• Was ist eine Sicherheitsverletzung?
  • Muss man eine Sicher­heits­ver­let­zung melden?
  • Was müs­sen kri­ti­sche Infra­struk­tu­ren melden?
  • Gibt es wei­te­re Meldepflichten?

home

Das neue DSG hat die Anfor­de­run­gen an den Umgang mit Sicher­heits­ver­let­zun­gen verschärft. 

Dazu kom­men Mel­de­pflich­ten in Fach­ge­set­zen (wie bspw. für Finanz­un­ter­neh­men nach dem FINMAG) und für kri­ti­sche Infra­struk­tu­ren nach dem ISG. 

Hier fin­den Sie eine Über­sicht zu den Meldepflichten. 

Brau­chen Sie Unterstützung? 

Wen­den Sie sich an uns: 

Kon­tak­te →

1

Was ist eine Sicherheitsverletzung?

Eine Daten­schutz­ver­let­zung (“Data Breach”) heisst bei Per­so­nen­da­ten, dass Per­so­nen­da­ten uner­laubt oder unbe­ab­sich­tigt ver­lo­ren gehen, gestoh­len, miss­braucht oder ander­wei­tig kom­pro­mit­tiert werden. 

Typi­sche Bei­spie­le sind: 

  • Cyber­an­griff (bspw. ein Ransom-Angriff)
  • Ver­se­hent­li­che Bekannt­ga­be von Per­so­nen­da­ten (Ver­sand einer E‑Mail vie­le Adres­sa­ten im cc; Bereit­stel­lung eines Excel mit Per­so­nen­da­ten in einem aus­ge­blen­de­ten Blatt)
  • Ver­lust eines Daten­trä­gers (Lap­top mit Per­so­nen­da­ten im Zug ver­ges­sen, USB-Stick verloren)
  • Expo­nie­rung von Per­so­nen­da­ten im Inter­net (File­sha­re mit Per­so­nen­da­ten offen einsehbar)
  • Nicht­ver­füg­bar­keit einer wich­ti­gen Appli­ka­ti­on mit Personendaten

Sicher­heits­ver­let­zun­gen kön­nen schwer­wie­gen­de Fol­gen haben – für die betrof­fe­nen Per­so­nen und für das Unternehmen. 

2

Muss man eine Ver­let­zung melden?

Ja, Ver­let­zun­gen der Daten­si­cher­heit müs­sen unter bestimm­ten Vor­aus­set­zun­gen gemel­det werden:

Mel­dung an den EDÖB

Vor­aus­set­zung: Eine Mel­dung an den EDÖB ist nur Pflicht bei hohen Risi­ken (auf­grund der Ver­let­zung) für betrof­fe­ne Per­so­nen.

Das ist kein kla­rer Begriff, und ver­bind­li­che Bei­spie­le gibt es in der Schweiz nicht. Aber Hilfs­mit­tel zur Risikoeinschätzung:

Kurz­test Mel­de­pflicht mit ChatGPT →

VUD: For­mu­lar Data Breach →

Wann muss man mel­den? Wenn eine Mel­dung ver­pflich­tend ist, muss sie so rasch wie mög­lich erfol­gen. Eine fixe Dau­er gibt es nicht, und man darf gewis­se Abklä­run­gen tref­fen. Im Zwei­fel soll­te man aber rascher mel­den und dann u.U. nachmelden.

Wie muss man mel­den? Der EDÖB stellt für die Mel­dung an ihn hier ein For­mu­lar zur Ver­fü­gung. Das For­mu­lar fragt aber zu vie­le Infor­ma­tio­nen ab, und der EDÖB unter­liegt dem Öffent­lich­keits­prin­zip. Mel­dun­gen kön­nen des­halb öffent­lich wer­den. Eine Mel­dung per E‑Mail ist oft sinnvoller.

Mel­dung an betrof­fe­ne Personen

Ver­let­zun­gen der Daten­si­cher­heit müs­sen den betrof­fe­nen Per­so­nen gemel­det wer­den, wenn die­se zum eige­nen Schutz aktiv wer­den müs­sen (z.B. ein Pass­wort wech­seln, ein Kon­to sper­ren, den Pass erneuern).

Das kann auch dann sein, wenn kei­ne Mel­dung an den EDÖB gemacht wer­den muss.

3

Was müs­sen kri­ti­sche Infra­struk­tu­ren melden?

Das Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund (ISG) wird um Bestim­mun­gen zur Mel­de­pflicht der Betrei­be­rin­nen bestimm­ter kri­ti­scher Infra­struk­tu­ren ergänzt. Die revi­dier­ten Bestim­mun­gen sind am 1. April 2025 in Kraft getre­ten

Bestimm­te kri­ti­sche Infra­struk­tu­ren (Kri­tis) müs­sen Cyber­an­grif­fe melden: 

Wer muss mel­den? Mel­de­pflich­ti­ge Per­so­nen snid bspw. Behör­den, Sozi­al­ver­si­che­rungs­trä­ger ein­schliess­lich der Pen­si­ons­kas­sen, Ener­gie­ver­sor­ger, Ban­ken, Listen­spi­tä­ler, medi­zi­ni­sche Labo­ra­to­ri­en, Arz­nei­mit­tel­her­stel­ler oder ‑dis­tri­bu­to­ren, regi­strier­te FDA und bestimm­te Anbie­ter im SaaS‑, Cloud- und Hard­ware­be­reich und diver­se wei­te­re Stellen.

Was muss man mel­den? Es geht um min­de­stens teil­wei­se erfolg­rei­che Cyber­an­grif­fe. Das sind absicht­lich aus­ge­lö­ste Beein­träch­ti­gun­gen der Ver­trau­lich­keit, Ver­füg­bar­keit oder Inte­gri­tät von Infor­ma­tio­nen der Nach­voll­zieh­bar­keit ihrer Bear­bei­tung – der Schlüs­sel­be­griff ist “absicht­lich”: Human Error ist nicht erfasst. Auch Port­scans und der­glei­chen nicht.

Ab wel­cher Schwel­le muss man mel­den? Auch Cyber­an­grif­fe müs­sen nur gemel­det wer­den, wenn

  • Mit­ar­bei­ten­de oder Drit­te von System­un­ter­brü­chen betrof­fen sind oder
    die Kri­tis ihre Tätig­kei­ten nur noch mit Not­fall­plä­nen auf­recht­erhal­ten kann
  • geschäfts­re­le­van­te Infor­ma­tio­nen von Unbe­fug­ten ein­ge­se­hen, ver­än­dert oder offen­ge­legt wer­den oder eine Sicher­heits­ver­let­zung nach dem DSG vor­liegt (Schritt 1 oben)
  • der Angriff min­de­stens 90 Tage unent­deckt blieb oder
  • die Kri­tis oder gegen für sie täti­ge Per­so­nen von Erpres­sung, Dro­hung oder Nöti­gung betrof­fen sind 

Wo muss man mel­den? Die Mel­dung muss ggf. an das Bun­des­amt für Cyber­si­cher­heit BACS erfolgen.

Mel­de­for­mu­lar →

Arbeits­ma­te­ria­li­en zum ISG

Wir stel­len diver­se Mate­ria­li­en zum ISG zur Ver­fü­gung, ein­schliess­lich von Geset­zes­aus­ga­ben mit Bot­schaft bzw. Erläu­tern­dem Bericht.

Arbeits­ma­te­ria­li­en zum ISG

4

Gibt es wei­te­re Meldepflichten?

Zu den Mel­de­pflich­ten nach dem DSG bzw. der DSGVO und nach dem ISG kön­nen wei­te­re Mel­de­pflich­ten kom­men, die aus den eige­nen Zie­len der jewei­li­gen gesetz­li­chen Ord­nung moti­viert sind. Dazu gehö­ren folgende: 
  • Mel­de­pflich­ten aus Ver­trag, auch aus einer Treuepflicht
  • Art. 29 FINMAG (z.B. für Ban­ken, Ver­si­che­rer oder Finanz­in­sti­tu­te); dazu sie­he die Auf­sichts­mit­tei­lung 03/2024 und die Auf­sichts­mit­tei­lung 05/2020 sowie die Vor­ga­ben des RS Ope­ra­tio­nel­le Risi­ken und Resilienz
  • Kotie­rungs­re­gle­ment: Bör­sen­ko­tier­te Unter­neh­men müs­sen kurs­re­le­van­te Tat­sa­chen gemäss dem Kotie­rungs­re­gle­ment der SIX melden
  • Arti­kel 96 der Fern­mel­de­dienst­ver­ord­nung (FDV)
  • Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier: Pflich­ten der Stammgemeinschaften
  • Medi­zin­pro­duk­te: u.U. Mel­de­pflicht an Swissmedic
  • Ener­gie­ver­sor­ger: vgl. ENTSO‑E, Kodex für Cybersicherheit