nDSG-Verletzung melden: Ablauf, Fristen und praktische Tipps für Schweizer Unternehmen

Seit dem 1. September 2023 gilt das neue Schweizer Datenschutzgesetz (nDSG). Eine zentrale Pflicht: Datenschutzverletzungen müssen unter bestimmten Bedingungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Dieser Guide zeigt, wann, wie und an wen Sie melden müssen — mit einem praktischen Template.

Datenschutzverletzungen sind kein theoretisches Risiko mehr. Laut einer Studie des EDÖB gab es 2024 über 1.200 Meldungen von Datenschutzverletzungen in der Schweiz — ein Anstieg von 40% gegenüber dem Vorjahr. Das nDSG hat die Meldepflichten verschärft und die Strafen erhöht. Wer nicht rechtzeitig meldet, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden und regulatorische Auflagen.

Wann muss man eine Datenschutzverletzung melden?

Das nDSG verlangt in Artikel 24 eine Meldung bei Datenschutzverletzungen, die "ein nicht vernachlässigbares Risiko für die Persönlichkeit oder die Grundrechte einer betroffenen Person" darstellen. Konkret müssen Sie melden, wenn:

  • Unbefugter Zugriff: Ein Angreifer, ein ehemaliger Mitarbeiter oder ein Dritter hat Zugriff auf personenbezogene Daten erlangt — egal ob durch Hacking, Social Engineering oder physischen Diebstahl.
  • Unbeabsichtigte Offenlegung: Daten wurden an die falsche Person oder falsche Organisation gesendet (z.B. E-Mail an falschen Empfänger, Dokumente an falsche Adresse).
  • Datenverlust: Ein Laptop, USB-Stick oder Server mit personenbezogenen Daten wurde gestohlen oder verloren, und die Daten waren nicht verschlüsselt.
  • Beschädigung oder Manipulation: Daten wurden gelöscht, verändert oder durch Ransomware unbrauchbar gemacht, und keine aktuellen Backups existieren.
  • Systemausfall mit Datenverlust: Ein technischer Ausfall führt zum Verlust von personenbezogenen Daten, die nicht wiederhergestellt werden können.

Wichtig: Nicht jede Verletzung ist meldepflichtig. Eine versehentlich an einen internen Kollegen gesendete E-Mail mit Kundendaten, die sofort gelöscht wird, stellt oft kein "nicht vernachlässigbares Risiko" dar. Eine verschlüsselte Festplatte, die verloren geht, ist ebenfalls oft nicht meldepflichtig — wenn die Verschlüsselung als sicher gilt.

Praxis-Tipp: Wenn Sie unsicher sind, ob eine Verletzung meldepflichtig ist, melden Sie vorsichtshalber. Der EDÖB bevorzugt eine übermäßige Meldung gegenüber einer verspäteten oder unterlassenen Meldung. Eine nachträgliche Meldung wird als Verstoß gewertet.

Wer muss melden?

Die Meldepflicht trifft den "Verantwortlichen" — also die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet. In der Praxis ist das meist das Unternehmen selbst, nicht der einzelne Mitarbeiter, der den Fehler gemacht hat.

Falls ein Auftragsverarbeiter (z.B. ein Cloud-Anbieter, ein IT-Dienstleister) die Verletzung entdeckt, muss er den Verantwortlichen unverzüglich informieren. Der Verantwortliche entscheidet dann, ob eine Meldung an den EDÖB erfolgt.

Ausnahme: Behörden und Unternehmen, die bereits unter anderen Meldepflichten stehen (z.B. FINMA für Banken), können in bestimmten Fällen von der EDÖB-Meldung befreit sein, sofern sie andere Meldesysteme nutzen. Aber: Das nDSG ist der Generaltatbestand — spezialgesetzliche Meldepflichten ersetzen es nicht, sondern ergänzen es.

An wen melden?

Es gibt zwei mögliche Meldeempfänger:

  • Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB): Die zentrale Meldestelle für Datenschutzverletzungen in der Schweiz. Online-Formular unter edoeb.admin.ch.
  • Die betroffene Person: Wenn die Verletzung ein hohes Risiko darstellt, müssen Sie die betroffenen Personen direkt informieren — nicht nur den EDÖB.

Die Meldung an den EDÖB erfolgt über ein Online-Formular. Sie können sich auch telefonisch oder per E-Mail an den EDÖB wenden, um eine Verletzung anzuzeigen, aber die formelle Meldung läuft über das Formular.

Fristen: Wie schnell muss die Meldung erfolgen?

Das nDSG verlangt, dass die Meldung "möglichst bald" erfolgt — eine vage Formulierung, die in der Praxis so interpretiert wird:

MeldetypFristAnmerkung
EDÖB-Meldung (Standard)Innerhalb von 72 StundenNach Entdeckung der Verletzung
EDÖB-Meldung (komplex)Innerhalb von 30 TagenWenn Ursachenermittlung länger dauert
Betroffenen-Information"Ohne Verzug"Bei hohem Risiko für die Person

Die 72-Stunden-Frist ist nicht gesetzlich fixiert, sondern hat sich als regulatorischer Standard etabliert. Der EDÖB geht davon aus, dass ein Unternehmen innerhalb von drei Tagen nach Entdeckung einer Verletzung in der Lage sein sollte, eine erste Meldung abzugeben. Wenn die Ursachenermittlung länger dauert, können Sie eine vorläufige Meldung machen und innerhalb von 30 Tagen eine vollständige Nachmeldung.

Fristen-Warnung: Die Frist beginnt mit der Entdeckung der Verletzung — nicht mit dem tatsächlichen Ereignis. Wenn ein Datenleck am 1. Januar passiert, aber erst am 15. Februar entdeckt wird, läuft die Frist ab dem 15. Februar. Trotzdem: Je schneller Sie melden, desto besser.

Was muss in die Meldung? (Checkliste)

Eine vollständige Meldung an den EDÖB sollte folgende Informationen enthalten:

  1. Beschreibung des Vorfalls: Was ist passiert? Wann wurde es entdeckt? Wie wurde es entdeckt?
  2. Betroffene Datenkategorien: Welche personenbezogenen Daten waren betroffen? (Namen, Adressen, E-Mail, Finanzdaten, Gesundheitsdaten, biometrische Daten...)
  3. Anzahl betroffener Personen: Wie viele Personen sind betroffen? Wenn unbekannt: Schätzung mit Begründung.
  4. Mögliche Konsequenzen: Welche Risiken ergeben sich für die betroffenen Personen? (Identitätsdiebstahl, finanzieller Schaden, Diskriminierung, Rufschädigung...)
  5. Massnahmen: Welche Massnahmen wurden bereits ergriffen? (Passwort-Reset, Systemabschaltung, Benachrichtigung, technische Korrekturen...)
  6. Kontaktdaten: Name und Kontakt des Verantwortlichen oder Datenschutzbeauftragten (DSB).
  7. Kontakt für Nachfragen: Wer kann der EDÖB bei Rückfragen kontaktieren?

Datenschutzverletzung melden: Schritt-für-Schritt-Ablauf

Hier ist der praktische Ablauf für Schweizer Unternehmen:

  1. Entdeckung (Tag 0): Ein Mitarbeiter, ein Kunde oder ein Monitoring-System entdeckt die Verletzung. Dokumentieren Sie sofort: Wer hat es entdeckt, wann, wie?
  2. Erste Einschätzung (Tag 0-1): Ist es eine meldepflichtige Verletzung? Wenn ja: Meldeprozess aktivieren. Wenn nein: Dokumentieren Sie die Begründung, warum nicht gemeldet wurde.
  3. Interne Eskalation (Tag 0-1): Informieren Sie den Datenschutzbeauftragten (DSB), die Geschäftsleitung und die IT-Sicherheit. Stellen Sie ein kleines Krisenteam zusammen.
  4. Ursachenermittlung (Tag 1-3): Sammeln Sie Fakten: Was ist passiert? Welche Daten? Wie viele Personen? Welche technischen Schwachstellen wurden ausgenutzt?
  5. EDÖB-Meldung (Tag 1-3): Reichen Sie die Meldung über das Online-Formular ein. Wenn nicht alle Fakten klar sind: vorläufige Meldung.
  6. Betroffenen-Information ("ohne Verzug"): Wenn hohes Risiko: Informieren Sie die betroffenen Personen direkt. Inhalt: Was ist passiert, welche Daten, welche Massnahmen, Kontakt für Fragen.
  7. Massnahmen umsetzen (Tag 1-30): Technische Korrekturen, Prozessanpassungen, Schulungen, ggf. externe Forensik.
  8. Nachmeldung (Tag 30): Vollständige Meldung mit allen ermittelten Fakten und umgesetzten Massnahmen.
  9. Dokumentation: Archivieren Sie den gesamten Verlauf für mindestens 2 Jahre.

Strafen bei Nicht-Meldung oder verspäteter Meldung

Das nDSG hat die Strafen für Datenschutzverstöße deutlich erhöht:

  • Verwaltungsübertretung: Bußgeld von bis zu CHF 250'000 bei vorsätzlicher Verletzung von Pflichten.
  • Strafrechtliche Verfolgung: Bei besonders schwerwiegenden Fällen (z.B. gewerbsmäßige Datenmissbrauch) Freiheitsstrafe bis zu 3 Jahren.
  • Zivilrechtliche Ansprüche: Betroffene Personen können Schadensersatz oder Genugtuung verlangen.

Die Höhe des Bußgelds hängt ab von: Schwere der Verletzung, Anzahl betroffener Personen, Vorsatz oder Fahrlässigkeit, vorherige Verstöße, und wie das Unternehmen reagiert hat. Ein Unternehmen, das schnell und transparent meldet, bekommt tendenziell milder behandelt als eines, das versucht, den Vorfall zu vertuschen.

Strafminderung durch schnelle Meldung: Unternehmen, die proaktiv melden, umgehend Massnahmen ergreifen und mit dem EDÖB kooperieren, erhalten in der Regel niedrigere Bußgelder oder sogar nur eine Verwarnung. Die Haltung zählt.

Prävention: Wie vermeidet man Datenschutzverletzungen?

Die beste Meldung ist die, die Sie nicht machen müssen. Hier sind die effektivsten Präventionsmassnahmen:

  • Verschlüsselung: Alle tragbaren Medien (Laptops, USB, externe Festplatten) müssen verschlüsselt sein. Cloud-Daten sollten Client-Side-Verschlüsselung oder AES-256-at-Rest haben.
  • Zugriffskontrolle: Rollenbasierte Zugriffsrechte (RBAC), MFA für alle kritischen Systeme, regelmäßiges Review von Berechtigungen.
  • E-Mail-Sicherheit: DLP-Lösungen (Data Loss Prevention), die verhindern, dass vertrauliche Daten an externe Adressen gesendet werden. "Reply-All"-Warnungen und externe-E-Mail-Banner.
  • Incident Response Plan: Ein dokumentierter und geübter Prozess für Datenschutzverletzungen. Jeder sollte wissen, wen er anrufen muss, wenn etwas passiert.
  • Schulungen: Mindestens jährliche Datenschutz-Schulungen für alle Mitarbeiter, mit Phishing-Simulationen und praktischen Übungen.
  • Backups: 3-2-1-Backup-Strategie (3 Kopien, 2 Medien, 1 offline), regelmäßige Wiederherstellungstests.

Häufige Fragen (FAQ)

Muss ich als Kleinunternehmer (weniger als 10 Mitarbeiter) auch melden?

Ja. Das nDSG unterscheidet nicht nach Unternehmensgrösse. Wenn Sie personenbezogene Daten verarbeiten und eine meldepflichtige Verletzung eintritt, müssen Sie melden. Allerdings sind Kleinunternehmen oft von der DSB-Pflicht befreit, nicht aber von der Meldepflicht bei Verletzungen.

Was ist, wenn ich die Verletzung erst nach Wochen entdecke?

Die Frist beginnt mit der Entdeckung. Melden Sie sofort, sobald Sie es merken. Der EDÖB versteht, dass Verletzungen nicht immer sofort sichtbar sind — besonders bei komplexen Cyberangriffen. Wichtig ist, dass Sie schnell handeln, sobald Sie Bescheid wissen.

Muss ich auch Kunden oder Partner informieren?

Die direkte Information betroffener Personen (nicht Unternehmen) ist bei hohem Risiko Pflicht. Wenn Kunden als Personen betroffen sind (z.B. Endkunden), müssen Sie sie informieren. B2B-Partner sind keine "betroffene Person" im Sinne des nDSG, aber vertragliche Pflichten können eine Information verlangen.

Kann ich die Meldung anonym machen?

Nein. Die Meldung an den EDÖB muss vom Verantwortlichen kommen und dessen Identität enthalten. Anonyme Meldungen werden nicht als ordnungsgemäße Erfüllung der Meldepflicht anerkannt. Sie können aber im ersten Schritt telefonisch Kontakt aufnehmen, wenn Sie Hilfe bei der Einschätzung brauchen.

Wie lange muss ich die Dokumentation aufbewahren?

Das nDSG verlangt keine explizite Aufbewahrungsfrist für Meldedokumentationen. Aus Beweissicherungs- und Rechtsschutzgründen empfehlen Anwälte und Datenschutzexperten jedoch eine Aufbewahrung von mindestens 2-3 Jahren, besser 5 Jahre. Der EDÖB kann jederzeit Auskünfte verlangen.

Weiterführende Links

Datenschutz-Organisation prüfen lassen?

Ich analysiere Ihre Datenschutzprozesse gegen nDSG, DSGVO und DSG — mit konkreten Massnahmen, Priorisierung und Meldeprozessen.

Datenschutz-Audit ab CHF 1'400 anfragen