Cybersecurity-Grundpflichten für Schweizer Unternehmen: Was gesetzlich erforderlich ist

Q: Datensicherheit: Was ist “angemessen”?

Welche Cybersecurity-Massnahmen sind in der Schweiz gesetzlich vorgeschrieben? Ein praxisorientierter Überblick über rechtliche Anforderungen, Datenschutzpflichten, Mitarbeiterschulungen und Haftungsrisiken. Im Abschnitt "Datensicherheit: Was ist “angemessen”?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Kosten: Was kostet Compliance?

Welche Cybersecurity-Massnahmen sind in der Schweiz gesetzlich vorgeschrieben? Ein praxisorientierter Überblick über rechtliche Anforderungen, Datenschutzpflichten, Mitarbeiterschulungen und Haftungsrisiken. Im Abschnitt "Kosten: Was kostet Compliance?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Es gibt keine Ausnahme: Jedes Schweizer Unternehmen, das Personendaten bearbeitet, ist gesetzlich zu angemessenen Cybersecurity-Massnahmen verpflichtet. Auch das Fünf-Personen-KMU. Auch der Einzelunternehmer. Die Rechtslage ist eindeutig, die Umsetzung in der Praxis aber oft mangelhaft.

Rechtliche Grundlagen

1. Revidiertes Datenschutzgesetz (revDSG)

In Kraft seit 1. September 2023. Gilt für alle Unternehmen, die Personendaten bearbeiten: keine Schwellenwerte, keine Ausnahmen für KMU.

Kernpflichten:

Angemessene Datensicherheit (Art. 8 revDSG)
Meldepflicht bei Datenschutzverletzungen (Art. 24 revDSG)
Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)
Privacy by Design und Privacy by Default.
Datenschutz-Folgenabschätzung bei hohen Risiken (Art. 22 revDSG)

2. Obligationenrecht (OR)

Art. 716a OR: Geschäftsleitung muss oberste Leitung wahrnehmen, inkl. Risikomanagement. Art. 754 OR: Organhaftung bei Pflichtverletzungen. Cybersecurity-Risiken sind Teil der Sorgfaltspflicht.

3. FINMA-Regulierung

Für Finanzinstitute gelten zusätzliche Anforderungen (FINMA-Rundschreiben 2008/21, 2023/1): Cyber-Risiken im Risikomanagement, Incident Response Pläne, Business Continuity Management, Meldepflichten.

Datensicherheit: Was ist “angemessen”?

Was “angemessen” bedeutet, hängt vom Risiko ab (aber grundlegende Massnahmen wie MFA, Verschlüsselung und Backups sind heute für jedes Unternehmen Pflicht. Der EDÖB orientiert sich dabei an internationalen Standards wie ISO 27001 und den Empfehlungen des NCSC. Relevante Faktoren: Art der Daten, Umfang der Bearbeitung, Risiken für Betroffene, Stand der Technik, Verhältnismässigkeit.

Minimale technische Massnahmen

Zugriffsschutz: Mindestens 12 Zeichen Passwörter, MFA für alle Systeme mit Personendaten, Need-to-know-Prinzip, regelmässige Überprüfung bei Rollenwechsel/Austritt.

Verschlüsselung: At rest (Datenbanken, Backups), in transit (HTTPS, VPN), mobile Geräte (BitLocker, FileVault).

Backups: Mindestens täglich für kritische Daten, Offline-Backups (Ransomware-Schutz), 3-2-1-Regel, regelmässige Wiederherstellungstests.

Updates und Patch-Management: Sicherheitspatches innerhalb von Tagen, keine End-of-Life-Software, automatische Updates wo möglich.

Antivirus und Endpoint Protection: Auf allen Endgeräten, für grössere Unternehmen EDR.

Netzwerksicherheit: Firewall, Netzwerksegmentierung, WLAN mit WPA3/WPA2.

Logging und Monitoring: Systemlogs mindestens 6 Monate aufbewahren, Anomalien erkennen.

Penetrationstests: Regelmässige Sicherheitstests gehören zur Sorgfaltspflicht und dokumentieren, dass Sie aktiv Schwachstellen identifizieren und beheben. RedTeam Partners bietet spezialisierte Penetrationstests, die den Nachweis angemessener Schutzmassnahmen im Sinne von Art. 8 revDSG unterstützen.

Minimale organisatorische Massnahmen

Schriftliche Sicherheitsrichtlinien (Passwort, Acceptable Use, BYOD, Incident Response)
Rollenbasiertes Berechtigungsmanagement mit jährlichen Reviews
Verantwortliche Person für Datenschutz
Auftragsverarbeitungsverträge mit externen Dienstleistern

Meldepflicht bei Datenschutzverletzungen

Die Meldepflicht gilt sofort und ohne Ausnahme: Jede schwerwiegende Datenschutzverletzung muss dem EDÖB gemeldet werden. Das NCSC (heute BACS) verzeichnet jährlich zehntausende gemeldete Cybervorfälle.

Wann melden: Bei voraussichtlich hohem Risiko für Betroffene (Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, besonders schützenswerte Daten).

Wie und wann: So rasch als möglich an den EDÖB (Online-Formular). Inhalt: Art der Verletzung, betroffene Datenkategorien, Folgen, ergriffene Massnahmen.

Betroffene informieren: Bei hohem Risiko, sofern nicht bereits Schutzmassnahmen wirken.

Sanktionen: Busse bis CHF 250’000 bei vorsätzlicher Nicht-Meldung, Reputationsschaden, zivilrechtliche Haftung.

Mitarbeiterschulungen

Nicht explizit vorgeschrieben, aber implizit durch Art. 8 revDSG und OR-Sorgfaltspflicht faktisch Pflicht.

Mindestinhalte: Phishing erkennen, Passwort-Sicherheit, Umgang mit Daten, physische Sicherheit, Incident Reporting.

Führungskräfte zusätzlich: CEO Fraud, Social Engineering, Haftungsrisiken.

Frequenz: Initial bei Eintritt, jährliche Auffrischung, anlassbezogen bei neuen Bedrohungen. Wirksamkeit prüfen durch Phishing-Simulationen.

Haftung

Unternehmen

Haftung gegenüber Betroffenen (Schadenersatz), Vertragspartnern (Vertragsverletzungen) und Behörden (Bussen).

Geschäftsleitung und Verwaltungsrat

Persönliche Haftung gemäss Art. 754 OR bei: unzureichenden Sicherheitsmassnahmen, ignorierten Cyber-Risiken, nicht eingehaltenen Anforderungen.

Mitarbeitende

Haftung nur bei grober Fahrlässigkeit oder Vorsatz. Klick auf Phishing ohne Schulung = keine grobe Fahrlässigkeit.

Checkliste: Grundpflichten umsetzen

Bestandsaufnahme

Welche Personendaten bearbeiten wir?
Wo werden sie gespeichert?
Welche externen Dienstleister nutzen wir?

Technische Massnahmen

MFA aktiviert?
Verschlüsselung (Geräte, Backups, Übertragung)?
Backups (regelmässig, offline, getestet)?
Updates automatisch oder regelmässig?
Antivirus installiert und aktuell?
Firewall aktiv?

Organisatorische Massnahmen

Sicherheitsrichtlinien schriftlich und kommuniziert?
Berechtigungsmanagement definiert?
Incident Response Plan vorhanden?
Auftragsverarbeiter-Verträge vorhanden?

Schulung und Dokumentation

Mitarbeiterschulungen durchgeführt?
Verzeichnis der Bearbeitungstätigkeiten vorhanden?
Backup-Wiederherstellung getestet?

Kosten: Was kostet Compliance?

Kleines KMU (5-20 MA)

Erstes Jahr: CHF 10’000-30’000 (Beratung, technische Massnahmen, Schulungen)
Laufend: CHF 5’000-15’000/Jahr

Mittleres Unternehmen (50-200 MA)

Erstes Jahr: CHF 80’000-300’000
Laufend: CHF 50’000-180’000/Jahr

Vermiedene Kosten

Ransomware-Schäden: CHF 500’000-2’000’000
EDÖB-Bussen: bis CHF 250’000
Produktionsausfälle: CHF 10’000-100’000 pro Tag

Häufige Fehler

“Wir sind zu klein”, KMU sind bevorzugte Ziele
“Die IT kümmert sich darum”, Cybersecurity ist Führungsverantwortung
“Antivirus reicht” (Eine Massnahme von vielen
“Wir haben keine Personendaten”, Schon E-Mail-Adressen sind Personendaten
“Nächstes Jahr” (Gesetzliche Pflichten gelten jetzt

Pflichten kennen und umsetzen

Schweizer Unternehmen haben klare gesetzliche Pflichten: Datensicherheit (revDSG Art. 8), Meldepflicht (Art. 24), Mitarbeiterschulungen, Incident Response und Dokumentation. Die Kosten für Compliance sind überschaubar im Vergleich zu den Kosten eines Cyberangriffs.

Sind Sie unsicher, ob Ihr KMU die Cybersecurity-Pflichten erfüllt? Ein professioneller Security-Audit schafft Klarheit.

Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Technologie erstellt und durch die Alpine Excellence Redaktion geprüft, ergänzt und finalisiert. Alle Inhalte entsprechen den redaktionellen Standards von Alpine Excellence.