Willkommen im Meldedschungel

Seit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) im September 2023 kennt die Schweiz eine Meldepflicht für Verletzungen der Datensicherheit wie beispielsweise gravierende Cyberattacken mit Datenverschlüsselung oder -exfiltration. Die Meldung hat an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu erfolgen, und zwar «so rasch wie möglich». In der Praxis orientiert man sich meist an der Frist von 72 Stunden gemäss EU-Datenschutzgrundverordnung (DSGVO).

Mit der Revision des Informationssicherheitsgesetzes (ISG) wird eine zusätzliche Meldepflicht für Betreiber kritischer Infrastrukturen eingeführt. Demnach müssen bestimmte Cyberangriffe (z.B. Ransomware-Attacken) auf spezifische kritische Infrastrukturen innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) gemeldet werden. Das Inkrafttreten wird auf Mitte 2025 erwartet, da die zugehörige Cybersicherheitsverordnung vom Bundesrat noch verabschiedet werden muss.

Weiter bestehen spezifische Meldepflichten für regulierte Unternehmen namentlich der Finanzbranche. Gemäss einer Aufsichtsmitteilung müssen Finanzinstitute wesentliche Cyber-Attacken innerhalb von 24 Stunden (Erstmeldung) bzw. 72 Stunden (Folgemeldung) an die Finanzmarktaufsicht notifizieren. Zudem sind Pflichten zur Meldung von Sicherheitsvorfällen aufgrund ausländischer Vorschriften (z.B. DSGVO) zu befolgen.

Von einem Cybervorfall betroffene Unternehmen sehen sich daher oft mit einer Vielzahl von Meldepflichten konfrontiert, die sich in ihren Voraussetzungen, Inhalten und Modalitäten erheblich unterscheiden. Gewisse Abweichungen liegen in der Natur der Sache wie etwa die unterschiedlichen Angriffsziele im DSG (Personendaten) und ISG (kritische Infrastrukturen); für andere Differenzen ist eine sachliche Notwendigkeit demgegenüber nicht zu erkennen. Beispielsweise sind die unterschiedlichen Meldeinhalte und -fristen kaum nachvollziehbar.

Dies hat zur Folge, dass betroffene Unternehmen sich in einem Dschungel von Meldepflichten zurechtfinden müssen. Dies bringt Unsicherheit mit sich (z.B. welcher Behörde muss was wann und innert welcher Frist gemeldet werden?) und löst durch die Vielzahl von Meldungen beträchtlichen Overhead aus, notabene in einem Zeitpunkt, wo die Ressourcen des von einem Sicherheitsvorfall betroffenen Unternehmens ohnehin stark strapaziert werden.

Exemplarisch für die unbefriedigende Situation steht das für Sicherheitsvorfälle unter dem ISG geplante Meldeformular: Dieses gibt betroffenen Unternehmen zwar die Option, einen Vorfall nicht nur dem BACS, sondern auch dem EDÖB zu melden; dennoch wird das Unternehmen dadurch nicht von einer separaten Meldung an den EDÖB dispensiert, womit diese Option keine Erleichterung bringt.

Für die aus einem Sicherheitsvorfall meldepflichtigen Unternehmen stellt das Dickicht unter­schiedlicher Meldevorschriften eine unnötige Bürde dar. Es wäre wünschenswert, wenn hier künftig eine Vereinheitlichung und Vereinfachung statt­findet. Geprüft werden sollte auch die Einführung einer zentralen Meldestelle zur Wahrnehmung der verschiedenen Meldepflichten. Im internationalen Kontext sind solche Vereinheitlichungen gerade für die Schweiz nicht einfach zu erzielen; umso mehr sollte im Binnenverhältnis darauf hingearbeitet werden.

Andernfalls werden Unternehmen ihre Meldepflichten mangels Ressourcen zunehmend ignorieren, womit niemandem gedient wäre. Dennoch ist damit zu rechnen, denn die geringe Anzahl von weniger als 300 Data Breach Meldungen an den EDÖB im ersten Jahr unter dem revidierten DSG lässt leider befürchten, dass dies teilweise bereits geschehen ist.