Das neue Schweizer Datenschutzgesetz: Leitfaden für KMU-Compliance und IT-Sicherheit

Das neue Schweizer Datenschutzgesetz (revidiertes DSG; seit 1. September 2023 in Kraft) stellt viele KMU vor praktische Umsetzungsfragen: Welche Pflichten müssen wir organisatorisch regeln? Welche technischen Massnahmen sind „angemessen“? Und wie reagieren wir im Ernstfall schnell genug?

Parallel dazu nimmt der Cyberdruck zu: Laut Cyberstudie 2024 schätzen 68 % der befragten IT-Dienstleister das Risiko für Cyberangriffe auf Schweizer KMU als gross oder sehr gross ein.

Gerade deshalb lohnt sich ein Ansatz, der Datenschutz und IT-Sicherheit zusammen denkt – inklusive Backup- und Wiederherstellbarkeit.

Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung, bietet aber eine praxisnahe Orientierung für KMU.

Grundlagen des neuen DSG für KMU

Der Personenbegriff: Schutz für natürliche Personen

Das neue DSG betrifft Personendaten natürlicher Personen – also z. B. Daten von Kundinnen/Kunden, Mitarbeitenden, Bewerbenden, Ansprechpartnern bei Geschäftspartnern. Daten juristischer Personen sind nicht mehr vom DSG erfasst.
Für KMU ändert das nichts am Kern: In praktisch jedem KMU werden täglich Personendaten natürlicher Personen bearbeitet.

Privacy by Design/Default: Datenschutz technisch mitdenken

Datenschutz muss bereits bei Auswahl und Konfiguration von Systemen berücksichtigt werden:

• Datensparsamkeit
• Berechtigungen
• Protokollierung
• Sichere Defaults
• Lösch- und Aufbewahrungslogik

Informationspflichten & Betroffenenrechte

KMU müssen nachvollziehbar informieren, welche Daten wofür bearbeitet werden, und Prozesse für Auskunft, Berichtigung oder Löschung definieren – nicht erst, wenn die erste Anfrage eintrifft.

Meldepflicht bei Datenschutzverletzungen: keine 72-Stunden-Regel

Wichtig: Die 72-Stunden-Frist ist eine EU-DSGVO-Regel. Im Schweizer DSG gilt: Der Verantwortliche meldet dem EDÖB eine Verletzung der Datensicherheit „so rasch als möglich“, wenn diese voraussichtlich zu einem hohen Risiko für Persönlichkeit oder Grundrechte der betroffenen Person führt. Auftragsbearbeiter müssen den Verantwortlichen über jede Verletzung informieren.

Praxis-Konsequenz für KMU:
Wenn Logs fehlen, Zuständigkeiten unklar sind oder Restore-Prozesse ungetestet, wird die Risikoabwägung und Kommunikation im Incident unnötig schwierig.

Sanktionen: korrekt einordnen

Das DSG sieht Bussen bis CHF 250’000 vor – zentral ist aber die Systematik: Die Strafnormen sprechen ausdrücklich von „privaten Personen“ und setzen typischerweise Vorsatz voraus (z. B. bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten).
Für KMU bedeutet das: klare Verantwortlichkeiten, dokumentierte Prozesse und saubere Umsetzung reduzieren nicht nur Risiko, sondern auch persönlichen Stress im Ernstfall.

Technische Herausforderungen: Datenschutz braucht IT-Sicherheit

Datenschutz und IT-Sicherheit sind in der Praxis eng gekoppelt. Typische Baustellen bei KMU:

• Zugriffskontrolle: Rollenbasiert, Least Privilege, Admin-Konten besonders schützen
• Patch- & Schwachstellenmanagement: Sichtbarkeit über veraltete Systeme/Software und konsequente Updates
• E-Mail- & Endpoint-Schutz: Malware/Phishing verhindern und Vorfälle schneller erkennen
• Verschlüsselung: wo sinnvoll „at rest“ und „in transit“
• Wiederherstellbarkeit: Backups sind nur wertvoll, wenn Restore schnell und zuverlässig funktioniert

Backup-Strategien & Datenwiederherstellung im DSG-Kontext

Backups sind ein Kernbaustein, um Betriebsunterbrüche und Datenverlust nach Vorfällen zu begrenzen. Für KMU sind besonders wichtig:

• Granulare Wiederherstellung, damit im Incident nicht „alles oder nichts“ gilt
• Aufbewahrung/Retention (inkl. nachvollziehbarer Lösch- und Archivierungslogik)
• Schutz vor Manipulation/Ransomware (z. B. Immutable Storage)
• Regelmässige Restore-Tests

DSG-konforme Backup-Architektur: was technisch zählt

Eine praxistaugliche Architektur umfasst typischerweise:

1. Klare Retention Policies (Aufbewahrungsfristen pro Datenkategorie/Workload)
2. Verschlüsselung (inkl. Schlüsselkonzept)
3. Immutable/Write-Once-Mechanismen für kritische Backup-Sets
4. Restore-Prozesse, die unter Zeitdruck funktionieren (RTO/RPO real gemessen)

Lösungen passend zur KMU-Praxis

Swiss S3 Storage als Backup-Ziel & Langzeitarchiv

Swiss S3 Storage bietet u. a. S3 Object Lock (Immutable Storage), kostenfreien Ingress/Egress-Traffic und individuelle Retention Policies/Periods; zudem wird die Schweizer Datenhaltung betont.

Backup für Microsoft 365

Unser M365 Backup ist agentenlos und nennt als Features u. a. AES-256-Verschlüsselung, eine „Restore Operator“-Rolle (Restores durchführen ohne in die Daten einzusehen), anpassbares Dashboard, Reportings sowie konkrete Restore-Optionen (Restore in Quelle, Restore in neue Ziele, Download über Webbrowser).

Cyber Protection & Managed Cyber Protection

Cyber Protection beschreibt u. a. BitDefender®-Engine, Vulnerability Assessment, Patch Management, Remote Access, URL-Filtering und Device Management.
Die Managed Cyber Protection hebt hervor, dass sich Expert:innen fortlaufend um die Sicherheit der IT-Umgebung kümmern – passend für KMU, die Security nicht dauerhaft selbst pflegen können.

Praktischer Schritt-für-Schritt-Plan für KMU

Phase 1 (Wochen 1–4): Überblick & Risiko

• Daten-/Systeminventar (inkl. Cloud, M365, Endpoints, Backups)
• Risiko-Top-5 definieren (z. B. E-Mail, Admin-Zugriffe, ungetestete Restores)
• Incident-Rollen & Kommunikationswege festlegen

Phase 2 (Wochen 5–12): Technische Grundlagen

• Zugriffskontrolle/MFA, Logging-Basics
• Patch-/Vulnerability-Routine etablieren
• Backup/Restore modernisieren (Retention, Verschlüsselung, Restore-Tests)

Phase 3 (Wochen 13–20): Prozesse & Doku

• Prozesse für Auskunft/Löschung/Incident umsetzen
• Schulungen & klare Richtlinien (Phishing, Passwörter, Geräte)

Phase 4 (Wochen 21–24): Test & Verbesserung

• Restore-Übungen (Datei/M365/Server – je nach Setup)
• Incident-Übung (Tabletop)
• Massnahmen nachschärfen (kontinuierliche Verbesserung)

Fazit

Das neue DSG ist für KMU ein Umsetzungsprojekt: Prozesse, Technik und Verantwortlichkeiten müssen zusammenpassen. Wer Incident-Reaktion und Wiederherstellbarkeit (Backups + Restore) ernst nimmt, reduziert sowohl Geschäftsrisiko als auch Compliance-Stress deutlich.

Wenn Sie möchten: Backup ONE kann gemeinsam mit Ihnen die Ist-Situation prüfen (Backup-Ziel, Retention, Restore-Fähigkeit, Schutz vor Ransomware) und eine pragmatische Roadmap für Ihre KMU-Umgebung ableiten.