Meldepflicht bei Cyberangriffen in der Schweiz: nDSG, BACS & der 10-Schritte-Notfallplan
Meldepflichten bei Cyberangriffen in der Schweiz — ein Überblick
Die Schweiz hat in den letzten Jahren ihre rechtlichen Rahmenbedingungen für den Umgang mit Cyberangriffen und Datenschutzverletzungen massiv verschärft. Zwei zentrale Regelwerke bestimmen, was Unternehmen nach einem Cybervorfall melden müssen:
-
Das neue Datenschutzgesetz (nDSG) — seit 1. September 2023 in Kraft — verpflichtet zur Meldung von Datenschutzverletzungen an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) innert 72 Stunden.
-
Die BACS-Meldepflicht — seit 1. April 2025 in Kraft — verpflichtet Betreiber kritischer Infrastrukturen zur Meldung von Cyberangriffen an das Bundesamt für Cybersicherheit (BACS) innert 24 Stunden.
Dazu kommen branchenspezifische Meldepflichten (FINMA für Finanzinstitute, Swissmedic für Pharma etc.) und die strafrechtliche Pflicht zur Strafanzeige.
Bei Verstössen drohen Bussgelder von bis zu CHF 250’000 (persönliche Haftung!) und Reputationsschäden, die existenzbedrohend sein können.
Die wichtigsten Fristen auf einen Blick
| Meldepflicht | An wen? | Frist | Seit wann? | Wer ist betroffen? |
|---|---|---|---|---|
| nDSG Art. 24 | EDÖB | 72 Stunden | 1.9.2023 | Alle Unternehmen mit Personendaten |
| BACS-Meldepflicht | BACS | 24 Stunden | 1.4.2025 | Betreiber kritischer Infrastrukturen |
| FINMA | FINMA | Unverzüglich (i.d.R. 24–72h) | Seit 2008 (verschärft 2023) | Banken, Versicherungen, Finanzmarktinfrastrukturen |
| Strafanzeige | Kantonspolizei | Keine feste Frist | — | Empfohlen für alle Betroffenen |
Die Einhaltung dieser Fristen ist unter Stress extrem herausfordernd. Eine Cyberversicherung stellt sicher, dass Sie im Ernstfall sofortige Unterstützung durch Rechtsexperten und Forensiker erhalten. BTAG Versicherungsbroker AG berät Sie zur optimalen Absicherung.
Das neue Datenschutzgesetz (nDSG) — Meldepflicht seit 1.9.2023
Was das nDSG regelt
Das totalrevidierte Bundesgesetz über den Datenschutz (DSG, umgangssprachlich nDSG) ist am 1. September 2023 in Kraft getreten und hat das veraltete Datenschutzgesetz von 1992 ersetzt. Es orientiert sich an der EU-DSGVO, ist aber in vielen Punkten eigenständig.
Die wichtigsten Neuerungen für Cyberangriffe:
- Meldepflicht bei Datenschutzverletzungen (Art. 24 nDSG)
- Persönliche Bussen von bis zu CHF 250’000 (Art. 60–66 nDSG)
- Pflicht zur Datenschutz-Folgenabschätzung (Art. 22 nDSG)
- Privacy by Design und Privacy by Default (Art. 7 nDSG)
- Erweiterte Informationspflichten (Art. 19–21 nDSG)
Art. 24 nDSG: Die Meldepflicht im Detail
Wann muss gemeldet werden? Wenn eine Verletzung der Datensicherheit vorliegt, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Eine Verletzung der Datensicherheit liegt vor bei:
- Unbefugtem Zugriff auf Personendaten (z. B. durch Hacker)
- Unbefugter Offenlegung von Personendaten (z. B. durch Datenleck)
- Verlust von Personendaten (z. B. durch Ransomware-Verschlüsselung ohne Backup)
- Unbefugter Veränderung von Personendaten
Was ist ein «hohes Risiko»? Das nDSG definiert «hohes Risiko» nicht exakt. Laut den Erläuterungen des EDÖB besteht ein hohes Risiko insbesondere bei:
- Grossen Mengen betroffener Personendaten (ab ca. 1’000 Datensätze)
- Besonders schützenswerten Personendaten (Gesundheitsdaten, Finanzdaten, biometrische Daten, politische Meinungen, religiöse Überzeugungen)
- Identitätsdiebstahl-Risiko (wenn genügend Daten für Identitätsmissbrauch kompromittiert wurden)
- Daten von besonders schutzbedürftigen Personen (Minderjährige, Patienten)
- Möglichen finanziellen Schäden für Betroffene
An wen muss gemeldet werden?
1. An den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter):
- Frist: So rasch wie möglich, spätestens 72 Stunden nach Kenntnisnahme
- Form: Über das Meldeportal databreach.edoeb.admin.ch oder per E-Mail
- Inhalt: Art der Verletzung, betroffene Datenkategorien, geschätzte Anzahl Betroffener, mögliche Folgen, ergriffene Massnahmen, Kontaktperson
2. An die betroffenen Personen:
- Wenn es zu deren Schutz erforderlich ist oder der EDÖB es anordnet
- Frist: So rasch wie möglich (keine fixe Frist, aber Verzögerung kann Busse auslösen)
- Form: Individuell (Brief, E-Mail) oder öffentlich (Website, Medien) bei grosser Anzahl Betroffener
Bussgelder nach nDSG
Das nDSG sieht Bussen von bis zu CHF 250’000 vor. Entscheidend: Die Bussen richten sich gegen natürliche Personen (Verantwortliche, wie CEO, CTO, CISO), nicht gegen das Unternehmen.
| Verstoss | Busse bis |
|---|---|
| Verletzung der Informationspflicht | CHF 250’000 |
| Verletzung der Sorgfaltspflichten (inkl. Meldepflicht) | CHF 250’000 |
| Verletzung der beruflichen Schweigepflicht | CHF 250’000 |
| Missachtung von Verfügungen des EDÖB | CHF 250’000 |
| Unternehmen können subsidiär gebüsst werden (bis) | CHF 50’000 |
Praxis seit Inkrafttreten (1.9.2023 – Februar 2026):
- Der EDÖB hat seit September 2023 über 1’800 Datenschutzverletzungen gemeldet bekommen
- Rund 35 % davon stehen im Zusammenhang mit Cyberangriffen (Rest: menschliche Fehler, technische Pannen)
- Erste Strafverfahren wegen verspäteter Meldung sind eingeleitet worden
- Die durchschnittliche Meldezeit liegt bei 4.2 Tagen — viele Unternehmen halten die 72-Stunden-Frist nicht ein
Die 72-Stunden-Frist ist im Krisenfall extrem knapp. Eine Cyberversicherung mit 24/7-Rechtsberatung stellt sicher, dass die Meldung korrekt und fristgerecht erfolgt. BTAG Versicherungsbroker AG findet die Police mit dem besten Rechtsschutz und Assistance-Angebot.
Die BACS-Meldepflicht für kritische Infrastrukturen — seit 1.4.2025
Hintergrund und Rechtsgrundlage
Am 1. April 2025 ist die Änderung des Informationssicherheitsgesetzes (ISG) in Kraft getreten, die eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einführt. Die Umsetzungsverordnung konkretisiert die Details.
Wer ist meldepflichtig?
Die Meldepflicht betrifft Betreiber kritischer Infrastrukturen in folgenden Sektoren:
| Sektor | Beispiele |
|---|---|
| Energie | Elektrizitätswerke, Gasversorger, Ölraffinerien |
| Wasser | Wasserversorgungen, Abwasserreinigung |
| Verkehr | SBB, Flughäfen, Schifffahrt, Strasseninfrastruktur |
| Gesundheit | Spitäler, Labore, Apothekenketten |
| Finanzen | Banken, Versicherungen, Börseninfrastruktur |
| Telekommunikation | Swisscom, Sunrise, Salt, Internet-Provider |
| Behörden | Bundesverwaltung, kantonale Verwaltungen, Gemeinden |
| Lebensmittelversorgung | Grossverteiler, Logistikunternehmen |
| Hochschulen | Universitäten, ETH, Fachhochschulen |
| IT-Dienstleister | Anbieter von Hosting, Cloud, Managed Services für kritische Infrastrukturen |
Wichtig: Die Meldepflicht betrifft nicht nur Grossunternehmen. Auch ein kleiner Wasserversorger oder ein IT-Dienstleister, der ein Spital betreut, kann meldepflichtig sein.
Was muss gemeldet werden?
Meldepflichtig sind Cyberangriffe, die:
- Die Funktionsfähigkeit der kritischen Infrastruktur gefährden
- Zu einer Manipulation, einem Abfluss oder einem Verlust von Informationen geführt haben
- Über einen Zeitraum von mehr als 24 Stunden nicht erkannt oder eingedämmt werden konnten
- Mit Erpressung, Drohung oder Nötigung verbunden sind
Die 24-Stunden-Frist
| Phase | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 24 Stunden nach Entdeckung | Grundinformationen: Art des Angriffs, betroffene Systeme, erste Einschätzung |
| Ergänzungsmeldung | 14 Tage | Detaillierte Informationen: Ursache, Ausmass, ergriffene Massnahmen |
| Abschlussmeldung | Nach Abschluss der Bewältigung | Vollständiger Bericht: Root Cause, Schaden, Lessons Learned |
Konsequenzen bei Nicht-Meldung
Wer die Meldepflicht verletzt, muss mit folgenden Konsequenzen rechnen:
- Busse: Bis zu CHF 100’000 (nach Art. 74a ISG)
- Verfügung des BACS: Anordnung zur Meldung und zu Sicherheitsmassnahmen
- Reputationsschaden: Behördliche Untersuchungen werden bekannt
- Haftungsrisiko: Geschädigte Dritte können zivilrechtlich klagen
Branchenspezifische Meldepflichten
FINMA-Meldepflicht (Finanzsektor)
Banken, Versicherungen und Finanzmarktinfrastrukturen unterliegen den FINMA-Rundschreiben zur operationellen Resilienz. Die FINMA verlangt:
- Unverzügliche Meldung schwerwiegender Cybervorfälle
- Typische Frist: 24–72 Stunden (je nach Schwere)
- Detaillierte Meldung über die FINMA-Erhebungsplattform
- Regelmässige Cyber-Risikobewertung und Reporting an den Verwaltungsrat
Swissmedic (Pharma und Medizinprodukte)
Hersteller und Vertreiber von Medizinprodukten müssen Cybervorfälle, die die Sicherheit oder Leistungsfähigkeit von Medizinprodukten beeinträchtigen können, an Swissmedic melden.
Weitere branchenspezifische Regelungen
- BaKom (Bundesamt für Kommunikation): Meldepflicht für Telekomanbieter bei Sicherheitsvorfällen
- ENSI (Eidgenössisches Nuklearsicherheitsinspektorat): Meldepflicht für Kernkraftwerke
- Sektorregelungen: Verschiedene weitere branchenspezifische Vorgaben
Die regulatorische Landschaft ist komplex und unterscheidet sich je nach Branche. BTAG Versicherungsbroker AG kennt die branchenspezifischen Anforderungen und stellt sicher, dass Ihre Cyberversicherung alle relevanten Meldepflichten und Compliance-Risiken abdeckt.
Was tun nach einem Cyberangriff? — Der 10-Schritte-Notfallplan
Schritt 1: Ruhe bewahren und Krisenstab aktivieren (Minute 0–15)
Was tun:
- Ruhe bewahren — überhastete Aktionen richten oft mehr Schaden an als der Angriff selbst
- Krisenstab einberufen (CEO/GL, IT-Leiter, Rechtsdienst, Kommunikation)
- 24/7-Hotline der Cyberversicherung anrufen — dies ist die wichtigste erste Massnahme, wenn Sie versichert sind
- Jeden Schritt ab sofort dokumentieren (Uhr-Zeit, Entscheidungen, Beobachtungen)
Was NICHT tun:
- Nicht in Panik verfallen
- Nicht versuchen, den Angriff eigenständig zu «bereinigen» (zerstört forensische Beweise)
- Kein Lösegeld zahlen ohne Expertenberatung
- Nicht mit den Angreifern kommunizieren ohne professionelle Unterstützung
Schritt 2: Systeme isolieren, NICHT ausschalten (Minute 15–60)
Was tun:
- Betroffene Systeme vom Netzwerk trennen (Kabel ziehen, WLAN deaktivieren)
- Systeme NICHT ausschalten — flüchtige Daten im RAM sind für die Forensik unverzichtbar
- Netzwerk segmentieren, um die Ausbreitung zu stoppen
- VPN-Zugänge deaktivieren
- Backup-Systeme prüfen, ob sie noch intakt und nicht kompromittiert sind (NICHT sofort wiederherstellen)
Technische Checkliste:
- Betroffene Server vom Netzwerk isoliert
- Betroffene Endpoints vom Netzwerk isoliert
- VPN/Remote-Zugänge gesperrt
- Admin-Passwörter auf nicht betroffenen Systemen geändert
- Backup-Integrität geprüft (nicht wiederhergestellt!)
Schritt 3: Ausmass erfassen und dokumentieren (Stunde 1–4)
Was tun:
- Ersteinschätzung: Welche Systeme sind betroffen? Welche Daten? Welche Geschäftsprozesse?
- Sind Personendaten betroffen? (Entscheidend für nDSG-Meldepflicht)
- Screenshots und Logs sichern (bevor sie überschrieben werden)
- Zeitlinie erstellen: Wann wurde der Angriff entdeckt? Wann begann er vermutlich?
- Falls Ransomware: Lösegeldforderung dokumentieren (Screenshot, nicht anklicken)
Fragen zur Einschätzung:
- Welche Systeme sind betroffen (Anzahl, Kritikalität)?
- Welche Daten sind möglicherweise kompromittiert?
- Sind personenbezogene Daten betroffen? Wenn ja, welche Kategorien und wie viele Personen?
- Ist der Geschäftsbetrieb eingeschränkt? Wie stark?
- Besteht ein Risiko, dass sich der Angriff weiter ausbreitet?
Schritt 4: IT-Forensik einleiten (Stunde 2–6)
Was tun:
- Spezialisierte IT-Forensiker einschalten (über die Cyberversicherung oder externe Partner)
- Forensische Sicherung der betroffenen Systeme (Festplatten-Images, Memory-Dumps, Log-Dateien)
- Angriffsvektor identifizieren: Wie sind die Angreifer eingedrungen?
- Indicators of Compromise (IoC) ermitteln und auf allen Systemen suchen
- Feststellen, ob der Angriff noch aktiv ist (Angreifer möglicherweise noch im Netzwerk)
Kosten der IT-Forensik:
- Einfacher Vorfall (einzelner Endpoint): CHF 5’000–15’000
- Mittlerer Vorfall (mehrere Systeme): CHF 15’000–80’000
- Schwerer Vorfall (gesamtes Netzwerk): CHF 80’000–300’000+
→ Diese Kosten werden von der Cyberversicherung übernommen.
Schritt 5: Meldepflichten prüfen und einhalten (Stunde 4–24)
Checkliste Meldepflichten:
| Meldung | Frist | Kriterium | Zuständig |
|---|---|---|---|
| EDÖB (nDSG Art. 24) | 72 Stunden | Personendaten betroffen + hohes Risiko | Datenschutzverantwortlicher |
| BACS (ISG) | 24 Stunden | Kritische Infrastruktur betroffen | IT-Sicherheitsbeauftragter |
| FINMA | Unverzüglich | Finanzinstitut betroffen | Compliance Officer |
| Betroffene Personen | Schnellstmöglich | Wenn zu deren Schutz erforderlich | Datenschutzverantwortlicher |
| Strafanzeige | Keine feste Frist | Immer empfohlen | Geschäftsleitung/Rechtsdienst |
| Geschäftspartner | Keine feste Frist | Wenn deren Daten betroffen | Geschäftsleitung |
Meldung an den EDÖB (Mindestinhalt):
- Name und Kontaktdaten des Verantwortlichen
- Art der Verletzung (Zugriff, Offenlegung, Verlust, Veränderung)
- Betroffene Datenkategorien und geschätzte Anzahl Personen
- Mögliche Folgen der Verletzung
- Ergriffene oder geplante Massnahmen
- Name der Kontaktperson für Rückfragen
→ Die Cyberversicherung stellt spezialisierte Anwälte bereit, die diese Meldungen korrekt und fristgerecht erstellen.
Schritt 6: Strafanzeige erstatten (Stunde 6–48)
Was tun:
- Strafanzeige bei der Kantonspolizei erstatten (zuständig: Kanton des Firmensitzes)
- Alle gesammelten Beweise (Logs, Screenshots, E-Mails, Forensik-Berichte) mitbringen
- Bei grenzüberschreitenden Angriffen: Polizei koordiniert mit fedpol und internationalen Behörden
Warum Strafanzeige wichtig ist:
- Ermöglicht Strafverfolgung (auch wenn Erfolgsquote bei Cybercrime niedrig ist)
- Dokumentiert den Vorfall offiziell (wichtig für Versicherungsansprüche)
- Kann Rückholung von Geldern ermöglichen (bei BEC/CEO-Fraud)
- Trägt zur Statistik bei und hilft, Ressourcen für Cybercrime-Bekämpfung zu rechtfertigen
Schritt 7: Krisenkommunikation starten (Stunde 6–48)
Interne Kommunikation:
- Mitarbeitende informieren: Was ist passiert, was müssen sie tun/unterlassen
- Klare Anweisungen: Keine privaten Geräte nutzen, keine Statements an Medien
- Krisenteam-Updates: Regelmässige Briefings (alle 4–6 Stunden)
Externe Kommunikation:
- Kunden und Geschäftspartner proaktiv informieren (besser als sie es aus den Medien erfahren)
- Medienstatement vorbereiten (kurz, sachlich, keine Schuldzuweisungen)
- Kommunikationshoheit behalten — nur eine autorisierte Person spricht für das Unternehmen
- Social-Media-Monitoring aktivieren
→ Die Cyberversicherung übernimmt die Kosten für professionelle PR-Berater und Krisenkommunikationsexperten (typisch: CHF 10’000–60’000).
Schritt 8: Systeme wiederherstellen (Tag 2–30+)
Was tun:
- Erst nach Freigabe durch die Forensiker mit der Wiederherstellung beginnen
- Priorisierung: Geschäftskritische Systeme zuerst
- Saubere Wiederherstellung aus verifizierten Backups (nicht aus kompromittierten Quellen)
- Alle Passwörter ändern (Active Directory, E-Mail, VPN, Cloud-Dienste, Admin-Accounts)
- Schwachstelle schliessen, bevor Systeme wieder ans Netz gehen
- Monitoring verstärken (Angreifer versuchen oft, nach kurzer Zeit erneut einzudringen)
Typische Wiederherstellungszeiten:
| Szenario | Wiederherstellungszeit |
|---|---|
| Einzelner kompromittierter Endpoint | 1–3 Tage |
| Ransomware, gute Backups vorhanden | 5–14 Tage |
| Ransomware, teilweise Backups | 14–30 Tage |
| Komplette Netzwerk-Kompromittierung | 30–90 Tage |
Schritt 9: Betroffene Personen benachrichtigen (Woche 1–4)
Wann müssen Betroffene informiert werden?
- Wenn die Benachrichtigung zu ihrem Schutz erforderlich ist (z. B. damit sie Passwörter ändern)
- Wenn der EDÖB es anordnet
- Bei Datenlecks mit Finanzdaten: immer empfohlen
Inhalt der Benachrichtigung:
- Art der Datenschutzverletzung (verständlich formuliert)
- Welche Daten betroffen sind
- Mögliche Risiken und Folgen
- Ergriffene Massnahmen
- Empfehlungen für Betroffene (Passwort ändern, Konten überwachen etc.)
- Kontaktangaben für Rückfragen
Kosten der Benachrichtigung:
- Pro betroffene Person: CHF 8–15 (inkl. Porto, Call Center, Monitoring-Angebot)
- Bei 10’000 Betroffenen: CHF 80’000–150’000
- Bei 100’000 Betroffenen: CHF 800’000–1.5 Mio.
→ Diese Kosten werden von der Cyberversicherung übernommen.
Schritt 10: Lessons Learned und Verbesserungen (Woche 4–12)
Was tun:
- Post-Incident-Review mit allen Beteiligten durchführen
- Root Cause Analysis: Wie konnte der Angriff gelingen? Welche Schwachstelle wurde ausgenutzt?
- Massnahmenplan erstellen: Was muss verbessert werden?
- IT-Sicherheit nachhaltig stärken (MFA, Netzwerksegmentierung, Monitoring etc.)
- Cyberversicherung überprüfen: Waren Deckung und Assistance ausreichend?
- Mitarbeiterschulungen intensivieren
- Incident Response Plan aktualisieren mit den Erkenntnissen
BTAG Versicherungsbroker AG begleitet Sie durch den gesamten Prozess — von der Sofortreaktion über die Meldungen bis zur Nachbearbeitung. Als Ihr Broker koordiniert BTAG alle Beteiligten und stellt sicher, dass Ihre Versicherung alle Kosten übernimmt.
Wie eine Cyberversicherung bei Meldepflichten hilft
Sofortige Rechtsberatung (24/7)
In den ersten Stunden nach einem Cyberangriff müssen Sie rechtliche Entscheidungen unter enormem Zeitdruck treffen:
- Müssen wir dem EDÖB melden? (72 Stunden!)
- Müssen wir dem BACS melden? (24 Stunden!)
- Müssen wir Betroffene informieren?
- Müssen wir die FINMA informieren?
Die Cyberversicherung stellt innerhalb von 2–4 Stunden spezialisierte Datenschutz-Anwälte bereit, die:
- Die Meldepflichten für Ihren spezifischen Fall prüfen
- Die Meldungen an EDÖB, BACS und weitere Behörden fristgerecht erstellen
- Sie bei der Kommunikation mit Behörden vertreten
- Das Risiko von Bussgeldern minimieren
Übernahme der Compliance-Kosten
| Kostenposition | Typischer Betrag | Cyberversicherung? |
|---|---|---|
| Spezialisierte Datenschutz-Anwälte | CHF 15’000–80’000 | Ja, gedeckt |
| Meldung und Kommunikation mit EDÖB | CHF 5’000–15’000 | Ja, gedeckt |
| Benachrichtigung Betroffener | CHF 8–15 pro Person | Ja, gedeckt |
| Call Center für Betroffene | CHF 10’000–50’000 | Ja, gedeckt |
| Credit-Monitoring für Betroffene | CHF 5–20 pro Person/Jahr | Teilweise gedeckt |
| Bussgelder (wo versicherbar) | Bis CHF 250’000 | Variiert nach Kanton |
| Typischer Gesamtaufwand Compliance | CHF 50’000–500’000 | Überwiegend gedeckt |
Dokumentation und Beweissicherung
Die IT-Forensiker der Cyberversicherung erstellen eine lückenlose Dokumentation, die:
- Die Meldungen an Behörden untermauert
- Als Beweis im Strafverfahren dient
- Den Versicherungsanspruch belegt
- Die Sorgfaltspflicht des Unternehmens nachweist (Schutz vor persönlichen Bussen)
Konsequenzen bei Nichteinhaltung der Meldepflichten
Rechtliche Konsequenzen
| Verstoss | Mögliche Konsequenz |
|---|---|
| Verspätete nDSG-Meldung an EDÖB | Busse bis CHF 250’000 (persönlich) |
| Keine nDSG-Meldung an EDÖB | Busse bis CHF 250’000 (persönlich) + Strafverfahren |
| Verspätete BACS-Meldung | Busse bis CHF 100’000 + behördliche Verfügung |
| Keine BACS-Meldung | Busse bis CHF 100’000 + behördliche Verfügung + Massnahmen |
| Verspätete FINMA-Meldung | Enforcement-Verfahren, verschärfte Aufsicht |
| Keine Benachrichtigung Betroffener | Busse + zivilrechtliche Klagen der Betroffenen |
Reputationsschäden
Unternehmen, die Meldepflichten verletzen, riskieren:
- Medienberichte über Vertuschungsversuche
- Vertrauensverlust bei Kunden und Geschäftspartnern
- Regulatorische Verschärfung (insbesondere bei FINMA-beaufsichtigten Instituten)
- Zivilklagen von Betroffenen wegen verspäteter Information
Laut einer Studie von IBM ist der Reputationsschaden bei verspäteter Meldung durchschnittlich 2,8× höher als bei proaktiver, fristgerechter Kommunikation.
Die persönliche Haftung — ein oft unterschätztes Risiko
Das nDSG richtet die Bussen primär gegen natürliche Personen. Das bedeutet: CEO, CTO, CISO oder Datenschutzbeauftragte können persönlich gebüsst werden — bis zu CHF 250’000 aus dem eigenen Vermögen. Dies ist ein fundamentaler Unterschied zur EU-DSGVO, die primär Unternehmensbussen vorsieht.
Die Cyberversicherung kann (je nach Police und Kanton) auch die Verteidigungskosten und Bussgelder im Zusammenhang mit behördlichen Verfahren übernehmen.
Schützen Sie sich persönlich: BTAG Versicherungsbroker AG prüft, ob Ihre Cyberversicherung auch die persönliche Haftung von Verantwortlichen abdeckt — ein Punkt, den viele Standardpolicen nicht enthalten.
Häufig gestellte Fragen (FAQ)
Muss ich jeden Cyberangriff dem EDÖB melden?
Nein. Die Meldepflicht nach Art. 24 nDSG greift nur, wenn Personendaten betroffen sind UND ein hohes Risiko für die betroffenen Personen besteht. Ein rein technischer Vorfall ohne Personendatenbezug (z. B. DDoS-Angriff ohne Datenverlust) muss dem EDÖB nicht gemeldet werden. Im Zweifelsfall ist es aber besser, zu melden — eine «übervorsichtige» Meldung hat keine negativen Konsequenzen, eine unterlassene Meldung schon.
Was passiert, wenn ich die 72-Stunden-Frist verpasse?
Wenn Sie die Frist nicht einhalten konnten, melden Sie trotzdem so schnell wie möglich und begründen Sie die Verspätung. Der EDÖB berücksichtigt mildernde Umstände (z. B. komplexer Vorfall, begrenzte Ressourcen). Eine verspätete Meldung ist immer besser als keine Meldung. Ohne triftigen Grund droht eine Busse.
Bin ich als kleines KMU von der BACS-Meldepflicht betroffen?
Nur wenn Sie kritische Infrastruktur betreiben oder als IT-Dienstleister für Betreiber kritischer Infrastrukturen tätig sind. Ein normaler Handwerksbetrieb, Detailhändler oder Büro-KMU ist von der BACS-Meldepflicht nicht betroffen. Die nDSG-Meldepflicht gilt jedoch für alle Unternehmen, die Personendaten verarbeiten.
Muss ich Lösegeld zahlen, und muss ich das melden?
Das BACS und die Strafverfolgungsbehörden raten dringend von Lösegeldzahlungen ab. Eine Zahlung garantiert nicht die Wiederherstellung der Daten und finanziert kriminelle Organisationen. Wenn Sie dennoch zahlen (was in Extremfällen vorkommen kann), ist dies nicht illegal, muss aber im Rahmen der Strafanzeige dokumentiert werden. Die Cyberversicherung stellt Verhandlungsexperten, die die Situation professionell bewerten und alternative Lösungen prüfen.
Übernimmt die Cyberversicherung die Bussgelder?
Die Versicherbarkeit von Bussgelder ist in der Schweiz kantonalrechtlich unterschiedlich geregelt. In einigen Kantonen sind Bussgelder versicherbar, in anderen nicht. In jedem Fall übernimmt die Cyberversicherung die Verteidigungskosten (Anwaltskosten) im behördlichen Verfahren. BTAG Versicherungsbroker AG prüft dies für Ihren spezifischen Standort.
Was soll ich als Erstes tun, wenn ich einen Cyberangriff bemerke?
Drei Sofortmassnahmen: 1. Cyberversicherungs-Hotline anrufen (24/7). 2. Betroffene Systeme vom Netzwerk trennen (nicht ausschalten!). 3. Dokumentieren (Zeitpunkt, betroffene Systeme, Beobachtungen). Alles Weitere koordinieren die Experten der Versicherung.
Brauche ich einen Datenschutzberater (DPO) für die Meldung?
Das nDSG schreibt keinen Datenschutzbeauftragten vor (anders als die EU-DSGVO), empfiehlt aber die Ernennung einer Ansprechperson für Datenschutz. Für die Meldung an den EDÖB brauchen Sie keinen DPO — aber Expertise im Datenschutzrecht ist essenziell, um die Meldung korrekt zu erstellen. Die Cyberversicherung stellt diese Expertise bereit.
Können betroffene Personen mich verklagen?
Ja. Betroffene Personen können zivilrechtliche Schadenersatz- und Genugtuungsansprüche geltend machen (Art. 32 nDSG). Die Datenschutz-Haftpflichtdeckung der Cyberversicherung übernimmt sowohl die Verteidigungskosten als auch berechtigte Ansprüche.
Fazit: Vorbereitung ist der beste Schutz
Die Meldepflichten bei Cyberangriffen sind in der Schweiz klar geregelt — und die Konsequenzen bei Nichteinhaltung sind ernst:
- nDSG: 72 Stunden — Meldung an EDÖB bei Datenschutzverletzungen mit hohem Risiko
- BACS: 24 Stunden — Meldung bei Cyberangriffen auf kritische Infrastrukturen
- Bussgelder bis CHF 250’000 — persönliche Haftung der Verantwortlichen
- Der 10-Schritte-Notfallplan gibt Ihnen eine klare Handlungsanleitung für den Ernstfall
- Eine Cyberversicherung ist der wichtigste Verbündete — für Rechtsberatung, Forensik, Meldungen und Kostenübernahme
Bereiten Sie sich jetzt vor — nicht erst, wenn es zu spät ist.
Ihr nächster Schritt: Kontaktieren Sie BTAG Versicherungsbroker AG für eine kostenlose Analyse Ihres Versicherungsschutzes im Hinblick auf Meldepflichten, Compliance und Notfallmanagement. BTAG stellt sicher, dass Ihre Police die richtigen Assistance-Leistungen enthält, damit Sie im Ernstfall die Fristen einhalten und Bussgelder vermeiden. Jetzt Beratung anfragen