Datenschutz für Schweizer KMU 2026: Buchhaltungsdaten sicher speichern nach nDSG
Lena Müller
Das neue Schweizer Datenschutzgesetz (nDSG) gilt seit 2023 – aber viele KMU erfüllen die Anforderungen noch nicht. Was du jetzt konkret umsetzen musst.
Reporting by Lena Müller Team, SwissFinanceAI Redaktion
Bis zu CHF 250'000 Busse, und zwar persönlich
Seit dem 1. September 2023 ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Die wichtigste Neuerung für CFOs und Geschäftsführer: Bei Verstössen haften nicht mehr Unternehmen als juristische Personen, sondern die verantwortlichen Einzelpersonen. Die maximale Busse beträgt CHF 250'000. Verschlüsselung, die unter dem alten DSG lediglich empfohlen war, ist nun implizit vorausgesetzt (Art. 8 nDSG). Für Unternehmen, die Buchhaltungs- und Finanzdaten verarbeiten, bedeutet das: Handlungsbedarf.
Altes DSG gegen neues nDSG: Die Verschärfungen im Detail
Die Revision hat das Datenschutzrecht in der Schweiz grundlegend verändert. Ein Vergleich der wichtigsten Punkte:
| Aspekt | Altes DSG (bis 2023) | Neues nDSG (ab 2023) | |--------|---------------------|---------------------| | Verschlüsselungspflicht | Empfohlen | Implizit vorausgesetzt | | Meldepflicht bei Datenpanne | Nein | Ja, binnen 72 Stunden | | Maximale Busse | CHF 10'000 | CHF 250'000 | | Persönliche Haftung | Nein | Ja (Geschäftsführer, CFO) |
Die persönliche Haftung ist der eigentliche Paradigmenwechsel. Unter dem alten Gesetz war Datenschutz eine Unternehmensangelegenheit. Jetzt steht der Name einer konkreten Person auf dem Bussenentscheid. Für KMU-Geschäftsführer, die gleichzeitig als Datenschutzverantwortliche fungieren, ist das Risiko besonders hoch.
Gespeicherte Daten verschlüsseln: Standards und Werkzeuge
Finanzdaten, die auf Festplatten, in Datenbanken oder in Cloud-Speichern liegen, müssen nach dem nDSG verschlüsselt sein. Zwei Standards haben sich als Branchenstandard etabliert: AES-256 für symmetrische Verschlüsselung und RSA-2048 für asymmetrische Verfahren.
In der Praxis gibt es zwei Ansätze, die sich idealerweise ergänzen.
Festplattenverschlüsselung schützt alle Daten auf einem Gerät. Windows Pro enthält BitLocker, macOS bietet FileVault, Linux-Systeme nutzen LUKS. Alle drei Lösungen sind kostenlos und schützen vor dem häufigsten physischen Risiko: dem gestohlenen oder verlorenen Laptop. Ein unverschlüsseltes Gerät, das in falsche Hände gerät, ist unter dem nDSG nicht bloss ein Ärgernis, sondern ein meldepflichtiger Vorfall mit möglichen Bussfolgen.
Datenbankverschlüsselung sichert die Daten dort, wo sie strukturiert vorliegen. PostgreSQL bietet Transparent Data Encryption (TDE), MySQL die InnoDB Encryption. Buchhaltungssoftware wie Bexio und Abacus unterstützen seit 2024 native Verschlüsselung.
Der sicherste Ansatz kombiniert beide Ebenen. Fällt eine Schutzschicht aus, bleibt die zweite bestehen. In der Sicherheitstechnik heisst dieses Prinzip Defense in Depth.
Daten bei der Übertragung schützen
Verschlüsselung endet nicht auf der Festplatte. Jede Datenübertragung, ob zwischen Browser und Server, zwischen ERP-System und Bank oder per E-Mail, muss ebenfalls geschützt sein.
Für Websites und Webanwendungen ist TLS 1.3 der aktuelle Standard. Ein SSL-Zertifikat über Let's Encrypt ist kostenlos. HTTPS muss erzwungen werden, sodass unverschlüsselte HTTP-Verbindungen automatisch umgeleitet werden.
Für APIs gilt: Ausschliesslich HTTPS-Endpoints verwenden. API-Keys gehören in HTTP-Header, niemals in die URL. Eine URL mit eingebettetem API-Key erscheint in Server-Logs, Browser-Historien und Proxy-Protokollen, und ist damit de facto öffentlich.
Für E-Mail empfiehlt sich S/MIME-Verschlüsselung. Allerdings ist die Verbreitung im KMU-Umfeld gering. Die pragmatischere Alternative: Sensible Dokumente über verschlüsselte Datei-Sharing-Dienste austauschen statt als E-Mail-Anhang zu versenden.
Für Dateitransfers ist SFTP Pflicht. Unverschlüsseltes FTP hat in einer nDSG-konformen Umgebung nichts mehr verloren.
Backups als blinder Fleck
Viele Unternehmen verschlüsseln ihre produktiven Systeme sorgfältig und vergessen dabei die Backups. Ein unverschlüsseltes Backup auf einer externen Festplatte oder in einem Cloud-Speicher enthält exakt die gleichen sensiblen Daten wie das Originalsystem, nur ohne Zugriffsschutz.
Backup-Tools wie Veeam und Acronis bieten integrierte AES-256-Verschlüsselung. Bexio verschlüsselt Cloud-Backups standardmässig. Für zusätzliche Offline-Backups (etwa auf externen Festplatten oder NAS-Systemen) eignet sich VeraCrypt als kostenlose, quelloffene Verschlüsselungslösung.
Die Grundregel: Jedes Backup, das das Unternehmensgebäude verlassen könnte, ob physisch oder über ein Netzwerk, muss verschlüsselt sein.
Schlüsselverwaltung: Das schwächste Glied
Die beste Verschlüsselung ist wertlos, wenn der Schlüssel schlecht verwahrt wird. Drei Fehler sind in der Praxis besonders häufig:
Schlüssel im Quellcode: GitHub-Repositories sind häufiger öffentlich als beabsichtigt. Ein versehentlich gepushter Encryption Key ist ein schwerwiegender Sicherheitsvorfall.
Schlüssel in der Datenbank: Wenn die Datenbank kompromittiert wird, hat der Angreifer sowohl die verschlüsselten Daten als auch den Schlüssel.
Schlüssel auf einem Post-it am Bildschirm: Klingt absurd, kommt aber vor, und zwar nicht nur in kleinen Betrieben.
Sichere Alternativen:
Hardware Security Modules (HSM) sind dedizierte Geräte, die Schlüssel in manipulationsgeschützter Hardware speichern. Die Kosten liegen bei CHF 5'000 bis 20'000 und sind damit vor allem für grössere Unternehmen und regulierte Branchen sinnvoll.
Cloud-basierte Key Management Services (KMS) bieten ein gutes Verhältnis von Sicherheit und Kosten. AWS KMS kostet CHF 1 pro Schlüssel und Monat, Azure Key Vault CHF 2, Google Cloud KMS ebenfalls CHF 1. Für ein KMU mit zehn Schlüsseln sind das CHF 120 im Jahr.
Passwort-Manager wie 1Password oder Bitwarden eignen sich für kleinere Unternehmen, die keine Cloud-Infrastruktur betreiben. Sie bieten nicht das gleiche Sicherheitsniveau wie ein HSM, sind aber deutlich besser als jede manuelle Lösung.
Die 72-Stunden-Meldepflicht bei Datenpannen
Das nDSG hat eine Meldepflicht eingeführt, die dem europäischen Modell folgt: Bei einer Datenpanne muss der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) innerhalb von 72 Stunden informiert werden.
Als Datenpanne gelten unter anderem: der Diebstahl eines Laptops mit unverschlüsselten Kundendaten, ein Ransomware-Angriff mit Veröffentlichung von Daten oder ein unbefugter Zugriff auf das Buchhaltungssystem.
Die Meldung ist insbesondere dann Pflicht, wenn mehr als 100 Personen betroffen sind, wenn es sich um besonders schützenswerte Daten handelt (Gesundheitsdaten, Strafdaten, religiöse Überzeugungen) oder wenn ein hohes Risiko für die Betroffenen besteht, etwa bei drohendem Identitätsdiebstahl.
Die Meldung erfolgt über das EDÖB-Portal unter https://www.edoeb.admin.ch/meldung. Erforderliche Angaben umfassen: die Art der Datenpanne, die Anzahl betroffener Personen, die Art der betroffenen Daten, bereits ergriffene Sofortmassnahmen und geplante Präventivmassnahmen.
Wer die Meldung unterlässt oder die 72-Stunden-Frist verstreichen lässt, riskiert eine Busse von bis zu CHF 250'000.
Sieben Punkte für die Compliance-Prüfung
Eine vollständige nDSG-Konformität im Bereich Datenverschlüsselung umfasst folgende Punkte:
- Festplattenverschlüsselung auf allen Geräten aktiviert (BitLocker, FileVault oder LUKS)
- HTTPS auf allen Websites und API-Endpoints erzwungen
- Backup-Verschlüsselung implementiert (AES-256 über Veeam, Acronis oder vergleichbare Tools)
- Schlüsselverwaltung über Cloud KMS oder HSM eingerichtet
- Meldeprozess für Datenschutzverletzungen dokumentiert und intern kommuniziert
- Mitarbeiterschulung zum Umgang mit sensiblen Daten durchgeführt und dokumentiert
- Audit Logs aktiviert, die nachvollziehbar machen, wer wann auf welche Daten zugegriffen hat
Kosten und wirtschaftliche Betrachtung
Die Kosten für eine vollständige Verschlüsselungsinfrastruktur sind für die meisten KMU überschaubar. Eine Beispielrechnung für ein Unternehmen mit zehn Mitarbeitenden:
| Massnahme | Jährliche Kosten | |---|---| | BitLocker/FileVault | CHF 0 (in Betriebssystem enthalten) | | SSL-Zertifikat (Let's Encrypt) | CHF 0 | | Cloud KMS (10 Schlüssel) | CHF 120 | | Veeam Backup mit Verschlüsselung | CHF 1'000 | | Gesamt | CHF 1'120 pro Jahr |
Diesen CHF 1'120 steht eine potenzielle Busse von bis zu CHF 250'000 gegenüber. Das Verhältnis ist eindeutig. Doch die wirtschaftliche Betrachtung greift zu kurz, wenn sie nur auf vermiedene Strafen abstellt. Ein Datenschutzvorfall verursacht Reputationsschäden, Kundenabwanderung und internen Aufwand für die Krisenbewältigung, die in der Summe oft ein Vielfaches der Busse ausmachen.
Die Investition in nDSG-konforme Verschlüsselung ist daher weniger eine Frage der Rendite als eine Grundvoraussetzung für den Geschäftsbetrieb.
Haftungsausschluss: Dieser Artikel dient ausschliesslich zu Informationszwecken und stellt keine Finanzberatung dar. Konsultieren Sie einen zugelassenen Finanzberater, bevor Sie Anlageentscheide treffen.
Weiterführende Artikel
Haftungsausschluss
Dieser Artikel dient ausschliesslich zu Informationszwecken und stellt keine Finanz-, Rechts- oder Steuerberatung dar. SwissFinanceAI ist kein lizenzierter Finanzdienstleister. Konsultieren Sie immer eine qualifizierte Fachperson, bevor Sie finanzielle Entscheidungen treffen.
Schweizer Märkte & Makroökonomie
Lena Müller analysiert täglich die Schweizer und europäischen Finanzmärkte — von SMI-Bewegungen über SNB-Entscheide bis zu geopolitischen Risiken. Ihr Fokus liegt auf datengestützter Analyse, die Schweizer KMU-Finanzprofis direkt verwertbare Einblicke liefert.
KI-redaktioneller Agent, spezialisiert auf Schweizer Finanzmarktanalyse. Erstellt durch das SwissFinanceAI-Redaktionssystem.
Schweizer KI & Finanzen — direkt ins Postfach
Wöchentliche Zusammenfassung der wichtigsten Nachrichten für Schweizer Finanzprofis. Kein Spam.
Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu. Jederzeit abmeldbar.
