Für Schweizer Berufsgeheimnisträger ist das nDSG kein administratives Übel, sondern die technische und organisatorische Manifestation des Mandatsgeheimnisses in der digitalen Ära.
- Die strikte technische und logische Trennung von besonders schützenswerten Personendaten und allgemeinen Daten ist die unumgängliche Grundlage jeder nDSG-konformen Architektur.
- Die Nutzung von Cloud-Diensten wie Microsoft 365 ist nur unter spezifischen vertraglichen und technischen Vorkehrungen (z.B. Double Key Encryption) zulässig, um die Datenhoheit zu wahren und Risiken wie den US CLOUD Act zu mitigieren.
- Der Faktor Mensch stellt das grösste Risiko dar; minutiös geplante Berechtigungs-, Schulungs- und vor allem Offboarding-Prozesse sind entscheidend, um internen Datenmissbrauch und -diebstahl zu verhindern.
Empfehlung: Etablieren Sie eine proaktive „Vertrauensarchitektur“, die Compliance nicht als Ziel, sondern als Resultat eines kompromisslosen Schutzes des Mandantenvertrauens versteht.
Das Mandatsgeheimnis ist das Fundament der Beziehung zwischen Anwälten, Treuhändern, Notaren und ihren Klienten. Es ist ein heiliges Versprechen absoluter Diskretion. In einer Welt, in der Daten digital fliessen, gespeichert und verarbeitet werden, steht dieses Versprechen vor neuen, komplexen Herausforderungen. Viele Berufsgeheimnisträger sehen im neuen Datenschutzgesetz (nDSG) der Schweiz primär eine Quelle für administrative Hürden und drohende Bussen. Die Diskussion dreht sich oft um die Höhe der Sanktionen und die Pflicht zur Erstellung von Verarbeitungsverzeichnissen.
Doch diese Sichtweise greift zu kurz und verfehlt den Kern der Sache. Für Berufsgeheimnisträger ist das nDSG kein Gegner, sondern die moderne Rüstung zur Verteidigung der digitalen Schweigepflicht. Es liefert den rechtlichen und konzeptionellen Rahmen, um das traditionelle Vertrauensversprechen in Code, Prozesse und Infrastruktur zu giessen. Es geht nicht darum, eine Checkliste abzuhaken, um einer Busse zu entgehen. Es geht darum, eine bewusste und robuste Vertrauensarchitektur zu errichten, die das höchste Gut – die Daten der Mandanten – vor unbefugtem Zugriff, Verlust und Missbrauch schützt, egal ob von aussen oder von innen.
Die wahre Herausforderung liegt darin, über die blosse Compliance hinauszudenken und jede technische und organisatorische Massnahme als direkte Stärkung des Mandatsgeheimnisses zu begreifen. Von der strikten Trennung von Datenkategorien über die kritische Auseinandersetzung mit Cloud-Anbietern bis hin zum Management des menschlichen Faktors – jeder Aspekt ist ein Baustein dieser Festung des Vertrauens. Die Frage ist nicht mehr nur „Bin ich konform?“, sondern „Ist mein System der Schweigepflicht würdig?“.
Dieser Leitfaden navigiert Sie durch die zentralen strategischen und operativen Fragestellungen. Er zeigt auf, wie Sie die Anforderungen des nDSG nicht als Last, sondern als Chance nutzen, um Ihre Position als vertrauenswürdiger Partner in der digitalen Welt zu festigen und zu beweisen.
Sommaire : nDSG und das Mandatsgeheimnis: Ein strategischer Leitfaden
- Warum Sie „besonders schützenswerte Personendaten“ strikt von Adressdaten trennen müssen?
- Wie richten Sie „Chinese Walls“ in Ihrer IT-Infrastruktur ein?
- Microsoft 365 oder eigener Server: Was ist für das Anwaltsgeheimnis zulässig?
- Das Risiko, wenn ausscheidende Partner ihre Mandantendaten auf USB-Sticks mitnehmen
- Wann müssen Sie Mandantendaten endgültig vernichten und wie weisen Sie das nach?
- Warum der Standard-E-Mail-Versand wie das Schreiben einer Postkarte ist?
- Warum langjährige Mitarbeiter oft das grösste Sicherheitsrisiko für Datendiebstahl sind?
- Wie verhindern Sie internen Datenmissbrauch durch striktes Berechtigungsmanagement?
Warum Sie „besonders schützenswerte Personendaten“ strikt von Adressdaten trennen müssen?
Die Unterscheidung zwischen allgemeinen Personendaten (wie Name und Adresse) und „besonders schützenswerten Personendaten“ ist der Dreh- und Angelpunkt des nDSG für Berufsgeheimnisträger. Zu letzteren gehören Informationen über die Gesundheit, religiöse oder politische Ansichten, aber im Kontext von Anwälten und Treuhändern vor allem auch Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen. Eine Vermischung dieser Datenkategorien ist nicht nur unordentlich, sondern stellt ein fundamentales Sicherheitsrisiko dar. Wird beispielsweise eine simple Adressdatenbank kompromittiert, die auch sensible Mandatsdetails enthält, potenziert sich der Schaden exponentiell und kann eine schwere Persönlichkeitsverletzung nach sich ziehen. Bei einer Persönlichkeitsverletzung nach Art. 30 nDSG handelt es sich um Fälle, wenn Daten nicht gesetzeskonform bearbeitet oder besonders schützenswerte Personendaten Dritten bekannt gegeben werden.
Die Notwendigkeit dieser Trennung wird durch die massiv verschärften Sanktionen nach dem neuen Datenschutzgesetz unterstrichen. Bussen von bis zu 250’000 Franken für verantwortliche natürliche Personen bei Verletzungen der Sorgfaltspflichten sind keine theoretische Gefahr mehr. Eine unzureichende Datentrennung kann als grobe Verletzung dieser Sorgfaltspflichten gewertet werden. Die Trennung muss dabei nicht nur logisch (z.B. durch Datenbank-Schemata), sondern auch technisch durch Zugriffsberechtigungen erfolgen. Ein Mitarbeiter im Marketing oder in der Administration darf unter keinen Umständen Zugriff auf Daten haben, die Rückschlüsse auf ein sensibles Mandat zulassen.
In der Praxis bedeutet dies, dass Kanzlei- oder Treuhandsoftware so konfiguriert sein muss, dass unterschiedliche „Sicherheitszonen“ für Daten existieren. Der Zugang zu besonders schützenswerten Daten muss auf einem strikten „Need-to-know“-Prinzip basieren und für jeden Zugriff protokolliert werden. Digitale Unterlagen mit sensiblen Informationen lassen sich heute mittels Passwörtern und granularen Zugriffskontrollen oft besser schützen als physische Akten, vorausgesetzt, die Architektur ist von Grund auf sauber konzipiert. Die strikte Trennung ist somit die erste Verteidigungslinie zur Wahrung der digitalen Schweigepflicht.
Wie richten Sie „Chinese Walls“ in Ihrer IT-Infrastruktur ein?
Das Konzept der „Chinese Walls“ ist in der Finanz- und Rechtsbranche altbekannt. Es bezeichnet organisatorische Massnahmen, die den Informationsfluss zwischen verschiedenen Abteilungen oder Mandatsträgern unterbinden sollen, um Interessenkonflikte zu vermeiden. In der digitalen Welt muss diese Trennung technisch zwingend umgesetzt werden. Es reicht nicht mehr aus, eine interne Weisung zu erlassen. Die IT-Infrastruktur muss die Trennung aktiv erzwingen. Doch Vorsicht: Das Schweizer Bundesgericht hat klargestellt, dass selbst diese Massnahmen ihre Grenzen haben. Gemäss einem wegweisenden Entscheid bieten „Chinese Walls“ bei einem Kanzleiwechsel eines Anwalts keinen hinreichenden Schutz; die neue Kanzlei muss Mandate, an denen der Anwalt früher beteiligt war, niederlegen.
Dies unterstreicht die Notwendigkeit, „Chinese Walls“ nicht als Allheilmittel, sondern als eine von mehreren notwendigen Massnahmen zu betrachten. Die technische Umsetzung ist dabei zentral. Anstatt alle Daten auf einem einzigen, grossen Netzlaufwerk zu speichern, müssen für Mandate, bei denen ein Interessenkonfliktpotenzial besteht, hermetisch getrennte digitale Arbeitsräume geschaffen werden. Dies kann durch separate Datenräume in einer spezialisierten Software, unterschiedliche SharePoint-Sites in Microsoft 365 mit strikt getrennten Berechtigungen oder sogar physisch getrennte Server geschehen. Der entscheidende Punkt ist, dass kein Mitarbeiter – auch kein IT-Administrator – versehentlich oder absichtlich auf Daten eines für ihn gesperrten Mandats zugreifen kann.
Das folgende Schaubild visualisiert, wie solche getrennten digitalen Arbeitsräume eine physische Barriere im digitalen Raum errichten, um den unkontrollierten Informationsfluss zu verhindern.
Die Umsetzung erfordert eine Kombination aus technischen und organisatorischen Massnahmen, die nahtlos ineinandergreifen müssen. Organisatorische Weisungen allein sind wirkungslos, wenn die Technik sie nicht unterstützt und umgekehrt.
Die nachfolgende Tabelle zeigt auf, wie technische und organisatorische Massnahmen für effektive „Chinese Walls“ zusammenspielen müssen.
| Massnahmentyp | Technische Umsetzung | Organisatorische Anforderungen |
|---|---|---|
| Datentrennung | Pro Mandat ein separater Datenraum oder Datenraumcenter anlegen, um strikt zwischen den Usern verschiedener Verfahren zu trennen | Dokumentierte interne Weisung erforderlich |
| Zugriffsrechte | Separate SharePoint-Sites pro Mandat in Microsoft 365 mit eindeutigen Zugriffsberechtigungen | Spezifische Klauseln in Schweizer Arbeitsverträgen (OR Art. 321a) |
| Kommunikation | Verschlüsselte Übertragung, kein E-Mail-Versand sensibler Daten | Regelmässige Mitarbeiterschulungen |
Microsoft 365 oder eigener Server: Was ist für das Anwaltsgeheimnis zulässig?
Die Entscheidung zwischen einer Cloud-Lösung wie Microsoft 365 und einem eigenen, im Haus betriebenen Server (On-Premise) ist eine der strategisch wichtigsten für jede Kanzlei und jedes Treuhandunternehmen. Es ist eine Abwägung zwischen Komfort, Kosten und Kontrolle. Während Cloud-Dienste mit Skalierbarkeit und geringeren Initialkosten locken, bietet ein eigener Server die maximale Datenhoheit. Für Berufsgeheimnisträger ist dies keine rein technische, sondern eine zutiefst rechtliche und ethische Frage. Die Datenschutzbeauftragte des Kantons Zürich, Dominika Blonski, hat dies treffend formuliert:
Der Regierungsrat der Verwaltung hat keinen Freipass zur Nutzung von Microsoft 365 erteilt. Vor der Nutzung von Cloud-Diensten sind rechtliche Abklärungen nötig. So dürfen beispielsweise keine Geheimhaltungsvorgaben gegen die Nutzung der Cloud sprechen. Anschliessend muss in einer Risikoanalyse geprüft werden, mit welchen technischen und organisatorischen Massnahmen die Risiken der Cloud-Nutzung minimiert werden können.
– Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich
Das Kernproblem bei US-amerikanischen Cloud-Anbietern ist der US CLOUD Act, der US-Behörden den Zugriff auf Daten erlaubt, selbst wenn diese in der Schweiz gespeichert sind. Obwohl Microsoft mittlerweile Rechenzentren in der Schweiz betreibt, untersteht der Konzern weiterhin US-Recht. Dies schafft ein inhärentes Spannungsfeld zum kompromisslosen Schweizer Anwaltsgeheimnis. Eine Lösung kann die Implementierung von Double Key Encryption (DKE) sein. Dabei wird ein Schlüssel von Microsoft und ein zweiter, der ausschliesslich in der Kontrolle der Kanzlei liegt, zur Verschlüsselung verwendet. Microsoft kann somit selbst auf behördliche Anordnung hin die Daten nicht entschlüsseln. Dies stellt die Datenhoheit technisch wieder her, erfordert aber einen erheblichen Konfigurationsaufwand.
Die folgende Gegenüberstellung, basierend auf einer Analyse in der Anwaltsrevue, fasst die wichtigsten Kriterien für diese strategische Entscheidung zusammen.
| Kriterium | Microsoft 365 (Cloud) | Eigener Server |
|---|---|---|
| Datenspeicherort | Azure-Dienste und Microsoft-365-Anwendungen aus Schweizer Rechenzentren verfügbar | Vollständige Kontrolle über physischen Standort |
| Rechtliche Situation | Microsoft als US-amerikanischer Konzern untersteht automatisch dem Cloud Act der US-Regierung | Untersteht ausschliesslich Schweizer Recht |
| Datenschutzmassnahmen | Mit Double Key Encryption (DKE) zur Wahrung der Datenhoheit möglich | Vollständige technische Kontrolle |
| Kosten (5-10 Mitarbeiter) | Monatliche Abonnementkosten, kalkulierbar | Hohe Initialkosten plus laufende Wartung, Strom, Backups, physische Sicherheit |
Letztlich muss jede Kanzlei eine individuelle Risikoanalyse durchführen. Die blinde Nutzung von Cloud-Diensten ohne zusätzliche Schutzmassnahmen ist für Berufsgeheimnisträger in der Schweiz keine Option. Das Bundesgericht hat zudem in BGE 145 II 229 klargestellt, dass selbst wenn Microsoft als Hilfsperson betrachtet wird, zusätzliche vertragliche Anpassungen nötig sind, um die Vorgaben des Anwaltsgeheimnisses zu erfüllen.
Das Risiko, wenn ausscheidende Partner ihre Mandantendaten auf USB-Sticks mitnehmen
Eines der am meisten unterschätzten Risiken für die Datensicherheit in Kanzleien und Treuhandgesellschaften ist der Austritt von Partnern oder langjährigen Mitarbeitenden. In einem Umfeld, das auf Vertrauen basiert, wird oft übersehen, dass ein solcher Übergang ein kritisches Zeitfenster für unbeabsichtigten oder auch beabsichtigten Datenabfluss darstellt. Das Kopieren von Mandatslisten, Vertragsentwürfen oder ganzen Mandatsakten auf einen privaten USB-Stick ist technisch trivial, hat aber verheerende rechtliche Konsequenzen. Gemäss Art. 321 Abs. 1 des Schweizerischen Strafgesetzbuches (StGB) ist es Rechtsanwälten strengstens untersagt, ein Geheimnis zu offenbaren, das ihnen infolge ihres Berufes anvertraut wurde. Die Mitnahme von Daten zur Verwendung bei einem neuen Arbeitgeber stellt eine solche Offenbarung dar.
Die Gefahr ist nicht nur der Verlust der Daten an sich, sondern auch der Bruch des Berufsgeheimnisses, der nicht mehr rückgängig gemacht werden kann. Die Kanzlei haftet gegenüber dem Mandanten für diesen Vertrauensbruch. Deshalb ist ein minutiös geplanter und strikt durchgesetzter Offboarding-Prozess keine bürokratische Schikane, sondern ein existenzieller Schutzmechanismus. Dieser Prozess muss sowohl technische als auch organisatorische und rechtliche Massnahmen umfassen. Technische Sperren wie die Deaktivierung von USB-Ports oder der Einsatz von Data Loss Prevention (DLP) Software, die das Kopieren sensibler Daten erkennt und blockiert, sind unerlässlich. Rechtlich muss der austretende Mitarbeiter eine Erklärung unterzeichnen, die ihn über seine fortwährende Schweigepflicht aufklärt und die Vernichtung aller Kopien bestätigt.
Die Preisgabe eines Berufsgeheimnisses ist gemäss Art. 13 des Anwaltsgesetzes (BGFA) nur mit Einwilligung des Berechtigten oder einer Bewilligung der Aufsichtsbehörde zulässig. Die eigenmächtige Mitnahme von Daten erfüllt diese Kriterien offensichtlich nicht. Ein lückenloser Offboarding-Prozess schützt nicht nur die Kanzlei und ihre Mandanten, sondern auch den austretenden Mitarbeiter vor strafrechtlichen Konsequenzen.
Ihr Plan d’action: Offboarding-Checkliste für Schweizer Kanzleien
- Sofortiger Widerruf: Widerrufen Sie unmittelbar mit Austrittsende sämtliche Zugriffsrechte auf IT-Systeme, Datenbanken und physische Räumlichkeiten.
- Rückgabe des Materials: Stellen Sie die vollständige Rückgabe allen Materials sicher, einschliesslich Laptops, Mobiltelefone und insbesondere privater Geräte, falls eine „Bring Your Own Device“ (BYOD)-Regelung bestand.
- Technische Blockaden: Deaktivieren Sie, falls möglich, die USB-Anschlüsse an den Geräten der austretenden Person bereits im Vorfeld oder setzen Sie auf eine zentrale Verwaltungslösung (Mobile Device Management), um Datenübertragungen zu kontrollieren.
- Rechtliche Verbindlichkeit: Lassen Sie eine rechtsverbindliche Erklärung unterzeichnen, die die Vernichtung aller Kopien von Mandantendaten bestätigt und an die fortbestehende gesetzliche Schweigepflicht sowie die Aufbewahrungspflichten gemäss Schweizer Obligationenrecht (in der Regel 10 Jahre) erinnert.
- Dokumentation: Dokumentieren Sie den gesamten Offboarding-Prozess lückenlos, um im Streitfall nachweisen zu können, dass alle notwendigen Sorgfaltspflichten erfüllt wurden.
Wann müssen Sie Mandantendaten endgültig vernichten und wie weisen Sie das nach?
Das nDSG verankert zwei Prinzipien, die auf den ersten Blick widersprüchlich erscheinen: die Datenminimierung (es dürfen nur so lange Daten aufbewahrt werden, wie es der Zweck erfordert) und die Rechenschaftspflicht. Gleichzeitig unterliegen Berufsgeheimnisträger gesetzlichen Aufbewahrungspflichten. Dieses Spannungsfeld zeigt sich deutlich in der Pflicht, bestimmte Dokumente wie Buchungsbelege und Geschäftskorrespondenz für 10 Jahre gemäss Schweizer Obligationenrecht aufzubewahren, während gleichzeitig nach Art. 12 nDSG ein Verzeichnis aller Datenverarbeitungstätigkeiten mit Angabe der Aufbewahrungsdauer geführt werden muss. Die zentrale Herausforderung besteht darin, einen Löschprozess zu definieren, der sowohl den gesetzlichen Aufbewahrungsfristen gerecht wird als auch dem Grundsatz der Datenminimierung folgt.
Sobald der Zweck der Datenverarbeitung und alle gesetzlichen Aufbewahrungsfristen abgelaufen sind, müssen die Daten endgültig und nachweisbar vernichtet werden. Ein einfaches Verschieben in den Papierkorb genügt nicht, da die Daten leicht wiederhergestellt werden können. Die Vernichtung muss je nach Medium mit geeigneten Methoden erfolgen. Bei digitalen Daten auf lokalen Festplatten bedeutet dies den Einsatz von spezieller Software, die die Daten mehrfach überschreibt. Bei physischen Datenträgern wie Festplatten oder USB-Sticks ist die Beauftragung eines zertifizierten Schweizer Dienstleisters, der die physische Zerstörung vornimmt und ein Vernichtungszertifikat ausstellt, der sicherste Weg.
Besonders kritisch ist die Vernichtung in der Cloud, da die Daten oft in mehreren Backup-Systemen an verschiedenen Orten repliziert werden. Hier muss vertraglich mit dem Cloud-Anbieter sichergestellt und von diesem eine Bestätigung eingeholt werden, dass die Daten aus allen Systemen unwiederbringlich gelöscht wurden.
Dieses Schaubild verdeutlicht die mikroskopische Präzision, die bei der zertifizierten Vernichtung von Dokumenten erforderlich ist, um eine Wiederherstellung unmöglich zu machen.
Der Nachweis der Vernichtung ist ebenso wichtig wie die Vernichtung selbst. Ein detailliertes Löschkonzept, das Teil der nDSG-Dokumentation ist, und die systematische Sammlung von Löschprotokollen und Vernichtungszertifikaten sind für die Rechenschaftspflicht unerlässlich. Die folgende Tabelle gibt einen Überblick über geeignete Methoden und Nachweisformen.
| Medium | Vernichtungsmethode | Nachweis |
|---|---|---|
| Digitale Daten | Software-Tools (z.B. Eraser) mit mehrfachem Überschreiben | Automatisch generierte Löschprotokolle |
| Physische Datenträger | Zertifizierter Schweizer Dienstleister (z.B. Data Ex 4000) | Offizielles Vernichtungszertifikat |
| Cloud-Daten | Löschung in allen Backup-Systemen verifizieren | Bestätigung des Cloud-Anbieters |
| Archivierte Daten | Personalakten: Plus 5 Jahre nach Arbeitsende; Kundendaten: Solange der Zweck es erfordert mit Verjährungsfristen zwischen 5 und 10 Jahren aus Verträgen | Löschkonzept als Teil der nDSG-Dokumentation |
Warum der Standard-E-Mail-Versand wie das Schreiben einer Postkarte ist?
Die Analogie ist alt, aber treffender denn je: Der Versand einer unverschlüsselten E-Mail gleicht dem Versand einer Postkarte. Jeder, der die „Karte“ auf ihrem Weg vom Absender zum Empfänger in die Hände bekommt – vom Postboten (Internet-Provider) bis zu neugierigen Nachbarn (Hackern) – kann den Inhalt mühelos mitlesen. Für Berufsgeheimnisträger ist diese Form der Kommunikation zur Übermittlung sensibler Mandatsdaten schlichtweg tabu. Sie stellt einen direkten Verstoss gegen die berufliche Schweigepflicht und die Sorgfaltspflichten des nDSG dar. Die Annahme, dass eine Transportverschlüsselung (TLS) ausreicht, ist trügerisch, da sie die Nachricht nur auf dem Transportweg schützt, nicht aber auf den Servern der beteiligten E-Mail-Provider, wo sie im Klartext liegt.
Selbst gängige Verschlüsselungsverfahren wie S/MIME oder PGP, die eine Ende-zu-Ende-Verschlüsselung ermöglichen, haben in der Praxis erhebliche Hürden. Wie Experten für sichere Prozesskommunikation betonen:
Dass die Daten nicht einfach per E-Mail verschickt werden sollten, liegt auf der Hand. Selbst die klassische E-Mail-Verschlüsselung bringt einige Nachteile in der Zusammenarbeit mit sich. So ist der Schlüsselaustausch bei den gängigen Verfahren wie OpenPGP und s/MIME kompliziert und setzt auf jeder Seite ein hohes technisches Grundverständnis voraus.
– Brainloop Secure Dataroom, Whitepaper zur sicheren Prozesskommunikation
Diese Komplexität führt dazu, dass solche Lösungen im Kanzleialltag oft nicht konsequent genutzt werden, was die Sicherheit untergräbt. Aus diesem Grund haben sich in der Schweiz spezialisierte und anerkannte Plattformen für den sicheren digitalen Austausch etabliert. Diese Dienste nehmen den Nutzern die Komplexität des Schlüsselmanagements ab und bieten eine juristisch und technisch saubere Alternative zur unsicheren Standard-E-Mail. Sie funktionieren oft über ein Web-Portal, bei dem der Empfänger eine Benachrichtigung mit einem sicheren Link erhält, um die Nachricht und Anhänge in einer geschützten Umgebung abzurufen. Für Berufsgeheimnisträger ist die Nutzung einer solchen Lösung für jegliche Kommunikation, die über triviale Terminabsprachen hinausgeht, keine Option, sondern eine zwingende Notwendigkeit.
Die folgende Tabelle listet einige der in der Schweiz etablierten und anerkannten Alternativen für den sicheren E-Mail-Verkehr auf.
| Lösung | Anbieter | Vorteile | Nachteile |
|---|---|---|---|
| IncaMail | Schweizerische Post | Offiziell anerkannt, einfache Integration | Kostenpflichtig |
| HIN | Health Info Net AG | Im Gesundheitswesen Standard, auch für Anwälte nutzbar | Primär für Gesundheitswesen |
| PrivaSphere | PrivaSphere AG | Ende-zu-Ende-Verschlüsselung | Beide Parteien benötigen Account |
| ProtonMail | Proton AG (Sitz in Schweiz) | Hohe Sicherheit, Schweizer Datenschutz | Limitierte Integration |
Warum langjährige Mitarbeiter oft das grösste Sicherheitsrisiko für Datendiebstahl sind?
In Diskussionen über Datensicherheit liegt der Fokus oft auf externen Bedrohungen wie raffinierten Hackern und komplexen Cyberangriffen. Dabei wird die grösste und oft subtilste Gefahr übersehen: der interne Mitarbeiter. Paradoxerweise sind es häufig nicht die neuen oder unzufriedenen Angestellten, sondern die langjährigen, vertrauenswürdigen Teammitglieder, die das grösste Risiko darstellen. Der Grund dafür ist nicht böswillige Absicht, sondern ein Phänomen namens „Betriebsblindheit“ oder „Privilege Creep“. Über die Jahre sammeln Mitarbeiter Zugriffsrechte für verschiedene Projekte und Mandate an, die nach Abschluss der Aufgaben nie wieder entzogen werden. Sie entwickeln Routinen und umgehen aus Bequemlichkeit oft die offiziellen Sicherheitsprozesse, weil „es schon immer so funktioniert hat“.
Diese übermässigen Berechtigungen, kombiniert mit einer gewissen Lässigkeit im Umgang mit Sicherheitsrichtlinien, schaffen ein enormes Einfallstor. Ein gezielter Phishing-Angriff auf einen solchen Mitarbeiter mit weitreichenden Zugriffsrechten kann katastrophale Folgen haben, da der Angreifer sofort Zugriff auf eine Fülle von sensiblen Daten erhält. Wie Experten betonen, bieten technische Lösungen alleine keinen hundertprozentigen Schutz vor Fahrlässigkeit, Unachtsamkeit oder den Folgen eines erfolgreichen Hackerangriffs. Die Sicherheit einer Kanzlei ist nur so stark wie ihr schwächstes Glied, und dieses ist fast immer ein Mensch.
Die Abwehr dieser internen Gefahr erfordert einen Paradigmenwechsel: weg von reinem Misstrauen, hin zu einer Kultur der geteilten Verantwortung und kontinuierlichen Sensibilisierung. Dies bedeutet, dass Sicherheitsschulungen keine einmalige Pflichtübung beim Onboarding sein dürfen. Stattdessen muss ein permanenter Schulungs- und Sensibilisierungsprozess etabliert werden, der auf die spezifischen Risiken des Kanzleialltags eingeht. Dazu gehört auch die Aufklärung über die Pflichten zur Transparenz gegenüber den Betroffenen, deren Daten beschafft werden.
- Regelmässige Schulungen: Führen Sie mindestens jährliche nDSG-Auffrischungen für alle Mitarbeitenden durch, die konkrete Fallbeispiele aus dem Kanzleialltag behandeln.
- Simulierte Angriffe: Organisieren Sie vierteljährliche, unangekündigte simulierte Phishing-Angriffe mit Schweiz-spezifischen Szenarien, um die Wachsamkeit zu testen und zu schärfen.
- Transparenz und Verantwortung: Klären Sie Mitarbeiter explizit über ihre Verantwortung bei der Beschaffung von Personendaten und die Informationspflicht gegenüber den Betroffenen auf.
- Positive Fehlerkultur: Etablieren Sie eine Kultur, in der Mitarbeiter Sicherheitsbedenken oder selbstverschuldete Fehler ohne Angst vor Sanktionen melden können. Ein frühzeitig gemeldeter Fehler ist weitaus weniger schädlich als ein vertuschter.
Das Wichtigste in Kürze
- Die strikte technische und logische Trennung von sensiblen und allgemeinen Mandantendaten ist die nicht verhandelbare Basis jeder nDSG-konformen Architektur für Berufsgeheimnisträger.
- Die Nutzung von Cloud-Diensten, insbesondere von US-Anbietern, ist nur zulässig, wenn durch technische (z.B. Double Key Encryption) und vertragliche Massnahmen die Datenhoheit und damit das Mandatsgeheimnis gewahrt bleiben.
- Der Mensch bleibt das grösste Risiko: Systematisches Berechtigungsmanagement nach dem „Least Privilege“-Prinzip und lückenlose Offboarding-Prozesse sind entscheidender als jede Firewall.
Wie verhindern Sie internen Datenmissbrauch durch striktes Berechtigungsmanagement?
Die effektivste Methode, um internen Datenmissbrauch – sei er absichtlich oder fahrlässig – zu verhindern, ist die konsequente Anwendung des „Least Privilege“-Prinzips. Dieses besagt, dass jeder Mitarbeiter und jedes System nur exakt die Zugriffsrechte erhalten darf, die für die Erfüllung der unmittelbaren Aufgabe zwingend erforderlich sind. In der Praxis wird dieses Prinzip oft verletzt. Ein Partner hat möglicherweise noch Zugriff auf die Akten eines vor fünf Jahren abgeschlossenen Mandats, oder eine Assistentin kann die Daten aller Mandate einsehen, obwohl sie nur für zwei Partner arbeitet. Diese unnötig weiten Berechtigungen sind eine tickende Zeitbombe. Ein striktes Berechtigungsmanagement entzieht dieser Bombe den Zünder.
Die Umsetzung erfordert einen granularen und dynamischen Ansatz. Anstelle von allgemeinen Rollen wie „Partner“ oder „Mitarbeiter“ müssen Zugriffsrechte pro Mandat oder sogar pro Dokument vergeben werden. Moderne Kanzleisoftware ermöglicht eine solche granulare Rechtevergabe. Entscheidend ist jedoch nicht nur die initiale Einrichtung, sondern der kontinuierliche Überprüfungsprozess. Ein sogenannter „Access Review“ muss in regelmässigen Abständen, mindestens vierteljährlich, durchgeführt werden. Dabei überprüft der verantwortliche Partner oder Mandatsleiter, wer auf „seine“ Daten Zugriff hat, und bestätigt oder widerruft diese Rechte.
Für kleinere Kanzleien gibt es eine wichtige Erleichterung: Der Schweizer Bundesrat sieht Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitenden vor, wenn ihre Datenbearbeitung nur ein geringes Risiko darstellt. Dies entbindet sie unter Umständen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses. Es entbindet sie jedoch nicht von der allgemeinen Sorgfaltspflicht, zu der ein angemessenes Berechtigungsmanagement zweifellos gehört.
Ein strukturierter Prozess zur Überprüfung und Anpassung von Zugriffsrechten ist daher unerlässlich:
- Periodischer Access Review: Führen Sie vierteljährlich eine formelle Überprüfung aller Zugriffsrechte durch.
- Dokumentation: Halten Sie die Anwendung der „Least Privilege“- und „Need-to-know“-Prinzipien schriftlich in Ihrem Datenschutzkonzept fest.
- Verantwortlichkeit: Jede Berechtigung muss von einem verantwortlichen Partner oder Mandatsleiter bestätigt und dokumentiert werden.
- Anpassung bei Funktionswechsel: Ändert ein Mitarbeiter seine Funktion innerhalb der Kanzlei, müssen seine Zugriffsrechte innerhalb von 24 Stunden an die neue Rolle angepasst werden.
Ein solcher Prozess minimiert nicht nur das Risiko von Datenlecks, sondern schafft auch eine klare Rechenschaftspflicht und stärkt die Vertrauensarchitektur der gesamten Organisation. Er ist der technische Ausdruck des Prinzips, dass Wissen innerhalb einer Kanzlei kein Allgemeingut, sondern ein streng geschütztes Gut des Mandanten ist.
Um diese Prinzipien wirksam in Ihrer Kanzlei oder Ihrem Treuhandunternehmen zu verankern, ist der nächste logische Schritt eine detaillierte Analyse Ihrer bestehenden Prozesse und Technologien im Rahmen eines umfassenden Datenschutz-Checks.