Neuer EDÖB-Leitfaden zu Datensicherheitsverletzungen

Feb. 10, 2025

Das Bild zeigt die leuchtenden Worte "SECURITY BREACH" in kräftigem, neonrotem Licht, das aus der dunklen Umgebung heraussticht. Die Buchstaben sind gestochen scharf und scheinen von innen zu leuchten, wodurch eine bedrohliche Atmosphäre entsteht. Der Hintergrund ist ein dynamischer Farbverlauf, der auf der linken Seite in einem warmen Orange beginnt, sich in der Mitte zu einem tiefen Blauviolett wandelt und auf der rechten Seite in ein fast schwarzes Dunkelblau übergeht. Diese Farbkomposition erzeugt einen dramatischen Effekt, der auf die Ernsthaftigkeit und Dringlichkeit des dargestellten Themas – einen Sicherheitsverstoß – hinweist. Über das gesamte Bild verteilt sind Buchstaben, Zahlen und Symbole, die in hellen, leuchtenden Farben dargestellt sind, ähnlich wie eine digitale Matrix oder eine verschlüsselte Datenstruktur. Einige dieser Zeichen sind diagonal schraffiert, als würden sie sich in einem Scanvorgang befinden oder gerade verarbeitet werden. Sie erwecken den Eindruck, dass das Bild eine digitale Umgebung darstellt, möglicherweise eine gehackte Datenbank oder ein kompromittiertes System. Auf der linken Seite des Bildes befinden sich vier schwarze Balken, die an eine Statistik oder ein Diagramm erinnern. Sie scheinen sich über eine leicht durchscheinende Oberfläche zu erstrecken, was den Eindruck einer virtuellen Schnittstelle verstärkt. Dies könnte eine visuelle Darstellung der Auswirkungen eines Datenlecks sein, etwa eine steigende Anzahl von Sicherheitsverletzungen oder betroffenen Nutzerdaten. Insgesamt vermittelt das Bild eine starke visuelle Botschaft über Cybersecurity-Bedrohungen, Datenlecks und die Notwendigkeit von Schutzmaßnahmen gegen Hackerangriffe. Die neonfarbenen, schwebenden Zeichen und die kontrastreichen Farbübergänge verstärken das Gefühl von Dringlichkeit und Gefahr in einer digitalen Welt.

Der EDÖB hat am 5. Februar 2025 einen Leitfaden zur Meldung von Datensicherheitsverletzungen und zur Information der Betroffenen gemäss Art. 24 DSG veröffentlicht. 

Wann spricht man von einer Datensicherheitsverletzung?

Eine Datensicherheitsverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht oder verändert werden oder Unbefugten zugänglich sind. Dies kann auf verschiedene Weise geschehen: 

  • Ein Hackerangriff, bei dem Kriminelle auf Kundendaten zugreifen 
  • Eine falsch adressierte E-Mail mit vertraulichen Dokumenten 
  • Gestohlene oder verlorene Datenträger wie USB-Sticks oder Laptops 
  • Technische Fehler, durch die Daten unbeabsichtigt gelöscht oder verändert werden 

Solche Vorfälle können schwerwiegende Folgen haben, darunter Identitätsdiebstahl, finanzielle Verluste oder Vertrauensverlust. Daher ist es entscheidend, dass Unternehmen und Organisationen wissen, wie sie reagieren müssen. 

Meldepflicht: Wann muss der EDÖB informiert werden?

Nicht jede Datensicherheitsverletzung ist meldepflichtig. Eine Meldung an den EDÖB ist erforderlich, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. 

Folgende Kriterien beurteilen die Schwere der Beeinträchtigung: 

  • Schutzwürdigkeit der betroffenen Personendaten 
  • Art und Umstände der Verletzung sowie Kreis und Motive der unberechtigten Dritten 
  • Aufwand zur Identifikation der betroffenen Personen 
  • Menge und Bearbeitungsdauer der Daten 
  • Ideelle und wirtschaftliche Nachteile 
  • Besondere Schutzbedürftigkeit der Betroffenen 
  • Gesamtanzahl der betroffenen Personen 

Nach der Entdeckung einer Datensicherheitsverletzung muss der Verantwortliche die Wahrscheinlichkeit des Schadenseintritts einschätzen. Dabei sind nachträglich ergriffene Schutzmassnahmen nicht zu berücksichtigen. 

Besteht ein hohes Risiko, ist der Vorfall unverzüglich über das offizielle Meldeportal des EDÖB zu melden. Die Meldung muss den Vorfall, den Zeitpunkt, das Ausmass der Verletzung und die ergriffenen Massnahmen beschreiben. Fehlende Informationen können nachgereicht werden. 

Der EDÖB nimmt auch freiwillige Meldungen entgegen, wenn der Verantwortliche trotz geringerem Risiko eine Meldung für sinnvoll erachtet. 

Wann muss die betroffene Personen informiert werden?

Zusätzlich zur Meldung an den EDÖB kann es erforderlich sein, die betroffenen Personen direkt zu informieren. Dies gilt insbesondere, wenn sie Massnahmen zum Selbstschutz ergreifen müssen, etwa durch das Ändern von Passwörtern oder das Sperren von Kreditkarten. Auch in anderen Fällen kann ein Schutzbedürfnis bestehen, z. B. bei Phishing-Angriffen oder der Überprüfung von Kontoauszügen. 

Welche Sanktionen drohen bei unterlassener Meldung oder Information?

Wird eine meldepflichtige Datensicherheitsverletzung nicht gemeldet , kann der EDÖB die Nachholung anordnen und weitere Massnahmen ergreifen. 

Wenn betroffene Personen hätten informiert werden müssen, kann der EDÖB die Nachholung der Information anordnen und weitere Massnahmen ergreifen. 

Strafrechtliche Konsequenzen können entstehen, wenn die Mindestanforderungen an die Datensicherheit nicht eingehalten wurden. 

Fazit

Datensicherheitsverletzungen können jedes Unternehmen treffen. Eine schnelle Reaktion, eine fundierte Risikoeinschätzung und gegebenenfalls eine Meldung an den EDÖB sowie die betroffenen Personen sind essenziell. 

Der Leitfaden unterstützt Unternehmen dabei, ihre Datenschutzstrategie zu verbessern. Mit geeigneten Sicherheitsmassnahmen und guter Vorbereitung lässt sich das Risiko von Datensicherheitsverletzungen reduzieren und das Vertrauen der Kundinnen und Kunden langfristig erhalten. 

Hier geht’s zum Leitfaden.

 

 

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.

 

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.