Ein Schweizer Inkassounternehmen wurde Opfer eines Hackerangriffs, bei dem Kundendaten entwendet wurden. Die zuständige Behörde ordnete daraufhin an, dass das Unternehmen sein Online-Kundenportal sofort abschalten müsse, bis angemessene Sicherheitsmaßnahmen implementiert seien. Das Unternehmen legte gegen diese Verfügung Beschwerde ein und argumentierte, dass der Angriff durch eine Sicherheitslücke bei einem Drittanbieter ermöglicht worden sei und das Portal selbst keine Schwachstellen aufweise.

Das Bundesverwaltungsgericht wies die Beschwerde ab und bestätigte die behördliche Anordnung. Es stellte fest, dass das Unternehmen als Betreiberin des Portals die Verantwortung für die Sicherheit der dort verarbeiteten Daten trage, unabhängig davon, ob die Schwachstelle bei einem Drittanbieter lag. Die Richter betonten, dass angesichts der Schwere des Vorfalls und der Sensibilität der betroffenen Daten die Abschaltung des Portals eine verhältnismäßige Maßnahme darstelle.

Das Bundesgericht bestätigte nun diese Entscheidung und wies die Beschwerde des Inkassounternehmens endgültig ab. Es betonte in seiner Begründung, dass Unternehmen, die personenbezogene Daten verarbeiten, eine umfassende Verantwortung für deren Schutz tragen. Diese Verantwortung könne nicht durch Auslagerung an Drittanbieter abgewälzt werden. Zudem sei die temporäre Abschaltung des Portals bis zur Behebung der Sicherheitsmängel eine angemessene Maßnahme zum Schutz der betroffenen Personen vor weiteren Datenschutzverletzungen.