Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (nDSG). Für Unternehmen, die Personendaten verarbeiten — und das tun praktisch alle Kanzleien und Praxen — bringt das neue Pflichten und vor allem: empfindliche Strafen.
Die wichtigsten Bussen im Überblick
Das nDSG unterscheidet zwischen Verstössen gegen das Datenschutzgesetz selbst und Verletzungen der beruflichen Schweigepflicht:
Administrativbussen (nDSG Art. 60ff.)
Diese Busse kann der EDÖB (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte) oder die kantonale Datenschutzbehörde verhängen.
Strafrechtliche Konsequenzen (Art. 62 nDSG)
Besonders relevant für Anwälte, Ärzte und Notare: Wer die berufliche Schweigepflicht verletzt, dem droht zusätzlich eine Strafanzeige:
- Anwälte: Verletzung des Anwaltsgeheimnisses (Art. 321 StGB) — Geldstrafe oder Freiheitsstrafe bis zu 3 Jahren
- Ärzte: Verletzung des Berufsgeheimnisses (Art. 321 StGB) — dasselbe Strafmass
- Notare: Verletzung des Notariatsgeheimnisses — ebenfalls strafbar
Wann drohen Bussen?
Das nDSG sieht Bussen für verschiedene Verstösse vor:
1. Fehlende technische Schutzmassnahmen (Art. 8 nDSG)
Art. 8 nDSG verlangt, dass Unternehmen "angemessene technische und organisatorische Massnahmen" zum Schutz von Personendaten treffen.
Was bedeutet "angemessen"? Der EDÖB orientiert sich an internationalen Standards und der DSGVO-Praxis. Dazu gehören:
- Zugriffskontrollen und Authentifizierung
- Verschlüsselung und Pseudonymisierung
- IT-Sicherheitskonzept
- Incident-Response-Verfahren
Fehlende Security Headers können als Mangel gewertet werden.
2. Meldepflicht bei Datenschutzverletzungen (Art. 24 nDSG)
Wenn es zu einer Verletzung der Datensicherheit kommt (z.B. Hackerangriff), müssen Sie dies melden:
- Der Aufsichtsbehörde: innert 72 Stunden
- Den betroffenen Personen: "in angemessener Frist"
3. Fehlende Dokumentation
Das nDSG verlangt:
- Verarbeitungsverzeichnis (Art. 12 nDSG)
- Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen
- Nachweis über getroffene Schutzmassnahmen
Praktische Beispiele
Beispiel 1: Die gehackte Kanzlei-Website
Was passiert ist: Die Website einer Anwaltskanzlei wird gehackt. Angreifer haben Zugriff auf Kontaktformulardaten — möglicherweise auch auf Mandanteninformationen.
Was droht:
- Administrativbusse bis CHF 250'000 wegen unzureichender technischer Schutzmassnahmen
- Strafanzeige wegen möglicher Verletzung des Anwaltsgeheimnisses
- Reputationsschaden und mögliche Haftungsansprüche von Mandanten
Beispiel 2: Die unverschlüsselte E-Mail
Was passiert ist: Ein Anwalt versendet sensitive Mandantendaten per unverschlüsselter E-Mail. Die E-Mail wird abgefangen.
Was droht:
- Strafverfahren wegen Verletzung des Anwaltsgeheimnisses
- Disziplinarrechtliche Konsequenzen (bei der kantonalen Anwaltskammer)
Wie Sie sich schützen
Prävention ist besser als Nachsorge. Hier sind die wichtigsten Massnahmen:
1. Website absichern
- Security Headers implementieren (HSTS, CSP, X-Frame-Options)
- WordPress regelmässig updaten
- Starke Passwörter und 2FA
- Regelmässige Security-Audits
2. E-Mail-Kommunikation absichern
- SPF, DKIM und DMARC konfigurieren
- Ende-zu-Ende-Verschlüsselung für sensitive Kommunikation
- E-Mail-Security-Policy definieren
3. Dokumentation führen
- Verarbeitungsverzeichnis erstellen und pflegen
- Schutzmassnahmen dokumentieren
- Regelmässige Audits durchführen
- Nachweise für die Aufsichtsbehörde bereithalten
4. Incident Response planen
- Was tun bei einem Hackerangriff?
- Wie und wann melden?
- Wer ist der Ansprechpartner?
Fazit
Die Risiken sind real — und die Bussen können empfindlich sein. Aber noch wichtiger: Ein Datenschutzvorfall kann das Vertrauen Ihrer Mandanten oder Patienten dauerhaft zerstören.
Prävention kostet einen Bruchteil dessen, was ein Vorfall kosten kann. Ein Sicherheits-Check für Ihre Website ist der erste Schritt.
Kostenloser Security-Check für Ihre Kanzlei
Erfahren Sie in 24 Stunden, ob Ihre Website nDSG-konform ist.
Security-Check starten