Secu­ri­ty

Die Anfor­de­run­gen an die Daten­si­cher­heit sind in erster Linie eine Fra­ge des Ein­zel­falls. Das Daten­schutz­recht gibt nur einen recht all­ge­mei­nen Rah­men für die Prü­fung der Risi­ken, der mög­li­chen und der zu tref­fen­den Massnahmen. 

Zur Fra­ge, ob das DSG und die DSV Min­dest­vor­schrif­ten an den Daten­schutz bestim­men, deren Ver­let­zung straf­bar sein kann, vgl. hier.

Breach Noti­fi­ca­ti­on

zu Mel­de­pflich­ten bei Incidents

Ver­let­zun­gen der Daten­si­cher­heit sind u.U. dem EDÖB zu mel­den – bei hohen Risi­ken für Betrof­fe­ne – und/oder den betrof­fe­nen Per­so­nen mit­zu­tei­len (wenn es auf ihren Selbst­schutz ankommt). Der EDÖB stellt hier ein – aller­dings mit erheb­li­chen Nach­tei­len behaf­te­tes – For­mu­lar zur Ver­fü­gung. Dabei ist dar­an zu den­ken, dass der EDÖB lei­der dem Öffent­lich­keits­prin­zip nach BGÖ unter­stellt ist.

Dazu kön­nen aller­dings wei­te­re Mel­de­pflich­ten kom­men, die nicht daten­schutz­recht­lich moti­viert sind, son­dern aus den eige­nen Zie­len der jewei­li­gen gesetz­li­chen Ord­nung. Dazu gehö­ren folgende: 

  • Mel­de­pflich­ten aus Ver­trag, auch aus einer Treuepflicht
  • Art. 29 FINMAG (z.B. für Ban­ken, Ver­si­che­rer oder Finanz­in­sti­tu­te); dazu sie­he die Auf­sichts­mit­tei­lung 03/2024
    und die Auf­sichts­mit­tei­lung 05/2020 sowie die Vor­ga­ben des RS Ope­ra­tio­nel­le Risi­ken und Resilienz
  • Kotie­rungs­re­gle­ment: Bör­sen­ko­tier­te Unter­neh­men müs­sen kurs­re­le­van­te Tat­sa­chen gemäss dem Kotie­rungs­re­gle­ment der SIX melden
  • Arti­kel 96 der Fern­mel­de­dienst­ver­ord­nung (FDV)
  • Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier: Pflich­ten der Stammgemeinschaften
  • Medi­zin­pro­duk­te: u.U. Mel­de­pflicht an Swissmedic
  • Ener­gie­ver­sor­ger: vgl. ENTSO‑E, Kodex für Cybersicherheit
  • ISG: revi­dier­te Bestim­mun­gen mit einer Mel­de­pflicht für bestimm­te kri­ti­sche Infrastrukturen

Das Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund (ISG) wird um Bestim­mun­gen zur Mel­de­pflicht der Betrei­be­rin­nen bestimm­ter kri­ti­scher Infra­struk­tu­ren ergänzt. Die revi­dier­ten Bestim­mun­gen tre­ten am 1. April 2025 in Kraft

Eine Zusam­men­stel­lung der ent­spre­chen­den Bestim­mun­gen, der Bot­schaft dazu, der Cyber­si­cher­heits­ver­ord­nung und dem Erläu­te­rungs­be­richt ist hier auf deutsch und eng­lisch verfügbar:

Craft
Updates

die neu­sten Bei­trä­ge im Bereich Security

CNIL
CNIL (F): Leit­fa­den zur Daten­si­cher­heit nach der DSGVO
3. Febru­ar 2018
Par­la­ment
Moti­on Béglé (17.3849): Schwei­zer Armee. Wie kön­nen unse­re Sou­ve­rä­ni­tät und unse­re Unab­hän­gig­keit sicher­ge­stellt wer­den, wenn mit der Digi­ta­li­sie­rung die gegen­sei­ti­gen Abhän­gig­kei­ten immer mehr zunehmen?
25. Novem­ber 2017
EDSA
Art.-29-Datenschutzgruppe: Leit­fa­den zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen (“Breach Notification”)
18. Okto­ber 2017
Postu­lat Heim (17.3433): Cyber­si­cher­heit im Gesundheitswesen
4. Sep­tem­ber 2017
Par­la­ment
Inter­pel­la­ti­on Feri (17.3530): Kinderpornografie
31. August 2017
Bun­des­rat Bun­des­ver­wal­tung
Infor­ma­ti­ons­si­cher­heits­ge­setz: Ent­wurf und Botschaft
19. April 2017
BVGer
BVGer (A‑4941/2014): Die vom BÜPF vor­ge­se­he­ne anlass­lo­se Spei­che­rung und Auf­be­wah­rung von Rand­da­ten ist verfassungskonform
15. Novem­ber 2016
FINMA
FINMA: Neu­es RS “Cor­po­ra­te Gover­nan­ce – Ban­ken”; Anpas­sun­gen des RS Ope­ra­tio­nel­le Risiken
5. Novem­ber 2016
1 2 3 4 5 6 7 8 9

News abonnieren:

über uns
Datenschutzerklärung
Newsletter
Downloads
Gesetze
Datenschutz
AI
Security
Geheimnisschutz
Alle Updates