d:r

Secu­ri­ty

Table of Contents 

Secu­ri­ty

Die Anfor­de­run­gen an die Daten­si­cher­heit sind in erster Linie eine Fra­ge des Ein­zel­falls. Das Daten­schutz­recht gibt nur einen recht all­ge­mei­nen Rah­men für die Prü­fung der Risi­ken, der mög­li­chen und der zu tref­fen­den Massnahmen. 

Zur Fra­ge, ob das DSG und die DSV Min­dest­vor­schrif­ten an den Daten­schutz bestim­men, deren Ver­let­zung straf­bar sein kann, vgl. hier.

Mel­dung von Verletzungen

Ver­let­zun­gen der Daten­si­cher­heit sind u.U. dem EDÖB zu mel­den – bei hohen Risi­ken für Betrof­fe­ne – und/oder den betrof­fe­nen Per­so­nen mit­zu­tei­len (wenn es auf ihren Selbst­schutz ankommt). Der EDÖB stellt hier ein – aller­dings mit erheb­li­chen Nach­tei­len behaf­te­tes – For­mu­lar zur Ver­fü­gung. Dabei ist dar­an zu den­ken, dass der EDÖB lei­der dem Öffent­lich­keits­prin­zip nach BGÖ unter­stellt ist.

Dazu kön­nen aller­dings wei­te­re Mel­de­pflich­ten kom­men, die nicht daten­schutz­recht­lich moti­viert sind, son­dern aus den eige­nen Zie­len der jewei­li­gen gesetz­li­chen Ord­nung. Dazu gehö­ren folgende: 

  • Mel­de­pflich­ten aus Ver­trag, auch aus einer Treuepflicht
  • Art. 29 FINMAG (z.B. für Ban­ken, Ver­si­che­rer oder Finanz­in­sti­tu­te); dazu sie­he die Auf­sichts­mit­tei­lung 03/2024
    und die Auf­sichts­mit­tei­lung 05/2020 sowie die Vor­ga­ben des RS Ope­ra­tio­nel­le Risi­ken und Resilienz
  • Kotie­rungs­re­gle­ment: Bör­sen­ko­tier­te Unter­neh­men müs­sen kurs­re­le­van­te Tat­sa­chen gemäss dem Kotie­rungs­re­gle­ment der SIX melden
  • Arti­kel 96 der Fern­mel­de­dienst­ver­ord­nung (FDV)
  • Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier: Pflich­ten der Stammgemeinschaften
  • Medi­zin­pro­duk­te: u.U. Mel­de­pflicht an Swissmedic
  • Ener­gie­ver­sor­ger: vgl. ENTSO‑E, Kodex für Cybersicherheit
  • ISG: revi­dier­te Bestim­mun­gen mit einer Mel­de­pflicht für bestimm­te kri­ti­sche Infrastrukturen

Mel­de­pflich­ten kri­ti­scher Infrastrukturen

Das Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund (ISG) wird um Bestim­mun­gen zur Mel­de­pflicht der Betrei­be­rin­nen bestimm­ter kri­ti­scher Infra­struk­tu­ren ergänzt. Die revi­dier­ten Bestim­mun­gen sind bekannt, dürf­ten aber erst im ersten Halb­jahr 2025 in Kraft treten. 

Eine Zusam­men­stel­lung der ent­spre­chen­den Bestim­mun­gen, der Bot­schaft dazu, der Cyber­si­cher­heits­ver­ord­nung und dem Erläu­te­rungs­be­richt ist hier auf deutsch und eng­lisch verfügbar.