Der Schweizer Rechtsanwalt Martin Steiger bewertet am 11. Juni 2026 die rechtlichen Folgen schwerer Datenlecks. Laut einem Bericht von watson.ch gibt es derzeit Fälle, in denen Cyber-Erpresser mit der Veröffentlichung von Fotos von Schulkindern drohen oder private Parkplatzüberwacher durch eine offene Server-Hintertür die Datensicherheit gefährdet haben.
Sicherheitslücken bei Parkplatzüberwachung und Schulen
Ein Bericht von watson.ch beschreibt aktuelle Vorfälle mangelnder Datensicherheit in der Schweiz. In einem Fall drohen Cyber-Erpresser damit, gestohlene Fotos von Schulkindern zu veröffentlichen. Parallel dazu kam es bei privaten Parkplatzüberwachern zu Fehlern in der Datensicherheit, wobei ein Server eine offene Hintertür aufwies, laut watson.ch.
Diese Vorfälle fallen in ein Umfeld zunehmender Cyber-Bedrohungen, bei denen insbesondere die Exfiltration sensibler Daten zur Erpressung genutzt wird. Im Fall der Schulfotos handelt es sich um besonders schützenswerte Personendaten, da sie Minderjährige betreffen. Die technische Schwachstelle bei den Parkplatzüberwachern – eine offene Server-Hintertür – deutet auf eine unzureichende Absicherung der Infrastruktur hin, was den unbefugten Zugriff auf Datenbanken ermöglicht, die oft Kennzeichen, Zeitstempel und personenbezogene Nutzerdaten enthalten.
Rechtliche Analyse von Martin Steiger
Der Rechtsanwalt Martin Steiger ordnet diese Vorfälle ein, um zu erklären, welche Maßnahmen Betroffene ergreifen können, wenn sensible Daten gestohlen oder im Internet exponiert wurden. Steiger analysiert dabei, welche Faktoren in solchen Situationen zählen und an welchen Stellen das System Probleme aufweist, wie watson.ch berichtet.
Die rechtliche Einordnung erfolgt primär auf Basis des revidierten Datenschutzgesetzes (nDSG), das in der Schweiz seit dem 1. September 2023 in Kraft ist. Das nDSG wurde eingeführt, um das Schutzniveau an die Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) anzupassen und die Angemessenheit des Schweizer Datenschutzniveaus für den internationalen Datentransfer sicherzustellen.
Die Rolle des EDÖB und Meldepflichten
Im Zentrum der rechtlichen Bewertung steht die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Gemäss dem nDSG sind Unternehmen und Institutionen verpflichtet, Verletzungen der Datensicherheit, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen, möglichst schnell dem EDÖB zu melden.
Bei den von watson.ch beschriebenen Fällen – insbesondere der Erpressung mit Fotos von Kindern – ist von einem hohen Risiko auszugehen. In solchen Situationen muss der Verantwortliche nicht nur die Aufsichtsbehörde informieren, sondern unter Umständen auch die betroffenen Personen, sofern dies zur Abwendung des Schadens notwendig ist.
Haftung und Sanktionen unter dem nDSG
Ein wesentlicher Aspekt der Analyse von Martin Steiger betrifft die Sanktionen. Im Gegensatz zur DSGVO, die hohe Bussgelder gegen Unternehmen verhängt, sieht das Schweizer nDSG eine Besonderheit vor: Die strafrechtliche Verantwortlichkeit natürlicher Personen. Wer vorsätzlich gegen bestimmte Bestimmungen des Gesetzes verstösst – etwa die Informationspflicht bei Datenlecks missachtet oder Daten widerrechtlich weitergibt –, kann mit einer Busse von bis zu 250’000 Schweizer Franken belegt werden.
Dies betrifft insbesondere die verantwortlichen Personen innerhalb einer Organisation, wie etwa Geschäftsleiter oder IT-Verantwortliche, sofern sie wissentlich Sicherheitsmängel ignoriert haben. Im Falle der offenen Server-Hintertür bei den Parkplatzüberwachern stellt sich die Frage, ob es sich um ein fahrlässiges Versäumnis oder eine vorsätzliche Vernachlässigung der Sorgfaltspflicht handelte.
Breitere Bedeutung und Prävention
Die Vorfälle verdeutlichen die systemischen Schwachstellen in der digitalen Infrastruktur privater Dienstleister. Die Nutzung von „Backdoors“ oder falsch konfigurierten Servern ist ein häufiges Einfallstor für Ransomware-Gruppen, die Daten nicht nur verschlüsseln, sondern in sogenannten „Leak Sites“ veröffentlichen, um den Druck auf die Opfer zu erhöhen.
Für Betroffene, wie die Eltern der betroffenen Schulkinder, ergeben sich aus der Analyse von Steiger verschiedene Optionen. Neben der Meldung an den EDÖB können zivilrechtliche Schritte eingeleitet werden, sofern ein nachweisbarer Schaden entstanden ist. Zudem ist bei Erpressungsversuchen die Anzeige bei den zuständigen Strafverfolgungsbehörden (Kantonspolizei oder Bundesamt für Polizei fedpol) der notwendige erste Schritt, um die Täter zu identifizieren und die Verbreitung der Daten zu unterbinden.
Die rechtliche Auseinandersetzung mit diesen Fällen unterstreicht die Notwendigkeit von „Privacy by Design“ und „Privacy by Default“ – Prinzipien, die im nDSG verankert sind und vorschreiben, dass der Datenschutz bereits bei der Entwicklung von Systemen technisch und organisatorisch integriert werden muss.
Find more reporting in our Unternehmen section.
