Verletzungen der Datensicherheit

Eine Verletzung der Datensicherheit passiert, wenn Personendaten verloren, gestohlen oder unbeabsichtigt verändert werden, oder wenn Unbefugte Zugriff auf die Personendaten bekommen.

Das Datenschutzgesetz (DSG) definiert eine Verletzung der Datensicherheit in Art. 5 Bst. h: Sie umfasst jedes unbeabsichtigte oder widerrechtliche Verlieren, Löschen, Vernichten oder Verändern von Personendaten. Auch die Offenlegung oder Zugänglichmachung an Unbefugte gilt als Verletzung der Datensicherheit. Ob eine Absicht vorliegt oder nicht, ist nicht relevant.

Meldung von Verletzungen der Datensicherheit

Wenn eine Verletzung der Datensicherheit passiert UND die Betroffenen gefährdet sind, dann muss eine Meldung gemacht werden:

  • Sind Personen in der Schweiz betroffen, dann muss die Meldung an den EDÖB.
  • Sind Personen im EWR betroffen (und die DSGVO anwendbar), muss die zuständige Behörde im jeweiligen Land informiert werden.
  • Die betroffenen Personen sollten auch informiert werden. Wenn es zu ihrem Schutz nötig ist, müssen sie informiert werden.

Die Meldung muss so rasch wie möglich gemacht werden. Sie enthält Name und Kontakt des Verantwortlichen, Art der Verletzung, deren Folgen und die Massnahmen darauf. Wenn möglich auch ergänzende Details. Es empfiehlt sich, dafür einen Plan bereit zu haben.

Eine Meldung einer Verletzung der Datensicherheit kann nicht zu einer Strafe führen.

Liegt eine Verletzung der Datensicherheit vor, die zu einer Gefährdung der Betroffenen führt, dann ist eine Meldung des Vorfalls nach Art. 24 DSG und Art. 33 DSGVO zwingend.

Eine Gefährdung der Betroffenen bedeutet, dass ein hohes Risiko für die Persönlichkeit oder Grundrechte besteht. Das hohe Risiko muss aufgrund von konkreten Umständen plausibel sein. Eine vertrauliche E-Mail, die an die falsche Adresse gesendet wird, führt nicht unbedingt zu einem hohen Risiko. Ein gehacktes Passwort aber schon.

Für den Fall einer Verletzung der Datensicherheit sollte ein entsprechender Handlungsplan bereit sein. Dieser Plan sollte mindestens die zu kommunizierenden Informationen, die relevanten Fristen und die zuständigen Kontaktstellen beinhalten.

Schweiz

Betrifft die Verletzung der Datensicherheit die Schweiz, dann erfolgt die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Sie ist so rasch wie möglich zu machen. Wenn es zu ihrem Schutz erforderlich ist, müssen nach Art. 24 Abs. 4 DSG auch die betroffenen Personen informiert werden. Vorausgesetzt die Information ist möglich und der Aufwand dazu verhältnismässig. Es empfiehlt sich aber die betroffenen Personen zu informieren, auch wenn keine Pflicht dazu besteht.

Die Meldung muss mindestens den Namen und die Kontaktdaten des Datenschutzbeauftragten (oder der Anlaufstelle für weitere Informationen), die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen beinhalten. Soweit möglich sollte die Meldung zudem Angaben der Kategorien und der (ungefähren) Zahl betroffener Personen, der betroffenen Kategorien und der (ungefähren) Zahl der betroffenen Datensätze beinhalten.

Nach Art. 24 Abs. 6 DSG darf eine solche Meldung in einem Strafverfahren gegen den Meldepflichtigen nur mit dessen Einverständnis verwendet werden. Die Meldung selbst darf also nicht zum Nachteil des Meldepflichtigen führen.

Europäischer Wirtschaftsraum

Ist ein Mitgliedsstaat des Europäischen Wirtschaftsraums betroffen, ist die zuständige Aufsichtsbehörde zu informieren. Wenn die Verletzung der Datensicherheit zu einem hohen Risiko für die betroffenen Personen führt, müssen diese nach Art. 34 DSGVO auch informiert werden.

Die Meldung ist so rasch als möglich zu machen. Wenn die Meldung nicht innerhalb von 72 Stunden erfolgt, ist nach Art. 33 Abs. 2 DSGVO eine Begründung nötig.