Meldepflicht bei Cyberangriff und Data Breach?

24.11.2022 von Leon De Gottardi

Cyberangriffe gehören heutzutage zum alltäglichen Geschäftsrisiko. Bei einem solchen Angriff kann es sein, dass unberechtigte Drittpersonen Zugriff auf die gespeicherten Daten erhalten ("Data Breach"). Wird ein unberechtigter Zugriff vermutet, musst Du als Verantwortlicher allenfalls eine Meldung bei der zuständigen Aufsichtsbehörde vornehmen. Wir erklären Dir in diesem Blog, welche Meldepflichten Dich in einem solchen Fall treffen.

Stell Dir folgendes Szenario vor:

Du stellst fest, dass Du nicht mehr auf Deine Daten und Applikationen zugreifen kannst. Dein IT-Provider teilt Dir mit, dass eine Cyberattacke stattgefunden hat. Ob tatsächlich Daten abhandengekommen sind, ist noch unklar. Jetzt fragst Du Dich, was zu tun ist.

Um festzustellen, ob Dich eine Meldepflicht trifft, kannst Du die folgenden Fragen durchgehen:

1. Untersteht Dein Unternehmen der DSGVO und hast Du einen Vertreter in der EU ernannt?

  • Wenn Du der DSGVO unterstehst, ist Dein Unternehmen bei einem Datenschutzvorfall verpflichtet, die zuständige Aufsichtsbehörde innert 72 Stunden über den Vorfall zu informieren.

  • Liegt zudem ein hohes Risiko für die Rechte und Freiheit der betroffenen Personen vor, müssen diese unverzüglich über den Vorfall informiert werden (solange nicht sicher ist, ob es tatsächlich zu einem Data Breach gekommen ist, dürfte diese Pflicht (noch) nicht greifen).

  • Um festzustellen, ob Dein Unternehmen der DSGVO untersteht, kannst Du unseren Blog dazu konsultieren: https://datenschutz.law/ratgeber/muessen-schweizer-unternehmen-einen-vertreter-in-der-eu-ernennen

 

2. Handelt es sich bei Deinem Unternehmen um ein reguliertes Unternehmen?

Unternehmen wie Banken, Versicherungen oder konzessionierte Betriebe gelten als "regulierte Unternehmen". Trifft dies auf Dein Unternehmen zu, musst Du überprüfen, ob die zuständige Aufsichtsbehörde Dir eine allfällige Meldepflicht bei Datenschutzvorfällen auferlegt hat. Dazu konsultierst Du am besten die einschlägigen Merkblätter, Kreis- oder Rundschreiben Deiner Aufsichtsbehörde. Liegt eine solche Pflicht vor, ist diese einzuhalten.

Du solltest Deine Aufsichtsbehörde konkret danach fragen, wen Du sonst noch informieren müsstest und welche Empfehlungen sie für Deinen Umgang mit dem Data Breach abgibt.  

 

3. Handelt es sich um eine öffentliche Anstalt/Institution oder nimmst Du als privates Unternehmen öffentliche Aufgaben wahr?

In einem solchen Fall gilt Dein Unternehmen/Deine Institution als Behörde und Du solltest Rücksprache mit der zuständigen Datenschutzaufsichtsstelle nehmen (bspw. Datenschutzaufsichtsstelle des Kantons Bern für kantonale Behörden, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter für Bundesorgane).

Du solltest Deine Aufsichtsbehörde konkret danach fragen, wen Du sonst noch informieren müsstest und welche Empfehlungen sie für Deinen Umgang mit dem Data Breach abgibt.  

 

4. Bist Du lediglich auf dem privaten Schweizer Markt tätig?

  • In einem solchen Fall unterstehst Du als privates Unternehmen dem Bundesgesetz über den Datenschutz (DSG). Das aktuelle DSG sieht bei einem Hackerangriff noch keine Meldepflicht gegenüber dem EDÖB und den betroffenen Personen vor.

  • Unter dem neuen revidierten Datenschutzgesetz sieht das anderes aus. Ab 1. September 2023 müsstest Du eine Verletzung der Datensicherheit dem EDÖB melden, sofern dies voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Die betroffenen Personen selbst müsstest Du erst dann informieren, sofern dies zu deren Schutz erforderlich ist oder es der EDÖB verlangt. Folgende Szenarien sind denkbar:

    • Sind keine Personendaten abhandengekommen, gelöscht oder verändert worden, wird eine Meldung an die betroffenen Personen in der Regel nicht nötig sein.

    • Kannst Du noch nicht feststellen, wer alles betroffen ist, darfst Du die Meldung vorerst aufschieben oder stattdessen mittels eine öffentlicher Bekanntmachung informieren.

 

5. Gilt für sämtliche Unternehmen/Institutionen: Der Datenabfluss steht fest oder es besteht zumindest eine hohe Wahrscheinlichkeit dafür, was nun?

Sobald der Datenabfluss feststeht oder zumindest eine hohe Wahrscheinlichkeit dafür besteht, ändert sich die Situation. Wir empfehlen in einem solchen Fall:

  • Strafanzeige zu erstatten und mit der Polizei zusammenzuarbeiten;

  • Umgehend die eigene Versicherung zu informieren und den (potenziellen) Schaden anzumelden;

  • Eine Kommunikationsagentur und rechtlichen Beistand beizuziehen;

  • Nach Absprache mit den obengenannten Stellen (Polizei, Versicherung, Kommunikation und Rechtsbeistand) Deine Kundinnen und Kunden über den Data Breach zu informieren. So kannst Du allenfalls einen grösseren Schaden für Dich und Deine Kundinnen und Kunden verhindern.

Unser Expertinnen und Experten aus dem Datenschutzrechtsteam stehen Dir bei Fragen oder im Ernstfall gerne zur Verfügung.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum