/ Digitalrecht und geistiges Eigentum / Wie setzen Sie die Vorgaben des neuen nDSG in Ihrem Unternehmen um, ohne das Marketing lahmzulegen?
Veröffentlicht am Mai 10, 2024

Das neue Datenschutzgesetz (nDSG) lähmt Ihr Marketing nicht – es macht es präziser und vertrauenswürdiger, wenn Sie es als strategischen Kompass statt als Bremse verstehen.

  • Individuelle, auf Ihre echten Datenflüsse zugeschnittene Datenschutzdokumente sind keine Option mehr, sondern die einzige Verteidigungslinie.
  • Das persönliche Haftungsrisiko für Führungskräfte bis 250’000 CHF ist real und erfordert eine klare Zuteilung der Verantwortung im Unternehmen.
  • Der Datentransfer in die USA ist über das Data Privacy Framework (DPF) und Standardvertragsklauseln (SCC) für gängige Tools wie Mailchimp klar geregelt.

Empfehlung: Bauen Sie eine proaktive „Vertrauens-Architektur“ auf, indem Sie Ihre Datenprozesse dokumentieren und optimieren, anstatt nur reaktiv Gesetzeslücken zu schliessen.

Das neue Schweizer Datenschutzgesetz (nDSG) versetzt viele Marketingleiter und Geschäftsführer in eine Zwickmühle. Einerseits wächst der Druck, datengetriebene Entscheidungen zu treffen und personalisierte Kampagnen zu fahren. Andererseits schwebt das Damoklesschwert empfindlicher Bussen und persönlicher Haftung über jeder Datenverarbeitung. Die Sorge, dass strenge Compliance-Anforderungen jegliche Marketing-Agilität im Keim ersticken, ist weit verbreitet und verständlich. Viele greifen daher zu vermeintlich schnellen Lösungen: Man kopiert die Datenschutzerklärung eines Konkurrenten, hofft, dass die verwendeten US-Tools schon irgendwie konform sind, und schiebt das Thema auf die lange Bank.

Doch dieser Ansatz ist unter dem nDSG nicht nur fahrlässig, sondern gefährlich. Die Zeiten, in denen Datenschutz eine reine IT- oder Rechtsangelegenheit war, sind vorbei. Es ist zu einer Kernkompetenz der Unternehmensführung geworden, die direkt das Kundenvertrauen und damit den Geschäftserfolg beeinflusst. Aber was, wenn die wahre Lösung nicht darin besteht, weniger Daten zu nutzen, sondern die richtigen Daten smarter und transparenter zu nutzen? Was, wenn das nDSG nicht als Marketing-Killer, sondern als strategischer Kompass verstanden wird, der uns zwingt, unsere Prozesse endlich effizient und kundenorientiert zu gestalten?

Dieser Artikel bricht mit dem reinen Angst-Szenario. Er ist ein pragmatischer Leitfaden für Entscheidungsträger in Schweizer KMU, der zeigt, wie man Rechts-Robustheit aufbaut, ohne die Marketing-Maschine abzuwürgen. Wir tauchen tief in die kritischsten Aspekte ein: von der korrekten Handhabung von US-Diensten über die konkrete Berechnung von Bussen bis hin zur klaren Strategie im Falle eines Ransomware-Angriffs. Ziel ist es, Ihnen nicht nur die Regeln aufzuzeigen, sondern Ihnen eine handlungsorientierte Perspektive zu geben, um Compliance in einen echten Wettbewerbsvorteil zu verwandeln.

Die folgende Übersicht führt Sie durch die zentralen Handlungsfelder, die für Sie als Führungskraft in der Schweiz von entscheidender Bedeutung sind. Jeder Abschnitt liefert konkrete Antworten und praxiserprobte Lösungsansätze für die häufigsten Herausforderungen des neuen Datenschutzgesetzes.

Inhaltsverzeichnis: Der pragmatische Leitfaden zur nDSG-Umsetzung für Schweizer Unternehmen

Warum reicht es nicht mehr, die Datenschutzerklärung einfach von einem Konkurrenten zu kopieren?

Die Methode „Kopieren und Einfügen“ bei Datenschutzerklärungen war schon immer eine rechtliche Grauzone, aber unter dem neuen Datenschutzgesetz (nDSG) ist sie ein garantiertes Rezept für empfindliche Strafen. Der Grund ist einfach: Eine Datenschutzerklärung ist kein juristischer Standardtext, sondern der öffentliche Spiegel Ihrer tatsächlichen Datenverarbeitungsprozesse. Wenn dieser Spiegel ein falsches Bild zeigt – weil Sie Tools verwenden, die nicht erwähnt sind, oder Daten anders nutzen, als beschrieben – verletzen Sie aktiv Ihre Informationspflicht. Genau diese Verletzung der Informationspflichten kann laut Gesetzgeber mit Bussen von bis zu 250’000 CHF geahndet werden.

Eine generische Vorlage kann unmöglich die spezifische Konstellation Ihrer Website abbilden. Nutzen Sie Google Analytics, ein Newsletter-Tool wie Mailchimp, eingebettete YouTube-Videos oder Social-Media-Plugins? Jedes dieser Tools hat eigene Datenflüsse, die transparent und präzise beschrieben werden müssen. Eine kopierte Erklärung eines Mitbewerbers, der vielleicht andere Dienste nutzt oder seine Daten auf anderen Servern hostet, ist somit per Definition unzutreffend und irreführend. Dies wird bei einer Prüfung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder im Falle einer Anfrage durch Betroffene sofort offensichtlich.

Split-Screen Darstellung zweier Dokumente im Schweizer Kontext, eines unordentlich und generisch, das andere präzise und massgeschneidert.

Wie die Darstellung oben illustriert, ist der Unterschied zwischen einer generischen und einer massgeschneiderten Erklärung der zwischen Chaos und Kontrolle. Eine massgeschneiderte Datenschutzerklärung ist ein Zeichen von Professionalität und schafft eine Vertrauens-Architektur. Sie zeigt Kunden und Behörden, dass Sie die Kontrolle über Ihre Datenprozesse haben. Statt veraltete deutsche Vorlagen mit Verweisen auf das TMG zu verwenden, müssen Schweizer Unternehmen explizit auf das nDSG und den EDÖB als zuständige Aufsichtsbehörde verweisen. Die Erstellung einer solchen Erklärung zwingt Sie zu einem internen Audit, das oft die erste Stufe zur strategischen Daten-Effizienz darstellt.

Letztlich geht es darum, eine ehrliche und vollständige Inventur Ihrer Datenverarbeitung durchzuführen und diese in verständlicher Sprache zu dokumentieren. Alles andere ist ein bewusstes Ignorieren der gesetzlichen Vorgaben mit potenziell hohen finanziellen Folgen.

Wie regeln Sie den Datentransfer in die USA (z.B. Mailchimp) nach nDSG rechtssicher?

Für viele Schweizer Marketingabteilungen sind US-Tools wie Mailchimp, HubSpot oder Google Analytics das Rückgrat ihrer Aktivitäten. Der Datentransfer in die USA ist unter dem nDSG jedoch eine der grössten Hürden, da die USA aus Schweizer Sicht kein Land mit einem angemessenen Datenschutzniveau sind. Ein Transfer ist dennoch möglich, erfordert aber eine saubere rechtliche Grundlage. Die gute Nachricht: Es gibt einen klaren Weg, der nicht zwangsläufig den Wechsel zu europäischen Anbietern erfordert, auch wenn diese oft eine einfachere Lösung darstellen.

Die primäre Rechtsgrundlage für den Datentransfer zu vielen grossen US-Anbietern ist das Data Privacy Framework (DPF), dem sich die Schweiz angeschlossen hat. Unternehmen, die unter dem DPF zertifiziert sind, bieten ein anerkanntes Schutzniveau. Prüfen Sie also zuerst, ob Ihr US-Dienstleister auf der offiziellen DPF-Liste steht. Ist dies der Fall, haben Sie eine solide Basis. Ist der Anbieter nicht zertifiziert, müssen Sie auf Standardvertragsklauseln (SCCs) zurückgreifen. Diese von der EU-Kommission herausgegebenen und von der Schweiz anerkannten Klauseln müssen zwischen Ihnen und dem US-Anbieter abgeschlossen werden. Wichtig ist hierbei, eine zusätzliche Risikobewertung (Transfer Impact Assessment) für den Schweizer Kontext durchzuführen und zu dokumentieren.

Obwohl US-Tools weiterhin nutzbar sind, lohnt sich der Blick auf Alternativen, die von vornherein weniger administrativen Aufwand bedeuten. Eine vergleichende Analyse zeigt oft, dass Schweizer oder EU-Anbieter nicht nur datenschutzfreundlicher, sondern auch funktional konkurrenzfähig sind.

US-Tools vs. Schweizer/EU-Alternativen für KMU
US-Tool Schweizer/EU-Alternative nDSG-Konformität Serverstandort
Mailchimp SwissNewsletter ✓ Vollständig konform Schweiz
Google Analytics Matomo (Self-Hosted) ✓ Vollständig konform Schweiz möglich
HubSpot Sendinblue ✓ EU-konform Europa

Ihr Fahrplan: Rechtssicherer Datentransfer in die USA

  1. Prüfen Sie die Data Privacy Framework (DPF) Zertifizierung des US-Anbieters auf der offiziellen Liste.
  2. Dokumentieren Sie die gültige DPF-Zertifizierung als primäre Rechtsgrundlage für den Transfer.
  3. Falls kein DPF vorhanden: Schliessen Sie die aktuellen Standardvertragsklauseln (SCC) mit dem Anbieter ab.
  4. Führen Sie ein dokumentiertes Transfer Impact Assessment (TIA) durch, das die spezifischen Risiken für Schweizer Daten in den USA bewertet.
  5. Dokumentieren Sie in Ihrem Verarbeitungsverzeichnis die Notwendigkeit, den Umfang und die Rechtsgrundlage für jeden einzelnen Datentransfer.

Die strategische Entscheidung liegt bei Ihnen: Nehmen Sie den administrativen Aufwand für US-Tools in Kauf oder migrieren Sie zu einer Lösung mit Serverstandort in der Schweiz oder der EU, um die Komplexität dauerhaft zu reduzieren?

Auskunftsrecht Art. 25: Wie berechnet das Gericht die Höhe Ihres Tagessatzes bei einer Geldstrafe in der Schweiz?

Eine der einschneidendsten Neuerungen des nDSG ist, dass Bussen nicht primär gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person verhängt werden. Die Strafen werden in Tagessätzen berechnet, was das finanzielle Risiko sehr persönlich macht. Doch wie kommt ein Gericht in der Schweiz auf die Höhe eines solchen Tagessatzes? Das System ist darauf ausgelegt, jeden Täter proportional zu seiner wirtschaftlichen Leistungsfähigkeit zu treffen. Es geht nicht um einen pauschalen Betrag, sondern um eine Strafe, die im individuellen Fall auch spürbar ist.

Ein Gericht ermittelt den Tagessatz auf Basis der persönlichen und finanziellen Verhältnisse der beschuldigten Person zum Zeitpunkt des Urteils. Im Kern steht das Nettoeinkommen, das dem Verurteilten pro Tag zur Verfügung steht. Davon werden zwingende Ausgaben wie Steuern, Sozialversicherungsbeiträge, Wohnkosten und allfällige Unterhaltspflichten abgezogen. Was übrig bleibt, bildet die Basis für den Tagessatz. Dieser kann je nach Kanton und individueller Situation stark variieren, bewegt sich aber in einem gesetzlichen Rahmen. Das Ziel ist, dass der Verlust eines Tagessatzes für einen Manager mit hohem Einkommen genauso schmerzhaft ist wie für einen Angestellten mit geringerem Lohn.

Rechenbeispiel: Tagessatz für eine Schweizer Führungskraft

Ein fiktives, aber realistisches Beispiel: Eine Führungskraft im Kanton Zürich mit einem Jahresgehalt von 150’000 CHF. Nach Abzug von Steuern und Sozialversicherungen verbleibt ein monatliches Nettoeinkommen von etwa 9’000 CHF. Unter Berücksichtigung der Lebenshaltungskosten könnte ein Gericht einen Tagessatz von 300 CHF festlegen. Wird nun eine hohe Strafe von 150 Tagessätzen wegen einer schweren Datenschutzverletzung verhängt, resultiert dies in einer persönlichen Busse von 45’000 CHF, die aus dem Privatvermögen zu bezahlen ist.

Diese Berechnungsmethode macht deutlich, dass Datenschutz-Compliance kein Kavaliersdelikt ist. Um das Risiko einer solchen persönlichen Strafe zu minimieren oder im Falle eines Verfahrens eine Milderung zu erwirken, ist proaktives Handeln entscheidend. Gerichte berücksichtigen bei der Strafzumessung auch, ob ein Unternehmen ernsthafte Anstrengungen zur Einhaltung des Gesetzes unternommen hat. Dazu gehören:

  • Dokumentierte und regelmässige Mitarbeiterschulungen zum nDSG
  • Ein lückenlos geführtes und aktuelles Verarbeitungsverzeichnis
  • Durchgeführte Datenschutz-Folgenabschätzungen bei riskanten Verarbeitungen
  • Schriftliche Weisungen und interne Richtlinien zum Umgang mit Personendaten
  • Nachweise über interne Audits und Kontrollen der Datenschutzmassnahmen

Die Investition in eine saubere Dokumentation und nachweisbare Compliance-Massnahmen ist somit nicht nur eine gesetzliche Pflicht, sondern die beste Versicherung gegen empfindliche finanzielle Einbussen für Sie persönlich.

Das persönliche Risiko: Warum Bussen bis 250’000 CHF nun Führungskräfte privat treffen können

Die wohl grösste mentale Umstellung, die das nDSG für das C-Level mit sich bringt, ist die Verlagerung der Haftung vom Unternehmen auf die Privatperson. Während die DSGVO primär das Unternehmen sanktioniert, zielt das Schweizer Recht direkt auf die handelnden oder untätigen Individuen. Vorsätzliche Verstösse gegen zentrale Pflichten – wie Informations-, Auskunfts- oder Mitwirkungspflichten – werden nicht mit einer Unternehmensbusse, sondern mit einer persönlichen Geldstrafe geahndet. Die Obergrenze liegt bei stattlichen 250’000 CHF, die direkt aus dem Privatvermögen der verantwortlichen Person zu zahlen sind.

Nachdenklicher Schweizer Geschäftsführer in einem modernen Büro, der die persönliche Haftung nach nDSG reflektiert.

Wer ist „die verantwortliche Person“? In erster Linie ist dies die Geschäftsleitung, der Verwaltungsrat oder jede andere Person, die formell oder faktisch die Entscheidungen über die Datenverarbeitung trifft. Das Gesetz sieht eine Kaskade vor: Wenn die verantwortliche Person nicht ermittelt werden kann, haftet die Leitung des Unternehmens. Dies schafft einen enormen Anreiz, die Verantwortlichkeiten für den Datenschutz klar zu regeln und zu dokumentieren. Eine vage Zuständigkeit ist die riskanteste Strategie. Die Höchststrafe wird zwar nur bei schwerwiegenden, vorsätzlichen Taten verhängt, doch auch fahrlässige Verstösse können zu Bussen führen. Bereits Verletzungen der Informationspflicht können als Busse gegen natürliche Personen im Unternehmen verhängt werden.

Um diese persönliche Haftungs-Firewall zu errichten, müssen Führungskräfte den Datenschutz zur Chefsache erklären und dies auch nachweisbar tun. Es reicht nicht, einen Datenschutzverantwortlichen zu ernennen und zu hoffen, dass alles gut geht. Die oberste Führungsebene muss die Strategie vorgeben, die notwendigen Ressourcen bereitstellen und die Umsetzung überwachen. Folgende Massnahmen sind zur Minimierung des persönlichen Risikos entscheidend:

  • Datenschutz zur Chefsache erklären: Verankern Sie das Thema in den Protokollen von Geschäftsleitungs- und Verwaltungsratssitzungen.
  • Verantwortlichkeiten klar zuteilen: Definieren Sie im Organisationsreglement oder in Funktionsbeschreibungen genau, wer für welche Datenschutzthemen zuständig ist.
  • Budget bereitstellen: Genehmigen Sie die notwendigen finanziellen Mittel für Schulungen, Tools und eventuelle externe Beratung.
  • Überprüfung anordnen: Lassen Sie sich regelmässig über den Stand der Compliance-Massnahmen berichten.
  • Aufgaben schriftlich delegieren: Wenn Sie einen Datenschutzverantwortlichen ernennen, halten Sie die Delegation von Aufgaben und Kompetenzen schriftlich fest.
  • D&O-Versicherung prüfen: Klären Sie mit Ihrem Versicherer, ob und in welchem Umfang Bussen nach nDSG von Ihrer Directors-and-Officers-Versicherung gedeckt sind.

Ignoranz schützt vor Strafe nicht – im Gegenteil, sie kann als Indiz für Fahrlässigkeit gewertet werden. Proaktives und dokumentiertes Handeln ist der einzige Weg, um ruhig schlafen zu können.

Wann müssen Sie eine Datenpanne dem EDÖB melden und wann dürfen Sie schweigen?

Die Meldepflicht bei Datenschutzverletzungen, oft als „Datenpanne“ bezeichnet, ist einer der nervenaufreibendsten Aspekte des nDSG. Die Vorstellung, proaktiv eine Behörde über einen eigenen Fehler informieren zu müssen, ist für viele Unternehmen unangenehm. Doch das Gesetz ist hier klar: Es gibt Situationen, in denen eine Meldung zwingend ist, aber auch solche, in denen sie unterbleiben kann. Die entscheidende Frage ist immer die nach dem Risiko für die betroffenen Personen.

Eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist gemäss Art. 24 nDSG dann erforderlich, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Die Meldung muss „so rasch als möglich“ erfolgen. Der Begriff „hohes Risiko“ ist bewusst nicht exakt definiert und erfordert eine Einzelfallbeurteilung. Faktoren, die auf ein hohes Risiko hindeuten, sind unter anderem:

  • Die Art der betroffenen Daten (z.B. besonders schützenswerte Daten wie Gesundheitsdaten, Finanzinformationen, Passwörter)
  • Die Anzahl der betroffenen Personen
  • Die Wahrscheinlichkeit eines Missbrauchs der Daten (z.B. Identitätsdiebstahl, Betrug, Rufschädigung)
  • Die Schutzmassnahmen, die die Daten sicherten (z.B. waren die Daten stark verschlüsselt?)

Wenn Ihre Risikobewertung zum Schluss kommt, dass kein hohes Risiko besteht – zum Beispiel, weil nur anonymisierte Daten betroffen waren oder die verlorenen Daten durch starke Verschlüsselung unlesbar sind –, dürfen Sie auf eine Meldung an den EDÖB verzichten. Sie müssen den Vorfall und Ihre Risikobewertung jedoch intern lückenlos dokumentieren. Diese Dokumentation ist Ihre Rechtfertigung, falls später doch Fragen aufkommen. Ein Sonderfall ergibt sich bei Pannen, die bei einem Ihrer Dienstleister (Auftragsbearbeiter) auftreten.

Praxisszenario: Meldepflicht bei einer Panne des IT-Dienstleisters

Ein Schweizer IT-Dienstleister, der die Kundendatenbank eines KMU hostet, erleidet eine Datenpanne. Gemäss den Vorgaben für Auftragsbearbeiter muss der Dienstleister unverzüglich das KMU als verantwortliche Stelle informieren. Die Verantwortung für die Risikobeurteilung und eine allfällige Meldung an den EDÖB liegt allein beim KMU. Das KMU muss prüfen, ob aus der Panne ein hohes Risiko für seine Kunden resultiert. Ist dies der Fall, muss das KMU die Meldung über das offizielle Portal des EDÖB vornehmen. Entscheidend ist, dass der Auftragsbearbeitungsvertrag klare Pflichten und Fristen für die Information im Pannenfall enthält.

Im Zweifel ist eine transparente und schnelle Kommunikation – sowohl intern als auch potenziell gegenüber der Behörde – oft die bessere Strategie, um Vertrauen zu wahren und den Schaden zu begrenzen.

Warum fehlen auf 40% der Schweizer KMU-Websites zwingende Impressumsangaben?

Es mag wie eine triviale Formalität klingen, doch das Fehlen oder die Unvollständigkeit eines Impressums ist einer der häufigsten und zugleich am einfachsten vermeidbaren Rechtsverstösse von Schweizer Unternehmen im digitalen Raum. Studien und Beobachtungen deuten darauf hin, dass ein erheblicher Teil der KMU-Websites – Schätzungen sprechen von bis zu 40% – die gesetzlichen Mindestanforderungen nicht erfüllt. Die Gründe dafür sind oft eine Mischung aus Unwissenheit, Nachlässigkeit und der falschen Annahme, ein Impressum sei nur „nice to have“.

Die Impressumspflicht ergibt sich in der Schweiz primär aus dem Bundesgesetz gegen den unlauteren Wettbewerb (UWG), nicht direkt aus dem nDSG. Sie dient der Transparenz und soll es Nutzern ermöglichen, den Betreiber einer Website klar und eindeutig zu identifizieren. Ein unvollständiges Impressum kann abgemahnt werden und im Streitfall als Indiz für mangelnde Seriosität gewertet werden. Wichtig ist auch die Abgrenzung zur Datenschutzerklärung, die oft verwechselt wird. Das Impressum identifiziert den Betreiber, die Datenschutzerklärung regelt den Umgang mit Nutzerdaten.

Impressum vs. Datenschutzerklärung – Der Unterschied
Impressum Datenschutzerklärung
Identifiziert den Website-Betreiber Regelt Umgang mit Nutzerdaten
Nach UWG Art. 3 Abs. 1 lit. s Nach nDSG Art. 19
Firmenangaben, UID, Adresse Datenbearbeitungszwecke, Rechte
Kurz und faktisch Ausführlich und transparent

Die Behebung dieses Mangels ist ein „Quick Win“ auf dem Weg zur vollständigen Compliance und kostet nichts ausser ein paar Minuten Aufmerksamkeit. Ein korrektes Impressum für ein Schweizer Unternehmen muss gemäss den Vorgaben der Bundesverwaltung folgende Angaben klar und leicht auffindbar enthalten:

  • Firmenname: Die exakte Bezeichnung laut Handelsregistereintrag.
  • UID-Nummer: Die Unternehmens-Identifikationsnummer im Format CHE-xxx.xxx.xxx.
  • Vollständige Adresse: Die Domiziladresse der Firma; ein Postfach alleine genügt nicht.
  • Kontaktmöglichkeit: Eine gültige E-Mail-Adresse, die einen schnellen Kontakt ermöglicht.
  • Vertretungsberechtigte Personen: Bei Kapitalgesellschaften (AG/GmbH) die Namen der Personen, die zur Vertretung berechtigt sind.
  • Telefonnummer: Diese ist zwar nicht zwingend, wird aber dringend empfohlen, um die Erreichbarkeit zu demonstrieren.

Ein vollständiges Impressum ist wie eine saubere Visitenkarte: Es schafft sofort Vertrauen und signalisiert Professionalität, noch bevor der erste Klick auf ein Produkt erfolgt ist.

Burnout-Prävention: Was müssen Sie als Arbeitgeber dokumentieren, um haftungsfrei zu bleiben?

Auf den ersten Blick scheint das Thema Burnout-Prävention wenig mit dem Datenschutzgesetz zu tun zu haben. Doch sobald ein Arbeitgeber beginnt, im Rahmen von Gesundheitsförderungsprogrammen Daten über das Wohlbefinden, die Arbeitsbelastung oder Stressindikatoren seiner Mitarbeiter zu erheben, betritt er datenschutzrechtlich hochsensibles Terrain. Solche Informationen gelten unter dem nDSG als besonders schützenswerte Personendaten. Ihre Verarbeitung unterliegt den strengsten Anforderungen des Gesetzes.

Als Arbeitgeber haben Sie eine Fürsorgepflicht, die auch die Prävention von berufsbedingtem Stress umfasst. Gleichzeitig müssen Sie die Persönlichkeitsrechte Ihrer Mitarbeitenden respektieren. Dieser Spagat gelingt nur mit einer wasserdichten datenschutzrechtlichen Dokumentation. Die blosse Absicht, Gutes zu tun, reicht nicht aus. Jede Erhebung von Gesundheitsdaten, und sei es nur über einen anonymen Fragebogen, muss auf einer expliziten und freiwilligen Einwilligung des Mitarbeiters basieren. Diese Einwilligung muss den Zweck der Datenverarbeitung klar definieren und darf nicht an andere Bedingungen geknüpft sein.

Praxisbeispiel: Gesundheitsdaten-Management im KMU

Ein Schweizer KMU führt ein Programm zur Burnout-Prävention ein und möchte die Arbeitszeiten und subjektiven Stressindikatoren der teilnehmenden Mitarbeiter erfassen. Als Verarbeitung besonders schützenswerter Personendaten muss das Unternehmen eine Reihe von Massnahmen treffen: 1. Es muss eine explizite, informierte und freiwillige Einwilligung von jedem teilnehmenden Mitarbeiter einholen. 2. Der Grundsatz der Datenminimierung muss strikt beachtet werden; es dürfen nur die für das Programm absolut notwendigen Daten erhoben werden. 3. Die Zweckbindung muss garantiert sein: Die Daten dürfen ausschliesslich für das Präventionsprogramm und keinesfalls für Leistungsbeurteilungen oder andere personaladministrative Zwecke verwendet werden. 4. Volle Transparenz muss durch eine klare Information über die genaue Datenverwendung und die Rechte der Mitarbeiter sichergestellt werden.

Um die Haftung als Arbeitgeber zu minimieren und gleichzeitig ein wirksames Präventionsprogramm zu ermöglichen, ist eine sorgfältige Planung und Dokumentation unerlässlich. Die folgende Compliance-Checkliste, basierend auf Empfehlungen von Experten wie Swisscom, hilft dabei, die wichtigsten Punkte abzudecken:

  • Erstellen Sie eine Mustereinwilligungserklärung, die alle gesetzlichen Anforderungen erfüllt.
  • Garantieren Sie die strenge Zweckbindung der erhobenen Gesundheitsdaten schriftlich.
  • Dokumentieren Sie, welche Daten erhoben werden und warum diese minimalnotwendig sind.
  • Definieren Sie ein klares Löschkonzept für die Daten nach Abschluss des Programms.
  • Beschränken Sie die Zugriffsrechte auf die Daten auf einen eng definierten Personenkreis (z.B. externer Coach, HR-Verantwortlicher) auf einer „Need-to-know“-Basis.
  • Informieren Sie die Mitarbeiter proaktiv und verständlich über ihre Rechte (Auskunft, Berichtigung, Löschung).

Eine transparente und respektvolle Handhabung dieser sensiblen Daten ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein Grundpfeiler einer modernen und vertrauensvollen Unternehmenskultur.

Das Wichtigste in Kürze

  • Proaktive und lückenlose Dokumentation Ihrer Datenprozesse ist Ihre stärkste Verteidigungslinie und der Schlüssel zur strategischen Daten-Effizienz.
  • Die persönliche Haftung für Führungskräfte ist die einschneidendste Änderung des nDSG; klare Verantwortlichkeiten und deren Überwachung sind unerlässlich.
  • Rechtskonformität ist kein Hindernis, sondern eine Chance, durch Transparenz und smarte Datennutzung das Vertrauen Ihrer Kunden nachhaltig zu stärken.

Wie reagieren Sie rechtlich korrekt auf einen Ransomware-Angriff, um Haftung und Schaden zu begrenzen?

Ein Ransomware-Angriff ist der Albtraum jedes Unternehmens: Systeme sind blockiert, Daten verschlüsselt und der Betrieb steht still. In dieser Stresssituation sind schnelle und korrekte Entscheidungen entscheidend, um den Schaden zu begrenzen und rechtliche Konsequenzen zu vermeiden. Die Reaktion auf einen solchen Angriff ist nicht nur eine technische, sondern vor allem auch eine rechtliche Herausforderung. Allein in der letzten Woche des Jahres 2023 wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) über 637 Cybervorfälle gemeldet, was die ständige Bedrohungslage verdeutlicht.

Die erste und wichtigste rechtliche Verpflichtung nach einem Angriff ist die Prüfung, ob eine meldepflichtige Datenschutzverletzung nach Art. 24 nDSG vorliegt. Wurden Personendaten unzugänglich gemacht, gestohlen oder veröffentlicht? Und resultiert daraus ein hohes Risiko für die betroffenen Personen? Wenn ja, müssen Sie den Vorfall so rasch wie möglich dem EDÖB melden. Ein Versäumnis dieser Meldepflicht kann zu einer persönlichen Busse führen. Die Entscheidung, ob Lösegeld gezahlt werden soll, ist heikel. Behörden wie das NCSC raten grundsätzlich davon ab, da es keine Garantie für die Wiederherstellung der Daten gibt und es kriminelle Geschäftsmodelle finanziert.

Ein strukturierter Notfallplan ist unerlässlich, um in der Hektik eines Angriffs die richtigen Schritte einzuleiten. Das NCSC empfiehlt einen klaren 5-Punkte-Plan, der sowohl technische als auch rechtliche Aspekte abdeckt:

  • Schritt 1: Systeme sofort isolieren. Trennen Sie die betroffenen Computer und Server umgehend vom Netzwerk, um eine weitere Ausbreitung der Schadsoftware zu verhindern.
  • Schritt 2: Professionelle Hilfe beiziehen. Kontaktieren Sie Ihren IT-Partner oder spezialisierte Forensiker. Versuchen Sie nicht, das Problem allein zu lösen. Eine professionelle Analyse ist auch für die Beweissicherung wichtig.
  • Schritt 3: Meldepflicht prüfen. Führen Sie eine sofortige Risikobewertung durch, um festzustellen, ob eine meldepflichtige Datenpanne nach nDSG vorliegt, und melden Sie diese gegebenenfalls dem EDÖB.
  • Schritt 4: Strafanzeige erstatten. Erstatten Sie bei der zuständigen kantonalen Polizei Anzeige. Dies ist eine wichtige Voraussetzung für allfällige Versicherungsansprüche und für die Strafverfolgung.
  • Schritt 5: Freiwillige Meldung beim NCSC. Melden Sie den Vorfall auch dem NCSC. Dies hilft, ein nationales Lagebild zu erstellen und andere Unternehmen vor ähnlichen Angriffen zu warnen.

Beginnen Sie noch heute damit, eine robuste Daten-Effizienz und Sicherheitskultur in Ihrem Unternehmen zu verankern. Dies minimiert nicht nur rechtliche Risiken im Krisenfall, sondern stärkt auch nachhaltig das Vertrauen Ihrer Kunden und Partner in Ihre Marke.

Geschrieben von Sarah Pfister, Sarah Pfister ist Anwältin für IT-Recht, Datenschutz (nDSG) und Immaterialgüterrecht. Sie unterstützt Unternehmen bei der digitalen Compliance und im Kampf gegen Cyberkriminalität.
Neueste Beiträge
Wie berechnen Sie Barunterhalt und Betreuungsunterhalt, damit beide Elternteile existenzsichernd leben können?
Blockade in der Erziehung: Wie entscheiden Sie bei Patt-Situationen in der gemeinsamen Sorge?
Wie definieren Schweizer Gerichte das „Kindeswohl“ bei Streitigkeiten um Impfung oder Schule?
KESB-Einschreiten verhindern: Wie behalten Sie mit einem Vorsorgeauftrag die Kontrolle über Ihr Leben?
Wie setzen Sie die alternierende Obhut durch, wenn der andere Elternteil dagegen ist?
Ähnliche Beiträge
Wie betreiben Sie einen Schweizer Webshop 100% konform mit dem UWG und der Preisbekanntgabe?