Im vergangenen Jahr wurden laut den aktuellen Zahlen des Eidgenössischen Datenschutzbeauftragten (EDÖB) rund 293 Meldungen zu Data Breaches abgesetzt. Es ist zu erwarten, dass diese Zahl weiter steigen wird. KMU sind daher gut beraten, einen Reaktionsplan für den Fall eines Data Breaches bereit zu halten und die regulatorischen Pflichten zu kennen. Die Frage ist nicht ob, sondern wann ein Unternehmen von einem Data Breach betroffen sein wird.
Was ist ein Data Breach
Ein Data Breach (Datenpanne) ist gemäss der Definition im Datenschutzgesetz (DSG) eine Datensicherheitsverletzung, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine Datensicherheitsverletzung kann durch einen technischen oder menschlichen Fehler oder durch einen Cyberangriff verursacht werden. Ein Data Breach kann regulatorische Pflichten nach sich ziehen. So sieht das DSG zwei verschiedene Pflichten vor: die Meldepflicht an den EDÖB und die Informationspflicht an die betroffene Person.
Meldepflicht an den EDÖB
Nicht jede Datenpanne muss dem EDÖB gemeldet werden. Erforderlich ist ein voraussichtlich hohes Risiko für die Verletzung der Persönlichkeitsrechte oder die Grundrechte der betroffenen Person (Art. 24 DSG). Die Beurteilung, ob ein voraussichtlich hohes Risiko besteht, ist in der Praxis nicht einfach zu beantworten. Nach dem neusten Leitfaden des EDÖB (Leitfaden des EDÖB betreffend die Meldung von Datensicherheitsverletzungen und Informationen der Betroffenen nach Art. 24 DSG vom 6. Februar 2025) muss auch dann gemeldet werden, wenn die Risikoanalyse ein entsprechend hohes Risiko nicht ausschliessen kann. Als Parameter, ob ein hohes Risiko besteht, können diese zwei Kriterien beigezogen werden: Schwere der Folgen und Wahrscheinlichkeit der befürchteten Folgen. Bei der Beurteilung der Schwere der Folgen gilt die Faustregel, dass sich das Risiko mit der Sensibilität der Daten erhöht. Die Wahrscheinlichkeitsbeurteilung bemisst sich hingegen bei den am stärksten betroffenen Personen in Relation zum befürchteten Beeinträchtigungspotential.
Die Meldung an den EDÖB hat «so rasch als möglich» zu erfolgen. An die Meldepflicht ist eine Dokumentationspflicht gekoppelt. Der Verantwortliche hat den Vorfall umfassend zu dokumentieren und ab Meldezeitpunkt für mindestens zwei Jahre aufzubewahren.
Informationspflicht an die betroffene Person
Nebst der Meldepflicht an den EDÖB besteht bei einem Data Breach auch eine Informationspflicht der betroffenen Person. Das ist dann erforderlich, wenn die Information zum Schutz der betroffenen Person notwendig ist oder der EDÖB dies verlangt. Für die Informationspflicht ist nicht primär ausschlaggebend, ob ein hohes Risiko für die betroffene Person besteht, sondern vielmehr, ob die Person die Information benötigt, weil sie selbst Vorkehrungen treffen muss, um sich zu schützen. Dies ist beispielsweise beim Verlust von Passwörtern, Kreditkartendaten etc. der Fall. Es ist gesetzlich vorgeschrieben, wie die Information an die betroffene Person erfolgen muss. Sie muss in einfacher und verständlicher Sprache verfasst sein und folgende Inhalte enthalten: die Art und Folgen der Verletzung; soweit möglich Zeitpunkt, Dauer, Kategorien und ungefähre Anzahl der betroffenen Personendaten; soweit möglich Kategorien und ungefähre Anzahl der betroffenen Personen; getroffene und geplante Massnahmen zur Mangelbehebung und Risikominderung sowie Kontaktangaben einer Ansprechperson.
Weitere Meldepflichten
Nebst dem DSG sehen auch andere Gesetze Meldepflichten bei einem Data Breach vor. Schweizer Unternehmen, die unter die DSGVO fallen, haben zusätzlich die entsprechenden Meldepflichten zu beachten (die DSGVO gibt eine Frist von 72 Stunden für Meldungen vor). In der Schweiz gibt es zudem für die von der FINMA beaufsichtigten Unternehmen eine Meldepflicht für Cyberattacken, wenn diese eine gewisse Wesentlichkeit aufweisen. Noch nicht in Kraft, aber in Zukunft relevant für kritische Infrastrukturen (wie bspw. Energieversorger, Netzbetreiber oder Finanzdienstleister), wird zusätzlich eine Meldepflicht an das Bundesamt für Cybersicherheit (BACS).
Was tun?
Prävention
Jedes Unternehmen kann von einem Data Breach betroffen sein. Aus diesem Grund ist es zentral, entsprechende Vorkehrungen zu treffen. Es gilt nicht nur, einen umfassenden Überblick über die eigenen Daten (Stichwort: Bearbeitungsverzeichnis) zu haben, sondern auch über die vertraglich angeschlossenen Dienstleister. Es müssen Prozesse etabliert werden, die einem im Krisenfall helfen, unverzüglich zu handeln. Interne Abläufe und Verantwortlichkeiten müssen klar geregelt sein. Es ist auch empfehlenswert, externe Dienstleister, wie z.B. Cybersicherheitsexperten oder Anwälte, im Vorfeld zu bestimmen, um im Krisenfall rasch reagieren zu können.
Reaktion
Sobald ein Data Breach bemerkt wird, muss rasch gehandelt werden. Der Reaktionsplan kann aktiviert werden. Falls keine entsprechenden Prozesse bestehen, empfiehlt es sich, so rasch wie möglich externe Hilfe beizuziehen. Es gilt einerseits, die Datensicherheitsverletzung zu stoppen und die betroffenen Systeme zu sichern. Gleichzeitig gilt es zu prüfen, ob Meldepflichten bestehen und wie kommunikativ gegenüber Behörden, betroffenen Personen und intern vorgegangen wird.
Aufarbeitung
Eine Dokumentation des Vorfalls ist in jedem Fall empfehlenswert, auch wenn keine Meldepflicht besteht. Es hilft für das interne Reporting, aber auch zur Etablierung von neuen Prozessen und Massnahmen zur Stärkung der Datensicherheit.
Dr. iur. Eleonor Gyr, Anwältin für IT- und Wirtschaftsrecht, berät insbesondere Unternehmen und Organisationen (z.B. Vereine und Stiftungen) in sämtlichen rechtlichen Fragen rund um Datenschutz, Datenrecht, IT-Verträge, KI-Anwendungen und allgemein Unternehmensstrukturen. Seit 2025 ist sie Teil des Legal-Teams der Wirtschaftskammer Baselland. Kanzlei Gyr, Gössi, Olano. Staehelin, Basel
Jetzt anmelden und mehr zum Thema erfahren!
Ratgeber Recht online- Data Breach: Was tun?
Datum: 17. März 2025
Uhrzeit: 12:00 – 13:00
Weitere Informationen und Anmeldung hier.
