Teil 14 unserer Serie zum Datenschutzrecht in der Schweiz
In diesem Teil unserer Serie analysieren wir, ob und unter welchen Umständen Datensicherheitsverletzungen den zuständigen Behörden in der Schweiz gemeldet werden müssen.
Meldepflichten gemäss dem revidierten Datenschutzgesetz (DSG)
Nach dem revidierten Bundesgesetz über den Datenschutz (DSG) gilt: Bei einer Datenpanne ist schnelles Handeln entscheidend.
Wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, sind Verantwortliche gemäss Art. 24 Abs. 1 DSG gesetzlich verpflichtet, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich zu benachrichtigen.
Zur Beurteilung des Risikos müssen Verantwortliche sorgfältig sowohl die Schwere möglicher Folgen als auch die Eintrittswahrscheinlichkeit dieser Folgen einschätzen.
Gemäss dem Leitfaden des EDÖB1 sind bei der Beurteilung insbesondere folgende Faktoren zu berücksichtigen:
- Sensibilität der betroffenen Daten;
- Art und Umstände der Datenpanne;
- Aufwand zur Identifikation der betroffenen Personen;
- Anzahl betroffener Personen und Umfang der betroffenen Daten.
Sicherheitsmassnahmen, die erst nach der Datenpanne ergriffen werden, dürfen dabei nicht zur Minderung der Eintrittswahrscheinlichkeit berücksichtigt werden.
Die Meldung an den EDÖB erfolgt über das Online-Meldeportal des EDÖB2.
Meldepflichten nach anderen Gesetzen
Gemäss dem revidierten Informationssicherheitsgesetz (ISG) sind Betreiber kritischer Infrastrukturen ab dem 1. April 2025 verpflichtet, jede Cyberattacke auf ihre IT-Infrastruktur innerhalb von 24 Stunden beim Nationalen Zentrum für Cybersicherheit (NCSC) zu melden.
Die Einzelheiten sowie Ausnahmen der Meldepflicht sind in der gleichzeitig in Kraft getretenen Cybersicherheitsverordnung (CSV)3 geregelt. Die Meldepflicht gemäss ISG gilt unabhängig davon, ob Personendaten betroffen sind oder nicht.
In Anlehnung an die EU-Richtlinie über Netz- und Informationssicherheit (NIS 2) kann für Schweizer Unternehmen in kritischen Sektoren gemäss Anhang I und II der NIS 24 zudem eine Meldepflicht nach EU-Recht bestehen. Dies gilt insbesondere, wenn sie:
- Dienstleistungen oder Tätigkeiten im EU-Raum erbringen, oder
- Teil der Lieferkette eines europäischen Unternehmens sind, das unter den Anwendungsbereich von NIS 2 fällt.
In Teil 15 unserer Serie beleuchten wir die Sanktionen bei Verstössen gegen das Schweizer Datenschutzrecht.
Footnotes
2 https://databreach.edoeb.admin.ch/report
3 https://www.fedlex.admin.ch/eli/oc/2025/169/de
4 Dazu gehören Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, Post- und Kurierdienste, Abfallbewirtschaftung, chemische Stoffe, Lebensmittel, Medizinprodukte, Anbieter digitaler Dienste usw. Die vollständige Liste ist in Anhang I und II der NIS-2-Richtlinie zu finden: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
