Die Anforderungen an die Datensicherheit sind in erster Linie eine Frage des Einzelfalls. Das Datenschutzrecht gibt nur einen recht allgemeinen Rahmen für die Prüfung der Risiken, der möglichen und der zu treffenden Massnahmen.
Zur Frage, ob das DSG und die DSV Mindestvorschriften an den Datenschutz bestimmen, deren Verletzung strafbar sein kann, vgl. hier.
Verletzungen der Datensicherheit sind u.U. dem EDÖB zu melden – bei hohen Risiken für Betroffene – und/oder den betroffenen Personen mitzuteilen (wenn es auf ihren Selbstschutz ankommt). Der EDÖB stellt hier ein – allerdings mit erheblichen Nachteilen behaftetes – Formular zur Verfügung. Dabei ist daran zu denken, dass der EDÖB leider dem Öffentlichkeitsprinzip nach BGÖ unterstellt ist.
Dazu können allerdings weitere Meldepflichten kommen, die nicht datenschutzrechtlich motiviert sind, sondern aus den eigenen Zielen der jeweiligen gesetzlichen Ordnung. Dazu gehören folgende:
Das Bundesgesetz über die Informationssicherheit beim Bund (ISG) wird um Bestimmungen zur Meldepflicht der Betreiberinnen bestimmter kritischer Infrastrukturen ergänzt. Die revidierten Bestimmungen sind bekannt, dürften aber erst im ersten Halbjahr 2025 in Kraft treten.
Eine Zusammenstellung der entsprechenden Bestimmungen, der Botschaft dazu, der Cybersicherheitsverordnung und dem Erläuterungsbericht ist hier auf deutsch und englisch verfügbar.