Sicherheit & Datenschutz

revDSG: Datenschutz-Checkliste für KMU

8 Min. Lesezeit
Laptop mit Sicherheits-Dashboard auf einem Besprechungstisch vor einem Serverrack

Das revidierte Datenschutzgesetz betrifft praktisch jedes Unternehmen, das Kunden-, Mitarbeiter-, Bewerbungs- oder Lieferantendaten bearbeitet. Für die meisten KMU geht es nicht um ein riesiges Rechtsprojekt, sondern um saubere Transparenz, klare Verantwortlichkeiten und angemessene technische Schutzmassnahmen. Genau dort treffen Datenschutz und IT-Betrieb aufeinander.

Praktische Checkliste

Nutzen Sie diesen Artikel als kurze Arbeitsgrundlage: Prüfen Sie zuerst die Punkte unten, halten Sie offene Fragen fest und entscheiden Sie danach, ob ein IT-Check, ein konkretes Projekt oder laufende Betreuung sinnvoller ist.

  • Fast jedes KMU bearbeitet Personendaten und sollte die wichtigsten revDSG-Grundlagen dokumentieren.
  • Die zentralen Bausteine sind Bearbeitungsverzeichnis, Datenschutzerklärung, Auftragsbearbeiter, Auskunftsprozess und Datenpannenprozess.
  • Technische Massnahmen wie MFA, Zugriffskontrolle, Backup, Verschlüsselung und Protokollierung sind Teil der Sorgfalt.
  • Datenschutz bleibt aktuell, wenn neue Tools, Freigaben und Dienstleister systematisch geprüft werden.

Beispiel aus einem Schweizer KMU

Ein typisches KMU merkt das Thema oft nicht an einem einzelnen Grossproblem, sondern an vielen kleinen Reibungen: unklare Zuständigkeiten, wiederkehrende Rückfragen, alte Berechtigungen, fehlende Dokumentation oder Unsicherheit bei Kosten und Sicherheit. Genau deshalb ist die erste gute Massnahme selten ein Toolkauf, sondern eine nüchterne Bestandsaufnahme.

Fehler, die Sie vermeiden sollten

  • Nur nach dem günstigsten Einzelangebot entscheiden, ohne Verantwortung und Folgekosten zu klären.
  • Sicherheit, Backup und Benutzerverwaltung getrennt betrachten, obwohl sie im Alltag zusammenhängen.
  • Ein Projekt abschliessen, ohne Betrieb, Support, Dokumentation und nächste Kontrolle zu regeln.

Wen das revDSG betrifft

Sobald Ihr Unternehmen Personendaten bearbeitet, sind Sie im Geltungsbereich. Dazu reichen Kundenadressen, Mitarbeiterdaten, Bewerbungen, Newsletter-Listen, Supporttickets oder Rechnungsdaten.

Kleine Unternehmen haben in einzelnen Bereichen weniger Formalismus, aber die Grundpflichten bleiben: transparent informieren, nur notwendige Daten bearbeiten, Zugriffe begrenzen und Daten angemessen schützen.

Die praktische KMU-Checkliste

  • Bearbeitungsverzeichnis erstellen: Welche Daten, wofür, wo gespeichert, wer hat Zugriff, wie lange aufbewahrt?
  • Datenschutzerklärung prüfen: Website, Kontaktformulare, Newsletter, Tracking und externe Dienstleister korrekt erklären.
  • Auftragsbearbeiter dokumentieren: Cloud, IT-Partner, Newsletter-Tool, Buchhaltung, HR-Software und Supportsysteme.
  • Auskunfts- und Löschprozess definieren: Wer antwortet, wo werden Daten gesucht, welche Fristen gelten intern?
  • Datenpannenprozess vorbereiten: Erkennen, beurteilen, dokumentieren und bei Bedarf melden.

Die technische Seite wird oft unterschätzt

Datenschutz ist nicht nur Papier. Wenn alle Mitarbeitenden dieselben Passwörter teilen, ehemalige Konten aktiv bleiben oder keine Backup-Wiederherstellung getestet wird, ist der rechtliche Text wenig wert.

Ein angemessener technischer Mindeststandard umfasst Multifaktor-Anmeldung, rollenbasierte Zugriffe, Geräteabsicherung, getrennte Admin-Konten, Backup, Verschlüsselung und regelmässige Prüfung externer Freigaben.

Auftragsbearbeiter und Auslandbezug

  • Prüfen Sie, welche Dienstleister Zugriff auf Personendaten haben.
  • Klären Sie, ob Daten in der Schweiz, EU oder in Drittstaaten verarbeitet werden.
  • Halten Sie Verträge und Datenschutzanhänge auffindbar ab.
  • Bewerten Sie neue Tools vor der Einführung, nicht erst nach dem ersten Vorfall.

So bleibt Datenschutz pflegbar

Ein schlankes Datenschutz-Setup passt in den normalen IT-Betrieb: neue Tools werden vorab geprüft, Berechtigungen werden periodisch kontrolliert, Backups werden getestet und die Datenschutzerklärung wird bei Änderungen aktualisiert.

KLAUCK unterstützt bei der technischen Umsetzung und beim Aufbau einer pragmatischen Dokumentation, die im Alltag gepflegt werden kann.

Kurz zusammengefasst

Fast jedes KMU bearbeitet Personendaten und sollte die wichtigsten revDSG-Grundlagen dokumentieren. Wenn Sie daraus eine konkrete Entscheidung ableiten möchten, ist der nächste sinnvolle Schritt ein kurzer IT-Check: Bestand aufnehmen, Risiken einordnen und Massnahmen priorisieren, bevor Zeit oder Budget in die falsche Richtung laufen.

Passend dazu

Secure Workplace

Fragen zu Ihrer IT?

Persönlich betreut
Schweizer Qualität
Planbare Kosten

Buchen Sie ein kostenloses Erstgespräch – unverbindlich und ohne Fachchinesisch.

Häufige Fragen

Klare Antworten zu Technologie, Tools, Infrastruktur, Zahlungen und Garantie.

Braucht jedes KMU einen Datenschutzberater?

Für die meisten privaten KMU besteht keine generelle Pflicht. Wichtig ist aber, dass Verantwortung, Prozesse und technische Schutzmassnahmen klar geregelt sind.

Was ist der häufigste praktische Fehler?

Viele Unternehmen schreiben eine Datenschutzerklärung, prüfen aber Zugriffe, Backups, externe Freigaben und Cloud-Dienstleister nicht systematisch.

Wie oft sollte man Datenschutz prüfen?

Mindestens jährlich und zusätzlich bei neuen Tools, neuen Dienstleistern, grösseren Prozessänderungen oder Sicherheitsvorfällen.