DSG für Treuhandbüros: 7 konkrete Pflichten in 2026 (jenseits des Formulars)
Verzeichnis der Bearbeitungstätigkeiten, DSFA, 72h-Meldung, Sub-Auftragnehmer. Der praktische Leitfaden zu DSG-Pflichten für Schweizer Treuhandbüros, ohne Jargon.
GA
Greg Annas
Mitgründer BeGenerous Digital
Das neue Datenschutzgesetz (DSG) ist am 1. September 2023 in Kraft getreten. 2026 hat der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) mehrere Schlüsselentscheidungen veröffentlicht und die Audit-Praxis hat sich stabilisiert. Für Treuhandbüros, die täglich sensible Finanz- und Steuerdaten verarbeiten, ist es Zeit für einen Auditierbarkeits-Check.
TL;DR — Die 7 Pflichten, die vorhanden sein müssen
Verzeichnis der Bearbeitungstätigkeiten (VBT) aktuell
Transparente Information an Kunden (explizite Datenschutzerklärung)
Technische und organisatorische Sicherheit (TOM)
Datenschutz-Folgenabschätzung (DSFA) bei riskanten Bearbeitungen
Verletzungsmeldung an EDÖB innerhalb 72h
DPA-Verträge mit allen Sub-Auftragnehmern
Verfahren für Betroffenenrechte (Auskunft, Berichtigung, Löschung)
1. Das Verzeichnis der Bearbeitungstätigkeiten (VBT)
Art. 12 DSG verpflichtet jedes Unternehmen, das Personendaten bearbeitet, ein Verzeichnis zu führen. Für ein Treuhandbüro ist das VBT nicht optional — es ist eine der ersten Belege, die ein EDÖB-Prüfer bei Kontrolle verlangt.
Mindestinhalt des VBT:
Name des Verantwortlichen (das Treuhandbüro, sein Firmenname)
Das VBT muss aktuell gehalten werden. Nicht jährlich aktualisiert, sondern aktualisiert, wenn etwas ändert.
Der klassische Fehler
Viele Treuhandbüros haben 2023 in DSG-Panik ein VBT verfasst und es nie wieder angerührt. Das VBT 2023 erwähnt weder die 2024 eingeführte generative KI noch die 2025 hinzugefügten neuen Sub-Auftragnehmer. Genau das wird im Audit beanstandet.
2. Transparente Information an Kunden
Art. 19 DSG verlangt eine proaktive Information an betroffene Personen. Für ein Treuhandbüro: eine öffentliche Datenschutzerklärung (auf der Website) UND eine Information bei Kundenbeziehungsaufnahme.
Praktischer Tipp: einen DSG-Abschnitt im Standard-Auftragsvertrag des Treuhandbüros haben, vom Kunden bei Beziehungsaufnahme unterzeichnet. Das schafft expliziten Informationsbeweis.
3. Technische und organisatorische Sicherheit (TOM)
Art. 8 DSG verlangt "angemessene technische und organisatorische Massnahmen" zur Datensicherheit. Der EDÖB schreibt keine präzise Liste vor, aber in der Praxis werden erwartet:
| Massnahme | Erwartetes Detail |
|---|---|
| Starke Authentifizierung | 2FA für alle Admin-Konten-Zugänge |
| Verschlüsselung | TLS 1.2+ im Transit, AES-256 ruhend für sensible Dateien |
| Zugriffslogs | Wer hat auf welches Kundendossier zugegriffen, wann |
| Backup und getestete Wiederherstellung | Tägliches Backup + quartalsweise Wiederherstellungstest |
| Mitarbeiter-Zugangsverwaltung | Dokumentiertes Onboarding/Offboarding |
| Hosting | Souveränes CH-Hosting (oder EU mit DPA) für sensible Daten |
Für Treuhandbüros, die ihre Daten auf US-Diensten hosten (Microsoft 365, Google Workspace, AWS US), muss eine Cloud-Act-Risikoanalyse dokumentiert sein. Das DSG verbietet das nicht, exponiert aber dem Risiko eines US-Zugriffs durch den Anbieter ohne Kundeninformation.
4. Datenschutz-Folgenabschätzung (DSFA) bei riskanten Bearbeitungen
Art. 22 DSG verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Bearbeitung ein "hohes Risiko" für betroffene Personen darstellt. Für ein Treuhandbüro:
Typischerweise riskante Bearbeitungen:
Einrichtung eines KI-Tools, das Kundensteuerdokumente analysiert
Buchhaltungs-Outsourcing an Offshore-Sub-Auftragnehmer
Automatisiertes Kunden-Profiling zu Preisgestaltungszwecken
Bürovideoüberwachung mit Zugriff auf Arbeitsplätze
Kreditscoring-Anwendung für Kunden
Typischerweise nicht riskante Bearbeitungen:
Standardbuchhaltung eines Schweizer KMU-Kunden
MWST-Erklärung via ESTV-Portal
Internes Time Tracking der Mitarbeiter
Die DSFA muss dokumentieren: die Bearbeitung, identifizierte Risiken, Massnahmen zu deren Abschwächung und die Endentscheidung (vorangehen, ändern, abbrechen).
5. Verletzungsmeldung an EDÖB innerhalb 72h
Art. 24 DSG verlangt die Meldung an den EDÖB bei Datensicherheitsverletzung, "so rasch als möglich". Die europäische Praxis (DSGVO) verlangt 72 Stunden, und der EDÖB hat sie als informelle Referenz übernommen.
Was ist eine Verletzung?
Diebstahl oder Verlust eines Laptops mit Kundendossiers
Kompromittierung eines E-Mail-Kontos mit Zugang zu Buchhaltungsbelegen
Versandfehler: Kundenrechnung versehentlich an anderen Kunden gesendet
Ransomware-Angriff, der Treuhand-Server betrifft
Unbeabsichtigte Datenleck via Sub-Auftragnehmer
Ein schriftliches, den Mitarbeitenden bekanntes Verfahren ist entscheidend. Wenn die Verletzung auftritt, haben Sie 72h für Analyse + Meldung.
Das doppelte Risiko Straf + Reputation
Eine nicht gemeldete Verletzung kann zu einer Strafe (bis CHF 250'000 für die verantwortliche Person, Art. 60 DSG) führen. Aber das echte Risiko ist Reputation: Ein Kunde, der zufällig erfährt, dass eine Verletzung sein Dossier betraf, beendet die Beziehung sofort.
6. DPA-Verträge mit allen Sub-Auftragnehmern
Art. 9 DSG verlangt einen schriftlichen Vertrag mit allen Sub-Auftragnehmern, die Daten für Sie bearbeiten. Ein Sub-Auftragnehmer = jeder Anbieter, der Kundendaten sieht oder speichert.
Typische Sub-Auftragnehmer eines Treuhandbüros:
Hoster (Infomaniak, Exoscale, AWS, Azure, Google Cloud)
E-Mail (Microsoft 365, Google Workspace, Resend, Mailgun)
Dokumentenspeicher (Dropbox, Google Drive, SharePoint, S3)
KI (OpenAI, Anthropic, Voyage AI, Mistral)
Buchhaltung (Bexio, Crésus, Abacus)
Prospektions- oder CRM-Tools (HubSpot, Pipedrive)
Für jeden Sub-Auftragnehmer muss ein Data Processing Agreement (DPA) unterzeichnet werden. Die meisten seriösen Anbieter liefern ein herunterladbares Standard-DPA. In Ihrem Compliance-Dossier aufbewahren.
7. Verfahren für Betroffenenrechte
Kunden (und ihre Mitarbeiter, ihre wirtschaftlich Berechtigten) haben 5 durchsetzbare Rechte:
| Recht | Antwortfrist |
|---|---|
| Auskunft über ihre Daten | 30 Tage |
| Berichtigung | 30 Tage |
| Löschung (unter Bedingungen) | 30 Tage |
| Einschränkung der Bearbeitung | 30 Tage |
| Datenportabilität (Datenexport) | 30 Tage |
Das interne Verfahren muss identifizieren, wer die Anfrage erhält (oft GwG-Verantwortlicher oder Partner), wer instruiert, wer antwortet und wie nachverfolgt wird.
Sonderfall Löschung: Für ein Treuhandbüro können viele Daten NICHT gelöscht werden, da sie unter gesetzlicher Aufbewahrungspflicht stehen (10 Jahre für Buchhaltungsbelege, 10 Jahre für GwG-Dossiers). Das Recht auf Löschung ist dann eingeschränkt — dem Kunden mitzuteilen.
Integrierte DSG-Compliance in FidUp
Souveränes Schweizer Hosting (Infomaniak Genf + Supabase Zürich), unveränderliches Audit-Log auf allen sensiblen Aktionen, striktes RLS Multi-Tenant, DPA mit dem Service-Vertrag geliefert. Alle DSG-Anforderungen sind by design implementiert, nicht als Option.
Die Falle des "wir haben ein ISO-27001-Zertifikat"
Viele Treuhandbüros denken, einen ISO-27001- oder SOC-2-zertifizierten Anbieter gewählt zu haben, decke sie automatisch ab. Falsch. Die Zertifizierung des Sub-Auftragnehmers beweist seine eigene Strenge, nicht die Compliance Ihres Treuhandbüros. Sie bleiben verantwortlich für die Bearbeitung und müssen:
Das VBT dokumentieren (auch wenn der Sub-Auftragnehmer super sicher ist)
Das DSG ist keine bürokratische Last. Es ist eine Disziplin, die Ihr Treuhandbüro auditierbar und verteidigbar macht. Ein Treuhandbüro mit aktuellem VBT, unterzeichneten DPA und schriftlichem Verletzungsverfahren schläft besser als eines, das die Daumen drückt.