Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

Einhaltung des Schweizer FADP

Switzerland's revised Federal Act on Data Protection requires appropriate data security. Learn how ImmuniWeb helps you meet its Article 8 data-security obligation.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
DSG-Konformität
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
Swiss FADP Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des Schweizer FADP

What Is the Swiss FADP?

The revised FADP governs how organizations process the personal data of individuals in Switzerland. It grants data subjects rights, requires records of processing and, for higher-risk processing, data protection impact assessments, and obliges controllers and processors to keep personal data secure.

The Data Protection Ordinance sets out minimum data-security requirements. A notable feature of the FADP is that certain breaches can lead to fines of up to CHF 250,000 imposed on the responsible individuals rather than the company.

See how ImmuniWeb helps you meet Swiss FADP Article 8 data security - securing the apps that process personal data. Request a demoВ· or run a free Community Edition test.

Wer muss die FADP einhalten?

Das FADP gilt für:

  • Privatpersonen (Unternehmen), die in der Schweiz personenbezogene Daten verarbeiten.
  • Federal bodies processing personal data.
  • Organisationen außerhalb der Schweiz, deren Datenverarbeitung Auswirkungen in der Schweiz hat (extraterritoriale Reichweite).

Jede Organisation, die Web- und mobile Anwendungen betreibt, die personenbezogene Daten verarbeiten, muss diese sichern und testen.

Wichtige FADP-Anforderungen an die Anwendungssicherheit

Die Anwendungssicherheit wird durch die Datensicherheitsverpflichtung geprägt:

  • Article 8 - Data security: controllers and processors must ensure appropriate data security through suitable technical and organisational measures.
  • Data Protection Ordinance: sets minimum requirements for the technical and organisational measures.
  • Artikel 24 – Meldung bei Datenschutzverletzungen: Datenschutzverletzungen, die wahrscheinlich zu einem hohen Risiko für die betroffenen Personen führen, sind dem FDPIC zu melden.

FADP Security Requirements in Depth

Article 8 - Data Security

Artikel 8 verlangt angemessene Datensicherheit durch technische und organisatorische Maßnahmen, wobei die Mindestanforderungen in der Datenschutzverordnung detailliert festgelegt sind. Für internetgestützte Systeme bedeutet dies, die Web- und Mobilanwendungen sowie APIs, die personenbezogene Daten verarbeiten, zu sichern und regelmäßig zu testen sowie die gefundenen Schwachstellen zu beheben.

Benachrichtigung bei Datenschutzverletzungen (Artikel 24)

Controllers must notify the FDPIC of breaches likely to result in a high risk to data subjects. Reducing breach likelihood through regular application testing is the most effective way to avoid reaching that point.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Personal-data breaches frequently start with vulnerable web and mobile applications. The risks Article 8 expects you to address map closely to the OWASP Top 10:

  • Broken Access Control - Benutzer greifen auf Daten oder Aktionen zu, auf die sie keinen Zugriff haben sollten.
  • Cryptographic Failures – schlechte oder fehlende Verschlüsselung, die sensible Daten preisgibt.
  • Injection – SQL-, Befehls- oder andere Injection durch unvalidierte Eingaben.
  • Insecure Design - missing security controls by design, not just by bug.
  • Security Misconfiguration - default, incomplete or unsafe configuration.
  • Vulnerable & Outdated Components - unpatched libraries and frameworks.
  • Identification & Authentication Failures - weak login, session or credential handling.
  • Software & Data Integrity Failures - untrusted updates, insecure CI/CD pipelines.
  • Fehler bei der Sicherheitsprotokollierung und -überwachung – Angriffe bleiben unentdeckt.
  • Server-Side Request Forgery (SSRF) - the server tricked into making malicious requests.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

How to Approach FADP Application Security with ImmuniWeb

  1. Map your exposure. Inventory internet-facing apps and assets with ImmuniWeb Discovery.
  2. Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
  3. Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
  4. Beheben Sie Schwachstellen und testen Sie erneut mit umsetzungsorientierten Berichten ohne False Positives.
  5. Keep testing continuously with Continuous in CI/CD and periodic re-testing.
  6. Überwachen Sie Datenlecks mit der Dark Web-Überwachung von Discovery für Breach Readiness.

So hilft Ihnen ImmuniWeb, die FADP-Konformität zu erreichen

ImmuniWeb helps controllers implement and evidence the appropriate data-security measures Article 8 requires.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Article 8 - data security Appropriate technical and organisational measures. On-Demand, Neuron, Discovery, Continuous
Apps & Daten Sichere Web-/Mobile-Apps, die personenbezogene Daten verarbeiten. On-Demand, Neuron, MobileSuite, Neuron Mobile
Vorbereitung auf Datenschutzverletzungen (Art. 24) Detect exposure and leaked data; keep attack surface mapped. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand und MobileSuite liefern Web- und Mobile-Penetrationstests; Neuron und Neuron Mobile bieten automatisiertes Scanning; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre externe Angriffsfläche und überwacht das Dark Web auf geleakte personenbezogene Daten.

s. internationale Frameworks>

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
Swiss FADP Artikel 8: Datensicherheit Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring
EU-DSGVO Artikel 32 Sicherheit der Verarbeitung Dieselben Tests decken beide ab
UK-DSGVO Artikel 32 Sicherheit der Verarbeitung Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventarisierung der Internet-exponierten Apps und exponierten Assets
  • Webanwendungen, die nach OWASP Top 10 getestet wurden
  • Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
  • Umsetzung geeigneter technischer Sicherheitsmaßnahmen (Artikel 8)
  • Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
  • Verfahrens zur Meldung von Datenschutzverletzungen in Einklang mit dem FDPIC
  • Exposure- und Dark-Web-Monitoring vorhanden

Warum die Einhaltung der DSG wichtig ist

Das revidierte FADP wird vom FDPIC durchgesetzt, und bestimmte Verstöße – einschließlich Datensicherheitsmängeln – können zu Geldstrafen von bis zu 250'000 CHF führen, die gegen die verantwortlichen Personen verhängt werden. Ein starker Datenschutz unterstützt zudem die Datenströme der Schweiz mit der EU.

Because web and mobile applications are a leading breach vector, demonstrably securing and testing them is one of the clearest ways to meet Article 8 and reduce risk.

Häufig gestellte Fragen

  • Q
    Was ist das Schweizer DSG?
    A
    Das revidierte Bundesgesetz über den Datenschutz, das seit dem 1. September 2023 in Kraft ist, ist das modernisierte Datenschutzgesetz der Schweiz, das vom EDÖB überwacht wird.
  • Q
    Who regulates the FADP?
    A
    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
  • Q
    Who must comply with the FADP?
    A
    Private persons (companies) and federal bodies processing personal data, including organizations abroad whose processing has effects in Switzerland.
  • Q
    What does Article 8 require?
    A
    Angemessene Datensicherheit durch geeignete technische und organisatorische Maßnahmen, wobei die Mindestanforderungen in der Datenschutzverordnung festgelegt sind.
  • Q
    Gibt die FADP Sicherheitstests vor?
    A
    Die Datensicherheitsverpflichtung gemäß Artikel 8 wird in der Praxis durch Penetration Testing und Vulnerability Scanning von Systemen, die personenbezogene Daten verarbeiten, erfüllt.
  • Q
    What are the penalties under the FADP?
    A
    Fines of up to CHF 250,000, which can be imposed on the responsible individuals rather than the company.
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
Swiss FADP Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten