Das neue Schweizer Datenschutzgesetz (nDSG) gilt seit dem 1. September 2023. Art. 8 verpflichtet Verantwortliche ausdrücklich dazu, die Sicherheit von Personendaten durch angemessene technische Massnahmen zu gewährleisten. Für Kanzleien mit einer WordPress-Webseite hat das unmittelbare Konsequenzen.
Denn Ihre Webseite verarbeitet Personendaten — spätestens dann, wenn ein Kontaktformular, eine Newsletter-Anmeldung oder ein Terminbuchungstool zum Einsatz kommt. Art. 8 nDSG verlangt, dass diese Daten angemessen geschützt werden. Was «angemessen» bedeutet, definiert das Gesetz bewusst offen. In der Praxis orientieren sich Gerichte und Aufsichtsbehörden am Stand der Technik.
Was Art. 8 nDSG konkret verlangt
Das Gesetz spricht von «angemessenen technischen und organisatorischen Massnahmen». Für eine Kanzlei-Webseite lassen sich daraus vier zentrale Anforderungen ableiten:
- Verschlüsselte Datenübertragung (HTTPS/HSTS): Alle Daten zwischen Browser und Server müssen verschlüsselt übertragen werden. Ein gültiges SSL-Zertifikat allein reicht nicht — HSTS-Header stellen sicher, dass unverschlüsselte Verbindungen konsequent verhindert werden.
- Schutz vor unbefugtem Zugriff: Web Application Firewalls, Brute-Force-Schutz und restriktive Benutzerrechte verhindern, dass Dritte Zugang zu Ihrer Webseite oder den darauf gespeicherten Daten erhalten.
- Datenintegrität: Regelmässige Malware-Scans und Datei-Integritätsüberwachung erkennen Veränderungen an Ihrem System frühzeitig. So wird eingeschleuster Schadcode identifiziert, bevor er Schaden anrichtet.
- Nachvollziehbarkeit (Audit-Logs): Sie müssen jederzeit belegen können, wer wann auf schützenswerte Daten zugegriffen hat. Lückenlose Protokollierung ist nicht optional — sie ist eine gesetzliche Pflicht.
Was droht bei Verstössen?
Das nDSG sieht in Art. 60 ff. Bussen von bis zu CHF 250’000 für verantwortliche natürliche Personen vor. Anders als bei der europäischen DSGVO treffen die Sanktionen nicht das Unternehmen, sondern direkt die handelnden Personen — in der Regel die Geschäftsführung oder die Partnerebene.
Für Berufsgeheimnissträger wiegt das Risiko noch schwerer. Art. 62 nDSG stellt Verletzungen des Berufsgeheimnisses unter separate Strafandrohung — ebenfalls bis zu CHF 250’000. Das betrifft insbesondere Anwälte, Notare und Ärzte. Ein Datenleck auf der Webseite kann somit nicht nur eine Busse nach sich ziehen, sondern auch berufsrechtliche Konsequenzen bis hin zum Entzug der Zulassung.
Hinzu kommt die Reputationsgefahr. Mandanten und Patienten vertrauen darauf, dass ihre Daten vertraulich behandelt werden. Ein öffentlich bekannter Sicherheitsvorfall beschädigt dieses Vertrauen nachhaltig — und lässt sich mit keiner Bussenzahlung wiederherstellen.
Wie AidSec nDSG-Konformität umsetzt
AidSec prüft Ihre Kanzlei-Webseite systematisch auf alle technischen Anforderungen gemäss Art. 8 nDSG. Die Analyse umfasst:
- Security-Header-Konfiguration (HSTS, CSP, X-Frame-Options)
- SSL/TLS-Verschlüsselung und Zertifikatsmanagement
- Plugin-Sicherheit und Update-Status
- Brute-Force- und Login-Schutz
- Malware-Scan und Datei-Integritätsprüfung
- Backup-Strategie und Wiederherstellungsfähigkeit
Alle Ergebnisse werden in einem Audit-Protokoll dokumentiert. Dieses Protokoll können Sie Mandanten, Geschäftspartnern und Aufsichtsbehörden vorlegen — als Nachweis Ihrer Sorgfaltspflicht.
Die Umsetzung der identifizierten Massnahmen erfolgt direkt durch AidSec. Sie müssen weder eigenes IT-Personal einsetzen noch sich in technische Details einarbeiten. Das Ergebnis ist eine nachweislich gehärtete Webseite — und die Gewissheit, dass Ihre digitale Infrastruktur den gesetzlichen Anforderungen entspricht.