Verlangt das revDSG Datenbank-Verschlüsselung?

Nicht explizit. Es verlangt aber angemessene technische Massnahmen für Daten mit hohem Schutzbedarf. Bei sensitiven Daten (Gesundheit, Religion, Personalien) ist Verschlüsselung praktisch Pflicht.

Was kostet eine verschlüsselte Datenbank in der Schweiz?

Setup ab CHF 840 einmalig plus etwa CHF 50 pro Monat beim Anbieter. Setup-Pro mit Failover ab CHF 2'100 plus CHF 180 pro Monat. Plus optional Wartungsabo ab CHF 70 pro Monat.

Was ist Encryption at-rest und in-transit?

At-rest: Daten sind verschlüsselt auf der Festplatte. In-transit: Daten sind verschlüsselt beim Übertragen zwischen Datenbank und Anwendung. Beides ist heute Standard und sollte beides aktiv sein.

Datenbank-Sicherheit

Verschlüsselte Datenbank: Brauche ich das wirklich?

Eine ehrliche Antwort, was Sie für Ihr KMU wirklich brauchen und was Sie sich sparen können.

Von AmuraDesign•13. Mai 2026•6 Min. Lesezeit

«Wir müssen unsere Daten verschlüsseln, sonst sind wir nicht DSG-konform», sagte mir letzte Woche eine Geschäftsführerin. Sie hatte das von einer Datenschutz-Schulung mitgenommen und war stark verunsichert. Verständlich.

Die Realität ist differenzierter. Verschlüsselung ist gut, sie ist heute Standard, aber sie ist nicht für jede KMU-Datenbank Pflicht. Und vor allem ist Verschlüsselung nicht das, was die meisten Leute glauben.

Was «verschlüsselt» eigentlich heisst

Wenn jemand von einer verschlüsselten Datenbank redet, kann das drei verschiedene Sachen meinen:

Encryption at-rest

Die Daten sind auf der Festplatte verschlüsselt. Wenn jemand die Festplatte stiehlt oder das Backup ungesichert herumliegt, sind die Daten unlesbar. Heute Standard bei jedem ernsthaften Anbieter, Sie müssen sich kaum darum kümmern.

Encryption in-transit

Daten sind verschlüsselt, wenn sie zwischen Server und Anwendung hin- und herfliegen. Auch das ist heute überall standardmässig (TLS). Wer noch unverschlüsselt sendet, lebt im Jahr 2010.

Application-Layer Encryption

Einzelne Spalten in der Datenbank (z.B. AHV-Nummer, Patientendaten) sind zusätzlich auf Applikations-Ebene verschlüsselt. Selbst wer Datenbank-Zugriff hat, kann die Werte nicht direkt lesen. Das ist die ernsthaftere Sache, die nicht überall standardmässig läuft.

Wer braucht was?

Pragmatische Einteilung nach Branche:

Klassische KMU-Webseite mit Newsletter

At-rest und in-transit, beides aktiv. Application-Layer-Encryption für die Newsletter-Adressen wäre Overkill.

Online-Shop mit Kundendaten und Zahlungen

At-rest, in-transit, plus Application-Layer-Encryption für Zahlungsdaten. Wobei Sie Zahlungsdaten nach PCI-DSS ohnehin nicht selbst speichern sollten, sondern Ihren Zahlungsanbieter (Stripe, Datatrans).

Anwaltskanzlei, Arztpraxis, HR-Plattform

Alle drei Ebenen. Plus dokumentierte Schlüsselverwaltung (z.B. in einem KMS oder Vault), Audit-Logs für jeden Zugriff und ein Lösch-Konzept gemäss DSG. Hier wird Verschlüsselung ein eigenes Compliance-Projekt.

FINMA-regulierte Branchen

Alles vom Vorherigen, plus zusätzliche Vorgaben aus FINMA-Rundschreiben. Brauchen Sie einen Spezialisten und ein dediziertes Compliance-Budget.

Was kostet es konkret?

Ein typisches Managed-PostgreSQL-Setup mit at-rest, in-transit, Failover und automatisierten Backups kostet bei uns Setup-Basic ab CHF 840 plus ca. CHF 50 pro Monat beim Anbieter (Exoscale, Infomaniak). Setup-Pro mit Failover-Replika ab CHF 2'100 plus ca. CHF 180 pro Monat.

Application-Layer-Encryption ist ein eigenes Projekt, je nach Komplexität zwischen CHF 1'500 und CHF 6'000 zusätzlich. Klingt viel, ist aber günstig im Vergleich zum Aufwand bei einer Datenpanne.

Unsicher, was Sie wirklich brauchen?

Wir besprechen Ihren Use-Case und empfehlen das angemessene Setup. Ohne Übertreibung, ohne Untertreibung.

Managed Database ansehen

Weiterlesen

Schweizer Hosting, wann lohnt es sich?

Wann ein Schweizer Server wirklich Sinn macht.

Server einrichten in der Schweiz

Was zur sicheren Server-Einrichtung gehört.