Von einer Datensicherheitsverletzung wird erst gesprochen, wenn aufgrund einer Sicherheitsverletzung unbeabsichtigt oder widerrechtlich Personendaten verlorengehen, gelöscht, oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Nicht nur Hackerangriffe, sondern beispielsweise auch das unbeabsichtigte Löschen von Personendaten durch einen Mitarbeitenden oder der Verlust von Daten aufgrund einer technischen Panne stellen daher Datensicherheitsverletzungen dar.
Findet ein Datensicherheitsvorfall statt, ist in der Regel zuerst noch unklar, was genau passiert ist und welche Daten überhaupt betroffen sind. Kann beispielsweise festgestellt werden, dass aus Versehen eine Liste mit Daten an eine bestimmte Anzahl von Empfängern verschickt wurde, muss zunächst geklärt werden, ob Personendaten betroffen sind. Enthält die erwähnte Liste lediglich Daten betr. eine Getränkebestellung für das Unternehmen, dann sind keine Personendaten betroffen und es liegt kein (meldepflichtiger) Datensicherheitsvorfall gemäss DSG vor.
Damit im Anlassfall korrekt vorgegangen wird, ist es wichtig, die entsprechenden Grundlagen zu schaffen. Dazu müssen insbesondere die Verantwortlichkeiten geklärt, das Vorgehen festgelegt und die Mitarbeitenden geschult werden.
Die Person, welche einen Datensicherheitsvorfall erkennt oder den Verdacht hat, ein solcher Vorfall könnte vorliegen, hat dies unverzüglich der zuständigen Person im Unternehmen zu melden. Diese Zuständigkeiten sind vorab zu klären und in einem Prozess abzubilden. Die Mitarbeitenden sollten daher auch entsprechend geschult werden, so dass bei einem Vorfall alle Beteiligten wissen, wie sie vorzugehen haben. Hierbei hilft eine offene Kommunikation die auf einer Vertrauensbasis basiert, so dass sich die Mitarbeitenden auch trauen, einen Vorfall der allenfalls auf einem eigenen Fehlverhalten beruht, zu melden. Die intern zuständige Person (z.B. die Datenschutzberater*in oder ein Informationssicherheitsbeauftragter) hat dann alleine oder zusammen mit einer externen Datenschutzberater*in zu entscheiden, ob es sich beim Vorfall um eine Datensicherheitsverletzung handelt. Liegt eine solche Verletzung vor, müssen unverzüglich geeignete Massnahmen getroffen werden, um die Folgen der Verletzung zu reduzieren. Werden beispielsweise Passwörter gehackt, so könnten als erstes die entsprechenden Konten gesperrt werden, falls überhaupt klar ist, welche betroffen sind.
Es muss nicht jede Datenpanne dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Eine solche Pflicht besteht nur, wenn diese voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Ein solches wird beispielsweise dann vorliegen, wenn besonders sensible Personendaten betroffen sind (z.B. Gesundheitsdaten) oder wenn die Datenpanne zu einem Verlust der Arbeitsstelle, oder einer ähnlich schwerwiegenden Beeinträchtigung führen kann. Um das Risiko zu beurteilen, sind folgende Faktoren zu berücksichtigen: Die Art der Verletzung, die Sensibilität und die Menge der Daten, die Frage, wie einfach eine Person identifiziert werden kann und die Schwere der Folgen für die Betroffenen.
Das Unternehmen muss somit eine Prognose in Bezug auf die möglichen Auswirkungen der Verletzung für die betroffenen Personen stellen. Je nachdem, wie die Prognose ausfällt, sind die Betroffenen zu informieren, oder nicht. Wenn es zum Schutz der betroffenen Person erforderlich ist (z.B., weil sie dadurch ihre Passwörter ändern kann) oder der EDÖB es verlangt, müssen auch die betroffene Person informiert werden.
Die Anforderungen an die Meldung sind sowohl im Datenschutzgesetz als auch in der noch kommenden Datenschutzverordnung enthalten (der Entwurf der Verordnung liegt vor, der Text ist jedoch noch nicht definitiv und kann noch geändert werden). In der Meldung ist gemäss Gesetz mindestens die Art der Verletzung der Datensicherheit (z.B. Vernichtung oder Löschung, der Verlust, die Veränderung und die Bekanntgabe von Daten an Unbefugte), deren Folgen, sowie gemäss Verordnung die Risiken (für die betroffenen Personen) und die ergriffenen oder vorgesehenen Massnahmen zur Beseitigung oder Milderung der Folgen zu nennen. Die Verordnung gibt zusätzlich vor, auch den Zeitpunkt und die Dauer der Verletzung und die Kategorien sowie ungefähre Anzahl der betroffenen Personen (z.B. 50 Kunden) und der Personendaten zu nennen. Ausserdem sind in der Meldung Name und Kontaktdaten einer Ansprechperson anzugeben.
Besteht eine Meldepflicht, muss die Meldung so rasch als möglich erfolgen. Das revidierte DSG macht somit keine klaren Vorgaben über die Frist. Es ist zu empfehlen, umso schneller zu handeln, je grösser die Anzahl der Betroffenen oder je erheblicher die Gefährdung dieser Personen ist. Es empfiehlt sich, Musterschreiben vorbereitet zu haben, welche aufgrund der zeitlichen Dringlichkeit lediglich noch entsprechend angepasst werden können
Die Information kann eingeschränkt oder aufgeschoben werden, sowie gänzlich ausbleiben, falls einer der folgenden Gründe vorliegt:
Zum Schluss sollten die Vorfälle dokumentiert und die Dokumentation sollte intern abgelegt werden. Damit kann in einem Problemfall auch aufgezeigt werden, dass die Vorgaben ernst genommen und entsprechend umgesetzt werden. Gemäss Verordnung ist die Dokumentation ab dem Zeitpunkt der Meldung mindestens drei Jahre aufzubewahren.
Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) kommen mit dem revDSG auch gewisse neue Kompetenzen zu. Insbesondere kann er gemäss Art. 51 revDSG Verfügungen erlassen. Falls das Unternehmen bei einer Datensicherheitsverletzung keine Meldung vornimmt, der EDÖB jedoch von der Verletzung erfährt und die Situation anders einschätzt, könnte er somit verfügen, dass die Information an die betroffene Person oder an ihn selbst erfolgt. Würde das Unternehmen vorsätzlich diese Verfügung missachten, so kann die verantwortliche natürliche Person mit einer Busse bis zu 250'000 Franken bestraft werden (Art. 63 revDSG).
Wer vorsätzlich die Mindestanforderungen an die Datensicherheit, welche der Bundesrat in der Verordnung vorgibt, nicht einhält, kann zukünftig mit Busse bis zu 250’000 Franken bestraft werden. Die Schutzziele welche durch die Massnahmen der Datensicherheit erreicht werden müssen, sind in der Verordnung aufgelistet (z.B. Zugriffs- und Zugangskontrolle).
Datensicherheitsverletzungen sollten so weit als möglich verhindert werden. Dazu müssen angemessene technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit getroffen werden. Die Angemessenheit dieser Massnahmen beurteilt sich insbesondere nach dem Zweck und der Art der Datenbearbeitung, der Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenziellen Auswirkungen für die Betroffenen sowie dem Stand der Technik. Um bei einem Datensicherheitsvorfall trotzdem vorbereitet zu sein, ist es ratsam, einen internen Prozess zu erstellen, der regelt, wie in einem solchen Fall vorzugehen ist. Dabei sollte eine Person im Unternehmen zuständig sein, zu prüfen, ob eine Meldung an den EDÖB oder die betroffene Person nötig ist und falls ja, dass diese rechtzeitig und mit allen notwendigen Informationen erfolgt.