Wie schützen Sie als Schweizer Treuhänder oder Anwalt die Daten Ihrer Mandanten nDSG-konform?

Ein unbedachter Klick in einem öffentlichen WLAN, eine falsch adressierte E-Mail, ein nicht gesperrter Zugang eines ehemaligen Mitarbeiters – für Sie als Schweizer Treuhänder, Anwalt oder Notar sind dies keine blossen IT-Pannen. Es sind potenzielle Brandbeschleuniger, die eine sorgfältig aufgebaute Karriere in kürzester Zeit in Schutt und Asche legen können. Der Schutz von Mandantendaten ist für Sie weit mehr als eine blosse Compliance-Aufgabe unter dem neuen Datenschutzgesetz (nDSG); er ist der Kern Ihres Berufsstandes, verankert im Strafgesetzbuch unter Artikel 321, dem Berufsgeheimnis.

Viele Ratschläge zur Cybersicherheit erschöpfen sich in Allgemeinplätzen wie «starke Passwörter» oder «Vorsicht vor Phishing». Doch diese greifen zu kurz. Sie ignorieren die spezifischen und verschärften Risiken, denen Sie ausgesetzt sind. Es geht nicht primär um den finanziellen Schaden eines Datenlecks, sondern um den unwiderruflichen Vertrauensverlust, disziplinarische Massnahmen durch Standesorganisationen und im schlimmsten Fall um den Entzug Ihrer Berufsausübungsbewilligung. Die entscheidende Frage ist daher nicht, *ob* Ihre IT sicher ist, sondern ob sie den juristischen Anforderungen Ihrer persönlichen Sorgfaltspflicht als Schweizer Berufsgeheimnisträger standhält.

Dieser Leitfaden verzichtet bewusst auf technischen Jargon. Stattdessen beleuchtet er die acht kritischsten Risikobereiche aus der Perspektive Ihrer beruflichen und persönlichen Haftung. Wir analysieren, wo die wahren Gefahren lauern und welche strategischen Entscheidungen Sie treffen müssen, um nicht nur nDSG-konform zu handeln, sondern vor allem Ihr höchstes Gut zu schützen: das Vertrauen Ihrer Mandanten und Ihre eigene berufliche Existenz.

Der folgende Artikel ist strukturiert, um Ihnen einen klaren Überblick über die dringendsten Handlungsfelder zu geben. Jeder Abschnitt behandelt eine spezifische Gefahr und liefert konkrete, auf den Schweizer Rechtsraum zugeschnittene Lösungsansätze.

Warum ein Datenleck bei Ihnen nicht nur Geld, sondern Ihre Lizenz kosten kann?

Der grösste Schaden eines Datenlecks in einer Kanzlei oder einem Treuhandbüro lässt sich nicht in Franken beziffern. Während die finanzielle Belastung durch Bussgelder erheblich sein kann, ist der Verlust des Vertrauens und der Reputation existenzbedrohend. Für Berufsgeheimnisträger wie Sie ist Diskretion kein Service, sondern eine gesetzliche Pflicht. Ein Verstoss gegen diese Pflicht durch ein Datenleck untergräbt die Grundlage Ihrer gesamten Tätigkeit. Die Konsequenzen gehen weit über das nDSG hinaus und berühren den Kern Ihrer Zulassung.

Das revidierte Datenschutzgesetz hat die Sanktionen deutlich verschärft. Fehlbare Unternehmen müssen mit Bussen rechnen, doch die eigentliche Neuerung liegt in der persönlichen Haftung. Verantwortliche natürliche Personen können direkt belangt werden. So drohen Bussen von bis zu CHF 250’000 für vorsätzliche Datenschutzverletzungen, etwa bei Missachtung einer behördlichen Verfügung. Diese Busse trifft Sie persönlich, nicht die Kanzlei.

Viel gravierender sind jedoch die berufsrechtlichen Folgen. Die kantonalen Aufsichtsbehörden für Anwälte oder die Regularien für Treuhänder sehen bei Verletzungen der Berufspflichten, zu denen der sorgfältige Umgang mit Mandantengeheimnissen zählt, strenge Disziplinarmassnahmen vor. Diese reichen von einem Verweis über eine Busse bis hin zum befristeten oder gar dauerhaften Entzug der Berufsausübungsbewilligung. Ein Datenleck ist somit nicht nur ein teurer IT-Vorfall, sondern ein Ereignis, das Ihre gesamte berufliche Laufbahn beenden kann.

Wie richten Sie digitale „Tresore“ für hochsensible Akten ein?

Die landläufige Vorstellung von Datensicherheit beschränkt sich oft auf Firewalls und Antivirensoftware. Für hochsensible Mandantenakten – sei es eine Fusionsprüfung, ein Scheidungsfall oder eine Steuerplanung – ist dies jedoch grob unzureichend. Sie benötigen das digitale Äquivalent eines Schweizer Bankschliessfachs: einen digitalen Tresor. Das Konzept dahinter ist, dass die Daten nicht nur bei der Übertragung, sondern auch im Ruhezustand (at rest) auf dem Server so stark geschützt sind, dass nicht einmal der Anbieter der Speicherlösung selbst darauf zugreifen kann.

Die technologische Grundlage dafür bilden zwei Prinzipien: Ende-zu-Ende-Verschlüsselung (E2EE) und das Zero-Knowledge-Prinzip. Bei diesem Ansatz werden die Daten bereits auf Ihrem Gerät ver- und erst auf dem Gerät des berechtigten Empfängers wieder entschlüsselt. Der Betreiber der Cloud-Infrastruktur speichert nur einen unlesbaren Datensalat. Dies ist der entscheidende Unterschied zu herkömmlichen Cloud-Speichern, bei denen der Anbieter theoretisch jederzeit auf Ihre Daten zugreifen könnte – oder durch Behörden dazu gezwungen werden kann.

Wie dieses Prinzip in der Praxis umgesetzt wird, zeigt die zunehmende Nutzung von HIN-konformen Plattformen durch Schweizer Gesundheitsfachpersonen und Anwaltskanzleien. Diese setzen auf E2EE, bei der Geheimhaltungsvereinbarungen bereits in die Standardverträge integriert sind. Dadurch entfällt die Notwendigkeit separater und komplexer Auftragsbearbeitungsvereinbarungen, was den Prozess für Kanzleien erheblich vereinfacht und rechtlich absichert. Die Wahl eines solchen Systems ist keine technische, sondern eine strategische Entscheidung für maximale Geheimhaltung.

Microsoft 365 oder Schweizer Private Cloud: Was akzeptieren die Standesregeln?

Die Verlockung von Microsoft 365 ist gross: Eine integrierte, bekannte und leistungsstarke Suite für E-Mail, Dokumentenmanagement und Kollaboration. Auch wenn Microsoft mittlerweile Rechenzentren in der Schweiz betreibt, bleibt für Berufsgeheimnisträger ein entscheidendes rechtliches Restrisiko: der amerikanische CLOUD Act. Dieses US-Gesetz erlaubt es amerikanischen Behörden, auf Daten von US-Unternehmen zuzugreifen, selbst wenn diese Daten im Ausland – also auch in der Schweiz – gespeichert sind. Zwar bietet Microsoft technische Gegenmassnahmen wie den „Customer Key“, doch eine vollständige Resistenz gegen den CLOUD Act ist nicht garantiert.

Für Sie als Geheimnisträger stellt sich damit eine heikle Frage der Sorgfaltspflicht. Können Sie die Daten Ihrer Mandanten einer Infrastruktur anvertrauen, die potenziell dem Zugriff einer ausländischen Regierung unterliegt? Viele Standesorganisationen und Datenschutzexperten sehen hier ein unkalkulierbares Risiko, das mit dem strengen Schweizer Berufsgeheimnis kollidiert. Eine Schweizer Private Cloud hingegen untersteht ausschliesslich Schweizer Recht und Gerichtsbarkeit und ist somit immun gegen den CLOUD Act. Die folgende Tabelle verdeutlicht die zentralen Unterschiede, die für Ihre Entscheidung relevant sind, basierend auf einer vergleichenden Analyse für Berufsgeheimnisträger.

Ein pragmatischer Ansatz, der in der Praxis oft gewählt wird, ist das Hybrid-Modell. Diesen Weg skizziert auch der bekannte Schweizer Rechtsanwalt und Datenschutzexperte Martin Steiger:

Das Hybrid-Modell als pragmatischer Mittelweg: unkritische Kommunikation über M365, während hochsensible Mandantendaten in einem separaten Schweizer Tresor gespeichert werden.

– Martin Steiger, Datenschutzpartner Academy Webinar

Dieser Ansatz kombiniert die Effizienz von Standard-Tools für alltägliche, unkritische Aufgaben mit der maximalen Sicherheit eines Schweizer „digitalen Tresors“ für alles, was dem Berufsgeheimnis unterliegt. So erfüllen Sie Ihre Sorgfaltspflicht, ohne auf moderne Arbeitsmittel verzichten zu müssen.

Die Gefahr, wenn Anwälte Mandanten-E-Mails im öffentlichen WLAN am Flughafen lesen

Die moderne Arbeitswelt verlangt Flexibilität. Schnell noch am Flughafen, im Café oder im Zug vertrauliche E-Mails prüfen – was praktisch erscheint, ist für Berufsgeheimnisträger ein hochriskantes Unterfangen. Öffentliche WLAN-Netzwerke sind ein notorisch unsicheres Terrain und ein beliebtes Einfallstor für Angreifer. Sogenannte „Man-in-the-Middle“-Angriffe, bei denen sich ein Krimineller unbemerkt zwischen Ihr Gerät und das Internet schaltet, sind hier an der Tagesordnung. Der Angreifer kann so den gesamten Datenverkehr, inklusive Passwörtern und dem Inhalt Ihrer E-Mails, mitlesen.

Das Risiko ist keineswegs nur theoretischer Natur. Eine Umfrage unter Sicherheitsexperten zeigt, dass eine überwältigende Mehrheit von 73% der befragten IT-Sicherheitsexperten öffentliche WLANs als hohes oder sehr hohes Sicherheitsrisiko für sensible Unternehmensdaten einstuft. Für Sie bedeutet das: Jedes Mal, wenn Sie sich ohne adäquate Schutzmassnahmen in ein solches Netz einloggen, verletzen Sie potenziell Ihre Sorgfaltspflicht und gefährden das Berufsgeheimnis.

Glücklicherweise lässt sich dieses Risiko mit diszipliniertem Verhalten und den richtigen Werkzeugen minimieren. Es geht darum, eine mobile Arbeitsumgebung zu schaffen, die dem Sicherheitsstandard Ihrer Kanzlei entspricht. Die folgende Checkliste fasst die wichtigsten Sofortmassnahmen zusammen, die jeder Geheimnisträger auf Reisen beachten muss.

Wie regeln Sie den digitalen Zugang, wenn ein Partner plötzlich verstirbt?

Es ist ein Thema, das oft verdrängt wird, aber für die Kontinuität und Sicherheit einer Kanzlei von existenzieller Bedeutung ist: Was geschieht mit den digitalen Zugängen und den darauf gespeicherten Mandantendaten, wenn ein Partner unerwartet ausfällt, sei es durch Tod oder schwere Krankheit? Ohne einen klar definierten und juristisch sauberen Prozess droht ein doppeltes Desaster: Entweder ist der Zugriff auf essenzielle Mandantendaten blockiert, was die Handlungsfähigkeit der Kanzlei lähmt, oder es kommt im Chaos zu unautorisierten Zugriffen, die das Berufsgeheimnis verletzen.

Ein einfaches Weitergeben von Passwörtern ist keine Lösung, sondern ein gravierender Verstoss gegen die Sorgfaltspflicht. Der Zugriff auf Daten verstorbener Personen ist rechtlich heikel und muss den Bestimmungen des Erbrechts (ZGB) sowie dem Schutz des Berufsgeheimnisses (StGB Art. 321) genügen. Es bedarf eines „digitalen Testaments“ für die Kanzlei, das nicht nur technisch, sondern auch rechtlich wasserdicht ist. Dieses regelt präzise, wer unter welchen Umständen auf welche Daten zugreifen darf, um die Mandatsführung fortzusetzen, ohne die Vertraulichkeit zu kompromittieren.

Die Erstellung eines solchen Notfallplans erfordert eine sorgfältige Planung und Dokumentation. Zu den wichtigsten Schritten gehören:

• Hinterlegung von Master-Passwörtern: Zentrale Passwörter für Systemzugänge werden in einem versiegelten Umschlag bei einem externen Notar oder einer anderen Vertrauensstelle hinterlegt.
• Klare Nachfolgeregelung: Im Gesellschaftsvertrag oder einem separaten Dokument wird gemäss ZGB klar definiert, welche Partner oder designierten Personen im Notfall zugriffsberechtigt sind.
• Dokumentierter Prozess: Der Prozess der Zugriffsübertragung muss detailliert beschrieben werden, um sicherzustellen, dass er unter Wahrung des Berufsgeheimnisses abläuft (z. B. unter dem Vier-Augen-Prinzip).
• Regelmässige Aktualisierung: Die Liste der Zugriffsrechte und der Nachfolgeberechtigten muss mindestens jährlich überprüft und aktualisiert werden.

Ein solcher Plan stellt sicher, dass die Kanzlei auch in einer Krisensituation handlungsfähig bleibt, ohne die heiligste Pflicht gegenüber den Mandanten zu verletzen.

Warum normale E-Mails für sensible Vertragsverhandlungen wie Postkarten sind?

Die Analogie ist alt, aber treffender denn je: Eine unverschlüsselte E-Mail zu versenden ist, als würde man eine Postkarte mit vertraulichen Informationen in den Briefkasten werfen. Jeder, der die Karte auf ihrem Weg in die Hände bekommt – vom Postboten bis zum neugierigen Nachbarn –, kann sie lesen. Technisch ausgedrückt bedeutet dies, dass der Inhalt der E-Mail auf ihrem Weg durch diverse Server im Internet im Klartext vorliegt und von den Betreibern dieser Server oder von Angreifern mitgelesen werden kann. Für Vertragsverhandlungen, die Übermittlung von Beweismitteln oder Finanzdaten ist dies ein inakzeptables Risiko und ein klarer Verstoss gegen das Berufsgeheimnis.

Die Lösung liegt in der konsequenten Nutzung von sicheren Kommunikationskanälen, die eine Ende-zu-Ende-Verschlüsselung (E2EE) garantieren. Im Gegensatz zur reinen Transportverschlüsselung (TLS), die bei den meisten E-Mail-Anbietern Standard ist, sorgt E2EE dafür, dass die Nachricht auf dem Gerät des Absenders ver- und erst auf dem Gerät des Empfängers wieder entschlüsselt wird. Für Dritte ist sie auf dem gesamten Übertragungsweg unlesbar. Schweizer Treuhandgesellschaften setzen hierfür vermehrt auf sichere Mandantenportale. Diese ermöglichen selbst technisch weniger versierten Mandanten einen einfachen, aber hochsicheren Dokumentenaustausch über eine webbasierte, verschlüsselte Plattform.

Der Markt bietet heute eine Reihe von nDSG-konformen und auf die Bedürfnisse von Geheimnisträgern zugeschnittenen Lösungen. Die Wahl des richtigen Werkzeugs hängt von Faktoren wie Sicherheitsniveau und Benutzerfreundlichkeit für den Mandanten ab. Die folgende von HIN inspirierte Übersicht vergleicht einige gängige Optionen:

Das Risiko der „Zombie-Accounts“: Wenn Ex-Mitarbeiter noch Monate später Zugriff haben

Ein Mitarbeiter verlässt die Kanzlei, doch sein digitaler Geist bleibt zurück. Sogenannte „Zombie-Accounts“ – Benutzerkonten, die nach dem Austritt eines Mitarbeiters nicht oder nur unvollständig deaktiviert wurden – stellen ein enormes und oft unterschätztes Sicherheitsrisiko dar. Sie sind tickende Zeitbomben. Ein verärgerter Ex-Mitarbeiter könnte Daten entwenden oder sabotieren. Schlimmer noch: Ein Angreifer, der die alten Zugangsdaten erbeutet, hat ein offenes Scheunentor in Ihre Systeme, da solche verwaisten Konten oft nicht mehr überwacht werden.

Ein sauberer und lückenlos dokumentierter Offboarding-Prozess ist daher keine administrative Kür, sondern eine sicherheitstechnische Pflicht. Dieser Prozess muss sicherstellen, dass am letzten Arbeitstag um 17:00 Uhr sämtliche Zugriffe auf Systeme, Daten und Gebäude widerrufen sind. Dies muss protokolliert werden, um im Falle einer Prüfung die Einhaltung der Sorgfaltspflicht nachweisen zu können. Ein solcher Prozess umfasst typischerweise folgende Schritte:

• Sofortige Sperrung: Dokumentieren Sie die exakte Uhrzeit der Sperrung aller Systemzugänge (E-Mail, Kanzleisoftware, Cloud-Dienste) am letzten Arbeitstag.
• Rückgabe der Geräte: Protokollieren Sie die vollständige Rückgabe aller Firmengeräte wie Laptop, Smartphone und Sicherheitstokens.
• Umgang mit dem Postfach: Archivieren Sie das E-Mail-Postfach gemäss den Vorgaben des Schweizer Arbeitsrechts (typischerweise für 30 Tage für eine ordnungsgemässe Übergabe), bevor es endgültig gelöscht wird.
• Regelmässige Audits: Führen Sie quartalsweise Access-Audits durch, um inaktive oder übersehene Konten („Zombie-Accounts“) zu identifizieren und zu entfernen.

Beim Zugriff auf Postfächer von ehemaligen Mitarbeitern ist jedoch Vorsicht geboten, wie Florian Müller, Partner bei LEXcellence AG, betont:

Die Balance zwischen Geschäftsinteresse und Persönlichkeitsrecht nach nDSG und Arbeitsrecht muss bei jedem Zugriff auf Ex-Mitarbeiter-Postfächer gewahrt werden.

– Florian Müller, Partner LEXcellence AG, Workshop Datenschutz in der Praxis

Ein Zugriff sollte daher immer restriktiv, protokolliert und nur bei ausgewiesenem Geschäftsbedarf erfolgen, idealerweise nach klar definierten internen Regeln.

Wie schützen Sie sich als Schweizer Verwaltungsrat gemäss Art. 717 OR vor persönlicher Haftung bei Cyber-Vorfällen?

Für Partner, die gleichzeitig im Verwaltungsrat ihrer Kanzlei oder ihres Treuhandunternehmens sitzen, potenziert sich das Haftungsrisiko. Zusätzlich zur berufsrechtlichen Verantwortung und den Strafen nach nDSG kommt die organisatorische Sorgfaltspflicht gemäss Art. 717 des Obligationenrechts (OR) hinzu. Dieser Artikel verpflichtet den Verwaltungsrat, das Unternehmen sorgfältig zu führen. In der heutigen Zeit umfasst diese Pflicht unmissverständlich auch das Management von Cyber-Risiken.

Ignoriert der Verwaltungsrat dieses Thema, handelt er fahrlässig. Im Falle eines schwerwiegenden Cyber-Vorfalls, der zu einem finanziellen Schaden oder einem massiven Reputationsverlust führt, können die Mitglieder des Verwaltungsrats von Aktionären oder Gläubigern persönlich haftbar gemacht werden. Das Argument „Wir sind Juristen/Treuhänder, keine IT-Experten“ zieht vor Gericht nicht. Von Ihnen wird erwartet, dass Sie die richtigen Fragen stellen, die notwendigen Ressourcen bereitstellen und die Umsetzung adäquater Schutzmassnahmen überwachen. Es drohen nicht nur Bussen von bis zu CHF 250’000 bei Missachtung von EDÖB-Verfügungen, sondern auch zivilrechtliche Haftungsklagen.

Um Ihrer Sorgfaltspflicht nachzukommen, muss das Thema Cybersicherheit regelmässig auf der Traktandenliste des Verwaltungsrats stehen. Sie müssen sich vergewissern, dass das Management die Risiken kennt und beherrscht. Ein Fragenkatalog zur Überprüfung der eigenen Governance ist dabei ein essenzielles Werkzeug:

• Wurde unser Incident Response Plan (Plan für den Ernstfall) in den letzten 12 Monaten getestet und aktualisiert?
• Wie hoch ist unsere aktuelle Cyber-Versicherungsdeckung und welche Ausschlüsse für bestimmte Angriffsarten bestehen?
• Wann fand das letzte unabhängige Security-Audit durch einen zertifizierten, externen Prüfer statt?
• Sind alle Datenschutz-Folgenabschätzungen für Datenverarbeitungen mit hohem Risiko lückenlos dokumentiert?
• Existiert ein formell vom VR verabschiedetes Verzeichnis aller Verarbeitungstätigkeiten gemäss den Anforderungen des nDSG?

Das Stellen dieser Fragen ist nicht nur eine Formalität, sondern der dokumentierte Beweis dafür, dass Sie Ihre Aufsichts- und Sorgfaltspflicht ernst nehmen.

Um Ihre Sorgfaltspflicht als Berufsgeheimnisträger oder Verwaltungsrat vollumfänglich zu erfüllen, ist eine proaktive und strategische Auseinandersetzung mit diesen Risiken unumgänglich. Beginnen Sie noch heute damit, Ihre aktuellen Prozesse und Technologien anhand der hier aufgezeigten kritischen Punkte zu überprüfen und eine Roadmap für die Umsetzung notwendiger Massnahmen zu erstellen.