Ransomware-Angriff in der Schweiz: Welche rechtli-chen Pflichten Unternehmen sofort beachten müssen

Ein Ransomware-Angriff beginnt oft technisch: Ein Server ist verschlüsselt, Mitarbeitende können nicht mehr auf Daten zugreifen, Systeme stehen still. Sehr schnell wird daraus aber ein rechtliches Problem.

Die entscheidende Frage lautet dann nicht nur: Wie bringen wir die Systeme wieder zum Laufen? Sondern auch: Wer muss informiert werden? Welche Behörden sind einzubeziehen? Was sagen wir Kunden, Mitarbeitenden und Geschäftspartnern? Und wie vermeiden wir, dass aus dem Cybervorfall ein Haftungs- und Reputationsschaden wird?

Ein Cyberangriff ist kein gewöhnlicher IT-Ausfall

Problem: Systeme isolieren, Backups prüfen, IT-Dienstleister beiziehen und den Betrieb wiederherstellen. Das ist richtig, aber nicht ausreichend.

Ein Ransomware-Vorfall kann gleichzeitig mehrere Ebenen betreffen:

  • datenschutzrechtlich: Wurden Personendaten unbefugt offengelegt, abgeflossen, verändert, gelöscht oder vorübergehend unzugänglich gemacht?

  • strafrechtlich: Liegt unbefugtes Eindringen in ein System, Datenbeschädigung, Erpressung oder unbefugte Datenbeschaffung vor?

  • vertraglich: Müssen Kunden, Auftraggeber oder Versicherer informiert werden?

  • kommunikativ: Was wird gegenüber Kunden, Mitarbeitenden, Medien und Öffentlichkeit gesagt?

  • operativ: Wie wird der Geschäftsbetrieb aufrechterhalten?

Was ist unmittelbar nach einem Cyberangriff zu tun?

In den ersten Stunden sollte nicht improvisiert werden. Ein Unternehmen braucht eine klare Krisenstruktur. Entscheidend ist, dass technische, rechtliche und kommunikative Massnahmen parallel gedacht und koordiniert werden.

Typischerweise sind sofort einzubeziehen:

  • Geschäftsleitung bzw. CEO

  • IT-Leitung, CISO oder externer IT-Dienstleister

  • Datenschutzverantwortliche oder Datenschutzberater

  • interner Rechtsdienst oder externe Rechtsanwälte

  • Kommunikation bzw. PR

  • HR, falls Mitarbeitendendaten betroffen sein können

  • Kundenverantwortliche oder Account Management

  • Cyber-Versicherung

  • Verwaltungsrat, jedenfalls bei erheblichen Vorfällen

Praktisch bewährt sich ein kleines Incident-Response-Kernteam mit klarer Entscheidungsbefugnis. Dieses Team sollte laufend drei Fragen beantworten: Was ist passiert? Welche Daten, Systeme und Personen sind betroffen? Welche rechtlichen und kommunikativen Schritte sind jetzt erforderlich?

Ein häufiger Fehler besteht darin, dass die IT bereits Systeme neu aufsetzt, bevor forensische Spuren gesichert wurden. Das kann später die Aufklärung erschweren und die rechtliche Beurteilung unnötig unsicher machen.

EDÖB-Meldepflicht: Nicht jeder Vorfall ist meldepflichtig – aber Ransomware ist oft kritisch

Nach Schweizer Datenschutzrecht muss nicht jeder Cybervorfall automatisch dem EDÖB gemeldet werden. Die Meldepflicht nach Art. 24 DSG greift, wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.

Wichtig ist: Diese Beurteilung erfolgt nicht erst Wochen später, wenn der forensische Schlussbericht vorliegt. Sobald aufgrund der ersten Erkenntnisse ein voraussichtlich hohes Risiko erkennbar ist, muss die Meldung geprüft und in der Regel rasch vorbereitet werden. Fehlende Einzelheiten können nachgereicht werden. In der Risikobewertung sind grundsätzlich zwei Aspekte zu beachten: Die Schwere der möglichen negativen Folgen für die betroffenen Personen und die Eintrittswahrscheinlichkeit.

Typische Risikofaktoren sind insbesondere:

  • Gesundheitsdaten, Finanzdaten, Personaldaten oder andere besonders schützenswerte Personendaten

  • eine grosse Anzahl betroffener Personen

  • vulnerable Personen (z.B. Kinder, Patienten) betroffen

  • Hinweise auf Datenabfluss oder Veröffentlichung im Darknet

  • gestohlene Zugangsdaten oder administrative Accounts

  • eine längere unentdeckte Kompromittierung

  • fehlende oder unvollständige Logdaten

  • Unklarheit, ob Daten exfiltriert wurden

Gerade der letzte Punkt ist in der Praxis zentral. Viele Unternehmen möchten zunächst sagen: «Wir wissen noch nicht, ob Daten abgeflossen sind.» Das ist verständlich. Rechtlich entlastet diese Unsicherheit aber nicht automatisch. Wenn ein Datenabfluss nicht innert kurzer Zeit mit hinreichender Sicherheit ausgeschlossen werden kann, muss eine Meldung ernsthaft geprüft werden.

Wer meldet dem EDÖB?

Die Meldung an den EDÖB ist grundsätzlich Sache des Verantwortlichen, also derjenigen Organisation, die über Zweck und Mittel der Datenbearbeitung entscheidet.

Bei Dienstleistern ist die Rollenklärung besonders wichtig. Ist ein IT-Dienstleister, SaaS-Anbieter oder Outsourcing-Partner lediglich Auftragsbearbeiter, muss er in der Regel nicht selbst für die Kundendaten an den EDÖB melden. Er muss aber den verantwortlichen Kunden unverzüglich und ausreichend informieren, damit diese ihre eigene Melde- und Informationspflicht beurteilen können.

Anders liegt der Fall, wenn der Dienstleister eigene Datenbestände betrifft, etwa eigene Mitarbeitenden-, Kunden- oder Lieferantendaten. Dann kann er selbst Verantwortlicher sein und muss eine eigene Meldepflicht prüfen.

Ein häufiger Praxisfehler besteht darin, diese Rollen zu vermischen. Das führt entweder zu unnötigen Behördenmeldungen durch die falsche Partei oder dazu, dass der eigentlich verantwortliche Kunde zu spät informiert wird.

Was muss eine Meldung an den EDÖB enthalten?

Die Meldung muss den Vorfall nicht bereits abschliessend aufklären. Sie muss aber so konkret sein, dass der EDÖB den Sachverhalt und die Risiken nachvollziehen kann. Nach Art. 24 DSG und den Vorgaben der DSV gehören insbesondere Angaben zur Art der Verletzung, zum Zeitpunkt, zum Umfang, zu den bekannten oder befürchteten Auswirkungen sowie zu den getroffenen oder geplanten Massnahmen dazu.

Für Unternehmen bedeutet das: Eine erste Meldung darf vorsichtig formuliert sein. Sie sollte aber strukturiert, sachlich und vollständig gemäss aktuellem Kenntnisstand sein.

Problematisch sind Formulierungen wie:

  • «Es sind keine Daten betroffen», obwohl dies forensisch noch nicht abgeklärt ist.

  • «Ein Datenabfluss kann ausgeschlossen werden», obwohl Logdaten fehlen.

  • «Der Vorfall ist vollständig behoben», obwohl der Eintrittsvektor noch nicht identifiziert ist.

  • «Nur ein IT-Dienstleister war betroffen», obwohl eigene Personendaten auf dessen Systemen lagen.

Besser ist eine präzise, vorläufige Einordnung: Was ist bekannt? Was ist noch unklar? Welche Sofortmassnahmen wurden getroffen? Welche Abklärungen laufen?

Müssen betroffene Personen informiert werden?

Die Information betroffener Personen ist von der Meldung an den EDÖB zu unterscheiden. Nach Art. 24 DSG müssen betroffene Personen informiert werden, wenn dies zu ihrem Schutz erforderlich ist oder wenn der EDÖB es verlangt.

Eine Information ist insbesondere dann zu prüfen, wenn Betroffene selbst Schutzmassnahmen ergreifen können oder müssen. Das kann etwa der Fall sein, wenn Passwörter, Zugangsdaten, Kreditkartendaten, Ausweiskopien, oder besonders sensible Kommunikationsinhalte betroffen sind.

Praktisch stellt sich häufig die Frage: Informieren wir früh und transparent – oder warten wir, bis alles abgeklärt ist? Zu frühe Kommunikation kann ungenau sein. Zu späte Kommunikation kann aber rechtlich problematisch und reputationsschädigend sein. Die Lösung liegt meist in einer gestuften Kommunikation: erste Information mit gesichertem Mindestinhalt, klare Handlungsempfehlungen, keine Spekulationen und spätere Updates bei neuen Erkenntnissen.

Strafanzeige: Ja oder nein?

Bei Ransomware stellt sich regelmässig die Frage, ob Strafanzeige erstattet werden soll. In vielen Fällen ist eine Strafanzeige sinnvoll und praktisch angezeigt. Sie kann helfen, Beweise zu sichern, polizeiliche Unterstützung zu erhalten und gegenüber Versicherern, Kunden und Behörden zu dokumentieren, dass der Vorfall ernst genommen wird.

Gleichzeitig sollte die Anzeige koordiniert erfolgen. Aussagen gegenüber Polizei, EDÖB, Kunden und Öffentlichkeit müssen konsistent bleiben. Es sollte daher vorgängig geklärt werden, welche Fakten bereits gesichert sind, welche Angaben noch vorläufig sind und welche Unterlagen eingereicht werden können.

Lösegeldzahlung: Keine rein wirtschaftliche Entscheidung

Ob ein Lösegeld bezahlt werden soll, ist eine der heikelsten Fragen. Sie betrifft Technik, Recht, Ethik, Versicherung, Kommunikation und Geschäftsfortführung. Eine Zahlung garantiert nicht, dass Daten tatsächlich entschlüsselt werden oder dass gestohlene Daten nicht trotzdem veröffentlicht oder weiterverkauft werden.

Aus rechtlicher Sicht sollten Unternehmen vor einer Zahlung insbesondere prüfen, ob sanktionsrechtliche Risiken bestehen, ob der Versicherer einzubeziehen ist, welche Dokumentation erforderlich ist und welche Auswirkungen eine Zahlung auf Kommunikation und Behördenverfahren hat.

Haftungs- und Reputationsrisiken

Ein Ransomware-Angriff führt nicht automatisch zu einer Haftung des Unternehmens. Cyberangriffe können auch gut vorbereitete Organisationen treffen. Haftungsrisiken entstehen aber insbesondere dann, wenn angemessene technische und organisatorische Massnahmen fehlten, bekannte Schwachstellen nicht geschlossen wurden, keine wirksamen Backups bestanden oder Melde- und Informationspflichten verspätet erfüllt wurden.

Praktisch sind neben rechtlichen Sanktionen oft die indirekten Schäden entscheidend: Vertrauensverlust, Kundenabwanderung, Vertragsstrafen, Betriebsunterbruch, Kosten für Forensik, Kommunikation, Wiederherstellung und zusätzliche Sicherheitsmassnahmen.

DSGVO und ausländische Pflichten nicht vergessen

Für Schweizer Unternehmen steht in erster Linie das Schweizer DSG im Vordergrund. Die DSGVO kann aber zusätzlich relevant sein, etwa wenn ein Unternehmen Waren oder Dienstleistungen an Personen in der EU anbietet oder deren Verhalten beobachtet. Auch vertragliche Meldepflichten gegenüber ausländischen Kunden können deutlich kürzere Fristen vorsehen als das Schweizer Datenschutzrecht.

Bei international tätigen Unternehmen ist deshalb früh zu prüfen, ob EU-Kunden oder EU-Mitarbeitende betroffen sind, ob Niederlassungen im Ausland bestehen, ob ausländische Aufsichtsbehörden einzubeziehen sind und ob sektorspezifische Pflichten gelten, etwa im Finanz-, Gesundheits- oder Infrastrukturbereich.

Vorbereitung ist der beste Schutz vor rechtlichen Folgeschäden

Kein Incident-Response-Plan verhindert jeden Angriff. Aber ein guter Plan reduziert Schaden, Entscheidungsunsicherheit und Haftungsrisiken. Datenschutz, Cybersecurity und Business Continuity gehören dabei zusammen. Datenschutz beantwortet die Frage, welche Risiken für Personen entstehen. Cybersecurity klärt, wie Systeme geschützt und wiederhergestellt werden. Business Continuity stellt sicher, dass das Unternehmen handlungsfähig bleibt.

Ein praxistauglicher Incident-Response-Plan sollte interne Eskalationswege, Notfallkontakte, Rollen von IT, Recht, Kommunikation, Datenschutz und Management, Kriterien für EDÖB-Meldungen, Kommunikationsvorlagen, den Beizug von Forensik, den Prozess für Strafanzeige, die Einbindung der Cyber-Versicherung und Wiederanlaufprozesse enthalten.

Key Takeaways

Ein Ransomware-Angriff ist ein Management-, Rechts- und Kommunikationsthema – nicht nur ein IT-Problem.

  • Die Geschäftsleitung sollte sofort ein Incident-Response-Team einsetzen und Recht, Datenschutz, IT-Forensik und Kommunikation koordinieren.

  • Eine Meldung an den EDÖB ist erforderlich, wenn die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für betroffene Personen führt.

  • Betroffene Personen müssen informiert werden, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

  • Strafanzeige ist bei Ransomware in der Regel zu prüfen und häufig sinnvoll.

  • Vorbereitung ist entscheidend: Incident-Response-Pläne, Kommunikationsvorlagen und klare Zuständigkeiten reduzieren rechtliche und reputative Risiken erheblich.

Allgemein

Top-Anwaltskanzlei 2026

Ratgeber

Transparenzregister in der Schweiz: Was kommt 2026 auf Unternehmen zu?

Arbeitsrecht

Arztzeugnisse im Arbeitsrecht: Worauf Arbeitgebende im Umgang mit Arztzeugnissen achten müssen.

Arbeitsrecht

Teilzeitmitarbeitende und Mehrfachbeschäftigte

Kauf- und Werkvertrag

Revision des Kauf- und Werkvertragsrecht

IT- und Technologierecht

Ein gefährliches Ungleichgewicht: Warum Microsoft-Partner das Risiko von Zahlungsausfällen ernst nehmen sollten

optional
optional
optional