ARTICLE
29 July 2025

Welche Sicherheitsmassnahmen Müssen Unternehmen Ergreifen, Um Personendaten Zu Schützen Und Das Risiko Von Cybersicherheitsvorfällen Zu Reduzieren?

FP
FABIAN PRIVACY LEGAL GmbH

Contributor

FABIAN PRIVACY LEGAL GmbH logo
We are a boutique law firm specializing in data, privacy and data protection laws and related issues, information security, data and privacy governance, risk management, program implementation and legal compliance. Our strengths are the combination of expert knowledge and practical in-house experience as well as a strong network with industry groups, privacy associations and experts around the world.
Explore Firm Details
In diesem Teil unserer Serie beleuchten wir, welche Sicherheitsmassnahmen nach dem Bundesgesetz über den Datenschutz (DSG) erforderlich sind, um Personendaten zu schützen und Datenschutzverletzungen zu möglichst zu vermeiden.
Switzerland Privacy
Daniela Fabian

Teil 13 unserer Serie zum Datenschutzrecht in der Schweiz

In diesem Teil unserer Serie beleuchten wir, welche Sicherheitsmassnahmen nach dem Bundesgesetz über den Datenschutz (DSG) erforderlich sind, um Personendaten zu schützen und Datenschutzverletzungen zu möglichst zu vermeiden.

Pflicht zur Datensicherheit

Gemäss Art. 8 DSG sind sowohl der Verantwortliche als auch der Auftragsbearbeiter verpflichtet, angemessene technische und organisatorische Massnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und Datenpannen zu vermeiden. Die Datenschutzverordnung (DSV) konkretisiert die Anforderungen an die Datensicherheit.

Risikobasierter Ansatz

Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der bearbeiteten Personendaten ermitteln und entsprechende TOM definieren.

Dabei sind insbesondere folgende Kriterien zu berücksichtigen:

  • Art der bearbeiteten Daten;
  • Zweck, Art, Umfang und Umstände der Bearbeitung.

Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen wird unter Berücksichtigung der Ursachen des Risikos, der wesentlichen Bedrohungen, der getroffenen oder geplanten Schutzmassnahmen sowie der Wahrscheinlichkeit und Schwere eines Sicherheitsvorfalls eingeschätzt.

Bei der Auswahl geeigneter TOM sind der Stand der Technik sowie die Implementierungskosten zu berücksichtigen.

Ziele der technischen und organisatorischen Massnahmen

Die TOM müssen sicherstellen, dass die bearbeiteten Personendaten:

  • vertraulich sind (nur autorisierte Personen haben Zugriff),
  • verfügbar sind, wenn sie benötigt werden,
  • integer sind (nicht unbefugt oder unbeabsichtigt verändert werden), und
  • nachvollziehbar bearbeitet werden.

Zur Erreichung dieser Ziele sind u. a. folgende Massnahmen zu treffen:

  • Vertraulichkeit sicherstellen (Zugriffs-, Zutritts- und Nutzungskontrollen):
    • Der Zugriff autorisierter Personen ist auf die zur Aufgabenerfüllung erforderlichen Daten beschränkt (Zugriffskontrolle);
    • Unbefugten wird der Zutritt zu Räumen und Anlagen, in denen Personendaten bearbeitet werden, verweigert (Zutrittskontrolle);
    • Unbefugte können automatisierte Systeme nicht über Datenübertragungsgeräte nutzen (Nutzungskontrolle).
  • Verfügbarkeit und Integrität sicherstellen (Datenträger-, Speicher-, Transport- und Systemschutz):
    • Unbefugte können Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder zerstören (Datenträgerkontrolle);
    • Unbefugte können Daten in Speicheranlagen nicht speichern, lesen, ändern, löschen oder zerstören (Speicherkontrolle);
    • Beim Transport oder bei der Weitergabe können Unbefugte Daten nicht einsehen, kopieren, ändern, löschen oder zerstören (Transportkontrolle);
    • Verfügbarkeit und Zugriff auf Personendaten sind bei physischen oder technischen Vorfällen rasch wiederherstellbar (Wiederherstellung);
    • Die Systemfunktionen sind gewährleistet (Verfügbarkeit), Störungen werden gemeldet (Zuverlässigkeit) und gespeicherte Daten durch Systemfehler nicht beschädigt (Datenintegrität);
    • Betriebssysteme und Anwendungen sind aktuell, und bekannte Sicherheitslücken werden geschlossen (Systemsicherheit).
  • Nachvollziehbarkeit sicherstellen (Protokollierung und Kontrollmechanismen):
    • Es kann nachvollzogen werden, welche Personendaten wann und von wem eingegeben oder verändert wurden (Eingabekontrolle);
    • Es kann nachvollzogen werden, wem Personendaten über Datenübertragungssysteme bekanntgegeben wurden (Bekanntgabekontrolle);
    • Datenschutzverletzungen können rasch erkannt (Erkennung) und durch geeignete Massnahmen gemindert oder beseitigt werden (Beseitigung).

Protokollierungs- und Bearbeitungsvorschriften

Private Verantwortliche und Auftragsbearbeiter, die automatisiert eine grosse Menge besonders schützenswerter Personendaten bearbeiten oder risikoreiches Profiling durchführen, müssen:

  • eine Protokolldatei führen, die mindestens das Speichern, Ändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten dokumentiert;
  • Bearbeitungsvorschriften erlassen, insbesondere zur innerbetrieblichen Organisation, zu Abläufen und Kontrollverfahren sowie zu den Sicherheitsmassnahmen.

Bundesorgane müssen bei jeder automatisierten Bearbeitung eine Protokolldatei führen. Zudem müssen sie Bearbeitungsvorschriften erlassen, wenn besonders schützenswerte Personendaten automatisiert bearbeitet werden oder Profiling durchgeführt wird.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat zu IT- und Informationssicherheit mehrere Leitfäden veröffentlicht, die unter folgendem Link abrufbar sind: https://www.edoeb.admin.ch/de/informatiksicherheit.

Für einen detaillierteren Überblick über Gesetze und Vorschriften im Bereich der Cybersicherheit in der Schweiz empfehlen wir Ihnen auch unseren Beitrag zum ICLG Cybersecurity Laws and Regulations Report 2025, den Sie hier einsehen können (in englischer Sprache).

Um mehr über Strategien zum Umgang mit und zur Vermeidung von Datenschutzverletzungen zu erfahren, lesen Sie auch unseren Beitrag zum Legal500 Data Protection & Cybersecurity Guide, den Sie hier finden (in englischer Sprache).

Vorschau auf Teil 14

In Teil 14 unserer Serie untersuchen wir, ob und unter welchen Umständen Datensicherheitsverletzungen den Schweizer Behörden gemeldet werden müssen.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Daniela Fabian
Daniela Fabian
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More