Anzeige
Anzeige
Anzeige
Lesedauer 3 Min.

Willkommen im Meldedschungel

Seit einem Jahr gilt eine Meldepflicht für bestimmte Datenschutzverletzungen. Das revidierte Informationssicherheitsgesetz bringt bald eine weitere. Diese Pflichten sind kaum koordiniert, was Unternehmen verunsichert und unnötige Aufwände verursacht.
Die Einführung weiterer Melde­pflichten bei Cyber­angriffen ist grund­sätzlich zu be­grüssen, sollte aber möglichst trans­parent und einfach zu handhaben sein.
© (Quelle: Shutterstock/VRVIRUS)

Seit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) im September 2023 kennt die Schweiz eine Meldepflicht für Verletzungen der Datensicherheit wie beispielsweise gravierende Cyberattacken mit Datenverschlüsselung oder -exfiltration. Die Meldung hat an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu erfolgen, und zwar «so rasch wie möglich». In der Praxis orientiert man sich meist an der Frist von 72 Stunden gemäss EU-Datenschutzgrundverordnung (DSGVO).

Einführung einer zusätzlichen Meldepflicht

Mit der Revision des Informationssicherheitsgesetzes (ISG) wird eine zusätzliche Meldepflicht für Betreiber kritischer Infrastrukturen eingeführt. Demnach müssen bestimmte Cyberangriffe (z.B. Ransomware-Attacken) auf spezifische kritische Infrastrukturen innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) gemeldet werden. Das Inkrafttreten wird auf Mitte 2025 erwartet, da die zugehörige Cybersicherheitsverordnung vom Bundesrat noch verabschiedet werden muss.

Weiter bestehen spezifische Meldepflichten für regulierte Unternehmen namentlich der Finanzbranche. Gemäss einer Aufsichtsmitteilung müssen Finanzinstitute wesentliche Cyber-Attacken innerhalb von 24 Stunden (Erstmeldung) bzw. 72 Stunden (Folgemeldung) an die Finanzmarktaufsicht notifizieren. Zudem sind Pflichten zur Meldung von Sicherheitsvorfällen aufgrund ausländischer Vorschriften (z.B. DSGVO) zu befolgen.

Unterschiede nur teils nachvollziehbar

Von einem Cybervorfall betroffene Unternehmen sehen sich daher oft mit einer Vielzahl von Meldepflichten konfrontiert, die sich in ihren Voraussetzungen, Inhalten und Modalitäten erheblich unterscheiden. Gewisse Abweichungen liegen in der Natur der Sache wie etwa die unterschiedlichen Angriffsziele im DSG (Personendaten) und ISG (kritische Infrastrukturen); für andere Differenzen ist eine sachliche Notwendigkeit demgegenüber nicht zu erkennen. Beispielsweise sind die unterschiedlichen Meldeinhalte und -fristen kaum nachvollziehbar.

Dies hat zur Folge, dass betroffene Unternehmen sich in einem Dschungel von Meldepflichten zurechtfinden müssen. Dies bringt Unsicherheit mit sich (z.B. welcher Behörde muss was wann und innert welcher Frist gemeldet werden?) und löst durch die Vielzahl von Meldungen beträchtlichen Overhead aus, notabene in einem Zeitpunkt, wo die Ressourcen des von einem Sicherheitsvorfall betroffenen Unternehmens ohnehin stark strapaziert werden.

Exemplarisch für die unbefriedigende Situation steht das für Sicherheitsvorfälle unter dem ISG geplante Meldeformular: Dieses gibt betroffenen Unternehmen zwar die Option, einen Vorfall nicht nur dem BACS, sondern auch dem EDÖB zu melden; dennoch wird das Unternehmen dadurch nicht von einer separaten Meldung an den EDÖB dispensiert, womit diese Option keine Erleichterung bringt.

Vereinheitlichung und Vereinfachung tun Not

Für die aus einem Sicherheitsvorfall meldepflichtigen Unternehmen stellt das Dickicht unter­schiedlicher Meldevorschriften eine unnötige Bürde dar. Es wäre wünschenswert, wenn hier künftig eine Vereinheitlichung und Vereinfachung statt­findet. Geprüft werden sollte auch die Einführung einer zentralen Meldestelle zur Wahrnehmung der verschiedenen Meldepflichten. Im internationalen Kontext sind solche Vereinheitlichungen gerade für die Schweiz nicht einfach zu erzielen; umso mehr sollte im Binnenverhältnis darauf hingearbeitet werden.

Andernfalls werden Unternehmen ihre Meldepflichten mangels Ressourcen zunehmend ignorieren, womit niemandem gedient wäre. Dennoch ist damit zu rechnen, denn die geringe Anzahl von weniger als 300 Data Breach Meldungen an den EDÖB im ersten Jahr unter dem revidierten DSG lässt leider befürchten, dass dies teilweise bereits geschehen ist.

swissICT Künstliche Intelligenz (KI) Datenschutz Künstliche Intelligenz (KI)
Anzeige

Neueste Beiträge

Anpassung der Energieetikette für Neuwagen ab 1. Januar 2027
Das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) hat die Grundlagendaten der Energieetikette für Personenwagen aktualisiert.
3 Minuten
Mittelklasse: Nothing zeigt das Phone (4b)
Beim neuen Phone (4b) setzt Nothing auf ein attraktives Preis-Leistungsverhältnis. Das Design der Rückseite ist weniger extravagant als bei anderen Modellen des Herstellers, hat aber zumindest wieder ein ungewöhnliches Element.
2 Minuten
9. Jul 2026
ICT-Fachmesse CONNECT von Brack.Alltron erscheint in neuem Gewand
Unter dem Motto «Unboxing Tomorrow» möchte die Handelsgruppe Brack.Alltron die ICT-Themen von morgen präsentieren. 
3 Minuten
10. Jul 2026

Das könnte Sie auch interessieren

E-Mail «Neue Sprachnachricht» ist Phishing
Betrüger versenden E-Mails, in denen sie behaupten, dass eine neue Sprachnachricht bereitstehe. Damit versuchen sie, an Zugangsdaten von persönlichen Benutzerkonten zu gelangen.
3 Minuten
Open-Source-Technologien im Sicherheitsbereich - Parldigi | Digitale Nachhaltigkeit
In Staat und Wirtschaft kommen seit längerem Open-Source-Technologien zum Einsatz. Doch welche Rolle spielt Open-Source im Bereich Security? Auf diese Frage gab der Parldigi-Anlass in Bern u. a. mit Bundesrat Martin Pfister mögliche Antworten.
4 Minuten
26. Jun 2026
Digital Business im Fokus: Wohin geht die Reise? - Computerworld Ausgabe 2/2026
Autonomie und Souveränität werden inzwischen als Schlagworte mindestens ebenso häufig verwendet wie Künstliche Intelligenz und Datenschutz. Automatisierung und die Transformation zu einer hohen Dichte an KI-Agenten in Unternehmen werden die Zukunft des Digital Business prägen. Daraus entsteht ein Mix, der spannender und komplexer nicht sein könnte. Die Digitalisierung hat Dimensionen erreicht, die sich - Ironie des Wandels - fast nur noch mit KI bewältigen lassen. Höchste Zeit also für einen Überblick. 
2 Minuten
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige