Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Diebstahl und Verlust von Kunden- oder Mitarbeiterdaten wie AHV-Nummern oder Bankdaten. Ist das Gesetz hinreichend?

ShortId

15.3046

Id

20153046

Updated

28.07.2023 06:01

Language

de

Title

Diebstahl und Verlust von Kunden- oder Mitarbeiterdaten wie AHV-Nummern oder Bankdaten. Ist das Gesetz hinreichend?

AdditionalIndexing

1236;15;44;34

1

PriorityCouncil1

Nationalrat

Texts

• <p>Die jüngsten Cyberangriffe auf die BCGE, Sony, Linkedin, J. P. Morgan Chase oder Home Depot haben gezeigt, dass Hacker eine grosse Anzahl von Kunden- und Mitarbeiterdaten stehlen konnten. Darunter befanden sich ausgesprochen schützenswerte Daten wie Sozialversicherungs- oder Bankkontonummern. Leider ist zu befürchten, dass solche Angriffe massiv zunehmen und vehementer werden. Zu den Unannehmlichkeiten für die Opfer gehört insbesondere das erhöhte Risiko eines Identitätsmissbrauchs.</p>
• <p>1. Das Bundesgesetz über den Datenschutz (DSG; SR 235.1) verpflichtet die Inhaber von Datensammlungen nicht, die betroffene Person im Falle eines Missbrauchs ihrer Personendaten zu informieren. Gemäss einem Teil der Lehre leitet sich diese Pflicht jedoch aus den allgemeinen Grundsätzen der Datensicherheit (Art. 7 DSG) und von Treu und Glauben (Art. 4 Abs. 2 DSG) ab.</p><p>Gegenwärtig wird das Datenschutzrecht sowohl im Europarat als auch in der EU überarbeitet. In diesen Reformen ist vorgesehen, eine Pflicht zur Information der Kontrollbehörde und/oder der betroffenen Person einzuführen. Am 1. April 2015 hat der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (Bundesamt für Justiz) beauftragt, ihm unter Berücksichtigung der derzeit laufenden europäischen Datenschutzreformen einen Vorentwurf für eine Revision des DSG zu unterbreiten. Die Einführung der Pflicht, den Missbrauch von Personendaten zu melden, wird im Rahmen dieser Arbeiten geprüft.</p><p>2. Wurden die Daten aufgrund einer Verletzung von Artikel 7 DSG verloren oder gestohlen, so kann gegen die Verletzung und deren Folgen mit den Mitteln zum Schutz der Persönlichkeit vorgegangen werden (Art. 15 DSG in Verbindung mit Art. 28a ZGB für Privatpersonen, Art. 25 DSG für die Organe des Bundes). Aufgrund der Pflichten nach den Artikeln 7 DSG und 8 Absatz 1 Buchstaben d und e VDSG (SR 235.11) müssen auch Massnahmen zur Vermeidung einer missbräuchlichen Verwendung der Daten ergriffen werden. Die betroffenen Unternehmen und Gemeinwesen haben zudem alles Interesse daran, den etwaigen Schaden für die Opfer in Grenzen zu halten, da sie eventuell dafür aufkommen müssen. Für die aus dem Datenverlust oder -diebstahl resultierenden Kosten müssen sie allenfalls Schadenersatz leisten.</p><p>3. In Artikel 328b OR ist die Pflicht verankert, die Persönlichkeit des Arbeitnehmers im Datenschutzbereich zu schützen. Somit gelten für die Arbeitgeber auch die Pflichten betreffend die Datensicherheit nach DSG. Bei Verlust oder Diebstahl seiner Daten kann der Arbeitnehmer die Beseitigung der Verletzung und Schadenersatz verlangen.</p><p>Beim Bund bietet der von Artikel 328 OR abgeleitete Artikel 4 Absatz 2 Buchstabe g des Bundespersonalgesetzes (BPG; SR 172.220.1) Gewähr für den Schutz der Persönlichkeit der Angestellten. Die Verantwortlichkeit des Arbeitgebers bei einer Schädigung des Arbeitnehmers wird im Verantwortlichkeitsgesetz (VG; SR 170.32) geregelt.</p><p>Der Bundesrat ist der Ansicht, dass diese Regelungen genügen. Die unter Ziffer 1 erwähnten Entwicklungen des Datenschutzrechts werden sich darüber hinaus vollumfänglich auf die Arbeitsverhältnisse im privaten und im öffentlichen Sektor auswirken.</p><p>4. Die AHVN13 (13-stellige AHV-Nummer) ist wie der Familienname, der Vorname und das Geburtsdatum ein öffentliches Identifikationsattribut. Seit 2008 können aus der AHV-Nummer das Alter, die Nationalität und das Geschlecht einer Person nicht mehr abgeleitet werden. Die AHVN13 ist nicht ein amtliches Identitätsdokument und gilt nicht als zulässiger und formeller Identitätsnachweis. Denn die AHVN13 ist ein ausschliesslich administratives Identifikationsattribut, das den Gemeinwesen neben den üblichen demografischen Identifikationsattributen (Name, Vorname usw.) zu rein administrativen Zwecken zur Verfügung gestellt wird. Die Benutzer, die dieses Attribut systematisch verwenden, werden dadurch keinesfalls von der gesetzlichen Pflicht zur Überprüfung der Identität einer Person mittels eines amtlichen Identitätsausweises befreit. Im Übrigen werden keine Leistungen der Sozialversicherungen auf einfaches Vorweisen der AHVN13 gewährt. Folglich sind keine administrativen Massnahmen für den Fall eines Diebstahls der AHV-Nummer vorgesehen.</p><p>5. Für die Zuteilung der AHVN13 ist ausschliesslich die Zentrale Ausgleichsstelle zuständig. Da die Gefahr eines Identitätsmissbrauchs mittels missbräuchlicher Verwendung der AHVN13 durch Dritte nicht steigt, wenn dieses Identifikationsattribut gestohlen wird, ist die Ausgleichsstelle nicht verpflichtet, die Nummer einer versicherten Person bei einem Datendiebstahl zu ändern, auch wenn eine rechtswidrige Verwendung der AHV-Nummer ein Vergehen im Sinne von Artikel 87 AHVG (SR 831.10) darstellt. Im Übrigen ist bis heute kein problematischer Fall eines Diebstahls der AHVN13 bekannt. Es besteht keine Gesetzeslücke.</p><p>6. Die Banken sind ebenfalls gehalten, die allgemeinen Grundsätze der Datensicherheit gemäss DSG (siehe Ziff. 1 und 2 oben) zu beachten. Bei der Teilrevision des Rundschreibens 2008/21 "Operationelle Risiken Banken" der Finma sind die Anforderungen in Bezug auf die operationellen Risiken und die Bearbeitung elektronischer Daten von Kundinnen und Kunden erhöht worden. Namentlich gemäss den Vorgaben betreffend die Kundenidentifikationsdaten sind die Banken verpflichtet, Massnahmen zur Vermeidung des Diebstahls oder Verlusts von Kundendaten zu ergreifen (Anhang 3 des Rundschreibens). Der Bundesrat ist der Ansicht, dass diese Regelung genügt.</p><p>7. Gemäss dem Rundschreiben 2008/21 der Finma hat die Geschäftsführung der Bank für eine angemessene Technologieinfrastruktur zu sorgen, die insbesondere die operationellen Risiken mindern kann. Überdies hat sie die Sicherheit und Integrität der Kundenidentifikationsdaten zu gewährleisten (Anhang 3). In der Regel ist eine Prüfgesellschaft für die Kontrolle der Umsetzung des Rundschreibens zuständig. Die Finma kann auch eine Kontrolle vor Ort vornehmen. Bei schwerwiegenden Verletzungen wie dem Verlust von Kundendaten kann die Finma gegenüber der Bank Massnahmen gemäss dem Finanzmarktaufsichtsgesetz (SR 956.1) anordnen. Die Verletzung des Bankgeheimnisses ist schliesslich nach Artikel 47 Absatz 2 des Bankengesetzes (SR 952.0) strafbar.</p><p>8. Da die Motion Comte 14.3288 vom Parlament angenommen worden ist, hat der Bundesrat den Auftrag, einen Entwurf zur Änderung des Strafrechts auszuarbeiten, damit der Identitätsmissbrauch zum eigenständigen Straftatbestand wird. Bei der Ausarbeitung der beantragten Gesetzesänderung wird der Bundesrat die Problematik des Identitätsmissbrauchs aus strafrechtlicher Sicht analysieren. Er schliesst nicht aus, zusätzliche Massnahmen vorzuschlagen, falls sich dabei herausstellen sollte, dass weitere Lücken bestehen.</p> Antwort des Bundesrates.
• <p>1. Sind Unternehmen sowie staatliche und halbstaatliche Einrichtungen, die Personendaten bearbeiten, dazu verpflichtet, Personen, deren Daten sie bearbeiten, über einen allfälligen Diebstahl oder Verlust der Daten (insbesondere der besonders schützenswerten Daten) zu informieren? Falls nicht, beabsichtigt der Bundesrat, eine solche Verpflichtung im Bundesgesetz über den Datenschutz oder einem anderen Erlass zu verankern?</p><p>2. Welche Verpflichtungen haben Unternehmen und Körperschaften gegenüber den Personen, deren Daten gestohlen wurden oder verlorengingen? Müssen sie beispielsweise alles daran setzen, einen Identitätsmissbrauch zu vermeiden? Müssen sie alle Kosten übernehmen, die sich aus einem Diebstahl oder Verlust ergeben (insbesondere den administrativen Aufwand, um neue Daten zu erhalten)?</p><p>3. Reicht insbesondere das (private und öffentliche) Arbeitsrecht aus, um die Arbeitnehmerinnen und Arbeitnehmer zu schützen, wenn der Arbeitgeberin oder dem Arbeitgeber die Daten, die sie oder er aufgrund des Gesetzes bearbeiten darf, gestohlen werden oder verlorengehen?</p><p>4. Welche Massnahmen gibt es im Falle des Diebstahls einer AHV-Nummer insbesondere zum Verhindern eines Identitäts- oder Leistungsmissbrauchs?</p><p>5. Ist die AHV verpflichtet, im Falle eines Datendiebstahls (insbesondere wenn das Risiko eines Identitätsmissbrauchs besteht) eine neue AHV-Nummer zu vergeben? Falls nicht, warum? Wird der Bundesrat diese Lücke schliessen?</p><p>6. Ist die geltende Gesetzgebung bezüglich Diebstahl oder Verlust von Bankdaten hinreichend, insbesondere hinsichtlich der Verhinderung eines Identitätsmissbrauchs?</p><p>7. Ist die Sicherheit der Informatiksysteme der Banken, sei dies auf Ebene der Websites, des E-Bankings oder des Kernsystems, garantiert? Von wem werden diese geprüft und überwacht? Kann es im Falle von Sicherheitsmängeln im Informatiksystem einer Bank Sanktionen geben?</p><p>8. Ist der Bundesrat bereit, diese Probleme im Rahmen seiner Antwort auf die Motion 14.3288 im Detail zu behandeln?</p>
• Diebstahl und Verlust von Kunden- oder Mitarbeiterdaten wie AHV-Nummern oder Bankdaten. Ist das Gesetz hinreichend?

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>Die jüngsten Cyberangriffe auf die BCGE, Sony, Linkedin, J. P. Morgan Chase oder Home Depot haben gezeigt, dass Hacker eine grosse Anzahl von Kunden- und Mitarbeiterdaten stehlen konnten. Darunter befanden sich ausgesprochen schützenswerte Daten wie Sozialversicherungs- oder Bankkontonummern. Leider ist zu befürchten, dass solche Angriffe massiv zunehmen und vehementer werden. Zu den Unannehmlichkeiten für die Opfer gehört insbesondere das erhöhte Risiko eines Identitätsmissbrauchs.</p>
  • <p>1. Das Bundesgesetz über den Datenschutz (DSG; SR 235.1) verpflichtet die Inhaber von Datensammlungen nicht, die betroffene Person im Falle eines Missbrauchs ihrer Personendaten zu informieren. Gemäss einem Teil der Lehre leitet sich diese Pflicht jedoch aus den allgemeinen Grundsätzen der Datensicherheit (Art. 7 DSG) und von Treu und Glauben (Art. 4 Abs. 2 DSG) ab.</p><p>Gegenwärtig wird das Datenschutzrecht sowohl im Europarat als auch in der EU überarbeitet. In diesen Reformen ist vorgesehen, eine Pflicht zur Information der Kontrollbehörde und/oder der betroffenen Person einzuführen. Am 1. April 2015 hat der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (Bundesamt für Justiz) beauftragt, ihm unter Berücksichtigung der derzeit laufenden europäischen Datenschutzreformen einen Vorentwurf für eine Revision des DSG zu unterbreiten. Die Einführung der Pflicht, den Missbrauch von Personendaten zu melden, wird im Rahmen dieser Arbeiten geprüft.</p><p>2. Wurden die Daten aufgrund einer Verletzung von Artikel 7 DSG verloren oder gestohlen, so kann gegen die Verletzung und deren Folgen mit den Mitteln zum Schutz der Persönlichkeit vorgegangen werden (Art. 15 DSG in Verbindung mit Art. 28a ZGB für Privatpersonen, Art. 25 DSG für die Organe des Bundes). Aufgrund der Pflichten nach den Artikeln 7 DSG und 8 Absatz 1 Buchstaben d und e VDSG (SR 235.11) müssen auch Massnahmen zur Vermeidung einer missbräuchlichen Verwendung der Daten ergriffen werden. Die betroffenen Unternehmen und Gemeinwesen haben zudem alles Interesse daran, den etwaigen Schaden für die Opfer in Grenzen zu halten, da sie eventuell dafür aufkommen müssen. Für die aus dem Datenverlust oder -diebstahl resultierenden Kosten müssen sie allenfalls Schadenersatz leisten.</p><p>3. In Artikel 328b OR ist die Pflicht verankert, die Persönlichkeit des Arbeitnehmers im Datenschutzbereich zu schützen. Somit gelten für die Arbeitgeber auch die Pflichten betreffend die Datensicherheit nach DSG. Bei Verlust oder Diebstahl seiner Daten kann der Arbeitnehmer die Beseitigung der Verletzung und Schadenersatz verlangen.</p><p>Beim Bund bietet der von Artikel 328 OR abgeleitete Artikel 4 Absatz 2 Buchstabe g des Bundespersonalgesetzes (BPG; SR 172.220.1) Gewähr für den Schutz der Persönlichkeit der Angestellten. Die Verantwortlichkeit des Arbeitgebers bei einer Schädigung des Arbeitnehmers wird im Verantwortlichkeitsgesetz (VG; SR 170.32) geregelt.</p><p>Der Bundesrat ist der Ansicht, dass diese Regelungen genügen. Die unter Ziffer 1 erwähnten Entwicklungen des Datenschutzrechts werden sich darüber hinaus vollumfänglich auf die Arbeitsverhältnisse im privaten und im öffentlichen Sektor auswirken.</p><p>4. Die AHVN13 (13-stellige AHV-Nummer) ist wie der Familienname, der Vorname und das Geburtsdatum ein öffentliches Identifikationsattribut. Seit 2008 können aus der AHV-Nummer das Alter, die Nationalität und das Geschlecht einer Person nicht mehr abgeleitet werden. Die AHVN13 ist nicht ein amtliches Identitätsdokument und gilt nicht als zulässiger und formeller Identitätsnachweis. Denn die AHVN13 ist ein ausschliesslich administratives Identifikationsattribut, das den Gemeinwesen neben den üblichen demografischen Identifikationsattributen (Name, Vorname usw.) zu rein administrativen Zwecken zur Verfügung gestellt wird. Die Benutzer, die dieses Attribut systematisch verwenden, werden dadurch keinesfalls von der gesetzlichen Pflicht zur Überprüfung der Identität einer Person mittels eines amtlichen Identitätsausweises befreit. Im Übrigen werden keine Leistungen der Sozialversicherungen auf einfaches Vorweisen der AHVN13 gewährt. Folglich sind keine administrativen Massnahmen für den Fall eines Diebstahls der AHV-Nummer vorgesehen.</p><p>5. Für die Zuteilung der AHVN13 ist ausschliesslich die Zentrale Ausgleichsstelle zuständig. Da die Gefahr eines Identitätsmissbrauchs mittels missbräuchlicher Verwendung der AHVN13 durch Dritte nicht steigt, wenn dieses Identifikationsattribut gestohlen wird, ist die Ausgleichsstelle nicht verpflichtet, die Nummer einer versicherten Person bei einem Datendiebstahl zu ändern, auch wenn eine rechtswidrige Verwendung der AHV-Nummer ein Vergehen im Sinne von Artikel 87 AHVG (SR 831.10) darstellt. Im Übrigen ist bis heute kein problematischer Fall eines Diebstahls der AHVN13 bekannt. Es besteht keine Gesetzeslücke.</p><p>6. Die Banken sind ebenfalls gehalten, die allgemeinen Grundsätze der Datensicherheit gemäss DSG (siehe Ziff. 1 und 2 oben) zu beachten. Bei der Teilrevision des Rundschreibens 2008/21 "Operationelle Risiken Banken" der Finma sind die Anforderungen in Bezug auf die operationellen Risiken und die Bearbeitung elektronischer Daten von Kundinnen und Kunden erhöht worden. Namentlich gemäss den Vorgaben betreffend die Kundenidentifikationsdaten sind die Banken verpflichtet, Massnahmen zur Vermeidung des Diebstahls oder Verlusts von Kundendaten zu ergreifen (Anhang 3 des Rundschreibens). Der Bundesrat ist der Ansicht, dass diese Regelung genügt.</p><p>7. Gemäss dem Rundschreiben 2008/21 der Finma hat die Geschäftsführung der Bank für eine angemessene Technologieinfrastruktur zu sorgen, die insbesondere die operationellen Risiken mindern kann. Überdies hat sie die Sicherheit und Integrität der Kundenidentifikationsdaten zu gewährleisten (Anhang 3). In der Regel ist eine Prüfgesellschaft für die Kontrolle der Umsetzung des Rundschreibens zuständig. Die Finma kann auch eine Kontrolle vor Ort vornehmen. Bei schwerwiegenden Verletzungen wie dem Verlust von Kundendaten kann die Finma gegenüber der Bank Massnahmen gemäss dem Finanzmarktaufsichtsgesetz (SR 956.1) anordnen. Die Verletzung des Bankgeheimnisses ist schliesslich nach Artikel 47 Absatz 2 des Bankengesetzes (SR 952.0) strafbar.</p><p>8. Da die Motion Comte 14.3288 vom Parlament angenommen worden ist, hat der Bundesrat den Auftrag, einen Entwurf zur Änderung des Strafrechts auszuarbeiten, damit der Identitätsmissbrauch zum eigenständigen Straftatbestand wird. Bei der Ausarbeitung der beantragten Gesetzesänderung wird der Bundesrat die Problematik des Identitätsmissbrauchs aus strafrechtlicher Sicht analysieren. Er schliesst nicht aus, zusätzliche Massnahmen vorzuschlagen, falls sich dabei herausstellen sollte, dass weitere Lücken bestehen.</p> Antwort des Bundesrates.
  • <p>1. Sind Unternehmen sowie staatliche und halbstaatliche Einrichtungen, die Personendaten bearbeiten, dazu verpflichtet, Personen, deren Daten sie bearbeiten, über einen allfälligen Diebstahl oder Verlust der Daten (insbesondere der besonders schützenswerten Daten) zu informieren? Falls nicht, beabsichtigt der Bundesrat, eine solche Verpflichtung im Bundesgesetz über den Datenschutz oder einem anderen Erlass zu verankern?</p><p>2. Welche Verpflichtungen haben Unternehmen und Körperschaften gegenüber den Personen, deren Daten gestohlen wurden oder verlorengingen? Müssen sie beispielsweise alles daran setzen, einen Identitätsmissbrauch zu vermeiden? Müssen sie alle Kosten übernehmen, die sich aus einem Diebstahl oder Verlust ergeben (insbesondere den administrativen Aufwand, um neue Daten zu erhalten)?</p><p>3. Reicht insbesondere das (private und öffentliche) Arbeitsrecht aus, um die Arbeitnehmerinnen und Arbeitnehmer zu schützen, wenn der Arbeitgeberin oder dem Arbeitgeber die Daten, die sie oder er aufgrund des Gesetzes bearbeiten darf, gestohlen werden oder verlorengehen?</p><p>4. Welche Massnahmen gibt es im Falle des Diebstahls einer AHV-Nummer insbesondere zum Verhindern eines Identitäts- oder Leistungsmissbrauchs?</p><p>5. Ist die AHV verpflichtet, im Falle eines Datendiebstahls (insbesondere wenn das Risiko eines Identitätsmissbrauchs besteht) eine neue AHV-Nummer zu vergeben? Falls nicht, warum? Wird der Bundesrat diese Lücke schliessen?</p><p>6. Ist die geltende Gesetzgebung bezüglich Diebstahl oder Verlust von Bankdaten hinreichend, insbesondere hinsichtlich der Verhinderung eines Identitätsmissbrauchs?</p><p>7. Ist die Sicherheit der Informatiksysteme der Banken, sei dies auf Ebene der Websites, des E-Bankings oder des Kernsystems, garantiert? Von wem werden diese geprüft und überwacht? Kann es im Falle von Sicherheitsmängeln im Informatiksystem einer Bank Sanktionen geben?</p><p>8. Ist der Bundesrat bereit, diese Probleme im Rahmen seiner Antwort auf die Motion 14.3288 im Detail zu behandeln?</p>
  • Diebstahl und Verlust von Kunden- oder Mitarbeiterdaten wie AHV-Nummern oder Bankdaten. Ist das Gesetz hinreichend?

Back to List