Secu­ri­ty

Die Anfor­de­run­gen an die Daten­si­cher­heit sind in erster Linie eine Fra­ge des Ein­zel­falls. Das Daten­schutz­recht gibt nur einen recht all­ge­mei­nen Rah­men für die Prü­fung der Risi­ken, der mög­li­chen und der zu tref­fen­den Massnahmen. 

Zur Fra­ge, ob das DSG und die DSV Min­dest­vor­schrif­ten an den Daten­schutz bestim­men, deren Ver­let­zung straf­bar sein kann, vgl. hier.

Breach Noti­fi­ca­ti­on

zu Mel­de­pflich­ten bei Incidents

Ver­let­zun­gen der Daten­si­cher­heit sind u.U. dem EDÖB zu mel­den – bei hohen Risi­ken für Betrof­fe­ne – und/oder den betrof­fe­nen Per­so­nen mit­zu­tei­len (wenn es auf ihren Selbst­schutz ankommt). Der EDÖB stellt hier ein – aller­dings mit erheb­li­chen Nach­tei­len behaf­te­tes – For­mu­lar zur Ver­fü­gung. Dabei ist dar­an zu den­ken, dass der EDÖB lei­der dem Öffent­lich­keits­prin­zip nach BGÖ unter­stellt ist.

Dazu kön­nen aller­dings wei­te­re Mel­de­pflich­ten kom­men, die nicht daten­schutz­recht­lich moti­viert sind, son­dern aus den eige­nen Zie­len der jewei­li­gen gesetz­li­chen Ord­nung. Dazu gehö­ren folgende: 

  • Mel­de­pflich­ten aus Ver­trag, auch aus einer Treuepflicht
  • Art. 29 FINMAG (z.B. für Ban­ken, Ver­si­che­rer oder Finanz­in­sti­tu­te); dazu sie­he die Auf­sichts­mit­tei­lung 03/2024
    und die Auf­sichts­mit­tei­lung 05/2020 sowie die Vor­ga­ben des RS Ope­ra­tio­nel­le Risi­ken und Resilienz
  • Kotie­rungs­re­gle­ment: Bör­sen­ko­tier­te Unter­neh­men müs­sen kurs­re­le­van­te Tat­sa­chen gemäss dem Kotie­rungs­re­gle­ment der SIX melden
  • Arti­kel 96 der Fern­mel­de­dienst­ver­ord­nung (FDV)
  • Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier: Pflich­ten der Stammgemeinschaften
  • Medi­zin­pro­duk­te: u.U. Mel­de­pflicht an Swissmedic
  • Ener­gie­ver­sor­ger: vgl. ENTSO‑E, Kodex für Cybersicherheit
  • ISG: revi­dier­te Bestim­mun­gen mit einer Mel­de­pflicht für bestimm­te kri­ti­sche Infrastrukturen

Das Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund (ISG) wird um Bestim­mun­gen zur Mel­de­pflicht der Betrei­be­rin­nen bestimm­ter kri­ti­scher Infra­struk­tu­ren ergänzt. Die revi­dier­ten Bestim­mun­gen tre­ten am 1. April 2025 in Kraft

Eine Zusam­men­stel­lung der ent­spre­chen­den Bestim­mun­gen, der Bot­schaft dazu, der Cyber­si­cher­heits­ver­ord­nung und dem Erläu­te­rungs­be­richt ist hier auf deutsch und eng­lisch verfügbar:

Craft
Updates

die neu­sten Bei­trä­ge im Bereich Security

EDSA
EDSA: Ver­si­on 2 der Leit­li­ni­en zur Breach Noti­fi­ca­ti­on: kei­ne Kon­zen­tra­ti­on beim EU-Vertreter
6. April 2023
Par­la­ment
Natio­nal­rat: Mel­de­pflicht für Cyber­an­grif­fe befürwortet
17. März 2023
Pflicht zur Bestel­lung eines EU-Ver­tre­ters im EU-Daten- und Digitalrecht
16. Febru­ar 2023
Bun­des­rat
ISG – Ergän­zung, Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren: Bot­schaft und Ent­wurf (2.12.2022)
16. Janu­ar 2023
FINMA
FINMA RS Ope­ra­tio­nel­le Risi­ken und Resi­li­enz – Ban­ken: Total­re­vi­si­on in Kraft am 1.1.2024
5. Janu­ar 2023
FINMA
FINMA: Total­re­vi­si­on des RS Ope­ra­tio­nel­le Risi­ken Banken
20. Mai 2022
Bun­des­rat
Bun­des­rats­be­richt: Digi­tal Finan­ce – Hand­lungs­fel­der 2022+
9. Febru­ar 2022
Micro­soft Exch­an­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen
10. März 2021
1 2 3 4 5 7 8 9
News abonnieren
über uns
Datenschutzerklärung
Newsletter
Downloads
Gesetze
Datenschutz
AI
Security
Geheimnisschutz
Alle Updates