Datenklassifizierung – Grundlage für Governance und Datenschutz

Okt. 18, 2025

Die Datenklassifizierung ist ein wichtiger Bestandteil einer sicheren und gesetzeskonformen Datenverarbeitung. Viele Unternehmen schieben das Thema Datenklassifizierung vor sich her – dabei ist sie eine zentrale Voraussetzung für Datenschutz, Informationssicherheit und Compliance. Sind die Daten im Unternehmen klar klassifiziert, können IT-Abteilungen sensible Informationen gezielt schützen – und gesetzliche Vorgaben wie das Schweizer Datenschutzgesetz (revDSG) oder internationale Standards wie ISO/IEC 27001 werden wirksam umgesetzt.

Datenklassifizierung und Datenschutz in der Schweiz

Die Datenklassifizierung ist ein fortlaufender Prozess, bei dem Informationen in Kategorien eingeteilt werden – um sie effizient zu nutzen und gezielt zu schützen.
Ziel ist es, dass jede Information ein angemessenes Schutzniveau entsprechend ihrer Bedeutung erhält.

Sie ist damit ein Kernelement jeder IT-Sicherheitsstrategie – und zugleich ein wichtiger Bestandteil der Datenschutz-Compliance, da sie sicherstellt, dass Personendaten, Finanzdaten oder Gesundheitsdaten mit geeigneten technischen und organisatorischen Massnahmen geschützt werden.

Datenklassifizierung als Grundlage der Datenschutz-Compliance

Das Datenschutzgesetz verlangt den angemessenen Schutz von Personendaten.
Personendaten finden sich nicht nur in Verträgen oder HR-Unterlagen, sondern auch in E-Mails, Logdaten, Metadaten oder Cloud-Systemen.

Der Schutzbedarf hängt von der Datenkategorie ab:

  • Normale Personendaten (z. B. Name, Adresse) haben einen geringeren Schutzbedarf.

  • Besonders schützenswerte Daten (z. B. Gesundheitsdaten, politische Ansichten) erfordern ein deutlich höheres Schutzniveau.

Durch eine klare Datenklassifizierung lässt sich der jeweilige Schutzbedarf bestimmen und daraus lassen sich konkrete Massnahmen ableiten – von Zugriffskontrollen über Verschlüsselung bis zur sicheren Löschung.

Typische Klassifizierungsstufen

Üblich sind drei bis fünf Stufen, z. B.:

  1. Öffentliche Daten – dürfen frei veröffentlicht werden (z. B. Website-Inhalte, Geschäftsberichte)
  2. Interne Daten – nur intern zugänglich, z. B. Telefonlisten oder Intranet-Richtlinien
  3. Vertrauliche Daten – für einen begrenzten Personenkreis, z. B. Projektdokumente, Verträge, Personaldaten
  4. Geheime Daten – höchste Schutzstufe, z. B. Finanzinformationen, Bankdaten, Authentifizierungsdaten

Vorgehen zur Einführung einer Datenklassifizierung

Ein funktionierendes Datenklassifizierungssystem entsteht nicht automatisch – es muss geplant, umgesetzt und laufend gepflegt werden:

  1. Dateninventar erstellen – welche Daten existieren, wo liegen sie, wer hat Zugriff
  2. Richtlinie definieren – Stufen, Kriterien, Verantwortlichkeiten
  3. Ist-Analyse – bestehende Daten zuordnen und Lücken erkennen
  4. Kennzeichnung umsetzen – physisch und digital.
  5. Regelmässig überprüfen – Schutzmechanismen, Compliance und Aktualität.

Fazit

Mit einer klaren Datenklassifizierung verbessern Unternehmen ihren Datenschutz in der Schweiz und erfüllen die Anforderungen der ISO 27001. Eine konsequente Datenklassifizierung bringt Unternehmen klare Vorteile:

  • Übersicht über sämtliche Datenbestände

  • Effiziente Datennutzung und gezielte Schutzmassnahmen

  • Stärkung der IT- und Datenschutzstrategie

  • Minimierung von Risiken und Compliance-Kosten

Wer seine Daten kennt und richtig einstuft, schützt sein Unternehmen technisch, organisatorisch und rechtlich.

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.