Schweizerform LogoSchweizerform
Back to Blog

Meldung: Wie Verschlüsselung die Gleichung ändert

Bei einer Datenschutzverletzung läuft die 72-Stunden-Uhr der DSGVO und die „so rasch wie möglich“-Regel des nFADP sofort. Starke Verschlüsselung verhindert keinen Vorfall — sie kann aber drastisch eingrenzen, was, an wen und bis wann gemeldet werden muss. Hier, wie beide Regime verschlüsselte Daten behandeln und wo das die Entscheidung ändert.

Meldung: Wie Verschlüsselung die Gleichung ändert

Früher oder später geht etwas schief. Ein Laptop mit einem Datenbank-Export verlässt das Büro. Ein fehlkonfigurierter Cloud-Bucket wird indexiert. Ein GitHub-Token eines Auftragnehmers leakt. Eine Phishing-Mail landet bei der falschen Assistentin. In diesem Moment startet die juristische Uhr: 72 Stunden zur Meldung an die EU-Aufsicht nach DSGVO, „so rasch wie möglich“ nach dem Schweizer nFADP — und in manchen Fällen die Pflicht, jeder einzelnen betroffenen Person mitzuteilen, was geschehen ist.

Starke Verschlüsselung verhindert weder das Verschwinden des Laptops noch die fehlkonfigurierte Cloud. Aber beide Regime ziehen eine scharfe juristische Linie zwischen dem Vorfall lesbarer Daten und dem Vorfall unlesbarer Daten. Für Entscheidungsträger — General Counsel, Datenschutzbeauftragte, CISOs, Geschäftsleitung — ist das häufig der Unterschied zwischen einer schmerzhaften, aber beherrschbaren Behördenmeldung und einem Massenbenachrichtigungs-Ereignis mit reputativem und finanziellem Schaden. Dieser Beitrag zeigt, wo die Unterscheidung liegt, was als „verschlüsselt genug“ gilt und wie beide Regime damit praktisch umgehen.

Für wen dieser Beitrag ist

General Counsel, Datenschutzbeauftragte, CISOs und Führungskräfte mit Verantwortung für Incident-Response in Schweizer und europäischen Organisationen — insbesondere, wenn Vorfallsszenarien über Formulare, SaaS-Anbieter oder Drittbearbeiter laufen, bei denen die technischen Kontrollen über den Stack nicht einheitlich sind.

Was als Datenschutzverletzung gilt

Beide Regime verwenden eine weite Definition. DSGVO Art. 4 Abs. 12 definiert eine Verletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet wurden“. nFADP Art. 5 lit. h nutzt im Wesentlichen parallele Sprache: jede Verletzung der Datensicherheit mit unbeabsichtigtem oder unrechtmässigem Verlust, Löschung, Vernichtung oder Veränderung von Personendaten bzw. deren Offenlegung gegenüber unbefugten Personen.

Einige praktische Folgerungen für formularbasierte Prozesse:

  • Der Vorfall muss nicht das Werk eines Angreifers sein. Unbeabsichtigter Verlust — Festplatte im Zug, E-Mail an die falsche Gruppe, öffentliches Google Drive — zählt
  • Unverfügbarkeit kann zählen. Verschlüsselt Ransomware Ihre Einsendungs-Datenbank ohne Backup, ist das ein „Verlust“ unter beiden Definitionen
  • Der Vorfall lebt, wo die Daten leben. Ein Leak beim Formular-Anbieter ist Ihr Vorfall als Verantwortlicher, auch wenn das operative Versagen beim Anbieter lag
  • Ein Vorfall beim Auftragsbearbeiter ist vermutungsweise einer, über den der Verantwortliche zu informieren ist; der Bearbeiter hat eine eigene gesetzliche Pflicht, unverzüglich zu informieren

DSGVO: die 72-Stunden-Uhr und die Art.-34-Ausnahme

Die DSGVO kennt zwei Meldepflichten mit zwei Schwellen.

Meldung an die Aufsichtsbehörde (Art. 33)

Der Verantwortliche meldet unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden. Ausnahme: die Verletzung führt „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. In der Praxis melden viele Rechtsabteilungen auch Grenzfälle, weil die Kosten einer fälschlich begründeten Nichtmeldung deutlich höher sind als die einer Überbenachrichtigung.

Die Meldung muss Art, Kategorien und Zahl der Betroffenen, wahrscheinliche Folgen sowie ergriffene oder geplante Massnahmen benennen. Eine Verzögerung über 72 Stunden ist möglich, muss aber begründet werden — und diese Begründung ist selbst ein Dokument, das später geprüft wird.

Meldung an Betroffene (Art. 34)

Für die Individualmeldung gilt eine höhere Schwelle. Sie ist nur verlangt, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ zur Folge hat. Art. 34 Abs. 3 listet drei Situationen, in denen selbst dann keine Individualmeldung erforderlich ist:

  1. Art. 34 Abs. 3 lit. a: „der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt, insbesondere solche, durch die die Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung“
  2. Art. 34 Abs. 3 lit. b: nachgelagerte Massnahmen, die das hohe Risiko aus Abs. 1 aller Wahrscheinlichkeit nach nicht mehr entstehen lassen
  3. Art. 34 Abs. 3 lit. c: Individualmeldung mit unverhältnismässigem Aufwand verbunden — dann öffentliche Bekanntmachung oder vergleichbare Massnahme

Die erste — die Verschlüsselungsausnahme — ist die stärkste Schutznorm in der DSGVO-Vorfalls-Architektur. Sie beseitigt die Behördenmeldung nicht (die ist weiterhin fällig), kann aber rechtlich die Pflicht aufheben, jedem Betroffenen einen Brief, eine E-Mail oder eine öffentliche Mitteilung zu schicken. Bei zehntausenden bis hunderttausenden Betroffenen ist der praktische Unterschied enorm.

nFADP: „so rasch wie möglich“ und die Schutzerforderlichkeit

Das revidierte Schweizer Datenschutzgesetz (nFADP) verfolgt seit dem 1. September 2023 eine ähnliche Stossrichtung mit anderer Wortwahl.

Meldung an den EDÖB (Art. 24 Abs. 1)

Der Verantwortliche meldet dem EDÖB jede Verletzung der Datensicherheit, die „voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person“ führt. Die Meldung erfolgt „so rasch wie möglich“. Eine starre 72-Stunden-Frist existiert nicht — in der Praxis fahren die meisten Schweizer Rechtsabteilungen ein 72-Stunden-Playbook, um DSGVO und nFADP gleichzeitig zu bedienen.

Meldung an die betroffene Person (Art. 24 Abs. 2)

Die betroffene Person ist zu informieren, „wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt“. Bemerkenswert: Das ist ein Test mit geringerer Reibung als der DSGVO-„hohes-Risiko“-Auslöser — Schweizer Recht fragt, was die Person tatsächlich zu ihrem Schutz braucht.

Die nFADP kodifiziert die Art.-34(3)(a)-Verschlüsselungsausnahme nicht wörtlich. Sie operationalisiert aber die gleiche Logik: Wurden die Daten durch starke Verschlüsselung mit unkompromittierten Schlüsseln nie lesbar für Unbefugte, beantwortet die Frage „ist Benachrichtigung zum Schutz der betroffenen Person erforderlich?“ sich meist selbst. EDÖB-Leitlinien und der risikobasierte Rahmen des nFADP behandeln die tatsächliche Verständlichkeit der exponierten Daten als primären Faktor.

Ein 72-Stunden-Playbook deckt üblicherweise beides

Die meisten Schweizer Organisationen mit auch nur geringer EU-Exposition betreiben ein einziges Incident-Playbook kalibriert auf die DSGVO-72h-Uhr. Das ist die strengere Vorgabe und erfüllt automatisch das „so rasch wie möglich“ des nFADP. Die Divergenz liegt vor allem bei der Individualmeldungs-Schwelle — und beide Regime gewichten stark, ob die Daten für den Unbefugten verständlich waren.

Was ist „verschlüsselt genug“ für die Ausnahme?

Die Aufsicht hat klargestellt, dass „Verschlüsselung“ im Sinne des Art. 34 Abs. 3 lit. a keine Checkbox ist. EDPB-Leitlinien 01/2021 und vergleichbare EDÖB-Kommentare legen einige Bedingungen nahe, damit die Ausnahme greift:

  • Algorithmus und Schlüssellänge müssen zum Zeitpunkt des Vorfalls Stand der Technik sein — grob: AES-256, RSA-4096 oder moderne Elliptische-Kurven-Äquivalente, oder vergleichbar gereviewte Primitive
  • Die Implementierung muss solide sein — keine eigene Krypto, keine Schlüsselwiederverwendung, korrekte IV/Nonce-Behandlung, authentifizierte Verschlüsselung (AES-GCM o.Ä.), wo Integrität zählt
  • Die Schlüssel müssen dem Angreifer verborgen geblieben sein — dieselbe Kompromittierung, die das Chiffrat exponiert und zugleich den Schlüssel, eliminiert die Ausnahme
  • Die Verschlüsselung muss auf die tatsächlich exponierten Daten angewandt worden sein — nicht bloss auf eine andere Kopie oder ein anderes System
  • Zukünftige Beständigkeit zählt — heute starke, morgen gebrochene Algorithmen (etwa bei bekannten Quantenbedrohungen gegen bestimmte Verfahren) bieten keinen Lebensdauerschutz

Für Formulardaten einige Folgerungen:

  • Ruheverschlüsselung (Full-Disk) hilft gegen Laufwerksdiebstahl, nicht gegen eine kompromittierte laufende Anwendung — das OS liefert der App Klartext, die App dem Angreifer
  • Transportverschlüsselung (HTTPS / TLS) qualifiziert nicht: An beiden Endpunkten sind die Daten lesbar
  • Applikations-Verschlüsselung, bei der der Anbieter die Schlüssel hält, qualifiziert nicht, wenn der Anbieter selbst kompromittiert ist — er hatte die Schlüssel
  • Ende-zu-Ende-Verschlüsselung, bei der nur der Formular-Inhaber die Schlüssel hält (Zero-Knowledge-Architektur), ist die stärkste Position: Vorfall beim Anbieter exponiert nur Chiffrat, und der Anbieter kann auch unter Zwang keine lesbaren Daten herausgeben

Die Ausnahme schützt Inhalte, nicht Metadaten

Auch bei stärkster Verschlüsselung des Inhalts können Metadaten leaken — Formular-IDs, Zeitstempel, Einsendungsvolumen, in manchen Architekturen die Identität der Einreichenden. Die Aufsicht betrachtet Vorfälle ganzheitlich; Datensparsamkeit und risikoarme Metadaten bleiben wichtig.

Entscheidungsmatrix: was wirklich gemeldet wird

Auf höherer Ebene ergibt sich folgende Matrix für typische Szenarien. Nur indikativ — reale Vorfälle haben Eigenheiten — aber zeigt, wohin Verschlüsselung verschiebt.

SzenarioBehörde (EU)Behörde (CH)Betroffene
Klartext-Vorfall, geringes RisikoMeldung (Art. 33) — ausser risikoarm vertretbarMeldung bei hohem Risiko — Grenzfälle: meldenMeist nicht erforderlich
Klartext-Vorfall, hohes Risiko (sensible Daten, grosse Zahl)Meldung binnen 72h (Art. 33)Meldung so rasch wie möglich (Art. 24 Abs. 1)Individualmeldung nach Art. 34 DSGVO; nach Art. 24 Abs. 2 nFADP wenn zum Schutz erforderlich
Chiffrat-Vorfall, starke Verschlüsselung, Schlüssel ausserhalb des ZugriffsMeldung binnen 72h (Art. 33) — die Behörde entscheidet, nicht SieMeldung, falls trotzdem hohes Risiko — oft nichtArt. 34 Abs. 3 lit. a greift; nach nFADP meist „nicht zum Schutz erforderlich“
Verschlüsselter Vorfall, aber derselbe Vorfall auch Schlüssel kompromittiertMeldung binnen 72h (Art. 33)Meldung so rasch wie möglichIndividualmeldung — keine Schutznorm
Vorfall beim Auftragsbearbeiter, starke E2EE beim VerantwortlichenMeldung binnen 72h nach Information des VerantwortlichenMeldung so rasch wie möglichMeist nicht erforderlich, wenn die E2EE-Architektur nur Chiffrat hergibt

Die grossen Verschiebungen liegen stets in der rechten Spalte. Individualmeldung im grossen Massstab erzeugt Presse, Aufsichts-Druck, Klagerisiko und Reputationsschaden. Die Verschlüsselungsausnahme ist der juristische Mechanismus, der diese Spalte für einen Vorfall entfernen kann — und sie wird vollständig durch technische Kontrollen bestimmt, die Sie vor dem Vorfall eingerichtet haben.

Ein Doppelregime-72-Stunden-Playbook

1

Stunde 0 — Erkennung und Eskalation

Security oder Operations identifizieren einen möglichen Vorfall. Ein Bereitschafts-Playbook leitet ihn innerhalb der ersten Stunde an Datenschutzbeauftragte und Rechtsabteilung. Die Uhr nach Art. 33 DSGVO startet mit „Kenntniserlangung“ des Verantwortlichen — die Aufsicht versteht das als unternehmerischen, nicht rein technischen Moment.

2

Stunde 0–12 — Umfang und technische Eindämmung

Welche Daten waren exponiert, gegenüber wem, wie lange? Entscheidend: Klartext oder Chiffrat? Wenn Chiffrat: Schlüssel im gleichen Vorfall exponiert? Antwort evidenzgestützt dokumentieren — Logs, KMS-Einträge, Architekturdiagramme.

3

Stunde 12–36 — Rechtliche Beurteilung und Entwurf

Vorfall gegen Schwellen abbilden: Art. 33 (EU-Behörde), Art. 24 nFADP (CH-Behörde), Art. 34 DSGVO und Art. 24 Abs. 2 nFADP (Betroffene). Wenn die Verschlüsselungsausnahme plausibel greift, technische Evidenz dokumentieren — Algorithmus, Schlüsselverwahrung, Unversehrtheit der Schlüssel. Individualmeldungs-Strategie festlegen.

4

Stunde 36–72 — Behördenmeldungen

Art.-33-Meldung bei der federführenden EU-Aufsicht einreichen. Art.-24-Abs.-1-Meldung beim EDÖB einreichen. Saubere interne Aktenführung: wann gemeldet, was offengelegt. Wenn Individualmeldung nötig: Text entwerfen — klar, handlungsleitend, ohne Juristenjargon.

5

Ab Stunde 72 — Individualmeldung und Remediation

Falls Art. 34 DSGVO greift: Individualmeldungen versenden. Nach nFADP bestimmt „so rasch wie möglich“ und das EDÖB-Feedback den Zeitpunkt. Parallel: Remediation schliesst die Schwachstelle und — ebenso wichtig — die Aktenführung, die zeigt, dass eine verständige Reaktion gewählt wurde. Das Aktenbild liest die Aufsicht zuerst.

6

Ab Woche 2 — Post-Incident-Review und Kontroll-Härtung

Root Cause, funktionierende und nicht funktionierende Kontrollen dokumentieren. Wo die Verschlüsselungsausnahme griff, die architektonische Entscheidung festhalten — sie wird beim nächsten Vorfall ebenso tragend sein. Alles in Vorfallsregister und jährliche Risikoprüfung einspeisen.

Wo ein Zero-Knowledge-Formular-Anbieter die Rechnung ändert

Für eine grosse Klasse formulargetriebener Prozesse — Patientenaufnahme, KYC, Whistleblower, Rechtsintake, Versicherungsschaden — läuft die Vorfalls-Exposition über einen Drittanbieter. Die Frage am Vorfallstag: was liegt in dessen Datenbank?

Bei generischem Anbieter lautet die Antwort meist „Klartext“. Ein Vorfall dort wird zu Ihrem Verantwortlichen-Vorfall, und der Pfad durch Art. 33, Art. 24, Art. 34 und Individualmeldung ist offen. Bei Zero-Knowledge-Anbieter, der nur Chiffrat hält, zu dem der Anbieter keinen Schlüssel besitzt, produziert derselbe Vorfall Chiffrat-Exposition. Ob Art. 34 Abs. 3 lit. a greift, entscheiden Sie und die Aufsicht — aber Sie stehen auf der Seite der Linie, auf der es greifen kann.

Schweizerform ist genau für diese Position gebaut: Ende-zu-Ende-Verschlüsselung im Browser der Einreichenden, Schlüssel nur beim Formular-Inhaber, Schweizer Hosting für das Chiffrat, EN / DE / FR / IT-Unterstützung. Das beseitigt Vorfallsrisiko nicht. Es ändert, was ein Vorfall bedeutet.

Das Fazit

Meldung nach DSGVO und nFADP ist eine Zeit-Übung um eine Sach-Frage. Das Zeitliche — 72 Stunden, „so rasch wie möglich“ — ist unerbittlich; die Sach-Frage bestimmt die Entscheidungen. Und der eine Sachverhalt, der über beide Regime hinweg die Entscheidung konstant ändert, ist, ob die Daten, die Ihre Kontrolle verlassen haben, für den Empfänger verständlich waren.

Verschlüsselung verhindert Vorfälle nicht. Sie ändert, was ein Vorfall Sie zu tun verpflichtet. Für Daten, bei denen Masseninformation ein kategorie-definierendes Ereignis wäre, lohnt sich dieses Umdenken — nicht nach, sondern vor dem Vorfall, in den Architekturentscheidungen, die bestimmen, was „die Daten“ am Tag X wirklich sind.

Schweizerform ist so gebaut, dass ein Vorfall beim Formular-Anbieter Chiffrat und nicht Inhalt offenlegt. Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte im kostenlosen Tarif.

Hinweis: Dieser Artikel ist allgemeine Information und Marketinginhalt, keine Rechts-, Aufsichts- oder Incident-Response-Beratung. Bezugnahmen auf DSGVO Art. 4, 33, 34, EDPB-Leitlinien 01/2021, Schweizer nFADP Art. 5, 24 und EDÖB-Vorgaben sowie kryptographischen Stand der Technik sind konzeptionell zusammengefasst und unterliegen jurisdiktionsspezifischer Auslegung, Aufsichtspraxis, Rechtsprechung und künftigen Gesetzesänderungen. Konkrete Vorfälle — einschliesslich der Feststellung, ob die Verschlüsselungsausnahme greift — verlangen Echtzeit-Beurteilung rechtlich und technisch. Ziehen Sie qualifizierte Schweizer und EU-Datenschutzberatung sowie Ihre Incident-Response-/Forensik-Partner bei, bevor Sie auf Basis eines einzelnen Beitrags — auch dieses — Vorfalls- oder Beschaffungsentscheidungen treffen.