Man kann sich fragen, ob die Meldung einer Datensicherheitsverletzung nicht das Risiko mit sich bringt, wegen einer Verletzung der Sicherheitsanforderungen – die einem Breach zugrundeliegen kann, aber natürlich nicht muss – verfolgt zu werden. In der Schweiz regelt dies Art. 24 Abs. 6 DSG:
Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.
Dem Wortlaut nach schützt dies allerdings nur die meldepflichtige Person, also den Verantwortlichen, und nicht etwa die für eine Verletzung verantwortlichen und u.U. strafbaren Menschen. Man darf die Bestimmung allerdings wohl so auslegen, dass letztere vor Selbstbelastung geschützt werden sollen und nicht etwa nur der Verantwortliche, dessen Datenschutzverletzung über Art. 29 StGB und Art. 6 VStrR einzelnen Personen zugerechnet wird (die Botschaft schweigt zu dieser Frage).
Im Ausland kann eine Meldung einer Sicherheitsverletzung aber durchaus unerwünschte Folgen haben. Ein Beispiel dazu liefert ein Entscheid des italienischen Garante vom 28. September 2023. Der Garante hatte eine Einrichtung der öffentlichen Verwaltung mit einer Busse von EUR 30’000 belegt, weil diese die Personendaten – einschliesslich von Gesundheitsdaten – von 842’000 Patienten und Mitarbeitenden nicht angemessen geschützt hatte. Bspw. fehlten Massnahmen zur sofortigen Erkennung der Sicherheitsverletzung und zur Netzwerksicherheit (keine Mehrfaktorauthentisierung; fehlende Netzwerksegmentierung); damit sei auch der Grundsatz von Privacy by Design verletzt. Von diesen Verletzungen hatte der Garante nach der Meldung eines Ransom-Angriffs Kenntnis erhalten.