Risiko

Datenschutzverletzung melden: So funktioniert die Meldung an den EDÖB

Rédaction ComplianceCore··9 min de lecture

Eine Datenschutzverletzung muss in der Schweiz dem EDÖB gemeldet werden, wenn sie voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt (Art. 24 DSG). Die Meldung muss «so rasch als möglich» erfolgen — es gibt keine feste Stundenzahl wie in der EU. Massgeblich ist der EDÖB-Leitfaden vom April 2025. Alle Vorfälle — auch nicht meldepflichtige — müssen intern dokumentiert und mindestens 2 Jahre aufbewahrt werden.

Art. 24

DSG — gesetzliche Grundlage

«So rasch»

als möglich — keine feste Frist

2 Jahre

Dokumentationspflicht für alle Vorfälle

Wann besteht Meldepflicht an den EDÖB?

Nicht jede Datenpanne muss gemeldet werden. Art. 24 DSG knüpft die Meldepflicht an eine einzige Bedingung: Die Verletzung muss voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen. Der EDÖB-Leitfaden vom April 2025 konkretisiert diese Schwelle.

Für die Risikobeurteilung sind vier Faktoren massgeblich:

Art der Daten:

Sensible Daten (Gesundheit, Finanzen, politische Meinung, AHV-Nummer) erhöhen das Risiko erheblich.

Anzahl betroffener Personen:

Je mehr Personen betroffen sind, desto eher liegt hohes Risiko vor.

Mögliche Folgen:

Identitätsdiebstahl, finanzielle Schäden, Diskriminierung, Rufschädigung oder physische Gefährdung.

Kontext:

Verletzbarkeit der betroffenen Personen (Kinder, Kranke, Schutzsuchende erhöhen das Gewicht).

Hohes Risiko — Meldepflicht

Typische Beispiele

  • Hackerangriff auf Kundendatenbank mit Zahlungsdaten
  • Ransomware-Angriff mit Verschlüsselung von HR-Daten
  • Verlust USB-Stick mit Patientendaten
  • E-Mail mit Lohnliste an falschen Empfänger
  • Unbefugter Zugriff auf Gesundheitsdaten
  • Phishing-Angriff mit Zugriff auf CRM-Daten

Kein hohes Risiko — nur Dokumentation

Typische Beispiele

  • Verlust Visitenkartenstapel ohne sensible Daten
  • Falsch adressierte E-Mail mit allgemeinen Informationen
  • Kurzzeitiger Ausfall ohne Datenzugriff durch Dritte
  • Interner Zugriff auf eigene Akte durch Fehler
  • Verlust Smartphone mit PIN-Schutz und Remote-Wipe
ℹ️

EDÖB-Leitfaden April 2025: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat im April 2025 einen detaillierten Leitfaden zur Risikobeurteilung veröffentlicht. Er enthält konkrete Kriterien und Beispiele für die Einordnung eines Vorfalls. Download unter edoeb.admin.ch.

Vom Vorfall zur Meldung: Schritt-für-Schritt

Der folgende Ablauf gilt für alle Datenschutzverletzungen — unabhängig davon, ob am Ende eine Meldung erforderlich ist.

1

Vorfall erkennen und sofort eindämmen

Sofort

Systeme isolieren, unbefugten Zugang sperren, Beweisspuren sichern. Zeitpunkt der Entdeckung und des vermuteten Beginns dokumentieren. Interne Eskalationskette auslösen (IT, Geschäftsleitung, ggf. DPO).

2

Risikobewertung durchführen

Innert Stunden

Vier Leitfragen beantworten: Welche Datenkategorien sind betroffen? Wie viele Personen? Welche möglichen Folgen für Betroffene? Wie vulnerabel sind die betroffenen Personen? Grundlage: EDÖB-Leitfaden April 2025. Ergebnis schriftlich festhalten.

3

Meldepflicht prüfen und parallel DSGVO beachten

Innert 24–48h

Kein hohes Risiko: Intern dokumentieren, keine EDÖB-Meldung zwingend (freiwillige Meldung bleibt möglich). Hohes Risiko: EDÖB-Meldung «so rasch als möglich» vorbereiten. Parallel prüfen: Unterliegt das Unternehmen auch der DSGVO? Dann läuft die 72h-Frist für EU-Behörden.

4

EDÖB-Meldung einreichen

So rasch als möglich

Über das interaktive Online-Portal databreach.edoeb.admin.ch. Alle 7 Pflichtfelder nach DSV Art. 15 ausfüllen. Fehlende Informationen können nachgereicht werden — eine unvollständige Erstmeldung ist besser als eine verzögerte vollständige.

5

Betroffene informieren (wenn erforderlich)

Wenn nötig, zeitnah

Direktinformation der betroffenen Personen ist erforderlich, wenn sie zum Schutz vor den Folgen handeln müssen — z.B. Passwort ändern, Kreditkarte sperren, Betrug melden. Inhalt: was passiert ist, welche Risiken bestehen, welche Schutzmassnahmen zu ergreifen sind.

6

Dokumentation vervollständigen und aufbewahren

Abschluss

Den gesamten Vorfall dokumentieren: was passiert ist, wann, wie entdeckt, welche Daten betroffen, welche Massnahmen ergriffen, ob und wann gemeldet. Aufbewahrung: mindestens 2 Jahre ab Datum der Meldung (DSV Art. 15 Abs. 3).

Was muss die EDÖB-Meldung enthalten?

DSV Art. 15 Abs. 1 legt den Mindestinhalt der Meldung abschliessend fest. Fehlende Informationen können nach Art. 15 Abs. 2 nachgereicht werden — eine unvollständige Erstmeldung ist ausdrücklich zulässig.

#PflichtangabeErläuterung
1Art der VerletzungVertraulichkeitsverletzung (unbefugter Zugang), Integritätsverletzung (Daten verändert), Verfügbarkeitsverletzung (Daten gelöscht/gesperrt). Mehrere Typen möglich. Beispiel: «Ransomware-Angriff mit Verschlüsselung und möglichem Datenabfluss»
2Zeitpunkt des VorfallsSoweit bekannt: Beginn der Verletzung und Zeitpunkt der Entdeckung. Schätzungen sind zulässig. Beispiel: «Vermutlich 12. April 2026, entdeckt am 14. April 2026»
3Kategorien betroffener PersonenArt der Betroffenen: Kunden, Mitarbeitende, Lieferanten, Patienten etc. — und ungefähre Anzahl. Beispiel: «Ca. 850 Kunden mit Kaufhistorie und Lieferadressen»
4Kategorien betroffener DatensätzeWelche Datenarten sind betroffen? Kontaktdaten, Zahlungsdaten, Gesundheitsdaten etc. Beispiel: «Name, E-Mail, Bestellhistorie; ca. 3'200 Datensätze»
5Folgen und mögliche FolgenTatsächliche und wahrscheinliche Konsequenzen: Identitätsdiebstahl, Phishing-Risiko, finanzielle Schäden, Rufschädigung. Beispiel: «Phishing-Angriffe gegen betroffene Kunden möglich»
6Ergriffene und geplante MassnahmenWas wurde bereits getan (Systeme isoliert, Passwörter zurückgesetzt) und was ist geplant (Penetrationstest, Sicherheits-Audit, neue Zugriffskontrollen).
7AnsprechpersonName, Funktion, E-Mail und Telefon der für die Meldung verantwortlichen Person im Unternehmen. Nicht zwingend ein DPO.
ℹ️

Meldeportal: Die Meldung erfolgt ausschliesslich über das interaktive Online-Formular des EDÖB unter databreach.edoeb.admin.ch. Meldungen per E-Mail oder Post sind nicht vorgesehen. Das Portal führt strukturiert durch alle Pflichtfelder und ermöglicht die Nachreichung fehlender Informationen.

Praxisbeispiele: Meldepflichtig oder nicht?

Hackerangriff auf Online-Shop-Datenbank

Angreifer hat Zugriff auf Kundendatenbank mit 1'200 Einträgen (Name, E-Mail, Lieferadresse, verschlüsselte Passwörter). Kreditkartendaten nicht betroffen (externer Zahlungsanbieter). Zugriff innert 6 Stunden unterbunden.

Meldepflichtig

Falsch adressierte E-Mail mit Lohnliste

Mitarbeiter sendet Lohnliste aller 45 Angestellten (Name, Lohn, AHV-Nummer) an externe Person statt an den internen HR-Verteiler. Empfänger bestätigt Löschung sofort.

Meldepflichtig

Ransomware mit Verschlüsselung von Patientendaten

Arztpraxis: Ransomware verschlüsselt alle Patientendossiers. Backup vorhanden, Wiederherstellung in 48h möglich. Datenabfluss unklar — kann nicht ausgeschlossen werden.

Meldepflichtig

Verlust USB-Stick ohne Verschlüsselung

Mitarbeiter verliert USB-Stick mit internen Projektdokumenten und Kontaktliste von 30 Geschäftspartnern (Name, E-Mail, Telefon). Keine sensiblen Personendaten, kein Finanzinhalt.

Nur Dokumentation

Fehlkonfiguration Cloud-Speicher — kurzzeitig öffentlich

Firmen-SharePoint-Ordner war durch Konfigurationsfehler 3 Stunden öffentlich zugänglich. Ordner enthielt HR-Dokumente (Arbeitsverträge, Lohnabrechnungen) von 80 Mitarbeitenden. Kein nachweisbarer externer Zugriff, aber nicht ausschliessbar.

Meldepflichtig

Unterschied zur DSGVO-Meldepflicht

Wer beiden Rechtsordnungen unterliegt, muss beide Meldepflichten beachten — und im Zweifel die strengere DSGVO-Frist einhalten.

Schweiz — revDSG

Empfänger

EDÖB (Bern)

Frist

«So rasch als möglich» — keine Stundenzahl

Schwelle

Nur bei voraussichtlich hohem Risiko

Portal

databreach.edoeb.admin.ch

Rechtsgrundlage

Art. 24 DSG, DSV Art. 15

EU — DSGVO

Empfänger

Nationale Aufsichtsbehörde (z.B. BfDI DE, DSB AT)

Frist

Innerhalb 72 Stunden

Schwelle

Bei jedem Risiko (ausser voraussichtlich kein Risiko)

Portal

Jeweilige nationale Behörde

Rechtsgrundlage

Art. 33 DSGVO

⚠️

Dual-Jurisdiction-Falle: Ein Schweizer Unternehmen mit EU-Kunden, das einen Hackerangriff erleidet, muss gleichzeitig den EDÖB «so rasch als möglich» und die zuständige EU-Behörde innerhalb von 72 Stunden informieren — und zwar die nationale Behörde jedes EU-Landes, in dem Betroffene wohnen. In der Praxis heisst das: Der 72h-Timer ist der massgebliche Takt für alle Erstmeldungen.

Häufige Fragen

Wann muss eine Datenpanne in der Schweiz dem EDÖB gemeldet werden?+
Wenn die Verletzung voraussichtlich ein hohes Risiko für die Persönlichkeit oder Grundrechte der Betroffenen darstellt (Art. 24 DSG). Massgeblich ist der EDÖB-Leitfaden vom April 2025. Die Meldung muss «so rasch als möglich» erfolgen — es gibt keine feste Stundenzahl.
Was muss eine EDÖB-Meldung enthalten?+
Gemäss DSV Art. 15: Art der Verletzung, Zeitpunkt, Kategorien und ungefähre Anzahl betroffener Personen und Datensätze, Folgen, ergriffene Massnahmen, Ansprechperson. Fehlende Angaben können nachgereicht werden — eine unvollständige Erstmeldung ist besser als eine verzögerte vollständige.
Müssen auch nicht meldepflichtige Datenpannen dokumentiert werden?+
Ja. Alle Datenschutzverletzungen — unabhängig ob meldepflichtig — müssen intern dokumentiert und mindestens 2 Jahre aufbewahrt werden (DSV Art. 15 Abs. 3). Die Dokumentation kann auf Verlangen des EDÖB vorgelegt werden müssen.
Was ist der Unterschied zur DSGVO-Meldepflicht?+
Drei Unterschiede: (1) Frist: DSGVO 72 Stunden, revDSG «so rasch als möglich». (2) Schwelle: DSGVO bei jedem Risiko, revDSG nur bei hohem Risiko. (3) Empfänger: DSGVO an nationale EU-Behörde, revDSG an den EDÖB. Wer beiden Gesetzen unterliegt, muss die strengere 72h-DSGVO-Frist einhalten.
Ist das Nicht-Melden einer Datenpanne strafbar?+
Das Unterlassen der EDÖB-Meldung selbst ist im revDSG nicht als direkter Straftatbestand aufgeführt. Der EDÖB kann aber die Nachholung verfügen. Strafbar sind die zugrundeliegenden Sicherheitsmängel (Art. 61 DSG). Bei paralleler DSGVO-Pflicht drohen für das Unterlassen der EU-Behördenmeldung zusätzlich Bussen bis EUR 10 Millionen.

Incident-Response direkt in ComplianceCore starten

Unser geführter Incident-Workflow begleitet Sie von der Erkennung bis zur fertigen EDÖB-Meldung — mit automatischer Risikobewertung nach EDÖB-Leitfaden, vorausgefülltem Meldeformular und revisionssicherer Dokumentation für 2 Jahre.

Incident-Response starten

Ces informations sont fournies à titre informatif et ne constituent pas un conseil juridique.

Articles connexes

Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Lire l'article →
Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Lire l'article →
Risiko

Bussen und persönliche Haftung unter dem revDSG: Was Geschäftsführer wissen müssen

Lire l'article →