Cyberattacken auf Unternehmen in der Schweiz nehmen rasant zu – von kleinen KMU bis hin zu kritischen Infrastrukturen wie Spitäler, Behörden und Gemeinden. Die Folgen reichen von Betriebsunterbrechungen über Datenverlust bis hin zu empfindlichen Reputationsschäden. Gleichzeitig wird der gesetzliche Rahmen für die Cybersicherheit strenger: Mit dem revidierten Datenschutzgesetz, spezialgesetzlichen Anforderungen und zunehmenden Sorgfaltspflichten steigt der Handlungsdruck für Mitglieder des Verwaltungsrats und der Geschäftsleitung. Dieser Beitrag gibt einen kompakten Überblick über die wesentlichen rechtlichen Grundlagen und Haftungsrisiken, die Schweizer Unternehmen im Bereich Cybersecurity kennen und beachten sollten.

1. Das neue Datenschutzgesetz  

Mit dem revidierten Datenschutzgesetz (in Kraft seit dem 1. September 2023) wurde der Schutz personenbezogener Daten in der Schweiz deutlich verschärft. Unternehmen sind seither verpflichtet, angemessene technische und organisatorische Massnahmen zu ergreifen, um Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen (Art. 7 und Art. 8 DSG). Diese Pflicht ist nicht abstrakt – sie muss konkret auf das jeweilige Risiko für die betroffenen Personen (z.B. Kunden, Mitarbeitende, Patienten etc.) abgestimmt sein. Ein Schreinereibetrieb mit wenig sensitiven Kundendaten wird andere Massnahmen treffen müssen als ein Spital mit vielen besonders schützenswerten Personendaten. 

Besonders heikel: Bei schwerwiegenden Sicherheitsverletzungen droht nicht nur ein Imageschaden – es besteht auch eine Meldepflicht an den EDÖB, unter Umständen auch gegenüber betroffenen Personen (Art. 24 DSG). Und: Die Sanktionen beim Unterlassen angemessener technischer und organisatorischer Datensicherheitsmassnahmen treffen nicht etwa das Unternehmen als Ganzes, sondern die einzelnen Verantwortlichen – mit Bussen bis zu CHF 250'000 – persönlich (Art. 60 ff. DSG). 

2. Verantwortlichkeit nach Obligationenrecht  

Das Obligationenrecht verpflichtet den Verwaltungsrat zur sorgfältigen Geschäftsführung (Art. 717 OR). Diese Sorgfaltspflicht erstreckt sich insbesondere auf die gesetzlichen Kernaufgaben gemäss Art. 716a OR – etwa die Oberleitung der Gesellschaft oder die Erteilung notwendiger Weisungen – und umfasst heute ausdrücklich auch den Bereich Cybersecurity. Dazu gehören unter anderem die Festlegung einer unternehmensweiten Cyberstrategie, die Sicherstellung der Einhaltung regulatorischer Vorgaben sowie klare Anweisungen dazu, wie Cyberrisiken zu identifizieren, zu bewerten und zu überwachen sind. Wer die Augen vor bekannten Risiken verschliesst, keine angemessenen Schutzvorkehrungen trifft oder die Relevanz des Themas unterschätzt, kann bei einem Vorfall persönlich haftbar gemacht werden – mit dem eigenen Privatvermögen (Art. 754 OR). 

Es genügt also nicht, das Thema an die IT «outzusourcen» – der Verwaltungsrat muss aktiv Verantwortung übernehmen, Risiken analysieren, Massnahmen einfordern und die Umsetzung kontrollieren. Dazu gehört auch, ein funktionierendes Krisenmanagement (inkl. Incident-Response-Plan) bereitzuhalten. 

3. Vertragliche Haftung und «höhere Gewalt» 

Cybervorfälle haben zunehmend auch vertragsrechtliche Konsequenzen. Wird etwa ein Kundenprojekt wegen eines Angriffs nicht fristgerecht geliefert oder werden durch eine Sicherheitslücke vertrauliche Partnerdaten kompromittiert, drohen Schadenersatzforderungen. 

Ein häufiger Irrtum: Einige Unternehmen glauben, Cyberangriffe seien automatisch «höhere Gewalt» – also unvorhersehbare, unvermeidbare Ereignisse, für die niemand haftet. Doch das ist nicht der Fall. In der Praxis werden viele Angriffe als vermeidbar eingestuft – insbesondere, wenn grundlegende Schutzmassnahmen wie Zwei-Faktor-Authentifizierung oder Firewalls gefehlt haben. 

Deshalb ist es ratsam, in Verträgen – z. B. in AGBs – klare Haftungsklauseln aufzunehmen, etwa mit Ausschlüssen oder Haftungsbegrenzungen für Cyberangriffe. Doch Achtung: Solche Klauseln entbinden nicht von der datenschutzrechtlichen Pflicht, angemessene technische und organisatorische Massnahmen zu ergreifen. 

4. Standards und branchenspezifische Vorgaben 

Auch wenn viele Sicherheitsstandards (z. B. NIST Cybersecurity Framework oder ISO-Standards) rechtlich nicht verbindlich sind, gelten sie oftmals im Streitfall als Messlatte für die Sorgfaltspflicht. Wer sich an anerkannten Standards orientiert, kann im Ernstfall argumentieren, «alles Zumutbare» getan zu haben. 

Für bestimmte Branchen gelten zudem sektorielle Vorschriften. So regelt etwa die EPDV (Verordnung über das elektronische Patientendossier) technische Sicherheitsanforderungen im Gesundheitsbereich. Energieunternehmen müssen sich an die IKT-Minimalstandards des Bundes halten. Wer diese Vorgaben vernachlässigt, riskiert aufsichtsrechtliche Massnahmen. 

5. Und was ist mit der NIS2-Richtlinie der EU? 

Eine Frage, die wir von Klienten häufig gestellt bekommen, ist, ob und, falls ja, welchen Impact die NIS2-Richtlinie der EU auf Schweizer Unternehmen hat. Auf diese Frage ist zusammengefasst Folgendes zu sagen: 

5.1 Anwendbarkeit 

Die NIS2-Richtlinie gilt für Unternehmen mit Sitz in der EU, die bestimmte Schwellenwerte überschreiten (mindestens 50 Mitarbeiter und über EUR 10 Mio. Umsatz oder Bilanzsumme) und in definierten wesentlichen oder wichtigen Sektoren tätig sind. Die Definition dieser wesentlichen oder wichtigen Sektoren ist vergleichbar zur Definition kritischer Infrastrukturen gemäss dem schweizerischen Informationssicherheitsgesetzes («ISG»). Schweizer Unternehmen unterliegen der NIS2-Richtlinie grundsätzlich nicht – mit Ausnahmen. 

Aufgrund des extraterritorialen Anwendungsbereichs der NIS2-Richtlinie (mittlerweile ist die extraterritoriale Wirkung von EU-Erlassen zum Standard geworden) können Schweizer Unternehmen insbesondere in den folgenden Konstellationen in den Anwendungsbereich der NIS2-Richtlinie geraten, wenn: 

• sie in Lieferketten von EU-Unternehmen eingebunden sind, die unter die NIS2-Richtlinie fallen, sprich, wenn sie Produkte oder Dienstleistungen an sog. «wesentliche» oder «wichtige» Einrichtungen gemäss der NIS2-Richtlinie liefern. Dies v.a. deshalb, weil diese EU-Unternehmen gemäss der NIS2-Richtlinie verpflichtet sind, die Sicherheit ihrer Lieferketten zu gewährleisten, was dazu führen kann, dass sie von ihren Schweizer Lieferanten im Rahmen vertraglicher Vereinbarungen die Einhaltung bestimmter Cybersicherheitsstandards verlangen;  

   

• sie Niederlassungen oder Tochtergesellschaften in der EU haben; oder 

   

• sie digitale Dienste in der EU in wesentlichen oder wichtigen Sektoren gemäss der NIS2-Richtlinie anbieten und die oben genannten Grössenkriterien erfüllen. 

5.2 Pflichten 

Betroffene Unternehmen müssen angemessene technische und organisatorische Cybersicherheitsmassnahmen umsetzen (z. B. gem. ISO 27001), inklusive Risikoanalysen, Backups, Schulungen, Zugriffskontrollen und ggf. Verschlüsselung. 

Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Frühmeldung), mit Folgeberichten nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Im schweizerischen Recht kennen wir seit dem 1. April 2025 eine vergleichbare Meldepflicht für Betreiber kritischer Infrastrukturen im Falle von Cyberangriffen.  

Zudem wird mit der NIS2-Richtlinie eine neue Registrierungspflicht für die wesentlichen oder wichtigen Einrichtungen eingeführt. Auch Schweizer Unternehmen fallen unter diese Registrierungspflicht und müssen einen Vertreter in der EU benennen, wenn sie digitale Dienste in der EU in wesentlichen oder wichtigen Sektoren gemäss der NIS2-Richtlinie anbieten und die oben genannten Grössenkriterien erfüllen.   

6. Fazit  

Cybersecurity ist längst mehr als ein IT-Thema – sie ist zur unternehmerischen Führungsaufgabe geworden. Die zunehmende Regulierung, kombiniert mit realen Bedrohungsszenarien, verlangt ein Umdenken: Es reicht nicht, zu hoffen, dass «schon nichts passieren wird». Entscheidend ist, proaktiv zu handeln – rechtlich, organisatorisch und technisch. Schweizer Unternehmen sind daher gut beraten, ihre Sicherheitsvorkehrungen regelmässig zu prüfen und an den aktuellen Rechtsrahmen anzupassen. Nur so lassen sich Haftungsrisiken minimieren und das Vertrauen von Kunden und Partnern sichern. 

Die NIS2-Richtlinie der EU ist v.a. dann für Schweizer Unternehmen relevant, wenn sie Dienstleister von europäischen Unternehmen sind, die in wesentlichen oder wichtigen Sektoren tätig sind und unter die NIS2-Richtlinie fallen, oder selbst digitale Dienste in wesentlichen oder wichtigen Sektoren in der EU anbieten.