0 Warenkorb

Datenschutzgesetz und ISO 27001: Herausforderung für KMUs

Autor: Roman Mayr

Datenschutzgesetz und ISO 27001: Herausforderung für KMUs

IT-Sicherheit & Compliance ·

Die Einhaltung der DSGVO und der ISO 27001 ist für Schweizer KMUs von essenzieller Bedeutung, um sowohl rechtliche als auch sicherheitstechnische Anforderungen zu erfüllen. Beide Regelwerke zielen darauf ab, den Schutz von personenbezogenen Daten sowie die Informationssicherheit im Allgemeinen zu gewährleisten. Die folgenden typischen Fehler und deren Korrekturmassnahmen helfen Ihnen, eine angemessene Compliance sicherzustellen.

Fehler 1: Fehlende Datenschutz-Folgenabschätzung (DSFA)

Viele Unternehmen versäumen es, eine Datenschutz-Folgenabschätzung durchzuführen, wenn sie neue Technologien oder Verarbeitungsprozesse einführen, die voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen mit sich bringen. Gemäss Artikel 35 der DSGVO ist dies jedoch vorgeschrieben.

Um diesen Fehler zu korrigieren, sollten Sie zunächst alle aktuellen und geplanten Datenverarbeitungstätigkeiten analysieren. Identifizieren Sie Prozesse, die potenziell hohe Risiken bergen. Führen Sie anschliessend eine DSFA durch, indem Sie die Risiken bewerten und geeignete Massnahmen zur Minderung dieser Risiken implementieren. Hierzu gehören technische sowie organisatorische Vorkehrungen.

Fehler 2: Unzureichende Schulung der Mitarbeitenden

Oftmals werden die Mitarbeitenden nicht ausreichend über die Anforderungen der DSGVO und ISO 27001 informiert und geschult. Dies kann zu unbeabsichtigten Verstössen oder Sicherheitsvorfällen führen.

Stellen Sie sicher, dass alle Mitarbeitenden, insbesondere jene, die regelmässig mit personenbezogenen Daten arbeiten oder für die IT-Sicherheit verantwortlich sind, eine umfassende Schulung erhalten. Diese Schulung sollte nicht nur theoretische Inhalte umfassen, sondern auch praktische Übungen und Fallstudien, um das Verständnis zu vertiefen und reale Szenarien einzuüben.

Fehler 3: Mangelhafte Datenverwaltung und -dokumentation

Viele KMUs scheitern daran, ein vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten zu führen, wie es von der DSGVO gefordert wird. Auch die Dokumentation im Rahmen von ISO 27001 wird häufig vernachlässigt, insbesondere was das Risikomanagement betrifft.

Um dieses Problem zu beheben, implementieren Sie ein umfassendes und fortlaufend aktualisiertes Datenverwaltungssystem. Dies sollte ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten einschliesslich der Zweckbindung, der Datenkategorien, der involvierten Parteien und der angewandten Sicherheitsmassnahmen einschliessen. Währenddessen sollten Sie die Risiken regelmässig evaluieren und die Massnahmen entsprechend aktualisieren.

Handlungsanleitung für die nächsten 14–30 Tage


  1. Identifikation und Priorisierung: Beginnen Sie mit einem Audit der aktuellen Datenschutz- und Sicherheitsmassnahmen. Identifizieren Sie kritische Bereiche und priorisieren Sie notwendige Anpassungen.
  2. Durchführung von DSFAs: Bei Bedarf, führen Sie unverzüglich Datenschutz-Folgenabschätzungen für alle kritischen Projekte oder Prozesse durch.
  3. Schulungskampagne: Organisieren Sie ein Schulungsprogramm für Ihre Mitarbeitenden, das auf die Anforderungen von DSGVO und ISO 27001 eingeht. Nutzen Sie interne oder externe Experten.
  4. Dateninventar aktualisieren: Stellen Sie sicher, dass Ihr Datenverarbeitungsverzeichnis vollständig ist und alle Vorschriften der DSGVO und Anforderungen von ISO 27001 erfüllt werden.
  5. Überprüfung der Sicherheitsmassnahmen: Aktualisieren Sie die technischen und organisatorischen Sicherheitsvorkehrungen gemäss den identifizierten Risiken und der aktuellen Bedrohungslage.

Folgen Sie dieser Anleitung, um innerhalb der nächsten Wochen einen signifikanten Schritt hin zur Erfüllung der DSGVO und ISO 27001 zu machen.