Die Geschäftsführung eines KMU in der Schweiz trägt eine erhebliche Verantwortung für den Schutz der Daten von Kunden, Mitarbeitenden und Geschäftspartnern sowie für die Sicherstellung einer robusten Cybersicherheit. Cybersicherheit ist Chefsache!
In der Schweiz regelt das Bundesgesetz über den Datenschutz (Datenschutzgesetz DSG) den Umgang mit personenbezogenen Daten. Das Gesetz verpflichtet Unternehmen, personenbezogene Daten zu schützen und sicherzustellen, dass die Rechte der betroffenen Personen gewahrt werden. Die Geschäftsleitung und der Verwaltungsrat tragen somit die Verantwortung dafür, dass der Datenschutz in seinem Unternehmen umfassend berücksichtigt wird. Eng mit dem Datenschutz verbunden ist die Cybersicherheit, da mangelnde Sicherheitsvorkehrungen die Gefahr von Datenabflüssen und Angriffen erhöhen. Es ist daher Aufgabe der Geschäftsleitung, Massnahmen zum Schutz des Unternehmens und dessen Daten zu treffen.
Als Folge davon ergeben sich unter anderem folgende Pflichten im Bereich Cybersicherheit:
- Strategische Verantwortung für Cybersicherheit: Als Geschäftsführung sind Sie dafür verantwortlich, eine umfassende Cybersicherheitsstrategie zu entwickeln und umzusetzen. Dies umfasst sowohl präventive Massnahmen (zum Beispiel regelmässige Sicherheitsupdates, Virenschutz) als auch Reaktionspläne für den Fall eines Angriffs (zum Beispiel Notfallwiederherstellung, Kommunikation mit Behörden).
- Schutz von IT-Infrastruktur und Netzwerken: Sie müssen sicherstellen, dass alle IT-Systeme, Netzwerke und Datenbanken im Unternehmen durch geeignete Sicherheitsvorkehrungen geschützt sind. Dazu gehören Firewalls, Antiviren-Programme, regelmässige Updates von Software und Betriebssystemen sowie die Verschlüsselung sensibler Daten.
- Zugangskontrollen und Rechtevergabe: Eine wichtige Massnahme zur Cybersicherheit ist die Einführung von Zugangskontrollen und Benutzerauthentifizierung. Bestimmen Sie, wer auf welche Systeme und Daten zugreifen kann, und setzen Sie Mehrfach-Authentifizierung ein, um unbefugten Zugriff zu verhindern.
- Schulung der Mitarbeitenden: Der Mensch ist ein Angriffsvektor, wenn es um Cybersicherheit geht. Schulen Sie alle Mitarbeitenden regelmässig in Bezug auf Cybersicherheitsbedrohungen wie Phishing, Social Engineering und den sicheren Umgang mit Passwörtern. Alle Mitarbeitenden sollten sich der Risiken bewusst sein und wissen, wie sie im Falle eines Sicherheitsvorfalls reagieren müssen.
- Notfall- und Krisenmanagement: Der Verwaltungsrat sollte sicherstellen, dass das Unternehmen einen klaren Notfallplan für den Fall eines Cyberangriffs oder einer Sicherheitsverletzung hat. Dieser Plan sollte Notfallkontakte, Wiederherstellungsstrategien und Schritte zur Minimierung von Schäden umfassen.
- Regelmässige Sicherheitsüberprüfungen und Audits: Cybersicherheit ist ein fortlaufender Prozess. Die Geschäftsleitung sollte regelmässige Sicherheitsüberprüfungen und Penetrationstests durchführen lassen, um Schwachstellen zu identifizieren und Sicherheitslücken zu schliessen. Dies kann auch durch externe Expertinnen oder Experten oder IT-Dienstleister erfolgen.
- Haftungsrisiken und Versicherung: Prüfen Sie, ob Ihr Unternehmen über eine geeignete Cyberversicherung verfügt, die mögliche finanzielle Schäden durch Cyberangriffe oder Datenpannen abdeckt. Als Geschäftsführung oder Verwaltungsrat sind Sie auch für Haftungsfragen verantwortlich, falls durch mangelhafte Cybersicherheit Schäden entstehen.
Die Geschäftsleitung und der Verwaltungsrat haften im Falle von Versäumnissen oder Fehlern im Bereich Datenschutz und Cybersicherheit. Sollten diese ihre Sorgfaltspflicht nicht erfüllen, können sie für entstandene Schäden persönlich haftbar gemacht werden. Dies gilt insbesondere, wenn der Datenschutz oder die Cybersicherheit grob fahrlässig vernachlässigt werden oder gesetzliche Vorschriften nicht eingehalten werden.
