Datenschutz – Die 7 grössten Fehler bei der Umsetzung des DSG in Schweizer KMU

250’000 Franken Busse – und das trifft nicht das Unternehmen, sondern Sie persönlich. Seit Inkrafttreten des revidierten Datenschutzgesetzes (DSG) im September 2023 haften Geschäftsführer bei Verstössen direkt. Trotzdem machen viele Schweizer KMU immer wieder dieselben vermeidbaren Fehler – oft aus Unwissenheit, Zeitmangel oder falschen Annahmen. Dieser Beitrag zeigt die 7 grössten Stolperfallen und gibt praxisnahe Tipps, wie Sie diese vermeiden.

Warum Datenschutzfehler für KMU teuer werden können

DSG Fehler Schweizer KMU – Symbolbild Datenschutz

Das revidierte DSG bringt für alle Unternehmen, die in der Schweiz personenbezogene Daten bearbeiten, klare Pflichten mit sich. Verstösse können mit Bussen von bis zu 250’000 CHF geahndet werden – und anders als bei der DSGVO trifft es nicht die Firma, sondern die verantwortliche natürliche Person. Hinzu kommen Reputationsschäden, die gerade für kleinere Unternehmen existenzbedrohend sein können. Offizielle Informationen bietet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie der komplette Gesetzestext des revidierten DSG.

Die 7 grössten DSG-Fehler in Schweizer KMU

1. Keine oder veraltete Datenschutzerklärung

Viele KMU haben keine aktuelle, DSG-konforme Datenschutzerklärung auf ihrer Website. Diese muss klar beschreiben, welche Daten gesammelt werden, zu welchem Zweck, an wen sie weitergegeben werden und wie lange sie gespeichert bleiben.

Praxisbeispiel: Ein Sanitärbetrieb mit 12 Mitarbeitenden erwähnt in der Datenschutzerklärung nur Google Analytics – verschweigt aber, dass Kundendaten im CRM HubSpot gespeichert und Newsletter über Mailchimp versendet werden. Bei einer Prüfung wäre das ein klarer Verstoss gegen die Informationspflicht.

Umsetzung: Listen Sie alle Tools und Dienste auf, die personenbezogene Daten verarbeiten. Prüfen Sie die Erklärung mindestens jährlich – und bei jeder Einführung eines neuen Tools.

2. Fehlendes Bearbeitungsverzeichnis

Das DSG verlangt, dass Unternehmen ein Verzeichnis aller Datenbearbeitungen führen. Dieses Dokument muss intern vorliegen und jederzeit vorzeigbar sein – etwa bei einer Anfrage des EDÖB.

Praxisbeispiel: Ein Fitnessstudio speichert Mitgliederdaten in einer Cloud-Software, Vertragsunterlagen in Papierordnern und Fotos von Events auf dem privaten Handy des Inhabers. Niemand hat einen Überblick, wo welche Daten liegen. Bei einer Betroffenenanfrage („Welche Daten haben Sie über mich?») wird es hektisch.

So machen Sie es richtig: Erstellen Sie eine einfache Übersicht: Welche Datenkategorien? Welcher Zweck? Wo gespeichert? Wie lange? Eine Excel-Tabelle reicht für den Anfang.

3. Keine Einwilligung bei besonders schützenswerten Daten

Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen oder Angaben zur ethnischen Herkunft gelten als besonders schützenswert. Ihre Bearbeitung erfordert eine ausdrückliche Einwilligung.

Praxisbeispiel: Eine Physiotherapie-Praxis nutzt ein Online-Buchungstool, bei dem Patienten ihre Beschwerden angeben. Eine explizite Einwilligung zur Verarbeitung dieser Gesundheitsdaten wird nicht eingeholt – ein teurer und unnötiger Fehler.

So machen Sie es richtig: Implementieren Sie einen klaren Einwilligungsprozess, bevor Sie sensible Daten erfassen. Die Einwilligung muss freiwillig, informiert und dokumentiert sein.

4. Unklare Verantwortlichkeiten

In vielen KMU ist nicht geregelt, wer für Datenschutzfragen zuständig ist. Ohne klaren Ansprechpartner bleiben Betroffenenanfragen liegen oder werden falsch beantwortet – beides DSG-Verstösse.

Praxisbeispiel: Ein Kunde fordert Auskunft über seine gespeicherten Daten. Die E-Mail landet beim Empfang, wird an die Buchhaltung weitergeleitet, dann an die IT – nach drei Wochen ist die gesetzliche Frist von 30 Tagen fast abgelaufen, und niemand hat geantwortet.

So machen Sie es richtig: Benennen Sie eine verantwortliche Person, regeln Sie die Stellvertretung und veröffentlichen Sie einen Kontaktkanal (z.B. datenschutz@ihrefirma.ch).

5. Technische Sicherheitsmassnahmen fehlen

Ohne Verschlüsselung, Zugriffskontrollen oder regelmässige Backups steigt das Risiko von Datenpannen massiv. Und eine Datenpanne muss dem EDÖB gemeldet werden – inklusive der peinlichen Details, wie es dazu kam.

Praxisbeispiel: Ein Treuhandbüro speichert Mandantendaten auf einem lokalen Server ohne Verschlüsselung. Das Passwort «Treuhand2023» kennt das halbe Team. Nach einem Einbruch sind sensible Finanzdaten in fremden Händen.

So machen Sie es richtig: Führen Sie Multi-Faktor-Authentifizierung (MFA) ein, arbeiten Sie nach dem Prinzip der minimalen Rechte, halten Sie Software aktuell und testen Sie Ihre Backups regelmässig.

6. Keine Schulung der Mitarbeitenden

Datenschutz steht und fällt mit dem Verhalten der Menschen. Die beste Technik nützt nichts, wenn Mitarbeitende aus Unwissenheit Fehler machen.

Praxisbeispiel: Eine Mitarbeiterin verschickt eine Einladung an 200 Kunden – alle E-Mail-Adressen stehen sichtbar im CC-Feld statt im BCC. Ein klassischer, vermeidbarer Datenschutzvorfall.

So machen Sie es richtig: Führen Sie jährliche Kurzschulungen durch, simulieren Sie Phishing-Angriffe und erstellen Sie einfache Guidelines für den Alltag (E-Mail, Passwörter, Umgang mit Anfragen).

7. Fehlende Datenschutz-Folgenabschätzung (DSFA)

Bei risikoreichen Datenbearbeitungen – etwa Profiling, Videoüberwachung oder der Verarbeitung grosser Mengen sensibler Daten – ist eine DSFA gesetzlich vorgeschrieben.

Praxisbeispiel: Ein Start-up entwickelt eine App mit Gesichtserkennung für Zutrittskontrollen. Die Risiken für die Betroffenen werden nie systematisch geprüft. Bei einer Beschwerde fehlt jede Dokumentation.

So machen Sie es richtig: Prüfen Sie bei neuen Projekten, ob eine DSFA nötig ist. Dokumentieren Sie Ihre Überlegungen – auch wenn Sie zum Schluss kommen, dass keine DSFA erforderlich ist.

Checkliste: So vermeiden Sie teure Datenschutzfehler

DSG Fehler Schweizer KMU – Checkliste für KMU
  • Jährliche Datenschutz-Audits: Prozesse, Dokumente und IT-Systeme regelmässig prüfen, bevor der EDÖB es tut.
  • Klare Verantwortlichkeiten: Eine Person benennen, Stellvertretung regeln, Kontaktadresse veröffentlichen.
  • Mitarbeiterschulungen: Jährliche Auffrischungen mit Fokus auf Alltagssituationen.
  • Technische Grundlagen: Verschlüsselung, MFA, Zugriffskontrollen, Patch-Management und getestete Backups.
  • Dokumentation: Bearbeitungsverzeichnis führen, Einwilligungen archivieren, Entscheidungen festhalten.
  • Transparenz: Datenschutzerklärung aktuell halten und verständlich formulieren.

Was andere KMU erreicht haben

Ein IT-Dienstleister aus Bern führte eine systematische DSG-Analyse durch und reduzierte seine Kundendatenbank um 40 Prozent – alte, nicht mehr benötigte Daten wurden gelöscht. Das Resultat: weniger Risiko, tiefere Speicherkosten und ein klarerer Überblick.

Ein Architekturbüro im Raum Zürich implementierte ein einfaches Rollen- und Rechtekonzept. Seither hat es keine versehentlichen Freigaben sensibler Projektdaten mehr gegeben – und das Team arbeitet effizienter, weil jeder nur sieht, was er braucht.

Eine Zahnarztpraxis stellte ihren Einwilligungsprozess um: Patienten bestätigen bei der Online-Terminbuchung neu aktiv, dass ihre Gesundheitsdaten verarbeitet werden dürfen. Aufwand: ein halber Tag. Gewinn: Rechtssicherheit und professioneller Auftritt.

FAQ – Häufige Fragen zum DSG in KMU

Braucht jedes KMU einen Datenschutzbeauftragten?
Nein, das DSG schreibt keinen Datenschutzberater vor. Empfehlenswert ist aber eine klar benannte Ansprechperson – intern oder extern –, die Anfragen koordiniert und den Überblick behält.

Wie oft muss ich die Datenschutzerklärung aktualisieren?
Mindestens jährlich überprüfen. Sofort anpassen, wenn Sie neue Tools einführen, Daten für neue Zwecke nutzen oder Dienstleister wechseln.

Was sind besonders schützenswerte Personendaten?
Das DSG nennt explizit: Gesundheitsdaten, genetische und biometrische Daten, Daten über religiöse, weltanschauliche oder politische Ansichten, Daten über die ethnische Herkunft sowie Daten über verwaltungs- und strafrechtliche Verfolgungen.

Was passiert bei einem Verstoss?
Bussen bis 250’000 CHF gegen die verantwortliche Person, mögliche Reputationsschäden und in schweren Fällen zivilrechtliche Haftung. Besonders heikel: Die Busse trifft nicht die Firma, sondern Sie persönlich.

Fazit: Datenschutz muss kein Grossprojekt sein

Die meisten DSG-Fehler entstehen nicht aus bösem Willen, sondern aus Zeitmangel und fehlendem Know-how. Die gute Nachricht: Mit überschaubarem Aufwand lassen sich die grössten Risiken eliminieren. Wer klare Verantwortlichkeiten schafft, die Grundlagen dokumentiert und sein Team sensibilisiert, ist auf der sicheren Seite – und schafft Vertrauen bei Kunden und Partnern.

Sie möchten wissen, wo Ihr KMU steht? In einem kostenlosen Erstgespräch identifizieren wir gemeinsam Ihre grössten Risiken und zeigen konkrete nächste Schritte. Jetzt Termin vereinbaren – damit Datenschutz zum Wettbewerbsvorteil wird, nicht zur Belastung.

1536 1024 datenschutzkonform.ch
Teilen
vorheriger Beitrag
Cloud und Datenschutz: Worauf müssen Schweizer Unternehmen beim Einsatz von Cloud-Diensten achten?
nächster Beitrag
Datenschutz-Tool & DSMS: Wie Schweizer KMU Datenschutz mit Software systematisch umsetzen
Close

Datenschutzeinstellungen

Unsere Website verwendet Cookies und bindet externe Dienste ein, um Inhalte und Funktionen bereitzustellen, die Sicherheit zu gewährleisten und die Nutzung zu analysieren. Sie entscheiden selbst, welche Kategorien Sie zulassen möchten. Bestimmte Funktionen sind nur mit Ihrer Zustimmung verfügbar.

  • <strong>Technisch erforderlich:</strong> Für Leistung und Sicherheit verwenden wir Cloudflare (Content Delivery Network). Dieser Dienst ist notwendig, um unsere Website zuverlässig bereitzustellen.
    required

Zur vollständigen Datenschutzerklärung

Unsere Website verwendet Cookies und bindet externe Dienste (z. B. Google Maps, YouTube, Google Fonts) ein. Sie können selbst entscheiden, ob Sie diese zulassen möchten. Einige Funktionen könnten sonst eingeschränkt sein.