Jusletter IT

Daten- und Informationssicherheit sind für die öffentliche Hand essenziell, wie der Fall «Xplain» mit seinen Auswirkungen auf die Bundesverwaltung zeigt (siehe z.B. NCSC, 2023).¹ Wie sehen die Pflichten im Rahmen von öffentlichen Beschaffungen aus im Hinblick auf die Daten- und Informationssicherheit und welche Meldepflichten müssen Bundesbehörden erfüllen, falls eine Datenschutz- oder Informationsschutzverletzung vorliegt? Dieser Beitrag beleuchtet die Frage der Datensicherheit nach dem revidierten Datenschutzgesetz (DSG) und gibt einen Ausblick auf das Informationssicherheitsgesetz (ISG), welches die Informationsschutzverordnung (ISchV) ablösen wird.

Das Datenschutzgesetz schützt die Persönlichkeit und Grundrechte von Personen, über welche Personendaten bearbeitet werden (Art. 1 DSG), während die Datensicherheit generell auf die bei Verantwortlichen oder Auftragsbearbeitern vorhandenen Personendaten abzielt. Datensicherheit ist massgebend, um Datenschutz zu gewährleisten (Husi-Stämpfli et al., 2023 S. 116). Individueller Datenschutz erfordert allgemeine technische Vorkehrungen zur Datensicherheit. Datenschutz und Datensicherheit beeinflussen sich gegenseitig, sind jedoch unterschiedliche Konzepte. Daraus ergibt sich auch die Abgrenzung der Pflicht zur Datensicherheit nach Art. 8 DSG, wonach sowohl der Verantwortliche als auch der Auftragsbearbeiter dazu verpflichtet ist, für seine Systeme eine geeignete Sicherheitsarchitektur vorzusehen (Botschaft rev. DSG 2017 6941, 7031).

Das Informationssicherheitsgesetz gewährleistet im Gegensatz zum Datenschutz – nicht aber zur Datensicherheit – die sichere Bearbeitung von Informationen unter Bundeshoheit (Art. 1 Abs. 1 revISG). Zudem muss der sichere Einsatz von Informatikmitteln des Bundes gewährleistet werden. Es umfasst Informationen als solche wie auch die Informatikmittel, dabei werden Informationen sowie Daten unter dem Begriff «Informationen» subsumiert (Botschaft rev. ISG 2017 2953, 3010).

Im öffentlichen Beschaffungsprozess müssen sowohl Datenschutz als auch Informationsschutz berücksichtigt werden, wobei der Informationsschutz den Datenschutz inkludieren sollte. Was dies beinhaltet, wir nachfolgend aufgezeigt.

Der Verantwortliche sowie der Auftragsbearbeiter müssen gemäss Art. 8 Abs. 1 DSG eine angemessene Datensicherheit durch technische und organisatorische Massnahmen gewährleisten.² Die Datensicherheit bezeichnet den Schutz von Daten hinsichtlich deren Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit (vgl. Art. 2 DSV). Elementar ist dabei, dass sich die Datensicherheit nach dem Risiko für die betroffene Person richtet und die Gewährleistung der Datensicherheit durch geeignete technische und organisatorische Massnahmen zu erfolgen hat, die es auch ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden (vgl. Art. 8 Abs. 2 DSG).

Darin wird einerseits der risikobasierte Ansatz betont, der fordert, dass je grösser das Risiko einer Verletzung der Datensicherheit ist, umso höher die Anforderungen an die zu treffenden Massnahmen sind (Husi-Stämpfli et al., 2023 S. 122). Weiter ist die Geeignetheit der Massnahmen erforderlich, d.h. eine Massnahme soll ermöglichen, eine Datensicherheitsverletzung zu vermeiden. Geeignete Massnahmen können beispielsweise sein: eine Pseudonymisierung von Personendaten, Massnahmen zur Wahrung der Vertraulichkeit und Verfügbarkeit des Systems oder dessen Dienste, die Entwicklung von Verfahren, mit denen regelmässig geprüft, analysiert und bewertet werden kann, ob die getroffenen Sicherheitsvorkehrungen wirksam sind (Botschaft rev. DSG 2017 6941, 7031).

Eine Datensicherheitsverletzung ist gemäss Art. 5 lit. h DSG eine Sicherheitsverletzung, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert oder Unbefugten zugänglich gemacht werden. Gemäss der Botschaft liegt auch eine Datensicherheitsverletzung vor, wenn «lediglich die Möglichkeit bestand, dass die Personendaten Unbefugten offengelegt oder zugänglich gemacht wurden, oder ob ein solcher Zugang tatsächlich stattgefunden hat» (Botschaft rev. DSG 2017 6941, 7022). Damit wäre jeder Verlust eines Laptops oder Mobiltelefons bereits eine Datenschutzverletzung. Dies aber nur, wenn wirklich auf Personendaten zugegriffen werden kann, was namentlich bei einer genügend verschlüsselten Harddisk nicht vorliegt.

Der Bundesrat muss gemäss Art. 8 Abs. 3 DSG Mindestanforderung an die Datensicherheit erlassen. Dazu wurden in Art. 1 bis 3 DSV Vorgaben definiert. Es sind jedoch nicht klare Vorgaben, sondern Kriterien, die zu berücksichtigen, und Leitlinien, wie konkrete Massnahmen auszugestalten sind (Bundesamt für Justiz [BJ], Erläuternder Bericht DSV, 2022, S. 10). Diese Kriterien stützen sich dabei auf ISO 27001/2:2022. Ob Art. 1 ff. DSV aber für die Bestimmtheit der Norm zu genügen vermag, wird sich in Zukunft ergeben.

Die Nichteinhaltung der Mindestanforderungen der Datensicherheit kann auf Antrag mit einer Busse von bis zu CHF 250‘000 bestraft werden (Art. 61 lit. c DSG), vorausgesetzt die private Person (recte gemäss Botschaft rev. DSG 2017 6941, 7099: natürliche Personen) handelt vorsätzlich. Der Gesetzgeber hatte Unternehmen im Fokus, es aber unterlassen, natürliche Personen von Bundesorganen gemäss Art. 2 Abs. 2 lit. b DSG auszunehmen. Es ist derzeit unseres Erachtens offen, ob die Strafbestimmungen damit auch leitende Bundesangestellte treffen können.

Zur Gewährleistung einer angemessenen Datensicherheit müssen gemäss Art. 1 Abs. 1 DSV sowohl der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. Die Kriterien des Schutzbedarfs umfassen die Art der bearbeiteten Daten gemäss Art. 1 Abs. 2 lit. a DSV, wobei entscheidend ist, ob besonders schützenswerte Daten bearbeitet werden, sowie den Zweck, die Art und den Datenbearbeitungsumfang gemäss Art. 1 Abs. 2 lit. b DSV. Der Bearbeitungszweck richtet sich insbesondere auf die Prüfung, ob dieser ein erhöhtes Risiko für die Persönlichkeitsrechte und die Grundrechte mit sich bringt; bei der Art der Bearbeitung ist von Interesse, wie die Daten bearbeitet werden. Die Umstände der Bearbeitung erfassen Aspekte, welche im Einzelfall Auswirkungen auf andere Kriterien haben und dienen insofern als Auffangbecken (BJ, Erläuternder Bericht DSV, 2022, S. 19; m.w.H. Husi-Stämpfli et al., 2023 S. 123 f.).

In Art. 1 Abs. 3 DSV werden wie für die vorangehende Beurteilung des Schutzbedarfs die Kriterien zur Beurteilung des Risikos einer Persönlichkeits- oder Grundrechtsverletzung aufgeführt. Die Beurteilung erfolgt nach fachlichen Kriterien (Beariswyl, 2023, S. 125). Im Unterschied zur Schutzbedarfsbeurteilung erfolgt die Risikobeurteilung gemäss einem Kaskadensystem (lit. a bis d). Das Ergebnis der Beurteilung ist massgebend für die weitere Risikobeurteilung (BJ, Erläuternder Bericht DSV, 2022, S. 19 f.; Husi-Stämpfli et al., 2023 S. 124 ff.).

Art. 2 DSV ergänzt Art. 1 DSG hinsichtlich des Gesetzeszweckes und konkretisiert die Ziele zur Gewährleistung der angemessenen Datensicherheit. Vertraulichkeit nach Art. 2 lit. a DSV bedeutet, dass Daten nur Berechtigten zugänglich sind und umfasst Authentifizierung sowie Methoden und Systeme zur Verwaltung und Einschränkung des Zugriffs (BJ, Erläuternder Bericht DSV, 2022, S. 22). Verfügbarkeit wird nach Art. 2 lit. b DSV gewährleistet, indem die Daten jederzeit eingesehen werden können. Das Ziel der Integrität gemäss Art. 2 lit. c DSV wird gewährleistet, wenn die Daten nicht unberechtigt oder unbeabsichtigt verändert werden und umfasst Authentizität, Zurechenbarkeit sowie die Nichtabstreitbarkeit. Abschliessend muss die Datenbearbeitung nachvollziehbar sein, wie es in Art. 2 lit. d DSV dargestellt wird, um Missbrauch oder unbefugte Zugriffe zu identifizieren, was für das Verfahren relevant ist und Kontrolle sowie Überwachung erleichtert (BJ, Erläuternder Bericht DSV, 2022, S. 22 f.).

Technische Massnahmen bezeichnen alle Vorkehrungen, die sicherstellen, dass die Datenbearbeitung rechtmässig erfolgt (Baeriswyl et al., 2023, S. 116). Darunter fallen Datenverschlüsselungen, Einrichten von Back-Ups oder Protokollierungen (Baeriswyl et al., 2023, S. 128). Organisatorische Massnahmen hingegen sind Vorgaben, welche die Prozesse beim Verantwortlichen und das Verhalten dessen Mitarbeitenden betreffen (Baeriswyl et al., 2023, S. 116).

Art. 3 DSV sieht vor, dass organisatorische und technische Massnahmen im Einzelfall ergriffen werden müssen, um die Ziele von Artikel 2 zu erreichen. Art. 3 DSV nennt dabei jeweils Massnahmen für die einzelnen Ziele. Beispielsweise wird die Vertraulichkeit (Art. 2 lit. a DSV) durch risikoreduzierende organisatorische und technische Massnahmen aus Art. 3 Abs. 1 DSV gewährleistet (Baeriswyl et al., 2023, S. 125). Darunter fallen die Zugriffskontrolle (Berechtigte dürfen nur auf diejenigen Personendaten zugreifen, die sie zur Aufgabenerfüllung benötigen), die Zugangskontrolle (so dass nur Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden) sowie die Benutzerkontrolle (Unbefugte können automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen).

Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen gemäss Art. 4 Abs. 1 DSV der private Verantwortliche und sein privater Auftragsbearbeiter gewisse Bearbeitungsvorgänge protokollieren. Gemäss Absatz 2 protokollieren das verantwortliche Bundesorgan und sein Auftragsbearbeiter bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten. Dies sind die gleichen Bearbeitungsvorgänge, die auch der private Verantwortliche protokollieren muss, allerdings muss dies bei Bundesorganen in grösserer Anzahl Fälle (bei jeder automatisierten Bearbeitung) erfolgen.

Art. 6 DSV verpflichtet das verantwortliche Bundesorgan und sein Auftragsbearbeiter beim Vorliegen gewisser Voraussetzungen ein Bearbeitungsreglement für automatisierte Bearbeitungen zu erstellen. Eine Pflicht besteht gemäss Art. 6 Abs. 1 lit. a–f DSV in verschiedenen Szenarien, wie beispielsweise, wenn besonders schützenswerte Personendaten bearbeitet werden oder ein Grundrechtseingriff besteht. Inhaltlich muss das Reglement, gleichermassen wie das Reglement für private Verantwortliche, Angaben zu interner Organisation, Datenbearbeitungs- und Kontrollverfahren und Massnahmen zur Gewährleistung der Datensicherheit enthalten (Beariswyl, 2023, S. 136).

Die Übertragung der Bearbeitung von Personendaten an einen Auftragsbearbeiter ist zulässig, wenn Daten so bearbeitet werden, wie der Verantwortliche es selbst tun dürfte und keine Geheimhaltungspflichten eine Übertragung verbieten (Art. 9 DSG).³ Es gibt nur sehr wenige Gesetze, die explizit die Übertragung an einen Dritten verbieten⁴. Vielmehr ist damit gemeint, dass Geheimhaltungspflichten einer Übertragung entgegenstehen, wenn die Auftragsbearbeiter nicht als Hilfspersonen im Sinne von Art. 320 Ziff. 1 Abs. 1 bzw. 321 Ziff. 1 Abs. 1 StGB im Rahmen des Amts- oder Berufsgeheimnisses zu qualifizieren sind (Meier, 2011, Rz. 1227; Schwarzenegger et al., 2019, S. 23; andere aber unseres Erachtens überholte Ansicht Wohlers, 2016, S. 144 ff.).

Hingegen ist unseres Erachtens jedoch zu berücksichtigen, ob das strafrechtlich verankerte Berufs- oder Amtsgeheimnis nach Art. 320/321 StGB auch bei einer Übertragung ins Ausland gewahrt werden kann – sprich die Frage ist zu stellen, ob eine fremde Rechtsordnung das Schweizerische Amts- oder Berufsgeheimnis schützt. Dies ist nicht in allen Ländern der Fall, weshalb eine Übertragung an eine Hilfsperson im Ausland mit Zurückhaltung und erst nach einer entsprechenden Beurteilung der Rechtslage im Ausland zu erfolgen hat. Ausserdem sind auch in diesen Fällen allfällige weitere Garantien im Sinne von Art. 16 Abs. 2 DSG zu berücksichtigen.

Informationen, über die nach dem Öffentlichkeitsgesetz Auskunft zu erteilen ist, unterstehen per se nicht dem Amtsgeheimnis. Eine Vielzahl von Informationen kann folglich rechtskonform durch Dritte bearbeitet werden und die Prüfung der Wahrung des Amtsgeheimnisses bei der Übertragung an einen Auftragsbearbeiter im Ausland erübrigt sich.

Auch wenn gemäss Art. 8 DSG der Verantwortliche und der Auftragsbearbeiter für die Datensicherheit verantwortlich sind, so muss sich insbesondere der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (Art. 9 Abs. 2 DSG). Dies setzt voraus, dass der Verantwortliche über umfassende Auditrechte verfügt. In der Praxis ist dies oft nicht der Fall oder gar nicht möglich. Hier hat es der Gesetzgeber unseres Erachtens verpasst anzumerken, dass einer solchen Kontrollpflicht genüge getan wäre, wenn entsprechende aktuelle Prüfzertifikate nach internationalen Standards wie z.B. ISO 27001/2:2022 oder SOC II beim Auftragsbearbeiter vorliegen.

Das Informationssicherheitsgesetz betrifft grundsätzlich nur Bundesbehörden und -organisationen, wie die Bundesversammlung, den Bundesrat oder die Schweizerische Nationalbank (vgl. Art. 2 ISG). Bei Zusammenarbeit mit Dritten muss gemäss Art. 9 ISG sichergestellt werden, dass Anforderungen und Massnahmen des Gesetzes in den entsprechenden Vereinbarungen und Verträgen festgehalten werden.

Das Gesetz verlangt zunächst die Implementierung eines Informationssicherheits-Management-Systems (ISMS). Dessen Ziel ist es, ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit von Informationen (vgl. Art. 6 Abs. 2 ISG) im festgelegten Geltungsbereich zu erreichen. Die Pflichten umfassen dabei die Bewertung des Schutzbedarfs der bearbeiteten Informationen und Ergreifung angemessener Schutzmassnahmen, um unbefugten Zugriff, Verlust, Störungen und Missbrauch zu verhindern sowie die Klassifizierung von Informationen in enger Verbindung mit der Kontrolle und Minimierung von Risiken, sowohl intern als auch bei der Zusammenarbeit mit Dritten.

Der Schutzbedarf der Informationen wird hinsichtlich der potenziellen Beeinträchtigung der Interessen nach Art. 1 Abs. 2 ISG erhoben und in Bezug auf die detaillierten Ziele von Absatz 2 (Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit) definiert.

Die verpflichteten Behörden und Organisationen müssen somit den Schutzbedarf beurteilen und bestimmen, wie und in welcher Hinsicht die Informationen geschützt werden müssen. Der Schutz der Vertraulichkeit ist beispielsweise erforderlich, wenn sie aus einem rechtlichen Grund gewährleistet werden muss. Bestimmte Informationen können höhere Anforderungen an den Schutz ihrer Integrität oder Verfügbarkeit haben, ohne dass diese besonderen Anforderungen gesetzlich festgelegt sind, etwa dann, wenn die entsprechenden Informationen für die Aufgabenerfüllung einer Behörde unbedingt richtig oder verfügbar sein müssen (Botschaft ISG 2017 2953, 3017).

Risiken für die Informationssicherheit werden laufend beurteilt. Behörden und Organisationen müssen Risiken in ihrem Zuständigkeitsbereich und bei der Zusammenarbeit mit Dritten regulieren. Massnahmen zur Risikovermeidung und -reduzierung sollten geeignet sein, wobei Restrisiken deutlich identifiziert und akzeptiert werden müssen. Die Entscheidungsträger sind für ihre diesbezügliche Güterabwägung in dokumentierter Form auf diese Risiken und potenziellen Auswirkungen hinzuweisen, da ansonsten eine Verletzung der Datensicherheit vorliegt (Botschaft ISG 2017 2953, 3018 f.).

Nach Art. 11 ISG müssen die verpflichteten Behörden und Organisationen sicherstellen, dass als intern, vertraulich oder geheim eingestufte Informationen klassifiziert werden (vgl. auch Art. 13 ISG). Eine Klassifizierung ist zwingend, sofern die entsprechenden Kriterien erfüllt sind. Gemäss Botschaft ISG 2017 muss die Klassifizierung angesichts des Öffentlichkeitsprinzips und des mit der Klassifizierung verbundenen Aufwands jedoch die Ausnahme darstellen. Der Schutzbedarf von Informationen nimmt mit der Zeit oftmals ab oder erübrigt sich nach einem bestimmten Ereignis (z. B. Veröffentlichung eines Berichts oder Abschluss einer bestimmten Massnahme). Die Klassifizierung derartiger (beispielsweise nicht mehr aktueller) Informationen rechtfertigt sich dann nicht mehr. Sie würde bloss unnötigen Aufwand verursachen (3020).

Das Sicherheitsverfahren nach Art. 16 ISG umfasst die Beurteilung des Schutzbedarfs der Informationen vor dem Einsatz von Informatikmitteln, die Umsetzung von Sicherheitsmassnahmen und deren Überprüfung, die Zuständigkeit für die Sicherheitsfreigabe von Informatikmitteln und das Vorgehen bei der Veränderung der Risiken. Für die Durchführung des Sicherheitsverfahrens ist die verpflichtete Behörde oder Organisation zuständig, die den Einsatz der Informatikmittel beschliesst.

Nach Art. 17 ISG können die Informatikmittel in Grundschutz, hoher Schutz und sehr hoher Schutz eingestuft werden. Die Sicherheitsstufe des Grundschutzes gilt für alle Informatikmittel, wenn diese nicht höher eingestuft werden müssen. Zur Sicherheitsstufe des hohen Schutzes gehören Informatikmittel, bei denen eine Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit der Informationen, die damit bearbeitet werden, die Interessen nach Art. 1 Abs. 2 ISG erheblich beeinträchtigen können. Der hohe Schutz gilt ebenfalls für Informatikmittel, wenn ein Missbrauch oder eine Störung des Informatikmittels die Interessen nach Art. 1 Abs. 2 ISG erheblich beeinträchtigen können. Die Sicherheitsstufe des sehr hohen Schutzes gilt für Informatikmittel, wenn die oben genannten Interessen schwerwiegend beeinträchtigt werden können.

Behörden und Organisationen müssen gemäss Art. 20 ISG sicherstellen, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden. Sie müssen über die Anforderungen des Informationsschutzgesetzes informiert und stufengerecht ausgebildet werden. Ausserdem müssen Risiken durch physische Bedrohungen wie menschliche Handlungen und Elementarschäden reduziert werden und Sicherheitszonen können Räumlichkeiten und Bereichen zugewiesen werden, die mit Kontrollen verbunden sind.

Mit der Revision des Datenschutzgesetzes fand auch eine Pflicht zur Meldung von Verletzungen der Datensicherheit Eingang in das Gesetz. Bei der Verletzung der Datensicherheit handelt es sich gemäss Legaldefinition in Art. 5 lit. h DSG um eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Beispiele sind der Verlust oder Diebstahl von Datenträgern, Datenverluste durch Stromausfälle, IT-Ausfälle, Brände oder Naturkatastrophen.

Die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten muss so rasch wie möglich erfolgen, ohne Aufschub nach Kenntniserlangung (Botschaft rev. DSG 2017, 7064). Wobei Bundesorgane einen Vorfall den Datenschutzberatenden melden müssen (Baeriswyl et al., 2023, S. 288 f.). Nicht jede Verletzung löst hingegen eine Meldepflicht aus; nur solche mit voraussichtlich hohem Risiko für die Persönlichkeit oder Grundrechte der Betroffenen sind meldepflichtig (vgl. Art. 24 Abs. 1 DSG).

Bezüglich des Inhalts der Meldung stellt Art. 24 Abs. 2 DSG gewisse Mindestanforderungen auf. Art. 15 DSV konkretisiert den Inhalt weiter: Art der Verletzung (Vernichtung, Löschung, Verlust, Veränderung oder Bekanntgabe von Daten), Zeitpunkt und Dauer, Kategorien und ungefähre Anzahl der Personendaten sowie der Personen, Folgen einschliesslich der Risiken, für die betroffenen Personen, die getroffenen oder vorgesehenen Massnahmen sowie den Namen und die Kontaktdaten einer Ansprechperson. Zu prüfen bleibt im jeweiligen Einzelfall, ob auch die betroffene Person zu informieren ist, wenn es entweder zu ihrem Schutz erforderlich ist oder vom EDÖB verlangt wird (vgl. Art. 24 Abs. 3 DSG).

Gemäss dem provisorischen Gesetzestext betreffend die Änderung des Informationssicherheitsgesetzes (Botschaft rev. ISG 2023 85) sind die vom Geltungsbereich erfassten Behörden und Organisationen verpflichtet dafür zu sorgen, dass dem Nationalen Zentrum für Cybersicherheit (NCSC) Cyberangriffe auf ihre Informatikmittel gemeldet werden. Bei einem Cyberangriff handelt es sich um einen Cybervorfall, der absichtlich ausgelöst wurde (Art. 5 lit. e ISG). Bei einem Cybervorfall handelt es sich wiederum um ein Ereignis bei der Nutzung von Informatikmitteln, das dazu führt, dass die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen oder die Nachvollziehbarkeit ihrer Bearbeitung beeinträchtigt ist (Art. 5 lit. d ISG).

Die Meldepflicht gilt nur für Cyberangriffe mit erheblichem Schadenspotenzial, während menschliches Fehlverhalten und Schwachstellen in Informatikmitteln davon ausgenommen sind (Botschaft rev. ISG 2023 85, S. 16).

Erhält das NCSC Kenntnis von einer Schwachstelle, informiert es umgehend die Hersteller der betroffenen Soft- oder Hardware und setzt ihnen eine angemessene Frist zur Behebung der Schwachstelle. Die nicht fristgerechte Behebung oder Missachtung kann gemäss Art. 73b Abs. 3 ISG gar beschaffungsrechtlich sanktioniert werden.

Grundsätzlich geht das Öffentlichkeitsgesetz dem Informationsschutzgesetz gemäss Art. 4 Abs 1 ISG vor. Dies bedeutet, dass alle Personen Zugang zu amtlichen Dokumenten und Informationen des Bundes haben, sofern keine Ausnahmen oder Interessensabwägungen vorliegen. Durch die Revision des Informationsschutzgesetzes wird mit dem neuen Art. 4 Abs. 1^bis ISG von dieser Regelung eine Ausnahme gemacht. Informationen von Dritten, von denen das NCSC durch die Entgegennahme und Analyse von Meldungen zu Cybervorfällen Kenntnis erhält, dürfen nicht nach dem Öffentlichkeitsgesetz zugänglich gemacht werden. Aber was wäre eine Ausnahme ohne Gegenausnahme: nicht als Dritte gelten Behörden, Organisationen und Personen nach Art. 2 Abs. 1 BGÖ. Enthält also eine Meldung Informationen namentlich über die Bundesverwaltung oder Parlamentsdienste, kann über das Öffentlichkeitsgesetz um Zugang zu diesen Informationen ersucht werden.

Datenschutz und Informationssicherheit dürfen zwar nicht als Synonyme verwendet werden, spielen aber im Grundsatz zusammen und überschneiden sich teilweise. Die Herausforderung in der Zukunft wird sein, die verschiedenen Meldepflichten mit zielgerichteter Kommunikation im Sinne von «One Voice» zu erfüllen. Dies bedingt ein Incident- und Krisenmanagement, das bereits im Vorfeld definiert wurde und die internen und externen Rollen und Ressourcen sowie die Kommunikation zumindest betreffend Umfang, Inhalt und Adressaten festlegt. Die einem Vorfall («Incident») nachgelagerten Meldepflichten sind deshalb auch Bestandteil der Preparedness und der Betriebskontinuität.

Baeriswyl, B., Pärli, K. & Blonski, D. (2023). Stämpflis Handkommentar zum Datenschutzgesetz. Stämpfli.

Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941. (zit. Botschaft rev. DSG 2017 6941)

Botschaft vom 22. Februar 2017 zum Informationssicherheitsgesetz, BBl 2017 2953. (zit. Botschaft rev. ISG 2017 2953, 3010)

Bundesamt für Justiz BJ. (2022). Erläuternder Bericht vom 31. August 2022 zur Verordnung über den Datenschutz (Datenschutzverordnung, DSV). https://www.newsd.admin.ch/newsd/message/attachments/75623.pdf

Husi-Stämpfli, S., Morand, A. & Sury, U. (2023). Datenschutzrecht. Schulthess.

Meier, P. (2011). Protection des données: fondements, principes généraux et droit privé. Stämpfli.

Schwarzenegger, C., Thouvenin, F. & Stiller, B. (2019). Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte = Utilisation des services de cloud par les avocates et avocats. Schriften aus dem ITSL, 4. https://digital.sav-fsa.ch/documents/1060627/1169162/Gutachten_Thouvenin_Schwarzenegger_Schiller.pdf/0f612227-5274-943b-a82f-c1d6d99acef0?t=1614770740068

Wohlers, W. (2016). Outsourcing durch Berufsgeheimnisträger, Patienten- und Mandantengeheimnisse als Schranke bei der Auslagerung von Datenverarbeitungen. digma.

Nicole Beranek Zanon ist Partnerin bei HÄRTING Rechtsanwälte AG in Zug.

Monika Abt ist Substitutin bei HÄRTING Rechtsanwälte AG in Zug.