Der Bundesrat hat an seiner heutigen Sitzung den Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» gutgeheissen. Der Bericht soll dazu beitragen, die Diskussionen um Meldepflichten auf einer fundierten Basis zu führen. Er beleuchtet verschiedene Facetten von Meldepflichten, beschreibt den Kontext der bestehenden Meldepflichten in der Schweiz sowie im Ausland und entwickelt verschiedene Grundmodelle für Meldepflichten als mögliche Varianten zur Umsetzung. Basierend auf diesen Ergebnissen will der Bundesrat bis Ende 2020 Grundsatzentscheide über die Einführung von Meldepflichten fällen.
Bemerkenswert ist, dass der Bericht die Meldepflicht für datenschutzrelevante Vorfälle nur im Zusammenhang mit der europäischen DSGVO und deren Bussen erwähnt (Bericht, S. 11). Unberücksichtigt bleibt die Meldepflicht, die bereits in Art. 22 E‑DSG für Verletzungen der Datensicherheit an den EDÖB vorgesehen ist. Die Beratung des E‑DSG wird im Ständerat am 18. Dezember 2019 fortgeführt, wobei hinsichtlich der Meldepflicht keine Änderungen zu erwarten sind.
Der Bericht setzt sich somit nicht mit dem Verhältnis zwischen der Meldepflicht nach revidiertem DSG und derjenigen nach einem allfälligen künftigen Cybersecurity-Erlass auseinander. Die im Bericht erwähnten Prüfaufträge des Bundesrats, Parlaments und der Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit bezwecken jeweils den Schutz von kritischen Infrastrukturen (Bericht, S. 4 f.). So ist anzunehmen, dass die Meldepflichten nur für Betreiber kritischer Infrastrukturen gelten sollen, wie dies in anderen Ländern in Sachen Cybersecurity bereits der Fall ist. Die Meldepflicht nach Art. 22 Abs. 1 E‑DSG adressiert hingegen alle datenschutzrechtlich Verantwortlichen und hat damit einen grösseren Adressatenkreis.
Es ist deshalb denkbar, dass Betreiber kritischer Infrastrukturen künftig zwei Meldungen erstatten müssen – eine an den EDÖB und eine an eine (zentrale oder dezentrale) Cybersecurity-Meldestelle. Bei ersterer steht der Persönlichkeitsschutz im Vordergrund, bei letzterer der Systemschutz bzw. der Aspekt der Aufsichtspflicht des Staates gegenüber der Wirtschaft. Eine Koordination der Meldestellen ist in Bezug auf alle Schutzziele wünschenswert.