Die Entscheidung im Überblick

Die Betreiberin von apfelkiste.ch (SkySale Schweiz GmbH) hatte Kunden-Support-URLs, die trotz Hash-Werten in den Bing-Index gelangten und über rund acht Monate Kontaktdaten, Support-Korrespondenz, IBAN, Produktfotos und Gutscheincodes von etwa 19.000 Fällen offenlegten. Nach einem Dritthinweis meldete das Unternehmen den Vorfall dem EDÖB und sperrte die URLs, informierte aber die betroffenen Kunden nicht individuell. Der EDÖB verfügte die Informationspflicht; das BVGer wies die dagegen gerichtete Beschwerde ab (David Vasella, datenrecht.ch).

Materiell sind drei Aussagen tragend. Erstens der Verletzungsbegriff: Eine Verletzung der Datensicherheit (Art. 5 Bst. h DSG) liegt bereits vor, wenn die bloße Möglichkeit eines unbefugten Zugriffs besteht — ob tatsächlich zugegriffen wurde, ist unerheblich, ebenso, ob die Verletzung schuldhaft herbeigeführt wurde. Zweitens die Risikobeurteilung: Die Zahl der Betroffenen bestimmt nicht den Schutzbedarf (Individualrecht), erhöht aber die Eintrittswahrscheinlichkeit von Schäden; Zeitablauf und ausbleibende Schadensmeldungen schließen das Risiko nicht aus — zumal das Unternehmen die Verzögerung selbst verursacht hatte. Drittens die öffentliche Bekanntmachung: Ist die individuelle Information unmöglich (Betroffene nach den Schutzmaßnahmen technisch nicht mehr identifizierbar) oder unverhältnismäßig (19.000 Personen), tritt nach Art. 24 Abs. 5 Bst. c DSG die öffentliche Bekanntmachung an ihre Stelle. Reputationsschäden aus der eigenen Datenpanne rechtfertigen keine Ausnahme; das Schutzinteresse der Betroffenen überwiegt.

Bemerkenswert ist die scharfe Rüge des EDÖB trotz dessen Obsiegens: Das Gericht attestiert eine schwerwiegende Verletzung des rechtlichen Gehörs und der Begründungspflicht (technische Einwände nicht berücksichtigt, widersprüchliche Verfügung) und sanktioniert dies mit einer Parteientschädigung zugunsten der unterlegenen Beschwerdeführerin und reduzierten Gerichtskosten. Eine Aufhebung unterblieb nur, weil das BVGer mit voller Kognition entscheidet und eine Rückweisung Leerlauf wäre.

Hintergrund und Einordnung

Das Urteil ist eine der ersten obergerichtlichen Entscheidungen zur Melde- und Informationspflicht nach dem revidierten Schweizer DSG (in Kraft seit 1.9.2023) und damit auch für die deutsche/EU-Praxis als rechtsvergleichender Bezugspunkt interessant. Vasella hebt eine ungelöste Spannung hervor: Der EDÖB könne die öffentliche Bekanntmachung formal nicht anordnen, weil das DSG sie nicht ausdrücklich vorschreibt, „obwohl der Gesetzeszweck sonst klar ist” — eine Kompetenzlücke, die auch das BVGer nicht sauber schließt.

Für die Praxis sind drei Punkte relevant. Erstens: Schon die Indexierbarkeit „versteckter” URLs (Security by Obscurity per Hash) ist eine Datensicherheitsverletzung — Schutz durch Unauffindbarkeit genügt nicht. Zweitens: Wer nach einem Breach die Betroffenen nicht mehr identifizieren kann, kommt nicht um eine Information herum, sondern schuldet eine „überschießende” bzw. öffentliche Bekanntmachung; das spätere Schließen der Lücke befreit nicht. Drittens: Aufsichtsbehörden müssen Verfahrensrechte (rechtliches Gehör, Begründung) wahren — Verstöße haben hier sogar Kostenfolgen zulasten der obsiegenden Behörde. Da der Volltext nur als Stub vorliegt, sind die genauen Erwägungen vor einer Mandanten-Verwertung am Originalurteil zu prüfen.

Originalurteil

Der vollständige Urteilstext ist über die folgende Quelle abrufbar:

https://entscheidsuche.ch/docs/CH_BVGer/CH_BVGE_001_A-3790-2024_2026-04-08.pdf