Cyber­se­cu­ri­ty: Bund prüft die Ein­füh­rung einer Mel­de­pflicht

Der Bun­des­rat hat an sei­ner heu­ti­gen Sit­zung den Bericht «Vari­an­ten für Mel­de­pflich­ten von kri­ti­schen Infra­struk­tu­ren bei schwer­wie­gen­den Sicher­heits­vor­fäl­len» gut­ge­hei­ssen. Der Bericht soll dazu bei­tra­gen, die Dis­kus­sio­nen um Mel­de­pflich­ten auf einer fun­dier­ten Basis zu füh­ren. Er beleuch­tet ver­schie­de­ne Facet­ten von Mel­de­pflich­ten, beschreibt den Kon­text der bestehen­den Mel­de­pflich­ten in der Schweiz sowie im Aus­land und ent­wickelt ver­schie­de­ne Grund­mo­del­le für Mel­de­pflich­ten als mög­li­che Vari­an­ten zur Umset­zung. Basie­rend auf die­sen Ergeb­nis­sen will der Bun­des­rat bis Ende 2020 Grund­satz­ent­schei­de über die Ein­füh­rung von Mel­de­pflich­ten fäl­len.

Bemer­kens­wert ist, dass der Bericht die Mel­de­pflicht für daten­schutz­re­le­van­te Vor­fäl­le nur im Zusam­men­hang mit der euro­päi­schen DSGVO und deren Bus­sen erwähnt (Bericht, S. 11). Unbe­rück­sich­tigt bleibt die Mel­de­pflicht, die bereits in Art. 22 E‑DSG für Ver­let­zun­gen der Daten­si­cher­heit an den EDÖB vor­ge­se­hen ist. Die Bera­tung des E‑DSG wird im Stän­de­rat am 18. Dezem­ber 2019 fort­ge­führt, wobei hin­sicht­lich der Mel­de­pflicht kei­ne Ände­run­gen zu erwar­ten sind.

Der Bericht setzt sich somit nicht mit dem Ver­hält­nis zwi­schen der Mel­de­pflicht nach revi­dier­tem DSG und der­je­ni­gen nach einem all­fäl­li­gen künf­ti­gen Cyber­se­cu­ri­ty-Erlass aus­ein­an­der. Die im Bericht erwähn­ten Prüf­auf­trä­ge des Bun­des­rats, Par­la­ments und der Exper­ten­grup­pe zur Zukunft der Daten­be­ar­bei­tung und Daten­si­cher­heit bezwecken jeweils den Schutz von kri­ti­schen Infra­struk­tu­ren (Bericht, S. 4 f.). So ist anzu­neh­men, dass die Mel­de­pflich­ten nur für Betrei­ber kri­ti­scher Infra­struk­tu­ren gel­ten sol­len, wie dies in ande­ren Län­dern in Sachen Cyber­se­cu­ri­ty bereits der Fall ist. Die Mel­de­pflicht nach Art. 22 Abs. 1 E‑DSG adres­siert hin­ge­gen alle daten­schutz­recht­lich Ver­ant­wort­li­chen und hat damit einen grö­sse­ren Adres­sa­ten­kreis.

Es ist des­halb denk­bar, dass Betrei­ber kri­ti­scher Infra­struk­tu­ren künf­tig zwei Mel­dun­gen erstat­ten müs­sen – eine an den EDÖB und eine an eine (zen­tra­le oder dezen­tra­le) Cyber­se­cu­ri­ty-Mel­de­stel­le. Bei erste­rer steht der Per­sön­lich­keits­schutz im Vor­der­grund, bei letz­te­rer der System­schutz bzw. der Aspekt der Auf­sichts­pflicht des Staa­tes gegen­über der Wirt­schaft. Eine Koor­di­na­ti­on der Mel­de­stel­len ist in Bezug auf alle Schutz­zie­le wün­schens­wert.