetrationstests für die nDSG-Compliance durchgeführt werden?

Das nDSG schreibt keine spezifische Frequenz vor. Der EDÖB empfiehlt jedoch, die Angemessenheit der technischen Massnahmen regelmässig zu überprüfen. Als Best Practice gelten: mindestens jährliche Penetrationstests für Standardsysteme und quartalsweise Tests für Systeme, die besonders schützenswerte Personendaten verarbeiten. Nach signifikanten Systemänderungen sollte ebenfalls ein Penetrationstest durchgeführt werden.

Was sind die häufigsten Cybersecurity-Verstösse im nDSG-Kontext?

Gemäss den EDÖB-Meldungen sind die häufigsten Verstösse: unzureichende Zugangskontrollen (28 %), fehlende oder ungenügende Verschlüsselung (22 %), verspätete Meldung von Datenschutzverletzungen (18 %), mangelnde Protokollierung (15 %) und unzureichende Schulung der Mitarbeitenden (12 %). Regelmässige Penetrationstests können die meisten dieser Schwachstellen identifizieren, bevor sie zu Verletzungen führen.

Welche Dokumentation ist für die nDSG-Cybersecurity-Compliance erforderlich?

Unternehmen sollten mindestens folgende Dokumente vorhalten: Verzeichnis der Bearbeitungstätigkeiten, Datenschutzkonzept mit technischen und organisatorischen Massnahmen, Incident-Response-Plan, Datenschutz-Folgenabschätzungen (wo erforderlich), Auftragsbearbeitungsverträge, Schulungsnachweise, Penetrationstest-Berichte und Ergebnisse von Vulnerability-Assessments. Diese Dokumentation dient als Nachweis der Compliance bei Untersuchungen durch den EDÖB.

Können Penetrationstest-Berichte als Nachweis der nDSG-Compliance dienen?

Penetrationstest-Berichte sind ein wichtiger, aber nicht alleiniger Nachweis der nDSG-Compliance. Sie dokumentieren den Zustand der technischen Sicherheitsmassnahmen zu einem bestimmten Zeitpunkt und zeigen, dass das Unternehmen proaktiv Sicherheitsrisiken identifiziert und adressiert. Im Falle einer EDÖB-Untersuchung können Penetrationstest-Berichte die Angemessenheit der technischen Massnahmen belegen. Sie sollten jedoch durch weitere Dokumentation ergänzt werden, wie etwa das Datenschutzkonzept und Schulungsnachweise.

Wie gehe ich bei einer Datenschutzverletzung durch einen Cyberangriff vor?

Bei einer Datenschutzverletzung durch einen Cyberangriff sollten Sie folgende Schritte einleiten: (1) Sofortige Eindämmung des Vorfalls gemäss dem Incident-Response-Plan. (2) Bewertung des Risikos für die betroffenen Personen. (3) Meldung an den EDÖB, sofern ein hohes Risiko besteht — empfohlen innerhalb von 72 Stunden. (4) Benachrichtigung der betroffenen Personen, wenn zum Schutz ihrer Rechte erforderlich. (5) Dokumentation des Vorfalls und der ergriffenen Massnahmen. (6) Durchführung einer Post-Incident-Analyse. (7) Umsetzung von Massnahmen zur Verhinderung ähnlicher Vorfälle. Professionelle Unterstützung durch spezialisierte Cybersecurity-Dienstleister kann in dieser Situation entscheidend sein.

Fazit: nDSG-Compliance als strategische Investition

Die Cybersecurity-Anforderungen des nDSG sind keine lästige Pflicht, sondern eine strategische Investition in die Zukunftsfähigkeit Ihres Unternehmens. Ein systematischer Ansatz, der technische und organisatorische Massnahmen kombiniert, regelmässige Penetrationstests einschliesst und die Compliance kontinuierlich überwacht, schützt nicht nur vor rechtlichen Sanktionen, sondern stärkt auch die Widerstandsfähigkeit gegen Cyberangriffe.

Die Umsetzung muss nicht überwältigend sein. Beginnen Sie mit einer Gap-Analyse, priorisieren Sie die identifizierten Lücken nach Risiko und arbeiten Sie die Massnahmen systematisch ab. Professionelle Cybersecurity-Dienstleister wie Red Team Partners und die Ressourcen auf Alpine Excellence können Sie bei diesem Prozess kompetent unterstützen.

Denken Sie daran: Im nDSG tragen verantwortliche Personen die persönliche Haftung. Eine proaktive, gut dokumentierte Compliance-Strategie schützt nicht nur Ihr Unternehmen und die Daten Ihrer Kundinnen und Kunden — sie schützt auch Sie persönlich.