Article Available in German

This article is currently only available in German. We are working on translating our content to English.

Read in German

Compliance & Datenschutz

nDSG Compliance: Warum ein Penetrationstest jetzt Pflicht ist

· 10 Min. Lesezeit

Seit dem 1. September 2023 ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft – und mit ihm eine der weitreichendsten Veränderungen im Schweizer Datenschutzrecht seit über 30 Jahren. Für Unternehmen bedeutet das: Wer personenbezogene Daten verarbeitet, muss nachweislich angemessene technische und organisatorische Massnahmen zum Schutz dieser Daten umsetzen. Ein professioneller Penetrationstest ist dabei der effektivste Weg, diese Anforderung zu erfüllen und Compliance gegenüber Aufsichtsbehörden zu dokumentieren.

Kernaussage

Das nDSG schreibt in Art. 8 explizit vor, dass die Datensicherheit durch geeignete technische und organisatorische Massnahmen gewährleistet werden muss. Ein Penetrationstest ist der branchenweit anerkannte Standard, um die Wirksamkeit dieser Massnahmen objektiv zu prüfen.

Was ist das nDSG und warum betrifft es Ihr Unternehmen?

Das neue Datenschutzgesetz (nDSG, auch revDSG genannt) ersetzt das bisherige Bundesgesetz über den Datenschutz von 1992 vollständig. Es wurde gemeinsam mit der neuen Datenschutzverordnung (DSV) und der Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft gesetzt. Ziel des Gesetzgebers war es, den Schweizer Datenschutz an internationale Standards – insbesondere an die EU-Datenschutz-Grundverordnung (DSGVO) – anzugleichen und damit die Äquivalenzanerkennung der EU zu sichern.

Das nDSG gilt für alle privaten Personen und Bundesorgane, die Personendaten von natürlichen Personen bearbeiten. Im Gegensatz zum alten DSG schützt das nDSG nur noch natürliche Personen – juristische Personen fallen nicht mehr unter den Schutzbereich. Dafür wurden die Pflichten für datenbearbeitende Unternehmen erheblich verschärft.

Die wichtigsten Neuerungen im Überblick

  • Privacy by Design & Default: Datenschutz muss von Anfang an in Systeme und Prozesse integriert werden (Art. 7 nDSG).
  • Datensicherheit: Angemessene technische und organisatorische Massnahmen sind Pflicht (Art. 8 nDSG).
  • Meldepflicht: Verletzungen der Datensicherheit müssen dem EDOEB so rasch wie möglich gemeldet werden (Art. 24 nDSG).
  • Datenschutz-Folgenabschätzung: Bei hohen Risiken für Persönlichkeitsrechte ist eine DSFA vorgeschrieben (Art. 22 nDSG).
  • Verzeichnis der Bearbeitungstätigkeiten: Unternehmen mit mehr als 250 Mitarbeitenden müssen ein Verzeichnis führen (Art. 12 nDSG).
  • Persönliche Strafbarkeit: Bussen bis CHF 250'000 treffen die verantwortliche natürliche Person (Art. 60-66 nDSG).

Art. 8 nDSG: Die Pflicht zur Datensicherheit

Artikel 8 des nDSG bildet das Herzstück der technischen Compliance-Anforderungen. Er verpflichtet den Verantwortlichen und den Auftragsbearbeiter, durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten. Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

Die begleitende Datenschutzverordnung (DSV) konkretisiert in Art. 1-3, welche Schutzziele zu erreichen sind:

  1. Vertraulichkeit: Nur berechtigte Personen dürfen auf Personendaten zugreifen.
  2. Verfügbarkeit: Daten müssen verfügbar sein, wenn sie benötigt werden.
  3. Integrität: Daten müssen vor unberechtigter oder unbeabsichtigter Veränderung geschützt sein.
  4. Nachvollziehbarkeit: Die Bearbeitung muss nachvollziehbar und überprüfbar sein.

Die DSV verlangt ausdrücklich, dass der Verantwortliche die Massnahmen während der gesamten Bearbeitungsdauer überprüft (Art. 1 Abs. 5 DSV). Genau hier setzt der Penetrationstest an: Er ist die systematische Überprüfung, ob die implementierten Schutzmassnahmen tatsächlich wirksam sind.

Warum ein Penetrationstest der beste Nachweis für nDSG-Compliance ist

Ein Penetrationstest simuliert reale Angriffe auf Ihre IT-Infrastruktur, Anwendungen und Netzwerke. Dabei werden Schwachstellen identifiziert, bevor echte Angreifer sie ausnutzen können. Im Kontext des nDSG bietet ein Pentest mehrere entscheidende Vorteile:

5 Gründe, warum der Penetrationstest für nDSG-Compliance unverzichtbar ist

  1. 1. Objektiver Nachweis: Der Pentest-Bericht dokumentiert den tatsächlichen Sicherheitszustand Ihrer Systeme – nicht nur theoretische Konzepte. Im Falle einer Untersuchung durch den EDOEB ist dies ein belastbarer Compliance-Nachweis.
  2. 2. Risikobewertung: Penetrationstests liefern eine priorisierte Liste von Schwachstellen mit konkretem Risiko-Rating. So können Sie Ihre Ressourcen gezielt dort einsetzen, wo das grösste Risiko für Personendaten besteht.
  3. 3. Erfüllung der Überprüfungspflicht: Art. 1 Abs. 5 DSV verlangt die regelmässige Überprüfung der Sicherheitsmassnahmen. Ein jährlicher Penetrationstest erfüllt diese Anforderung nachweislich.
  4. 4. Verhinderung meldepflichtiger Vorfälle: Die Meldepflicht nach Art. 24 nDSG betrifft Verletzungen der Datensicherheit. Penetrationstests decken Schwachstellen auf, bevor sie zu meldepflichtigen Vorfällen führen.
  5. 5. Haftungsminimierung: Da die Bussen persönlich die verantwortliche natürliche Person treffen, schützt ein dokumentierter Pentest Geschäftsführung und IT-Verantwortliche vor persönlicher Haftung.

nDSG vs. DSGVO: Die wichtigsten Unterschiede

Obwohl das nDSG in vielen Bereichen an die EU-DSGVO angelehnt ist, bestehen wesentliche Unterschiede, die Schweizer Unternehmen kennen müssen – insbesondere jene, die sowohl in der Schweiz als auch in der EU tätig sind:

Kriterium nDSG (Schweiz) DSGVO (EU)
Schutzbereich Nur natürliche Personen Nur natürliche Personen
Bussgelder Bis CHF 250'000, gegen natürliche Personen Bis EUR 20 Mio. oder 4% des Jahresumsatzes, gegen Unternehmen
Datenschutzbeauftragter Freiwillig (Datenschutzberater) In vielen Fällen Pflicht
Aufsichtsbehörde EDOEB (eingeschränkte Befugnisse) Nationale Aufsichtsbehörden (weitreichende Befugnisse)
Einwilligung Stillschweigende Einwilligung möglich Ausdrückliche Einwilligung erforderlich
Meldepflicht bei Datenpannen "So rasch wie möglich" an EDOEB Innerhalb von 72 Stunden
Strafverfahren Strafrechtlich (Antragsdelikt) Verwaltungsrechtlich

Ein zentraler Unterschied: Während die DSGVO Unternehmen als juristische Person bestraft, richtet sich das nDSG mit Bussen bis CHF 250'000 direkt gegen die verantwortliche natürliche Person – in der Regel also gegen die Geschäftsführung oder den IT-Verantwortlichen. Das macht die persönliche Haftung zu einem ernsthaften Risiko, das nicht durch eine Unternehmensversicherung abgedeckt werden kann.

Wichtig für international tätige Unternehmen

Wenn Ihr Unternehmen sowohl Schweizer als auch EU-Daten verarbeitet, müssen Sie beide Regelwerke einhalten. Ein umfassender Penetrationstest deckt die Anforderungen beider Gesetze ab und ist sowohl für nDSG- als auch für DSGVO-Compliance anerkannt.

Konsequenzen bei Nichteinhaltung des nDSG

Die Strafbestimmungen des nDSG sind bewusst schärfer formuliert als im alten DSG. Art. 60-66 nDSG sehen folgende Sanktionen vor:

  • Bis CHF 250'000 Busse bei vorsätzlicher Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie Sorgfaltspflichten (Art. 60-63 nDSG).
  • Verletzung der beruflichen Schweigepflicht: Ebenfalls bis CHF 250'000 (Art. 62 nDSG).
  • Missachtung von Verfügungen: Bis CHF 250'000 bei Nichtbeachtung von Verfügungen des EDOEB oder der Gerichte (Art. 63 nDSG).
  • Subsidiäre Unternehmenshaftung: Das Unternehmen kann mit bis zu CHF 50'000 gebüsst werden, wenn die fehlbare Person nicht identifiziert werden kann und der Ermittlungsaufwand unverhältnismässig wäre (Art. 64 nDSG).

Laut einer Erhebung des Bundesamtes für Statistik hatten 2023 rund 36% der Schweizer Unternehmen mit mehr als 10 Mitarbeitenden mindestens einen IT-Sicherheitsvorfall erlebt, der zu einem Ausfall von IT-Diensten führte. Mit dem nDSG können solche Vorfälle nun auch strafrechtliche Konsequenzen haben, wenn eine ungenügend gesicherte IT-Infrastruktur die Ursache war.

So hilft RedTeam Partners bei der nDSG-Compliance

Als CREST-zertifiziertes Schweizer Cybersicherheitsunternehmen bieten wir massgeschneiderte Penetrationstests an, die gezielt auf die Anforderungen des nDSG abgestimmt sind. Unser Vorgehen:

  1. Scoping & Risikoanalyse: Wir identifizieren gemeinsam mit Ihnen die Systeme, die Personendaten verarbeiten, und bewerten deren Risikoprofil.
  2. Durchführung des Penetrationstests: Unsere OSCP-zertifizierten Tester prüfen Ihre Infrastruktur, Webanwendungen, APIs und Netzwerke auf Schwachstellen.
  3. Compliance-Bericht: Sie erhalten einen ausführlichen Bericht mit priorisierter Schwachstellenliste, Risikobewertung und konkreten Handlungsempfehlungen – direkt verwendbar als nDSG-Compliance-Nachweis.
  4. Remediation-Begleitung: Wir unterstützen Ihr Team bei der Behebung der identifizierten Schwachstellen und führen einen Re-Test durch.
  5. Jährlicher Zyklus: Wir empfehlen einen regelmässigen Prüfzyklus, um die laufende Compliance mit Art. 1 Abs. 5 DSV sicherzustellen.

Sie möchten wissen, wie es um die Sicherheit Ihrer Systeme steht? Buchen Sie eine kostenlose Bedrohungsanalyse und erhalten Sie eine erste Einschätzung durch unsere Experten.

Empfohlene Schritte für Ihre nDSG-Compliance

  1. 1. Dateninventar erstellen: Identifizieren Sie alle Systeme, die Personendaten verarbeiten.
  2. 2. Risikoanalyse durchführen: Bewerten Sie die Risiken für jedes System anhand der Sensitivität der Daten.
  3. 3. Penetrationstest beauftragen: Lassen Sie die technischen Massnahmen durch einen professionellen Penetrationstest überprüfen.
  4. 4. Schwachstellen beheben: Setzen Sie die Empfehlungen aus dem Pentest-Bericht um.
  5. 5. Dokumentation sicherstellen: Halten Sie alle Massnahmen und Ergebnisse für die Aufsichtsbehörde bereit.
  6. 6. Regelmässig wiederholen: Etablieren Sie einen jährlichen Prüfzyklus.

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Häufig gestellte Fragen (FAQ)

Ist ein Penetrationstest nach nDSG gesetzlich vorgeschrieben?

Das nDSG schreibt keinen Penetrationstest wörtlich vor. Art. 8 nDSG verlangt jedoch "geeignete technische und organisatorische Massnahmen" zur Gewährleistung der Datensicherheit, und Art. 1 Abs. 5 DSV fordert deren regelmässige Überprüfung. Ein Penetrationstest ist der international anerkannte Standard für eine solche Überprüfung und wird von Aufsichtsbehörden und Gerichten als Best Practice gewertet. Faktisch ist er damit nahezu unverzichtbar für den Compliance-Nachweis.

Wie oft sollte ein Penetrationstest durchgeführt werden?

Wir empfehlen mindestens einen jährlichen Penetrationstest. Bei wesentlichen Änderungen an der IT-Infrastruktur, nach der Einführung neuer Anwendungen oder nach einem Sicherheitsvorfall sollte ein zusätzlicher Test durchgeführt werden. Für Unternehmen in regulierten Branchen wie dem Finanzsektor können häufigere Tests erforderlich sein – die FINMA erwartet beispielsweise mindestens jährliche Tests.

Was kostet ein Penetrationstest für die nDSG-Compliance?

Die Kosten hängen vom Umfang und der Komplexität der zu prüfenden Systeme ab. Ein typischer Penetrationstest in der Schweiz kostet zwischen CHF 8'000 und CHF 25'000. Angesichts persönlicher Bussen von bis zu CHF 250'000 bei Nichteinhaltung des nDSG ist dies eine vergleichsweise geringe Investition in Ihre Compliance und persönliche Haftungsminimierung.

Gilt das nDSG auch für kleine Unternehmen?

Ja, das nDSG gilt grundsätzlich für alle Unternehmen, die Personendaten bearbeiten – unabhängig von ihrer Grösse. Lediglich bei der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten gibt es eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden, sofern keine umfangreiche Bearbeitung besonders schützenswerter Personendaten vorliegt. Die Pflicht zur Datensicherheit nach Art. 8 nDSG gilt jedoch ohne Ausnahme.

Was ist der Unterschied zwischen einem Penetrationstest und einem Vulnerability Scan?

Ein Vulnerability Scan ist ein automatisierter Scan, der bekannte Schwachstellen identifiziert. Ein Penetrationstest geht deutlich weiter: Erfahrene Sicherheitsexperten versuchen aktiv, in Ihre Systeme einzudringen, kombinieren Schwachstellen zu Angriffsketten und testen auch die Widerstandsfähigkeit gegen Social Engineering. Für die nDSG-Compliance ist ein Penetrationstest die deutlich stärkere Massnahme, da er die tatsächliche Sicherheit Ihrer Systeme unter realistischen Bedingungen prüft.

Ready to See What Attackers See?

Book a free 30-minute cyber threat analysis. We show you exactly what an attacker could do in your environment in the first 30 minutes, and how to stop them.

No obligation, no sales pitch, just actionable security insights

30-minute video call with a CREST-certified security expert

Personalised threat analysis based on your infrastructure

Book Free Analysis

Answer a few quick questions to get started

100% Free
Secure & Confidential