Datenschutzrechtliche Relevanz der Datensicherheit im besonderen Hinblick auf die rechtlichen Anforderungen an technische und organisatorische Massnahmen

25.06.2025

Die Themen Datensicherheit und Cybersicherheit sind von höchster Aktualität und erfordern bei der Bearbeitung von Daten – insbesondere Personendaten – fortlaufende Aufmerksamkeit. Entscheidend ist dabei, dass technische Umsetzungsmassnahmen stets durch die rechtlichen Rahmenbedingungen geprägt sind. Im Folgenden werden die datenschutzrechtlichen Aspekte der Datensicherheit dargestellt, wobei der Fokus auf den Anforderungen des Schweizer Datenschutzrechts (DSG¹ und DSV²) liegt. 

Datenschutzrechtliche Rahmenbedingungen der Datensicherheit

Das Schweizer Datenschutzgesetz (DSG) findet sachlich Anwendung, wenn Personendaten natürlicher Personen bearbeitet werden. Personendaten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Mit anderen Worten: Daten gelten als personenbezogen, wenn sie einer identifizierten oder identifizierbaren natürlichen Person zugeordnet sind. (Seit der Revision des DSG werden nur noch Daten über natürliche – nicht mehr juristische – Personen erfasst.)

Im Datenschutzgesetz selbst ist die Datensicherheit in Art. 8 DSG geregelt. Gemäss Art. 8 DSG müssen Verantwortliche und Auftragsbearbeitende durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit gewährleisten. Dabei handelt es sich um einen risikobasierten Ansatz, die Schutzmassnahmen sollen dem Schutzbedarf der verarbeiteten Personendaten entsprechen. Zudem müssen diese Massnahmen Verletzungen der Datensicherheit (d.h. Datenschutzverletzungen, auch «Data Breaches») vermeiden helfen. Das Gesetz beauftragt den Bundesrat, Mindestanforderungen an die Datensicherheit festzulegen (Art. 8 Abs. 3 DSG). Zur Konkretisierung dieser Vorgaben hat der Bundesrat die Datenschutzverordnung (DSV) erlassen, deren 1. Abschnitt (Art. 1–6 DSV) sich ausführlich den Anforderungen an die Datensicherheit widmet. 

Technische und Organisatorische Massnahmen nach der Datenschutzverordnung

Die Datenschutzverordnung (DSV) definiert in Art. 3 DSV einen Katalog technischer und organisatorischer Massnahmen (TOMs), der die allgemeinen Vorgaben aus Art. 8 DSG näher konkretisiert. Diese Bestimmung orientiert sich an vier zentralen Schutzzielen (vgl. Art. 2 DSV): Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit. Für jedes dieser Ziele listet Art. 3 DSV beispielhafte Massnahmen auf. Wichtig ist, dass es sich um risikobasierte Vorgaben handelt, starre Mindestvorgaben werden damit nicht festgelegt. Stattdessen müssen Verantwortliche und Auftragsbearbeiter aus diesem Massnahmenkatalog die passenden Vorkehrungen auswählen und auf die konkreten Verhältnisse zuschneiden, um den jeweiligen Schutzbedarf zu decken.³

Nachfolgend ein Überblick der technischen und organisatorischen Massnahmen gemäss Art. 3 DSV, gegliedert nach den Schutzzielen:

• Vertraulichkeit gewährleisten (Art. 3 Abs. 1 DSV): Um die Vertraulichkeit von Personendaten sicherzustellen, müssen Zugang und Zugriff strikt auf befugte Personen beschränkt werden. Art. 3 Abs. 1 DSV nennt hierfür insbesondere:

  • Zugriffskontrolle: Nur berechtigte Personen dürfen auf Personendaten zugreifen, und auch dann nur auf diejenigen Daten, die sie für ihre Aufgabe benötigen. Unbefugten ist der Zugriff auf Daten konsequent zu verwehren.

  • Zugangskontrolle: Es ist sicherzustellen, dass nur Berechtigte Zugang zu den Räumlichkeiten oder Anlagen haben, in denen Personendaten bearbeitet werden. Physische Zugänge (etwa zu Serverräumen, Archiven) sind also zu schützen.

  • Benutzerkontrolle: Unbefugte Personen dürfen keine automatisierten Datenbearbeitungssysteme nutzen können. Mit anderen Worten: Nur verifizierte Benutzer mit entsprechenden Rechten sollen IT-Systeme und Datenübertragungseinrichtungen bedienen dürfen, um Missbrauch auszuschliessen. Wesentlich ist insgesamt, dass ausschliesslich berechtigte Personen Zugriff auf die Daten erhalten, sowohl digital als auch physisch.

• Verfügbarkeit und Integrität gewährleisten (Art. 3 Abs. 2 DSV): Die Verfügbarkeit der Personendaten sowie deren Integrität (Unversehrtheit) müssen durch geeignete Massnahmen dauerhaft sichergestellt werden. Art. 3 Abs. 2 DSV führt dazu sechs konkrete Punkte an:

  • Datenträgerkontrolle: Unbefugte Personen dürfen Datenträger (z.B. externe Festplatten, USB-Sticks, Backups) nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können. Datenträger mit Personendaten sind also vor unautorisiertem Zugriff zu schützen (etwa durch Verschluss, Verschlüsselung oder Zugriffsrechte).

  • Speicherkontrolle: Unbefugte dürfen Personendaten im Speicher (z.B. in Datenbanken oder Cloud-Speichern) weder speichern noch lesen, ändern, löschen oder vernichten. Dies erfordert Zugriffsbeschränkungen und Schutzmechanismen bei elektronischen Speichersystemen, damit keine unautorisierte Datenmanipulation stattfinden kann.

  • Transportkontrolle: Bei der Übermittlung von Personendaten oder dem Transport von Datenträgern dürfen unbefugte Dritte die Daten nicht lesen, kopieren, verändern, löschen oder vernichten können. Daten sind folglich bei der Übertragung (etwa über Netzwerke) gegen Abfangen oder Änderungen zu schützen, z.B. durch Verschlüsselung und sichere Transportbehälter bzw. -mechanismen.

  • Wiederherstellbarkeit: Die Verfügbarkeit der Personendaten und der Zugang zu ihnen müssen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. Sprich: Es sind Backup- und Recovery-Verfahren einzurichten, damit Datenverluste (etwa durch Hardwareausfall, Brand oder einen Cyberangriff) schnell behoben werden und der Betrieb weitergehen kann.

  • Systemverfügbarkeit, Zuverlässigkeit und Datenintegrität: Alle Funktionen des IT-Systems sollen jederzeit zur Verfügung stehen; etwaige Fehlfunktionen müssen gemeldet werden, und gespeicherte Personendaten dürfen durch Systemfehler nicht beschädigt werden. Dieses Bündel an Massnahmen zielt darauf ab, die Betriebssicherheit der Datenbearbeitungssysteme zu gewährleisten – von Ausfallsicherheit (Redundanzen, Monitoring) über zuverlässige Fehlermeldungen bis hin zum Schutz vor Datenkorruption.

  • Systemsicherheit: Betriebssysteme und Anwendungssoftware sind stets auf dem neuesten Sicherheitsstand zu halten, und bekannte kritische Schwachstellen müssen unverzüglich geschlossen werden. Regelmässige Updates, Patches und Wartungen der Systeme gehören also zu den organisatorischen Pflichten, um Sicherheitslücken zu beseitigen (dies betrifft z.B. veraltete Software, ungeschlossene Sicherheitslücken, fehlende Virenschutzmassnahmen etc.).

• Nachvollziehbarkeit gewährleisten (Art. 3 Abs. 3 DSV): Schliesslich verlangt das Gesetz auch die Nachvollziehbarkeit von Datenbearbeitungen und sicherheitsrelevanten Ereignissen. Art. 3 Abs. 3 DSV nennt hierzu:

  • Eingabekontrolle: Es muss überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person in ein automatisiertes Bearbeitungssystem eingegeben oder darin verändert wurden. Jedes Bearbeiten von Daten sollte also protokolliert werden (Log-Dateien), um Änderungen im Nachhinein genau nachvollziehen zu können.

  • Bekanntgabekontrolle: Es muss nachvollziehbar sein, wem Personendaten mittels Datenübertragung bekanntgegeben wurden. Mit anderen Worten: Bei externen Weitergaben von Daten ist zu protokollieren, welche Daten wann und an wen übermittelt wurden (z.B. durch Logging von Datenexporten oder E-Mails).

  • Erkennung und Beseitigung von Vorfällen: Verletzungen der Datensicherheit (Sicherheitsvorfälle) sollen rasch erkannt werden und Massnahmen zu ihrer Eindämmung oder Behebung ergriffen werden können. Dies erfordert Monitoring-Systeme und Alarmierungen für mögliche Datenschutzverletzungen (z.B. Intrusion-Detection-Systeme) sowie Notfallpläne, um im Ernstfall sofort Gegenmassnahmen einleiten zu können.

Insgesamt bietet Art. 3 DSV somit einen Massnahmenkatalog an technischen und organisatorischen Vorkehrungen, um die genannten Schutzziele – Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit – zu erreichen. Dieser Katalog versteht sich als Orientierungshilfe für Verantwortliche und Auftragsbearbeiter. Je nach individueller Risikosituation und Art der Datenbearbeitung müssen die geeigneten Massnahmen ausgewählt und implementiert werden, um angemessene Datensicherheit zu gewährleisten.

Fazit

Die datenschutzrechtlichen Vorgaben zur Datensicherheit im Schweizer Recht ergeben ein zweistufiges Regelungsgefüge: Art. 8 DSG verpflichtet alle Verantwortlichen und Auftragsbearbeiter generell zu einem angemessenen Schutz der Personendaten durch technische und organisatorische Massnahmen. Diese gesetzliche Pflicht wird durch die Datenschutzverordnung konkretisiert, welche in Art. 3 DSV detaillierte – allerdings nicht abschliessende – Anforderungen an solche Massnahmen formuliert. Im Zentrum stehen dabei die klassischen Sicherheitsziele Vertraulichkeit, Verfügbarkeit/Integrität und Nachvollziehbarkeit, für die jeweils ein Bündel an Beispiel-Massnahmen definiert wird. Für die Praxis bedeutet dies, dass Unternehmen und Behörden im Rahmen ihrer Datenschutz-Compliance prüfen müssen, welche der genannten technischen und organisatorischen Vorkehrungen in ihrem konkreten Fall notwendig sind, um ein dem Risiko angemessenes Schutzniveau zu erreichen. Kurz gesagt: Datensicherheit ist integraler Bestandteil des Datenschutzrechts, und die gesetzlichen Vorgaben in DSG und DSV geben einen klaren Handlungsrahmen vor, den es zum Schutz der betroffenen Personen auszufüllen gilt. 

¹ Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020, SR 235.1

² Verordnung über den Datenschutz (Datenschutzverordnung, DSV) vom 31. August 2022, SR 235.11

³  https://datenrecht.ch/dsv-keine-mindestanforderungen-an-die-datensicherheit-keine-entsprechende-strafbarkeit-weitere-anmerkungen/