Neu
Zurück zum Blog
IT-Sicherheit

DSG-Compliance für KMU: Ein praktischer Leitfaden

25.11.2025
Creative Web Studio GmbH
Teilen:

Die Datenschutz-Grundverordnung (DSG) stellt KMU vor neue Herausforderungen. Hier ist ein praktischer Leitfaden zur Compliance.

Wichtigste DSG-Anforderungen:

1. Datenschutz-Grundsätze

Rechtmässigkeit, Fairness und Transparenz

  • Informieren Sie Betroffene über Datenverarbeitung
  • Nutzen Sie klare, verständliche Sprache
  • Dokumentieren Sie Rechtsgrundlagen

Zweckbindung

  • Definieren Sie konkrete Verarbeitungszwecke
  • Nutzen Sie Daten nur für angegebene Zwecke
  • Dokumentieren Sie Zwecke in Datenschutzerklärung

Datenminimierung

  • Erheben Sie nur notwendige Daten
  • Löschen Sie nicht mehr benötigte Daten
  • Überprüfen Sie Datenbestände regelmässig

Richtigkeit

  • Halten Sie Daten aktuell
  • Korrigieren Sie fehlerhafte Daten
  • Implementieren Sie Update-Prozesse

Speicherbegrenzung

  • Definieren Sie Aufbewahrungsfristen
  • Löschen Sie Daten nach Ablauf
  • Dokumentieren Sie Löschkonzepte

Integrität und Vertraulichkeit

  • Schützen Sie Daten vor unbefugtem Zugriff
  • Implementieren Sie technische Massnahmen
  • Schulen Sie Mitarbeiter

2. Rechte der Betroffenen

Auskunftsrecht (Art. 15 DSGVO)

  • Betroffene können Auskunft über ihre Daten verlangen
  • Antwortfrist: 30 Tage
  • Kostenlos (erste Anfrage)

Recht auf Berichtigung (Art. 16)

  • Korrektur fehlerhafter Daten
  • Vervollständigung unvollständiger Daten
  • Unverzügliche Umsetzung

Recht auf Löschung (Art. 17)

  • "Recht auf Vergessenwerden"
  • Ausnahmen: Gesetzliche Aufbewahrungspflichten
  • Dokumentation der Löschung

Recht auf Datenübertragbarkeit (Art. 20)

  • Daten in maschinenlesbarem Format
  • Übertragung an anderen Verantwortlichen
  • Nur für automatisiert verarbeitete Daten

Widerspruchsrecht (Art. 21)

  • Widerspruch gegen Verarbeitung
  • Besonders bei Direktwerbung
  • Prüfung der Rechtsgrundlage

3. Technische und organisatorische Massnahmen (TOM)

Zutrittskontrolle

  • Physischer Schutz von Räumen
  • Zugangskontrollen
  • Besuchermanagement

Zugangskontrolle

  • Benutzer-Authentifizierung
  • Multi-Factor Authentication
  • Passwort-Richtlinien

Zugriffskontrolle

  • Rollenbasierte Berechtigungen
  • Least Privilege Principle
  • Regelmässige Access Reviews

Weitergabekontrolle

  • Verschlüsselung bei Übertragung
  • Sichere Kommunikationskanäle
  • Protokollierung von Übertragungen

Eingabekontrolle

  • Nachvollziehbarkeit von Änderungen
  • Audit Logs
  • Versionierung

Auftragskontrolle

  • Auftragsverarbeitungsverträge (AVV)
  • Kontrolle von Dienstleistern
  • Dokumentation

Verfügbarkeitskontrolle

  • Backup-Strategien
  • Disaster Recovery
  • Business Continuity

Trennungskontrolle

  • Trennung verschiedener Datenbestände
  • Mandantenfähigkeit
  • Logische Separation

4. Datenschutz-Folgenabschätzung (DSFA)

Wann ist DSFA erforderlich?

  • Systematische Überwachung
  • Verarbeitung sensibler Daten
  • Profiling mit Rechtswirkung

DSFA-Prozess:

  1. Beschreibung der Verarbeitung
  2. Bewertung der Notwendigkeit
  3. Risikobewertung
  4. Massnahmen zur Risikominderung
  5. Dokumentation

5. Meldepflichten

Datenpannen-Meldung

  • Meldung an Aufsichtsbehörde: 72 Stunden
  • Benachrichtigung Betroffener: Unverzüglich (bei hohem Risiko)
  • Dokumentation aller Datenpannen

Was melden?

  • Art der Verletzung
  • Betroffene Datenkategorien
  • Wahrscheinliche Folgen
  • Ergriffene Massnahmen

6. Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV)

  • Schriftliche Vereinbarung erforderlich
  • Pflichtinhalte gemäss Art. 28 DSGVO
  • Regelmässige Überprüfung

Pflichten des Auftragsverarbeiters:

  • Weisungsgebundenheit
  • Vertraulichkeit
  • Technische und organisatorische Massnahmen
  • Unterstützung bei Betroffenenrechten

Beispiele für Auftragsverarbeiter:

  • Cloud-Provider
  • IT-Dienstleister
  • Marketing-Agenturen
  • Payroll-Services

7. Internationale Datentransfers

Drittland-Übermittlung

  • Angemessenheitsbeschluss prüfen
  • Standardvertragsklauseln (SCC)
  • Binding Corporate Rules (BCR)

Schweiz - EU

  • Schweiz hat Angemessenheitsbeschluss
  • Aber: Prüfung bei Weiterübermittlung
  • Dokumentation erforderlich

USA

  • EU-US Data Privacy Framework
  • Privacy Shield 2.0
  • Zusätzliche Garantien

Praktische Umsetzung für KMU

Schritt 1: Bestandsaufnahme (Woche 1-2)

Datenbestandsaufnahme

  • Welche Daten werden verarbeitet?
  • Wo werden Daten gespeichert?
  • Wer hat Zugriff?
  • Wie lange werden Daten gespeichert?

Verzeichnis von Verarbeitungstätigkeiten

  • Pflicht für Unternehmen mit >250 Mitarbeitern
  • Best Practice für alle KMU
  • Template nutzen

Schritt 2: Gap-Analyse (Woche 3-4)

Compliance-Check

  • Rechtsgrundlagen vorhanden?
  • Datenschutzerklärung aktuell?
  • TOM implementiert?
  • AVV abgeschlossen?

Risikobewertung

  • Welche Risiken bestehen?
  • Priorisierung nach Schwere
  • Massnahmenplan erstellen

Schritt 3: Massnahmen (Monat 2-3)

Quick Wins

  • Datenschutzerklärung aktualisieren
  • Cookie-Banner implementieren
  • AVV mit Dienstleistern abschliessen
  • Mitarbeiter schulen

Mittelfristig

  • TOM implementieren
  • Prozesse für Betroffenenrechte
  • Datenpannen-Prozess
  • DSFA durchführen

Langfristig

  • Privacy by Design
  • Regelmässige Audits
  • Kontinuierliche Verbesserung
  • Zertifizierung (optional)

Schritt 4: Dokumentation (laufend)

Pflichtdokumente

  • Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutzerklärung
  • Auftragsverarbeitungsverträge
  • TOM-Dokumentation
  • DSFA (falls erforderlich)
  • Datenpannen-Register

Schritt 5: Schulung (laufend)

Mitarbeiter-Schulung

  • Grundlagen Datenschutz
  • Umgang mit personenbezogenen Daten
  • Erkennung von Datenpannen
  • Prozesse und Ansprechpartner

Häufigkeit

  • Onboarding neuer Mitarbeiter
  • Jährliche Auffrischung
  • Bei Änderungen

Kosten

DSG-Compliance für 50-Mitarbeiter-KMU:

  • Externe Beratung: CHF 5'000-15'000 (einmalig)
  • Datenschutzbeauftragter (extern): CHF 3'000-8'000/Jahr
  • Software-Tools: CHF 2'000-5'000/Jahr
  • Schulungen: CHF 1'000-3'000/Jahr
  • Technische Massnahmen: CHF 5'000-15'000 (einmalig)
  • Gesamt: CHF 16'000-46'000 im ersten Jahr

Kosten bei Nicht-Compliance:

  • Bussgelder: Bis zu CHF 250'000 (Schweiz) / 4% Jahresumsatz (EU)
  • Reputationsschaden: Unbezifferbar
  • Rechtliche Auseinandersetzungen: CHF 50'000+

Häufige Fehler

  1. Keine Rechtsgrundlage: Verarbeitung ohne gültige Rechtsgrundlage
  2. Veraltete Datenschutzerklärung: Nicht aktualisiert
  3. Fehlende AVV: Keine Verträge mit Dienstleistern
  4. Keine TOM: Unzureichende Sicherheitsmassnahmen
  5. Keine Prozesse: Keine Prozesse für Betroffenenrechte

Tools und Ressourcen

Datenschutz-Management-Software

  • OneTrust
  • TrustArc
  • DataGuard
  • Secjur (Schweiz)

Templates und Muster

  • Eidgenössischer Datenschutzbeauftragter (EDÖB)
  • Handelskammer
  • Branchenverbände

Schulungen

  • Online-Kurse
  • Webinare
  • Präsenz-Schulungen
  • E-Learning-Plattformen

Fazit

DSG-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mit der richtigen Strategie und Unterstützung ist Compliance in 3-6 Monaten erreichbar.

Kontaktieren Sie uns für eine kostenlose DSG-Compliance-Beratung und erfahren Sie, wie wir Sie bei der Umsetzung unterstützen können.

Artikel teilen:

Haben Sie Fragen?

Kontaktieren Sie uns für eine kostenlose Beratung und erfahren Sie, wie wir Ihnen helfen können.

Ähnliche Artikel

MITRE ATT&CK Taktiken-Grid mit KQL-Terminal und Lupe – proaktive Bedrohungssuche in Microsoft Sentinel
IT-Sicherheit

Proaktive Bedrohungssuche mit KQL und MITRE ATT&CK: 5 hochwertige Sentinel-Abfragen für Ihr SOC

Reaktive Sicherheit reicht nicht mehr aus. Dieser Leitfaden zeigt, wie Sie mit KQL und dem MITRE ATT&CK Framework proaktiv nach Bedrohungen in Microsoft Sentinel suchen – mit 5 praxiserprobten Hunting-Abfragen für Identity, Endpoints und Cloud.

Weiterlesen
Gebrochene Festplatte mit Daten-Wiederherstellungsströmen – Datenverlust Schweiz
IT-Sicherheit

Was tun im Falle eines Datenverlustes? Sofortmassnahmen, nDSG-Pflichten und Prävention für Schweizer KMU

Datenverlust trifft Unternehmen jeder Grösse – oft ohne Vorwarnung. Dieser Leitfaden zeigt Schweizer KMU, welche Sofortmassnahmen im Ernstfall entscheidend sind, was das nDSG vorschreibt und wie Creative Web Studio GmbH Sie langfristig schützt.

Weiterlesen
LLM-Sicherheit: Neuronales Netz mit Warnsymbolen und gebrochenem Schloss – Risiken und Absicherung von KI-Systemen
IT-Sicherheit

LLM-Sicherheit: Risiken kennen, gezielt absichern

Prompt Injection, Data Poisoning, Excessive Agency: LLM-Integrationen sind ein wachsendes Angriffsziel. Erfahren Sie, wie Sie die OWASP Top 10 für LLMs 2025 umsetzen und wirksame Guardrails, Monitoring und Logging implementieren.

Weiterlesen