Fachartikel Swiss Infosec AG Archive - Seite 3 von 36

07/2025 – Fachartikel Swiss Infosec AG

Ein Überblick zu Art. 49-53 DSG

Wie hat sich die Rolle des EDÖB seit der DSG-Revision verändert?

Vor rund zwei Jahren wurde mit dem revidierten Datenschutzgesetz (DSG; SR 235.1) die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) deutlich gestärkt. Während er früher im Wesentlichen eine empfehlende Rolle einnahm, verfügt er seither über konkrete Durchsetzungsbefugnisse. Dazu gehören insbesondere Mittel zur Informationsbeschaffung sowie die Möglichkeit, bei festgestellten Verstössen verbindlich einzugreifen: er kann Datenschutzverstösse nicht nur beanstanden, sondern auch mit verbindlichen Anordnungen unterbinden oder korrigieren lassen.

Behörden und private Personen, insb. Unternehmen (folgend: «Organisationen») müssen seither mit einer verstärkten aufsichtsrechtlichen Kontrolle rechnen.

Was passiert vor einer offiziellen Untersuchung?

Gehen beim EDÖB Hinweise auf mögliche Verstösse gegen Datenschutzvorschriften ein, prüft er, ob sich daraus genügend Anzeichen für die Eröffnung einer formellen Untersuchung ergeben. Solche Hinweise können durch eine Anzeige einer betroffenen Person oder einer Drittperson eingehen oder vom EDÖB selbst festgestellt werden, z.B. aus Medienberichten. Der Begriff «Datenschutzvorschriften» im Sinne von Art. 49 DSG ist nicht auf die Bestimmungen des Datenschutzgesetzes selbst beschränkt, sondern umfasst auch andere bundesrechtliche Normen, deren Zweck (auch) im Schutz von Personendaten (gemäss Definition des DSG), liegt. Entsprechend kann die Untersuchung auch auf Grundlage von Vorgaben des materiellen Datenschutzrechts in bereichsspezifischen Gesetzen erfolgen, etwa dem Krankenversicherungsgesetz (KVG).

Vor der Eröffnung einer formellen Untersuchung führt der EDÖB regelmässig eine informelle Vorabklärung durch. Diese dient der ersten Einschätzung, ob ein Verstoss gegen Datenschutzvorschriften vorliegen könnte und ob die Eröffnung einer Untersuchung notwendig ist. Zu diesem Zweck kann der EDÖB Informationen aus öffentlich zugänglichen Quellen beschaffen, betroffene Personen oder Dritte befragen oder die verantwortliche Organisation direkt kontaktieren, um erste Auskünfte zu erhalten.

In dieser Phase bestehen für die betroffene Organisation noch keine (strafbewehrten) Mitwirkungspflichten. Eine kooperative Haltung kann jedoch dazu beitragen, eine formelle Untersuchung zu vermeiden oder zumindest zu verkürzen.

Dabei ist zu beachten, dass Unterlagen, die dem EDÖB im Rahmen dieser Vorabklärung freiwillig übermittelt werden, dem Öffentlichkeitsprinzip unterstehen. Es empfiehlt sich deshalb, besonders sensible Informationen entweder nur mündlich oder in bearbeiteter Form weiterzugeben, sodass eine spätere Einsicht durch Dritte, gestützt auf das BGÖ^[1], unproblematisch bleibt.^[2]

Bei einfacheren Fällen, bei denen der Sachverhalt klar ist (z.B. Durchsetzung von Auskunftsgesuchen) kann der EDÖB die verantwortliche Organisation schriftlich und unter Ansetzung einer Frist dazu auffordern, sich rechtskonform zu verhalten. Bei dieser sogenannten «niederschwelligen Intervention» handelt es sich um eine pragmatische, informelle Massnahme mit dem Ziel, auf Missstände hinzuweisen und eine freiwillige Korrektur zu erreichen. Diese Massnahme hat sich in der Praxis bewährt. Die Verantwortlichen folgen solchen Interventionen gemäss aktuellen Zahlen^[3] in rund 90 % der Fälle.

Wie beginnt eine Untersuchung?

Ergeben sich im Rahmen der Vorabklärung genügend Anzeichen dafür, dass mit einer gewissen Wahrscheinlichkeit eine Datenbearbeitung gegen Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB eine formelle Untersuchung. Mit der Untersuchung soll einerseits der Sachverhalt geklärt werden und andererseits festgestellt werden, ob ein Datenschutzverstoss vorliegt.

Mit der Einleitung der Untersuchung wird die betroffene Organisation über den Gegenstand der Untersuchung informiert und erhält meist einen Fragebogen, um die nötigen Informationen und Unterlagen anzufordern. Das Verfahren richtet sich nach dem Bundesgesetz über das Verwaltungsverfahren (VwVG). Die Einleitung der Untersuchung erfolgt formlos, d.h. nicht in der Form einer Verfügung und kann entsprechend auch nicht angefochten werden. Die Einleitung der Untersuchung dient der Sachverhaltsaufklärung und ist nicht als Sanktion zu verstehen.

Auch wenn die Einleitung ohne Verfügung eröffnet wurde, stehen den Parteien in diesem Verfahrensstadium Parteirechte zu, insbesondere Anspruch auf rechtliches Gehör. Im Gegensatz zur Vorabklärung ist die betroffene Organisation jetzt zur Mitwirkung verpflichtet und muss dem EDÖB alle Auskünfte geben und Dokumente zur Verfügung stellen, die für die Untersuchung notwendig sind.

Ausnahmen von der Mitwirkungspflicht bestehen in bestimmten Fällen, etwa wenn Berufsgeheimnisse betroffen sind. Ein Aussageverweigerungsrecht kann sich insbesondere aus den Art. 16 und 17 VwVG ergeben.

Verweigert eine Partei ungerechtfertigterweise ihre Mitwirkung, hat der EDÖB die Befugnis Folgendes anzuordnen:

Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die für die Untersuchung erforderlich sind;
Zugang zu Räumlichkeiten und Anlagen;
Zeugeneinvernahmen;
Begutachtungen durch Sachverständige.

Ausserdem sollte bedacht werden, dass private Personen, die vorsätzlich ihre Mitwirkung verweigern oder eine Anordnung des EDÖB missachten (vorausgesetzt in der Verfügung wird auf die Strafandrohung hingewiesen) mit einer Busse von bis zu CHF 250’000.- bestraft werden können.

Welche Massnahmen kann der EDÖB anordnen?

Bestätigt sich der Verdacht und der EDÖB stellt einen Verstoss fest, kann er verbindliche Massnahmen erlassen, um den rechtswidrigen Zustand zu beheben. Diese Massnahmen lassen sich grob in zwei Kategorien einteilen:

Massnahmen bei Verletzung von Datenschutzvorschriften: Hier geht es um Fälle, in denen der Umgang mit Personendaten selbst gegen das Gesetz verstösst. Der EDÖB kann dann verfügen, dass eine Datenbearbeitung ganz oder teilweise angepasst, ausgesetzt oder beendet wird. Er kann also verlangen, dass unrechtmässige Datenbearbeitungen gestoppt oder geändert werden. Ausserdem kann er anordnen, dass bereits erhobene Personendaten gelöscht oder vernichtet werden, wenn diese unrechtmässig bearbeitet wurden. Falls der Verstoss mit Datenübermittlungen ins Ausland zu tun hat (etwa Daten werden in Länder ohne angemessenen Schutz gesendet), kann der EDÖB diese Übermittlungen aufschieben oder verbieten, wenn sie die gesetzlichen Voraussetzungen nicht erfüllen.

Massnahmen bei Missachtung organisatorischer Pflichten oder Betroffenenrechte: In vielen Fällen liegen Verstösse nicht (nur) in der konkreten Datenbearbeitung, sondern darin, dass gesetzliche Pflichten nicht eingehalten wurden – zum Beispiel Auskunftspflichten oder Sicherheitsvorkehrungen. Der EDÖB kann deshalb auch verlangen, dass bestimmte Massnahmen nachgeholt oder umgesetzt werden. Dazu gehören z.B.:
- Datenschutz-Folgenabschätzung durchführen: Wurde trotz Bestehen eines hohen Risikos für die Persönlichkeit oder die Grundrechte keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt, kann der EDÖB die nachträgliche Durchführung anordnen
- Transparenz und Auskunft herstellen: Der EDÖB kann verfügen, dass betroffene Personen informiert werden oder wenn bspw. jemandem bislang Auskunft über seine gespeicherten Daten verweigert wurde, kann der EDÖB die Herausgabe dieser Auskünfte anordnen.
- Sicherheitsmassnahmen und Organisation: Ebenso kann der EDÖB anordnen, dass eine Organisation die nötigen technischen und organisatorischen Vorkehrungen zum Schutz der bearbeiteten Personendaten trifft.
- Vertretung in der Schweiz benennen: Hat ein verantwortliches Unternehmen keinen Sitz in der Schweiz, muss es unter bestimmten Voraussetzungen einen offiziellen Vertreter in der Schweiz benennen. Falls das vergessen wurde, kann der EDÖB auch dies einfordern, damit ein Ansprechpartner für Behörden und Betroffene vorhanden ist.

Wird der Verstoss während des Verfahrens behoben, kann der EDÖB eine Verwarnung aussprechen.

In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit über seine Feststellungen und Verfügungen. Diese Information kann durch Veröffentlichung auf der Website des EDÖB oder durch den jährlichen Tätigkeitsbericht des EDÖB^[4] erfolgen.

Wie kann man einen Verstoss melden?

Der EDÖB kann von sich aus oder auf Anzeige hin tätig werden, wenn genügend Anzeichen bestehen, dass die Datenbearbeitung einer Organisation gegen Datenschutzvorschriften verstossen könnte. Betrifft der Verstoss eine kantonale oder kommunale Stelle, kommen die Bestimmungen des jeweiligen kantonalen Datenschutzgesetzes zur Anwendung.

Der EDÖB hat auf seiner Webseite zwei Formulare zur Entgegennahme von Anzeigen veröffentlicht:

Das Anzeigeformular für Betroffene^[5] ist für Personen gedacht, deren eigene Daten betroffen sind.
Das Anzeigeformular für Dritte^[6] kann genutzt werden, wenn die meldende Person nicht selbst betroffen ist oder anonym bleiben möchte.

Damit der EDÖB die Anzeige effizient prüfen kann, sollten relevante Unterlagen beigefügt werden. Anzeigen, die andere Rechtsgebiete betreffen (z.B. Urheber- oder Strafrecht), werden nicht entgegengenommen. Die gemachten Angaben können vom EDÖB zur Stellungnahme an den verantwortlichen Datenbearbeiter weitergeleitet werden. Es ist deshalb ratsam, keine sensiblen Informationen beizulegen, deren Offenlegung der verantwortlichen Organisation gegenüber problematisch sein könnte.

Im Zeitraum vom 1. September 2024 bis zum 21. Januar 2025 sind beim EDÖB 1406 Anzeigen wegen mutmasslicher Datenschutzverletzungen eingegangen. Zudem wurden 116 niederschwellige Interventionen, 16 informelle Vorabklärungen und 8 formelle Untersuchungen durchgeführt. Zwei dieser Verfahren sind derzeit beim Bundesverwaltungsgericht hängig.

Was sollten Organisationen tun?

Organisationen sollten sich nicht nur formal, sondern auch organisatorisch gut aufstellen. Dazu gehören:

Aktuelle Verzeichnisse aller Datenbearbeitungen
DSG-konforme Verträge mit Auftragsbearbeitern
Erfüllung von Informationspflichten, z.B. in der Form von Datenschutzerklärungen
Klar geregelte Abläufe für Auskunftsbegehren und Löschanfragen
Regelmässige technische und organisatorische Sicherheitsüberprüfungen
Eine festgelegte interne Zuständigkeit für Datenschutzanfragen

Zudem empfiehlt es sich, interne Schulungen und Sensibilisierungen regelmässig durchzuführen.

Ein internes Verfahren zur Beurteilung von Risiken sowie ein Szenario für den Umgang mit einer EDÖB-Anfrage können dazu beitragen, im Ernstfall schnell und rechtssicher zu handeln.

Fazit

Die Artikel 49 bis 53 DSG sind das zentrale Instrument zur Durchsetzung des Datenschutzes in der Schweiz. Wer seine Hausaufgaben macht, kann einer Untersuchung gelassener entgegensehen. Wer dies unterlässt, muss mit Massnahmen und einem möglichen Reputationsverlust rechnen.

Die Praxis zeigt: Transparente Prozesse, dokumentierte Vorkehrungen und ein klarer Ansprechpartner für Datenschutzbelange machen den Unterschied – sowohl bei der Prävention als auch im Umgang mit Aufsichtsverfahren.

Haben Sie Fragen dazu? Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 26.06.2025
Kompetenzzentrum Datenschutz

[1] Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung, SR 152.3.

[2] Vgl. BSK DSG-Zobel/Roth/Weber, Art. 49 N 31.

[3] https://www.edoeb.admin.ch/de/das-datenschutzgesetz-in-zahlen

[4] https://www.edoeb.admin.ch/de/taetigkeitsbericht-des-edob

[5] https://www.edoeb.admin.ch/de/anzeigeformular-betroffene

[6] https://www.edoeb.admin.ch/de/anzeigeformular-fuer-dritte

06/2025 – Fachartikel Swiss Infosec AG

Die Digitalisierung verändert die Energiebranche grundlegend – nicht nur im Stromsektor, sondern zunehmend auch in der Gasversorgung. Mit dieser Entwicklung steigen die Anforderungen an die Informationssicherheit. Kritische Infrastrukturen müssen heute mehr denn je gegen Cyberbedrohungen gewappnet sein.
Bereits 2024 wurde in der Schweiz ein verbindlicher IKT-Minimalstandard für Stromversorger eingeführt. Ab dem 1. Juli 2025 haben sich auch alle Gasversorger an einen Mindeststandard zu halten. Ziel ist es, ein einheitliches, prüfbares Mindestniveau der Informations- und Cybersicherheit zu schaffen – unabhängig von verwendeter Technik oder Unternehmensgrösse.

Was fordert der IKT-Minimalstandard Gas?

Der IKT-Minimalstandard Gas verfolgt das Ziel, ein einheitliches, prüfbares Mindestniveau an Cybersicherheit im Gassektor zu schaffen. Dabei werden keine spezifischen Vorgehensweisen oder Technologien vorgeschrieben – im Mittelpunkt stehen konkrete Schutzmassnahmen, die entlang international anerkannter Prinzipien wie dem NIST Cybersecurity Framework strukturiert sind. Dieses gliedert sich in fünf zentrale Handlungsfelder:

Identifizieren (Identify)

Das Handlungsfeld «Identifizieren» legt die Grundlage für eine wirksame Cybersicherheitsstrategie. Hier geht es darum, Klarheit über die vorhandenen Systeme, Datenflüsse, Verantwortlichkeiten und Risiken zu gewinnen. Die Unternehmen müssen ein vollständiges Inventar ihrer IT und OT Assets erstellen, darunter fallen beispielsweise SCADA-Systeme, Kommunikationsinfrastrukturen oder Server. Ebenso müssen sie relevante gesetzliche und regulatorische Anforderungen kennen und sicherstellen, dass Cyberrisiken systematisch ins unternehmensweite Risikomanagement eingebunden sind. Auch das Verständnis der Abhängigkeiten innerhalb der Lieferkette ist ein zentraler Bestandteil dieses Handlungsfeldes.

Schützen (Protect)

Im Bereich «Schützen» liegt der Fokus auf präventiven Massnahmen um Systeme, Daten und Kommunikationswege zuverlässig abzusichern. Hierzu zählen unter anderem technische Schutzvorkehrungen wie Zugriffskontrollen, Netzsegmentierung und Datenverschlüsselung, aber auch organisatorische Massnahmen wie Mitarbeiterschulungen, Sensibilisierung und das Etablieren sicherer Betriebsprozesse. Das Ziel ist es, das Risiko von Sicherheitsvorfällen bereits im Vorfeld zu minimieren – sowohl durch technische Sicherheitsarchitekturen als auch durch eine starke Sicherheitskultur im Unternehmen.

Erkennen (Detect)

Das Handlungsfeld «Erkennen» beschreibt die Fähigkeit, Sicherheitsereignisse und Anomalien frühzeitig festzustellen. Um dies zu ermöglichen, müssen die Unternehmen geeignete Detektionsmechanismen implementieren, etwa durch kontinuierliche Netzwerküberwachung, automatisierte Alarmsysteme oder gezielte Prüfprozesse. Dabei kommt es nicht nur auf die technische Umsetzung an, sondern auch darauf, dass Mitarbeitende befähigt sind, ungewöhnliches Verhalten zu erkennen und zu melden. Die Fähigkeit zur Früherkennung ist entscheidend, um Schaden in kritischen Infrastrukturen zu verhindern oder einzudämmen.

Reagieren (Respond)

Im Bereich «Reagieren» geht es darum, bei einem Cybervorfall angemessen und koordiniert zu handeln. Unternehmen müssen dafür klare Prozesse, Rollen und Kommunikationswege definieren. Diese umfassen beispielsweise Meldewege, Eskalationsmechanismen und strukturierte Reaktionspläne, die auch mit Partnern und Behörden abgestimmt sein sollten. Eine professionelle Analyse durchlebter Vorfälle sowie deren Dokumentation und Aufarbeitung helfen, ähnliche Vorfälle künftig zu verhindern.

Wiederherstellen (Recover)

Das letzte Handlungsfeld «Wiederherstellen» befasst sich mit der Rückkehr in den Normalbetrieb nach einem Sicherheitsvorfall. Hierzu gehört, dass die Organisation über getestete Wiederherstellungspläne und -strategien verfügt, die sowohl technische Systeme als auch kommunikative Massnahmen umfassen – etwa im Umgang mit Medien oder Kunden. Ein zentrales Ziel ist es, die Resilienz der Organisation zu stärken und das Vertrauen in die Versorgungssicherheit wiederherzustellen.

Durch die Kombination dieser fünf Handlungsfelder ergibt sich ein ganzheitlicher Sicherheitsansatz, der technische und organisatorische, aber auch personelle und physische Aspekte abdeckt.

Der IKT-Minimalstandard Gas verlangt, dass jede Massnahme in Bezug auf ihre Relevanz und Reife (Maturitätsstufe) beurteilt und – abgestimmt auf das individuelle Risikoprofil des Unternehmens – umgesetzt wird. Besonders wichtig ist dabei die Verhältnismässigkeit:

Kleinere Betreiber (Schutzstufe C) müssen deutlich weniger Massnahmen (39) umsetzen als grosse Transportnetzbetreiber (Schutzstufen A und B / 108 Massnahmen).

Dieses abgestufte Modell ermöglicht eine pragmatische, aber wirkungsvolle Umsetzung für Unternehmen jeder Grösse.

Unser Workshop-Angebot: Die Standortbestimmung – klar, strukturiert und praxisnah

Viele Unternehmen stehen vor der Herausforderung, den eigenen Umsetzungsstand objektiv zu bewerten. Einzelne Massnahmen sind vielleicht schon umgesetzt, andere nur geplant oder noch nicht berücksichtigt. Im Rahmen eines kompakten, aber intensiven Workshops analysieren wir, wo Ihr Unternehmen in Bezug auf den IKT-Minimalstandard Gas aktuell steht. Ziel ist es, ein klares, strukturiertes Bild Ihrer Sicherheitslage zu erhalten. Die Standortbestimmung ist keine Prüfung, sondern ein kooperativer Prozess mit klarem Nutzen: Sie erkennen, wo Sie gut aufgestellt sind und wo es noch Verbesserungspotenzial gibt. Dabei legen wir folgende Schwerpunkte:

Welche Massnahmen des IKT-Minimalstandard Gas sind in Ihrem Unternehmen bereits umgesetzt?

Wir unterscheiden zwischen der formellen Dokumentation (z. B. Richtlinien, Sicherheitskonzepte, Rollenbeschreibungen) und der tatsächlichen Umsetzung im Arbeitsalltag. Denn in der Praxis weichen Theorie und Realität oft voneinander ab. Durch gezielte Fragen, Interviews und Einsicht in Ihre Unterlagen können wir den Umsetzungsstand realistisch erfassen.

Wo verfügt Ihre Organisation bereits über eine solide Sicherheitsbasis?

Das zeigt sich beispielsweise in klar geregelten Zuständigkeiten, etablierten technischen Schutzmassnahmen oder gelebten Sensibilisierungsprogrammen. Wo Stärken sind, liegen meist auch Schwächen. Daher analysieren wir gleichzeitig auch, wo noch Lücken bestehen. Daraus leiten wir gezielt die Handlungsfelder ab: also jene Bereiche, in denen Massnahmen besonders wirkungsvoll sind oder aus regulatorischer Sicht zwingend umgesetzt werden müssen, um den Anforderungen Ihrer Schutzstufe – A, B oder C – vollumfänglich zu entsprechen.

Welchen Maturitätsgrad hat die jeweilige Umsetzung der Massnahme erreicht?

Anhand des vorgegebenen Rasters nehmen wir eine objektive Einordnung vor: Von «nicht umgesetzt» bis «dynamisch und kontinuierlich verbessert». Durch diese systematische Bewertung erhalten Sie eine belastbare Grundlage für strategische Entscheidungen und nötige Investitionen.

Weitere Informationen zu unserem «Workshop Standortbestimmung IKT-Minimalstandard Gas» finden Sie hier:

zum Workshop

Ihr Nutzen auf einen Blick

Das Angebot zur Standortbestimmung liefert Ihnen einen fundierten, objektiven Überblick darüber, wo Ihr Unternehmen im Hinblick auf die Anforderungen aktuell steht. Mit unserer Standortbestimmung gewinnen Sie die nötige Klarheit über den Reifegrad Ihrer bestehenden Sicherheitsmassnahmen. Dies lässt Sie erkennen, welche Massnahmen bereits solide umgesetzt sind, wo es noch Lücken gibt und in welchen Bereichen besonders dringender Handlungsbedarf besteht. Diese so gewonnene Transparenz ermöglicht es Ihnen die zur Verfügung stehenden Ressourcen gezielt und effizient einzusetzen.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen IKT-Minimalstandard Gas für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 03.06.2025
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG

Datenschutzverstösse unter der Lupe – Wie der EDÖB Untersuchungen durchführt