04/2023 – Fachartikel Swiss Infosec AG
Im Rahmen des neuen Schweizer Datenschutzgesetzes (nDSG) gilt als Datenschutzverletzung eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h nDSG).
Im Falle einer Datenschutzverletzung mit hohen Risiken sind Datenverantwortliche verpflichtet, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich zu benachrichtigen (Art. 24 Abs. 1 nDSG). Darüber hinaus müssen auch die betroffenen Personen benachrichtigt werden, wenn es zu ihrem Schutz erforderlich ist.
Wichtig aber zu wissen: Für Unternehmen, auf welche ein anderes Gesetz als das nDSG anwendbar ist (beispielsweise EU-DSGVO, kantonale Datenschutzgesetze), gelten teilweise davon abweichende Anforderungen. Wir haben für Sie eine griffige Übersicht zusammengestellt:
| Thema | nDSG Art. 24 | kantonale DSG | EU-DSGVO Art. 33 |
| Schwelle für Meldung an Behörde | hohes Risiko | z.B. jedes (relevante) Risiko (ZH/AG/BL), hohes Risiko (LU, SG/SH/SZ) | jedes (relevante) Risiko |
| Meldefrist ab Entdeckung Data Breach | so rasch als möglich | z.B. unverzüglich (ZH/AG/LU), ohne unangemessene Verzögerung (BL, SH) | 72 Std. |
| Direkte Sanktionen bei Missachtung Meldepflicht | keine | keine | max. EUR 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes |
Haben Sie noch Fragen? Gerne beantworten wir diese und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 24.03.2023
Kompetenzzentrum Datenschutz