Das neue schweizerische Datenschutzgesetz (nDSG) stellt besonders hohe Anforderungen an Berufsgeheimnisträger. Für Anwaltskanzleien und Notariate bedeutet dies eine Verschärfung der technischen und organisatorischen Massnahmen (TOM).
Sorgfaltspflicht bei Mandantendaten
Seit dem Inkrafttreten des nDSG ist die "Sicherheit durch Technik" (Privacy by Design) keine Empfehlung mehr, sondern eine rechtliche Verpflichtung. Ein Datenabfluss kann nicht nur zu Bussen von bis zu CHF 250'000 führen, sondern auch den Verlust der Zulassung oder schwerwiegende Reputationsschäden nach sich ziehen.
Die 7 technischen Säulen der nDSG-Compliance
Um den gesetzlichen Anforderungen an die Datensicherheit (Art. 8 nDSG) zu genügen, müssen Schweizer Kanzleien folgende technische Standards erfüllen:
- End-to-End Verschlüsselung Alle Mandantenakten müssen sowohl lokal ("at rest") als auch bei der Übertragung ("in transit") mit AES-256 verschlüsselt sein.
- Strikte Zwei-Faktor-Authentifizierung (2FA) Einfache Passwörter sind grobfahrlässig. Jeder Zugang (E-Mail, DMS, VPN) muss durch einen zweiten, unabhängigen Faktor gesichert sein.
- Lückenlose Audit-Logs (Protokollierung) Es muss jederzeit nachvollziehbar sein, wer wann auf welche besonders schützenswerten Personendaten zugegriffen hat.
- Immutable Offsite-Backups Backups müssen so gespeichert werden, dass sie nach der Erstellung nicht mehr verändert oder gelöscht werden können (Schutz vor Ransomware).
- Endpoint Detection & Response (EDR) Klassische Antiviren-Software genügt nicht mehr. KI-gestützte Überwachung muss verdächtige Verhaltensmuster in Echtzeit blockieren.
- Patch-Management & Hardening Betriebssysteme und Applikationen müssen innerhalb von 48 Stunden nach Erscheinen von Sicherheitsupdates gepatcht werden.
- Netzwerk-Segmentierung Trennen Sie Ihr Kanzlei-Netzwerk strikt von Gäste-WLANs oder IoT-Geräten (Drucker, Smart-Home).
Administrative & Organisatorische Pflichten
Neben der Technik fordert das Gesetz klare Prozesse und Dokumentationen:
- Verzeichnis der Bearbeitungstätigkeiten (VBT) Führen Sie ein aktuelles Inventar darüber, welche Daten zu welchem Zweck bearbeitet werden.
- Datenschutzerklärung (DSE) Ihre Website und Ihre Mandatsverträge müssen eine nDSG-konforme Erklärung enthalten.
- Auftragsbearbeitungsverträge (AVV) Stellen Sie sicher, dass alle IT-Dienstleister (Cloud, Backup, Support) schriftlich zur Einhaltung des nDSG verpflichtet sind.
- Datenschutz-Impact-Assessment (DSFA) Bei besonders risikoreichen Bearbeitungen (z.B. neue Cloud-Lösungen) muss vorab eine Risikoanalyse durchgeführt werden.
Verhalten bei Datenschutzverletzungen
Im Falle eines Hacks oder Datenverlusts tickt die Uhr:
- Meldepflicht: Verletzungen der Datensicherheit müssen "so rasch wie möglich" dem EDÖB gemeldet werden, sofern sie zu einem hohen Risiko für die Betroffenen führen.
- Notfallplan: Jede Kanzlei muss über ein dokumentiertes Incident-Response-Protokoll verfügen.
Fazit: Handeln Sie proaktiv
Compliance ist kein Ziel, sondern ein fortlaufender Qualitätsstandard. Ein nDSG-Audit schützt Sie nicht nur vor Bussen, sondern stärkt das Vertrauen Ihrer Mandanten in Ihre Professionalität.