Meldepflicht bei Datenschutzverletzungen nach nDSG (Art. 24): Vollständiger Leitfaden für Schweizer KMU

Ein Ransomware-Angriff sperrt Ihre Kundendatenbank um 2 Uhr nachts an einem Freitag. Ein Mitarbeitender sendet versehentlich eine Tabelle mit 3 000 Kundendatensätzen an die falsche E-Mail-Adresse. Eine Cloud-Fehlkonfiguration legt Ihre HR-Dateien zwei Wochen lang im öffentlichen Internet offen, bevor jemand es bemerkt. Das sind keine hypothetischen Szenarien — es sind die häufigsten Muster von Datenschutzverletzungen, die europäischen Aufsichtsbehörden gemeldet werden, und sie betreffen täglich Schweizer KMU.

Seit dem 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (nDSG / nLPD / nFADP) in Kraft, und damit eine formelle Meldepflicht bei Datenschutzverletzungen. Artikel 24 nDSG, zusammen mit den Artikeln 15 und 16 der Datenschutzverordnung (DSV), begründet ein Melderegime, das jedes Schweizer Unternehmen verstehen muss. Bei Verstössen drohen strafrechtliche Sanktionen von bis zu CHF 250 000 — verhängt nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person.

Dieser Leitfaden deckt alles ab, was ein Schweizer KMU wissen muss: was als Verletzung gilt, wann gemeldet werden muss, was die Meldung enthalten muss, wie sie sich von der DSGVO unterscheidet, und einen praktischen 7-Schritte-Notfallplan, den Sie noch heute umsetzen können.

Was gilt als Datenschutzverletzung nach dem nDSG?

Das nDSG verwendet den Begriff «Verletzung der Datensicherheit» (violation de la sécurité des données / breach of data security). Artikel 5 Bst. h nDSG definiert sie als jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet, verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Diese Definition ist bewusst breit gefasst. Sie umfasst drei Kategorien von Sicherheitsvorfällen:

Vertraulichkeitsverletzungen

Personendaten werden unbefugten Personen offengelegt oder sind für diese zugänglich. Beispiele:

• Ein Phishing-Angriff verschafft einem Angreifer Zugang zu einem Postfach mit Kundendaten
• Ein Mitarbeitender sendet eine Gehaltsliste an den falschen Empfänger
• Ein ehemaliger Mitarbeitender behält den CRM-Zugang nach dem Austritt
• Ein Cloud-Speicher ist versehentlich mit öffentlichem Lesezugriff konfiguriert

Integritätsverletzungen

Personendaten werden ohne Berechtigung verändert, sei es böswillig oder durch Systemfehler. Beispiele:

• Ransomware verschlüsselt und beschädigt eine Patientendatenbank
• Ein Softwarefehler überschreibt Kundenadressen mit falschen Daten
• Ein unbefugter Dritter verändert Finanzdaten

Verfügbarkeitsverletzungen

Personendaten gehen vorübergehend oder dauerhaft verloren oder werden unzugänglich. Beispiele:

• Ein Ransomware-Angriff macht die gesamte Kundendatenbank unzugänglich
• Ein Serverausfall zerstört Daten ohne Backup
• Ein DDoS-Angriff verhindert den Zugang zu einem Gesundheitsdatensystem für 48 Stunden

Wichtig: Eine Verletzung erfordert keine böswillige Absicht. Eine falsch konfigurierte Firewall-Regel, eine versehentliche Löschung oder ein verlorener USB-Stick gelten als Verletzungen. Das nDSG fokussiert auf das Ergebnis — ob die Datensicherheit beeinträchtigt wurde — nicht auf die Ursache.

Wann ist die Meldung an den EDÖB obligatorisch?

Nicht jede Datenschutzverletzung löst eine Meldepflicht aus. Artikel 24 Abs. 1 nDSG verpflichtet den Verantwortlichen, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB / PFPDT / FDPIC) so rasch wie möglich eine Verletzung der Datensicherheit zu melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.

Die Schwelle des hohen Risikos

Das nDSG definiert das «hohe Risiko» nicht im Detail, aber der EDÖB und die Gesetzesmaterialien geben Orientierung. Sie sollten beurteilen:

1. Die Art der betroffenen Daten: Besonders schützenswerte Personendaten (Gesundheit, Biometrie, rassische/ethnische Herkunft, religiöse Überzeugungen, Strafverfahren, Sozialhilfemassnahmen) erhöhen das Risiko automatisch. Finanzdaten, Zugangsdaten und amtliche Identifikationsnummern verdienen ebenfalls erhöhte Aufmerksamkeit.

2. Das Datenvolumen und die Anzahl betroffener Personen: Eine Verletzung, die 10 000 Kunden betrifft, birgt ein inhärent höheres Risiko als eine, die 3 Personen betrifft.

3. Die Art der Verletzung: Unbefugter externer Zugriff (z. B. Hacking) birgt in der Regel ein höheres Risiko als eine interne versehentliche Offenlegung, die schnell eingedämmt wurde.

4. Die Identifizierbarkeit: Wenn die verletzten Daten direkt bestimmten Personen zugeordnet werden können (Namen, Adressen, AHV-Nummern), ist das Risiko höher als bei pseudonymisierten Daten.

5. Die möglichen Folgen: Könnte die Verletzung zu Identitätsdiebstahl, finanziellem Verlust, Rufschädigung, Diskriminierung oder physischer Gefahr für die Betroffenen führen?

6. Ob die Daten verschlüsselt waren: Wenn die betroffenen Daten mit starker, aktueller Verschlüsselung geschützt waren und die Schlüssel nicht kompromittiert wurden, kann das Risiko unter die Schwelle des hohen Risikos sinken.

Praktische Faustregel: Im Zweifelsfall melden. Der EDÖB hat öffentlich erklärt, dass er Übermeldung der Untermeldung vorzieht. Eine Meldung, die sich als unnötig herausstellt, zieht keine Sanktionen nach sich. Eine unterlassene Pflichtmeldung kann zu strafrechtlicher Verfolgung führen.

Keine feste 72-Stunden-Frist — aber verzögern Sie nicht

Anders als die DSGVO, die eine strikte 72-Stunden-Frist vorschreibt (Art. 33 DSGVO), verlangt das nDSG eine Meldung «so rasch wie möglich» (dans les meilleurs délais / as soon as possible). Die Gesetzesmaterialien und die Empfehlungen des EDÖB weisen darauf hin, dass dies in der Praxis in der Regel innerhalb von 72 Stunden bedeutet, aber das Gesetz vermeidet bewusst eine starre Frist.

Diese Flexibilität hat wichtige Auswirkungen:

• Eine komplexe Verletzung, die eine forensische Analyse erfordert, kann einen längeren Zeitraum rechtfertigen — vorausgesetzt, Sie können nachweisen, dass Sie mit Sorgfalt gehandelt haben
• Eine einfache Verletzung (z. B. eine E-Mail mit klar identifizierbaren Daten an den falschen Empfänger) sollte innerhalb von Stunden, nicht Tagen, gemeldet werden
• Sie können eine Erstmeldung mit den verfügbaren Informationen einreichen und diese später ergänzen, sobald Ihre Untersuchung fortschreitet (Art. 15 Abs. 3 DSV)
• Ungerechtfertigte Verzögerung wird als unterlassene Meldung behandelt, unabhängig vom Fehlen einer festen Frist

Der EDÖB stellt ein Online-Meldeformular zur Verfügung, das für die Erstmeldung verwendet werden kann.

Was muss die Meldung enthalten?

Artikel 24 Abs. 2 nDSG und Artikel 15 DSV legen den Mindestinhalt einer Verletzungsmeldung an den EDÖB fest:

Obligatorische Angaben

1. Art der Verletzung: Beschreiben Sie, was passiert ist — die Art der Verletzung (Vertraulichkeit, Integrität, Verfügbarkeit), die Umstände und den Angriffsvektor, sofern bekannt

2. Kategorien und ungefähre Anzahl der betroffenen Personen: Geben Sie an, ob Kunden, Mitarbeitende, Patienten oder andere Kategorien betroffen sind, und liefern Sie eine Schätzung der Zahlen

3. Kategorien und ungefähre Anzahl der betroffenen Personendatensätze: Beschreiben Sie, welche Datenarten kompromittiert wurden (Namen, E-Mail-Adressen, Finanzdaten, Gesundheitsdaten usw.)

4. Voraussichtliche Folgen: Beurteilen Sie die möglichen Auswirkungen auf die Betroffenen — Risiko eines Identitätsdiebstahls, finanzielle Exponierung, Rufschädigung, physische Gefahr

5. Ergriffene oder geplante Massnahmen: Beschreiben Sie, was Sie unternommen haben, um die Verletzung einzudämmen, und welche Schritte Sie planen, um die Auswirkungen zu mindern und eine Wiederholung zu verhindern

6. Kontaktperson: Name und Kontaktdaten einer Person (oder des Datenschutzberaters, falls ernannt), die dem EDÖB weitere Auskünfte erteilen kann

Meldung in Phasen

Wenn Sie nicht alle erforderlichen Informationen zum Zeitpunkt der Erstmeldung liefern können, erlaubt Artikel 15 Abs. 3 DSV die Übermittlung in Phasen. Dies ist entscheidend bei komplexen Verletzungen, deren volles Ausmass nicht sofort klar ist — beispielsweise bei einem ausgeklügelten Cyberangriff mit laufender forensischer Analyse.

In der Praxis sollten Sie:

• Die Erstmeldung innerhalb von 72 Stunden mit den verfügbaren Informationen einreichen
• Klar angeben, dass die Meldung vorläufig ist
• Ergänzende Informationen nachliefern, sobald sie verfügbar werden
• Eine dokumentierte Zeitleiste Ihrer Untersuchung führen

Benachrichtigung der betroffenen Personen

Über den EDÖB hinaus verlangt Artikel 24 Abs. 4 nDSG vom Verantwortlichen, die betroffenen Personen zu informieren, wenn:

1. Dies zu ihrem Schutz erforderlich ist: Wenn betroffene Personen Massnahmen zu ihrem Schutz ergreifen müssen — Passwörter ändern, Kreditkarten sperren, Konten überwachen — müssen sie informiert werden

2. Der EDÖB es verlangt: Der EDÖB kann den Verantwortlichen anweisen, die betroffenen Personen zu benachrichtigen, auch wenn der Verantwortliche zunächst entschieden hatte, dies nicht zu tun

Inhalt der Benachrichtigung an betroffene Personen

Die Benachrichtigung an die Betroffenen sollte in klarer, verständlicher Sprache verfasst sein und Folgendes enthalten:

• Was passiert ist (Art der Verletzung)
• Welche Daten betroffen waren
• Welche Folgen wahrscheinlich sind
• Was der Verantwortliche unternommen hat und unternimmt, um die Verletzung zu beheben
• Was die betroffenen Personen zu ihrem Schutz tun können (konkrete, umsetzbare Schritte)
• Kontaktdaten für weitere Fragen

Ausnahmen von der Einzelbenachrichtigung

Das Gesetz verlangt nicht in allen Fällen eine Einzelbenachrichtigung. Der Verantwortliche kann eine öffentliche Mitteilung (z. B. einen Hinweis auf seiner Website) verwenden, wenn die Einzelbenachrichtigung einen unverhältnismässigen Aufwand erfordern würde — beispielsweise, wenn die Kontaktdaten aller betroffenen Personen nicht verfügbar sind.

Zudem kann die Benachrichtigung betroffener Personen entfallen, wenn:

• Die Daten wirksam verschlüsselt waren und die Verschlüsselungsschlüssel nicht kompromittiert wurden
• Der Verantwortliche Massnahmen ergriffen hat, die das Risiko für die betroffenen Personen beseitigen
• Die Verletzung voraussichtlich keinen greifbaren Schaden verursacht

Die Rolle der Auftragsbearbeiter bei der Meldung von Verletzungen

Artikel 9 Abs. 2 nDSG verpflichtet Auftragsbearbeiter (sous-traitant / data processor), den Verantwortlichen so rasch wie möglich zu benachrichtigen, wenn sie Kenntnis von einer Verletzung der Datensicherheit erlangen. Die Pflicht des Auftragsbearbeiters besteht darin, den Verantwortlichen zu informieren — nicht den EDÖB direkt.

Dies hat wichtige Auswirkungen auf Ihre Lieferantenbeziehungen:

Vertragliche Anforderungen

Ihre Auftragsbearbeitungsverträge (AVV/DPA) müssen enthalten:

• Eine Verpflichtung des Auftragsbearbeiters, Sie über jede Verletzung unverzüglich zu benachrichtigen (legen Sie einen Zeitrahmen fest — 24 oder 48 Stunden ist gängige Praxis)
• Die Anforderung, genügend Details zu liefern, damit Sie beurteilen können, ob die Verletzung Ihre eigenen Meldepflichten auslöst
• Mitwirkungspflichten des Auftragsbearbeiters bei Ihrer Untersuchung und Ihren Abhilfemassnahmen
• Klarheit darüber, ob der Auftragsbearbeiter eigenständig den EDÖB oder betroffene Personen benachrichtigen darf (in der Regel sollte er dies nicht ohne Ihre Zustimmung tun)

Praktische Herausforderungen

Viele Schweizer KMU sind stark von Cloud-Diensten, SaaS-Plattformen und externen IT-Dienstleistern abhängig. Eine Verletzung bei Ihrem Auftragsbearbeiter ist rechtlich Ihre Verletzung — Sie bleiben als Verantwortlicher für die Meldung und Abhilfe zuständig. Das bedeutet:

• Sie müssen die Sicherheitspraktiken Ihrer Auftragsbearbeiter überwachen
• Sie müssen Anforderungen zur Meldung von Verletzungen in jeden AVV/DPA aufnehmen
• Sie benötigen einen klaren Eskalationspfad von Ihren Auftragsbearbeitern zu Ihrem Incident-Response-Team
• Prüfen Sie, ob die Meldezusagen Ihrer Auftragsbearbeiter realistisch und durchsetzbar sind

nDSG vs. DSGVO: Meldepflicht im Vergleich

Schweizer KMU, die auch EU-Personendaten bearbeiten, müssen beide Regelwerke verstehen. Die Unterschiede sind erheblich:

Zentrale Erkenntnis

Die höhere Schwelle des nDSG («hohes Risiko» vs. «es sei denn, Risiko ist unwahrscheinlich») bedeutet, dass weniger Verletzungen dem EDÖB gemeldet werden müssen als einer EU-Aufsichtsbehörde. Jedoch macht die strafrechtliche Natur der nDSG-Sanktionen — die die verantwortliche natürliche Person und nicht das Unternehmen treffen — die Folgen eines Versäumnisses weitaus persönlicher.

Praktischer 7-Schritte-Notfallplan für KMU

Ein dokumentierter Incident-Response-Plan ist nicht nur gute Praxis — er dient als Nachweis der Sorgfalt, der Sie im Ernstfall schützen kann. Hier ist ein praxisnaher Plan, der auf Schweizer KMU zugeschnitten ist:

Schritt 1: Erkennen und eindämmen

Ziel: Die Verletzung stoppen und weiteren Schaden verhindern.

• Betroffene Systeme isolieren (vom Netzwerk trennen, kompromittierte Zugangsdaten widerrufen)
• Beweise sichern (Systeme nicht löschen oder neu aufsetzen, bevor die forensische Analyse abgeschlossen ist)
• Ihr Incident-Response-Team aktivieren (auch in einem 5-Personen-Unternehmen: legen Sie fest, wer was tut)
• Den Zeitpunkt der Entdeckung festhalten — dies startet die Uhr für «so rasch wie möglich»

PrivaGuard-Tipp: Regelmässige Compliance-Scans können Fehlkonfigurationen erkennen — wie exponierte Tracking-Scripts, fehlende Cookie-Einwilligung oder unsichere Datenflüsse — bevor sie zu Verletzungsvektoren werden. Proaktives Monitoring reduziert Ihre Angriffsfläche.

Schritt 2: Umfang und Schwere beurteilen

Ziel: Feststellen, was passiert ist, welche Daten betroffen sind und ob die Schwelle des hohen Risikos erreicht ist.

• Die Art der Verletzung identifizieren (Vertraulichkeit, Integrität, Verfügbarkeit)
• Feststellen, welche Kategorien von Personendaten betroffen sind
• Die Anzahl der betroffenen Personen schätzen
• Beurteilen, ob besonders schützenswerte Personendaten (Art. 5 Bst. c nDSG) betroffen sind
• Die Wahrscheinlichkeit und Schwere der Folgen für die betroffenen Personen bewerten
• Ihre Risikobewertung und die zugrundeliegende Begründung dokumentieren

Schritt 3: Meldung an den EDÖB (falls erforderlich)

Ziel: Art. 24 nDSG durch eine fristgerechte Meldung einhalten.

• Das Online-Meldeformular des EDÖB verwenden
• Alle obligatorischen Angaben gemäss Art. 15 DSV aufnehmen
• Wenn die Bewertung noch läuft, eine vorläufige Meldung einreichen und angeben, dass Aktualisierungen folgen werden
• Eine Kontaktperson für EDÖB-Anfragen benennen
• Datum und Uhrzeit der Meldung dokumentieren

Schritt 4: Betroffene Personen benachrichtigen (falls erforderlich)

Ziel: Betroffene Personen in die Lage versetzen, sich zu schützen.

• Bestimmen, ob eine Einzelbenachrichtigung erforderlich ist (Art. 24 Abs. 4)
• Eine klare, nicht-technische Benachrichtigung in den relevanten Sprachen (DE, FR, EN je nach Bedarf) verfassen
• Konkrete Schritte aufführen, die die Betroffenen ergreifen sollten (Passwörter ändern, Konten überwachen usw.)
• Den geeigneten Kommunikationskanal wählen (E-Mail, Brief, Website-Hinweis)
• Die Benachrichtigung dokumentieren, einschliesslich Inhalt, Zeitpunkt und Zustellungsart

Schritt 5: Beheben und wiederherstellen

Ziel: Die Schwachstelle beseitigen und den Normalbetrieb wiederherstellen.

• Die Grundursache der Verletzung beheben (Schwachstelle patchen, Zugriffskontrollen neu konfigurieren usw.)
• Betroffene Systeme aus sauberen Backups wiederherstellen
• Kompromittierte Zugangsdaten zurücksetzen
• Überprüfen, dass die Verletzung vollständig eingedämmt ist
• Abhilfemassnahmen testen, bevor Systeme wieder in Betrieb genommen werden

Schritt 6: Alles dokumentieren

Ziel: Art. 24 Abs. 5 nDSG einhalten, der die Dokumentation aller Verletzungen vorschreibt.

Ihr Verletzungsregister muss enthalten:

• Datum und Uhrzeit der Verletzung und ihrer Entdeckung
• Art und Umfang der Verletzung
• Datenkategorien und Anzahl betroffener Personen
• Folgen der Verletzung (tatsächliche und potenzielle)
• Ergriffene Massnahmen zur Behebung der Verletzung
• Ob der EDÖB und/oder betroffene Personen benachrichtigt wurden, mit Begründung
• Zeitleiste aller ergriffenen Massnahmen

Wichtig: Sie müssen alle Verletzungen dokumentieren, nicht nur die dem EDÖB gemeldeten. Dieses Register dient als Nachweis Ihrer Compliance-Bemühungen und kann vom EDÖB bei einer Untersuchung angefordert werden.

Schritt 7: Lernen und verbessern

Ziel: Wiederholung verhindern und Ihre Datenschutzposition stärken.

• Eine Nachbesprechung mit allen Beteiligten durchführen
• Identifizieren, was schiefgelaufen ist und was gut funktioniert hat
• Ihre Sicherheitsmassnahmen, Richtlinien und Verfahren entsprechend aktualisieren
• Mitarbeitende über die gewonnenen Erkenntnisse schulen
• Ihren aktualisierten Incident-Response-Plan testen
• Regelmässige Compliance-Überprüfungen planen

Dokumentations- und Aufbewahrungspflichten

Artikel 24 Abs. 5 nDSG verpflichtet den Verantwortlichen, Verletzungen der Datensicherheit zu dokumentieren. Diese Pflicht gilt für alle Verletzungen — nicht nur für solche, die eine Meldung an den EDÖB ausgelöst haben.

Was ist zu dokumentieren?

Für jede Verletzung sollten Ihre Unterlagen enthalten:

• Sachverhaltsbeschreibung: Was ist passiert, wann, wie wurde die Verletzung entdeckt
• Umfangsbewertung: Datenkategorien, Volumen, Anzahl betroffener Personen
• Risikobewertung: Ihre Analyse, ob die Verletzung die Schwelle des hohen Risikos erreicht hat, und die berücksichtigten Faktoren
• Meldeentscheidungen: Ob Sie den EDÖB und/oder betroffene Personen benachrichtigt haben, und die Begründung Ihrer Entscheidung
• Abhilfemassnahmen: Was Sie unternommen haben, um die Verletzung einzudämmen, Systeme wiederherzustellen und eine Wiederholung zu verhindern
• Zeitleiste: Eine chronologische Aufzeichnung aller Massnahmen von der Entdeckung bis zum Abschluss

Aufbewahrungsdauer

Das nDSG legt keine spezifische Aufbewahrungsfrist für die Dokumentation von Verletzungen fest. Die bewährte Praxis ist, die Unterlagen mindestens 10 Jahre aufzubewahren (orientiert an der allgemeinen zivilrechtlichen Verjährungsfrist in der Schweiz) oder für die Dauer einer laufenden Untersuchung oder eines Verfahrens.

Warum Dokumentation wichtig ist

Die Dokumentation erfüllt drei Zwecke:

1. Rechtlicher Schutz: Wenn der EDÖB ermittelt oder ein Strafverfahren eingeleitet wird, belegt Ihre Dokumentation Sorgfalt und guten Glauben
2. Kontinuierliche Verbesserung: Ein Verletzungsregister hilft Ihnen, Muster und systemische Schwächen zu erkennen
3. Rechenschaftspflicht: Sie zeigt Kunden, Partnern und Regulierungsbehörden, dass Sie den Datenschutz ernst nehmen

Sanktionen bei unterlassener Meldung

Das strafrechtliche Sanktionsregime des nDSG gilt für Verstösse gegen die Meldepflicht auf mehreren Ebenen:

Direkte Sanktionen

• Art. 60 nDSG (Verletzung der Informationspflichten): Wenn Sie es unterlassen, betroffene Personen über eine Verletzung zu informieren, obwohl dies erforderlich ist, drohen der verantwortlichen Person Bussen bis CHF 250 000
• Art. 61 nDSG (Verletzung der Sorgfaltspflichten): Fehlende angemessene Sicherheitsmassnahmen, die zur Verletzung geführt haben, oder ein fehlendes Verletzungsregister können diese Bestimmung auslösen
• Art. 63 nDSG (Missachtung von Verfügungen des EDÖB): Wenn der EDÖB Sie anweist, betroffene Personen zu benachrichtigen, und Sie dem nicht nachkommen, drohen der verantwortlichen Person Bussen bis CHF 250 000

Indirekte Folgen

Über die strafrechtlichen Sanktionen hinaus kann eine unterlassene Meldung zu folgenden Konsequenzen führen:

• Zivilrechtliche Haftung: Betroffene Personen können gemäss Art. 32 nDSG Schadenersatz fordern
• Reputationsschaden: Die öffentliche Bekanntmachung einer schlecht gehandhabten Verletzung kann das Kundenvertrauen zerstören
• Regulatorische Aufmerksamkeit: Der EDÖB kann eine formelle Untersuchung eröffnen (Art. 49 nDSG) und verbindliche Massnahmen anordnen
• Vertragsstrafen: Viele B2B-Verträge und AVV/DPA enthalten Pflichten zur Meldung von Verletzungen mit finanziellen Konsequenzen bei Nichteinhaltung
• Versicherungsfolgen: Eine unterlassene Meldung kann den Cyberversicherungsschutz gefährden

Wer haftet persönlich?

Wie bei allen nDSG-Sanktionen zielt die Haftung auf die verantwortliche natürliche Person — nicht auf das Unternehmen. Das kann sein:

• Der Geschäftsführer, der entschieden hat, nicht zu melden
• Der IT-Verantwortliche, der die Verletzung verschwiegen hat
• Der Datenschutzbeauftragte, der nicht eskaliert hat
• Jeder Mitarbeitende, der die Befugnis und Pflicht zum Handeln hatte, aber nicht gehandelt hat

Häufige Verletzungsszenarien für Schweizer KMU

Das Verständnis realer Verletzungsmuster hilft bei der Vorbereitung. Dies sind die häufigsten Szenarien, die Schweizer Unternehmen betreffen:

Ransomware-Angriffe

Ein böswilliger Akteur verschlüsselt Ihre Systeme und fordert Lösegeld. Es handelt sich gleichzeitig um eine Vertraulichkeitsverletzung (der Angreifer hat wahrscheinlich Daten vor der Verschlüsselung exfiltriert) und eine Verfügbarkeitsverletzung (Daten sind unzugänglich). Gehen Sie bei einem Ransomware-Vorfall immer von einer Datenexfiltration aus — die Schwelle des hohen Risikos ist fast sicher erreicht.

E-Mail-Fehlversand

Ein Mitarbeitender sendet eine Datei mit Personendaten an den falschen Empfänger. Die Schwere hängt von den betroffenen Daten ab: Eine Besprechungseinladung an die falsche Person zu senden, ist etwas anderes als eine Liste von Gehältern oder Patientendiagnosen an eine externe Adresse zu verschicken.

Cloud-Fehlkonfiguration

Ein Speicher-Bucket, eine Datenbank oder ein API-Endpunkt wird versehentlich im öffentlichen Internet exponiert. Diese Verletzungen sind besonders gefährlich, da sie wochen- oder monatelang unentdeckt bleiben können und das Ausmass des potenziellen Zugriffs schwer zu bestimmen ist.

Phishing und Zugangsdatendiebstahl

Ein Mitarbeitender fällt auf eine Phishing-E-Mail herein, und der Angreifer erhält Zugang zu Systemen mit Personendaten. Der Umfang der Verletzung hängt von den Zugriffsrechten des kompromittierten Kontos ab — die Kompromittierung eines Administratorkontos ist weitaus schwerwiegender als die eines Kontos mit eingeschränktem Zugriff.

Verlorene oder gestohlene Geräte

Ein Laptop, Telefon oder USB-Stick mit Personendaten geht verloren oder wird gestohlen. Vollständige Festplattenverschlüsselung mit einem starken Passwort reduziert das Risiko erheblich — dokumentieren Sie dies in Ihrer Risikobewertung.

Interne Bedrohungen

Ein unzufriedener oder ausscheidender Mitarbeitender kopiert Kundendaten, behält Systemzugriff oder sabotiert absichtlich Systeme. Deshalb sind Zugriffsmanagement und zeitnahe Offboarding-Prozesse entscheidend.

Wie PrivaGuard bei Prävention und Reaktion hilft

Kein Tool kann alle Verletzungen verhindern, aber proaktives Compliance-Monitoring reduziert Ihr Risiko erheblich:

• Automatisierte Compliance-Scans erkennen Tracking-Scripts, Cookies und Datenflüsse, die zu Verletzungsvektoren werden könnten — Probleme werden identifiziert, bevor sie zu Vorfällen führen
• Kontinuierliches Monitoring warnt Sie bei Konfigurationsänderungen und neuen Schwachstellen auf Ihren Web-Eigenschaften
• Cookie-Einwilligungsmanagement stellt sicher, dass die Datenerhebung rechtmässig und dokumentiert ist, wodurch der Umfang potenzieller Verletzungen reduziert wird
• Datenschutzerklärungsgenerierung hält Ihre Verarbeitungsdokumentation aktuell und unterstützt Ihre Meldepflichten
• Bearbeitungsverzeichnis bietet das dokumentarische Rückgrat, das Art. 24 Abs. 5 nDSG verlangt

Die Meldung von Datenschutzverletzungen ist keine einmalige Compliance-Übung — sie erfordert kontinuierliche Wachsamkeit, dokumentierte Prozesse und eine Kultur des Datenschutzbewusstseins. Indem Sie Ihre Pflichten nach Art. 24 nDSG verstehen und sich im Voraus vorbereiten, verwandeln Sie die Meldung von Verletzungen von einer Krise in einen geordneten Prozess.

Zentrale Erkenntnisse

1. Nicht jede Verletzung muss gemeldet werden — nur solche, die voraussichtlich zu einem hohen Risiko für betroffene Personen führen
2. Handeln Sie schnell, aber richtig — es gibt keine feste 72-Stunden-Frist, aber ungerechtfertigte Verzögerung wird als Versäumnis behandelt
3. Dokumentieren Sie alles — alle Verletzungen, nicht nur die gemeldeten, müssen aufgezeichnet werden
4. Persönliche Haftung ist real — strafrechtliche Bussen von CHF 250 000 treffen die verantwortliche natürliche Person, nicht das Unternehmen
5. Bereiten Sie sich jetzt vor — ein dokumentierter Incident-Response-Plan ist Ihr bester Schutz im Ernstfall
6. Überwachen Sie Ihre Auftragsbearbeiter — eine Verletzung bei Ihrem Dienstleister ist rechtlich Ihre Verletzung
7. Prävention schlägt Reaktion — regelmässige Compliance-Scans und Monitoring reduzieren sowohl das Verletzungsrisiko als auch den Meldeaufwand

Quellen: Bundesgesetz über den Datenschutz (nDSG), Datenschutzverordnung (DSV), EDÖB-Leitfaden zu Verletzungen der Datensicherheit