Das Nationale Zentrum für Cybersicherheit (NCSC) erhebt Zahlen zu Cyberangriffen, welche von Privatpersonen und Unternehmen gemeldet werden. Ergänzend muss man an dieser Stelle festhalten, dass nicht nur Cyberangriffe mit Schadensfolge von der Erhebung erfasst werden, sondern auch solche, die erfolgreich abgewehrt werden konnte. Da nur Cyberangriffe erfasst werden, die gemeldet werden, ist von einer hohen Dunkelziffer auszugehen. Dabei kommt die Frage auf, ob in der Schweiz eine Meldepflicht nach einem Cyberangriff besteht.
Das Europäische Parlament hat gemeinsam mit dem Rat, auf Vorschlag der Kommission hin, die DSGVO erlassen. Die Verordnung bringt einen erheblichen Fortschritt im europäischen Datenschutzrecht mit sich. Das Ziel und die Gewährleistung des Grundrechts des Schutzes von personenbezogenen Daten wird dadurch angestrebt, dass Unternehmen, die personenbezogene Daten verarbeiten dadurch reguliert werden, indem ihnen eine Transparenzpflicht, insbesondere durch Informations-, Melde- und Auskunftspflichten auferlegt wird. Verordnungen sind in den EU-Mitgliedsstaaten ohne innerstaatlichen Umsetzungsakt unmittelbar anwendbar. Obgleich die Schweiz nicht Mitgliedsstaat der EU ist, kann diese Verordnung für Unternehmen in der Schweiz einschlägig sein. Dabei sind drei verschiedene Konstellationen zu unterscheiden. Erfasst sind:
Fällt ein schweizerisches Unternehmen unter den Anwendungsbereich der DSGVO, so muss dieses in Folge von Datendiebstahl, Datenverschlüsselung und eines unrechtmässigen Zugriffs auf Daten, kurz gesagt, nach einem Cyberangriff, der betroffenen Person und der zuständigen Datenschutzbehörde den Vorfall melden.
Auch der Schweizerische Gesetzgeber hat mit dem revDSG 2023, welches am 01. September 2023 in Kraft treten wird, eine identische Meldepflicht auf Gesetzesstufe erlassen. Sowohl die Betroffenen als auch das EDÖB sind zu benachrichtigen. Zusätzlich statuiert das FINMAG im Falle eines Cyberangriffs eine Melde- und Auskunftspflicht für Unternehmen, die unter der Aufsicht der FINMA stehen. Relativiert wird diese Pflicht dadurch, dass nur Vorkommnisse zu melden sind, die für die Aufsichtstätigkeit der FINMA «von wesentlicher Bedeutung sind» (vgl. Art. 29 Abs. 2 FINMAG).
Unternehmen in der Schweiz können demnach unter Umständen schon zum jetzigen Zeitpunkt einer Meldepflicht unterstehen, wenn sie vom Anwendungsbereich der DSGVO erfasst werden, oder, unter Voraussetzung einer gewissen Intensität, wenn sie der Aufsicht durch die FINMA unterliegen. Spätestens mit dem Inkrafttreten des revDSG 2023 am 01. September 2023 werden alle Unternehmen in der Schweiz einer Meldepflicht unterstehen.