Cybervorfall – So melden KMU richtig
Cybervorfälle nehmen zu. Ist die Datensicherheit von Kundendaten betroffen, müssen Vorfälle neu gemeldet werden – sonst drohen Bussen. Doch wann besteht Meldepflicht, wohin muss gemeldet werden und wie schnell? Ein neuer Fachartikel von zwei Dozierenden der Hochschule Luzern gibt Orientierung. Er zeigt, wie KMU und IT-Verantwortliche die neuen Vorgaben richtig umsetzen und Risiken begrenzen. Jetzt Artikel downloaden.
Laut dem Bundesamt für Cybersicherheit wird in der Schweiz im Durchschnitt alle 8,5 Minuten ein Cybervorfall gemeldet. Wenn Kundendaten betroffen sind, kommt schnell die Frage: Müssen wir das melden? Und wenn ja: wo und wie schnell? Bis vor Kurzem war das oft nicht eindeutig. Doch nun gilt: Wer Datenpannen oder Cyberangriffe nicht meldet, riskiert ab 1. Oktober 2025 Bussen.
Und zwar unabhängig davon, ob der Vorfall durch einen Unfall, einen internen Fehler oder einen Hackerangriff ausgelöst wurde. Ebenfalls neu: Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen welche ab 1. April 2025 gilt.
Der Artikel ordnet ein: Technisch und juristisch
Mit dem neuen Fachartikel «Meldepflichten DSG und ISG» spannen Datenschutzexpertin Ursula Uttinger und Informatik-Experte Ron Porath zusammen und geben einen detaillierten Überblick über die neuen gesetzlichen Vorgaben. Sie beleuchten diese aus juristischer wie aus technischer Perspektive. Der Artikel beleuchtet:
- Welche Organisationen betroffen sind
- Welche Fristen gelten
- Was gemeldet werden muss
- Wer meldepflichtig ist (und wer nicht)
- Was bei unterlassener Meldung droht
- Wo DSG, kantonale Gesetze, ISG und DSGVO ineinandergreifen
Meldepflichten im Überblick: Wann und an wen müssen die Sicherheitsvorfälle mit Daten in der Schweiz gemeldet werden? Erfahre mehr im Aufklappmenü!
Für Personendaten: Meldepflicht nach DSG
- Wenn Personendaten betroffen sind, muss der Vorfall gemeldet werden, sobald ein hohes Risiko für Betroffene besteht.
- Die Meldestelle ist das EDÖB (= eidg. Datenschutz- und Öffentlichkeitsbeauftragter).
- Wichtig: Nur «Verantwortliche» melden (nicht Auftragsbearbeitende wie IT-Dienstleistende)
- Die Meldung soll «so rasch wie möglich» erfolgen.
- Betroffene müssen informiert werden, wenn sie sich schützen müssen (z. B. Karten sperren).
Für Cyberangriffe: Meldepflicht nach ISG
Neu dazugekommen ist dieses Jahr eine Meldepflicht gestützt auf das Informationssicherheitsgesetz – wobei diese nur für bestimmte Branchen gilt.
- Gilt für bestimmte Branchen («kritische Infrastrukturen»), zum Beispiel Behörden, Spitäler, Post, Bahn, Hochschulen (teilweise), Medien etc.
- Meldestelle: BACS (Bundesamt für Cybersicherheit)
- Frist: innert 24 Stunden
Für Fälle mit EU-Bezug: Meldepflicht nach DSGVO
Falls ein Schweizer Unternehmen aktiv Kundinnen und Kunden in der EU bedient oder Menschen in der EU beobachtet (Tracking) gelten zusätzlich die EU-Meldepflichten:
- Meldung innert 72 Stunden
- Meist strengere Regeln
Für kantonale Verwaltungen: Meldepflicht nach kantonalen Regeln
Für kantonale Verwaltungen gelten kantonale Datenschutzgesetze, die meist ähnliche Meldepflichten enthalten. Bei Vorfällen müssen sie die kantonale Datenschutzbehörde informieren.
Die Meldepflichten sollen helfen:
- Risiken für Personen zu minimieren
- Datenmissbrauch zu verhindern
- Schutz & Reaktion zu verbessern
- Transparenz zu schaffen
- Überblick über die Bedrohungslage zu gewinnen
Damit erhält das Bundesamt für Cybersicherheit (BACS) ein Gesamtbild der Situation in der Schweiz.
Veröffentlicht: 7. November 2025
Von: Yasmin Billeter
Ursula Uttinger
Ursula Uttinger ist Juristin, Datenschutzexpertin und Dozentin an der Hochschule Luzern – Informatik. Seit 1995 arbeitet sie im Bereich Datenschutz, unter anderem als betriebliche Datenschutzberaterin in verschiedenen Branchen sowie als Auditorin. Sie verbindet langjährige Praxis in Privatwirtschaft und Verwaltung mit ihrer Lehr- und Beratungstätigkeit.
Ron Porath
Ron Porath ist Physiker, Informatik-Dozent und stellvertretender Studiengangleiter des Bachelors Information and Cyber Security an der Hochschule Luzern. Er arbeitete zwanzig Jahre im Finanzsektor als technischer Projektleiter sowie im Senior Management, vorwiegend in den Bereichen Risk und IT Security.
Weblaw ist eine juristische Informationsplattform aus der Schweiz, die umfangreiche digitale Angebote rund um Rechtspraxis, Fortbildung und Legal Tech bündelt. Jusletter ist das führende juristische Fachmagazin von Weblaw. Es berichtet über aktuelle Rechtsentwicklungen, Diskussionen und Spezialthemen im Schweizer und internationalen Kontext.
Ausbildung in diesem Fachbereich: Hol dir einen Bachelor in Information & Cyber Security: Mit diesem Studium erwirbst du das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Cyber-Kriminalität zu schützen und mit einer sicheren IT-Infrastruktur auszustatten. Der Bachelor bereitet auf 30 bis 50 Berufsbilder in der digitalen Sicherheit vor. Er ist modular aufgebaut.
Weiterbildung Security & Privacy: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security and Privacy an.
Besuche unsere Online-Info-Veranstaltungen.
Gefällt dir unser Blog? Hier erhältst du Tipps und liest über Trends aus der Welt der Informatik. Wir bieten Einsichten ins Informatik-Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen. Jetzt Informatik-Blog abonnieren!
Aktuelles aus unserem Departement auf LinkedIn. Hier folgen.
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.