SwissAccounting Blog

Meldepflicht bei Datensicherheits­verletzungen

Geschrieben von Maria Winkler | 02/08/2022 11:14

Mit dem revidierten Datenschutzgesetz (revDSG), welches am 01. September nächsten Jahres in Kraft treten soll, wird eine neue Meldepflicht für Datensicherheitsverletzungen eingeführt. Diese Pflicht lehnt sich im Grundsatz dem europäischen Recht an. Der vorliegende Beitrag beleuchtet kurz die neue Meldepflicht und zeigt auf, was Unternehmen im Fall eines Datensicherheitsvorfalls aus datenschutzrechtlicher Sicht zu beachten haben.

 

Worum geht es?

Von einer Datensicherheitsverletzung wird erst gesprochen, wenn aufgrund einer Sicherheitsverletzung unbeabsichtigt oder widerrechtlich Personendaten verlorengehen, gelöscht, oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Nicht nur Hackerangriffe, sondern beispielsweise auch das unbeabsichtigte Löschen von Personendaten durch einen Mitarbeitenden oder der Verlust von Daten aufgrund einer technischen Panne stellen daher Datensicherheitsverletzungen dar.

Findet ein Datensicherheitsvorfall statt, ist in der Regel zuerst noch unklar, was genau passiert ist und welche Daten überhaupt betroffen sind. Kann beispielsweise festgestellt werden, dass aus Versehen eine Liste mit Daten an eine bestimmte Anzahl von Empfängern verschickt wurde, muss zunächst geklärt werden, ob Personendaten betroffen sind. Enthält die erwähnte Liste lediglich Daten betr. eine Getränkebestellung für das Unternehmen, dann sind keine Personendaten betroffen und es liegt kein (meldepflichtiger) Datensicherheitsvorfall gemäss DSG vor.

Grundlagen schaffen

Damit im Anlassfall korrekt vorgegangen wird, ist es wichtig, die entsprechenden Grundlagen zu schaffen. Dazu müssen insbesondere die Verantwortlichkeiten geklärt, das Vorgehen festgelegt und die Mitarbeitenden geschult werden.

Die Person, welche einen Datensicherheitsvorfall erkennt oder den Verdacht hat, ein solcher Vorfall könnte vorliegen, hat dies unverzüglich der zuständigen Person im Unternehmen zu melden. Diese Zuständigkeiten sind vorab zu klären und in einem Prozess abzubilden. Die Mitarbeitenden sollten daher auch entsprechend geschult werden, so dass bei einem Vorfall alle Beteiligten wissen, wie sie vorzugehen haben. Hierbei hilft eine offene Kommunikation die auf einer Vertrauensbasis basiert, so dass sich die Mitarbeitenden auch trauen, einen Vorfall der allenfalls auf einem eigenen Fehlverhalten beruht, zu melden. Die intern zuständige Person (z.B. die Datenschutzberater*in oder ein Informationssicherheitsbeauftragter) hat dann alleine oder zusammen mit einer externen Datenschutzberater*in zu entscheiden, ob es sich beim Vorfall um eine Datensicherheitsverletzung handelt. Liegt eine solche Verletzung vor, müssen unverzüglich geeignete Massnahmen getroffen werden, um die Folgen der Verletzung zu reduzieren. Werden beispielsweise Passwörter gehackt, so könnten als erstes die entsprechenden Konten gesperrt werden, falls überhaupt klar ist, welche betroffen sind.

erhalten Sie einen tieferen Einblick in dieses spannende Thema: in unserem Zertifikatslehrgang "Datenschutzberater*in" - Hybrid

Wann besteht eine Meldepflicht?

Es muss nicht jede Datenpanne dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Eine solche Pflicht besteht nur, wenn diese voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Ein solches wird beispielsweise dann vorliegen, wenn besonders sensible Personendaten betroffen sind (z.B. Gesundheitsdaten) oder wenn die Datenpanne zu einem Verlust der Arbeitsstelle, oder einer ähnlich schwerwiegenden Beeinträchtigung führen kann. Um das Risiko zu beurteilen, sind folgende Faktoren zu berücksichtigen: Die Art der Verletzung, die Sensibilität und die Menge der Daten, die Frage, wie einfach eine Person identifiziert werden kann und die Schwere der Folgen für die Betroffenen.

Das Unternehmen muss somit eine Prognose in Bezug auf die möglichen Auswirkungen der Verletzung für die betroffenen Personen stellen. Je nachdem, wie die Prognose ausfällt, sind die Betroffenen zu informieren, oder nicht. Wenn es zum Schutz der betroffenen Person erforderlich ist (z.B., weil sie dadurch ihre Passwörter ändern kann) oder der EDÖB es verlangt, müssen auch die betroffene Person informiert werden.

Die Anforderungen an die Meldung sind sowohl im Datenschutzgesetz als auch in der noch kommenden Datenschutzverordnung enthalten (der Entwurf der Verordnung liegt vor, der Text ist jedoch noch nicht definitiv und kann noch geändert werden). In der Meldung ist gemäss Gesetz mindestens die Art der Verletzung der Datensicherheit (z.B. Vernichtung oder Löschung, der Verlust, die Veränderung und die Bekanntgabe von Daten an Unbefugte), deren Folgen, sowie gemäss Verordnung die Risiken (für die betroffenen Personen) und die ergriffenen oder vorgesehenen Massnahmen zur Beseitigung oder Milderung der Folgen zu nennen. Die Verordnung gibt zusätzlich vor, auch den Zeitpunkt und die Dauer der Verletzung und die Kategorien sowie ungefähre Anzahl der betroffenen Personen (z.B. 50 Kunden) und der Personendaten zu nennen. Ausserdem sind in der Meldung Name und Kontaktdaten einer Ansprechperson anzugeben.

Wie rasch muss die Meldung erfolgen?

Besteht eine Meldepflicht, muss die Meldung so rasch als möglich erfolgen. Das revidierte DSG macht somit keine klaren Vorgaben über die Frist. Es ist zu empfehlen, umso schneller zu handeln, je grösser die Anzahl der Betroffenen oder je erheblicher die Gefährdung dieser Personen ist. Es empfiehlt sich, Musterschreiben vorbereitet zu haben, welche aufgrund der zeitlichen Dringlichkeit lediglich noch entsprechend angepasst werden können

Ausnahmen

Die Information kann eingeschränkt oder aufgeschoben werden, sowie gänzlich ausbleiben, falls einer der folgenden Gründe vorliegt:

  • Es besteht eine gesetzliche Geheimhaltungspflicht;
  • Es bestehen überwiegende Interessen Dritter;
  • Die Information ist unmöglich (z.B., wenn nicht bekannt ist, welche Personen betroffen sind) oder erfordert einen unverhältnismässigen Aufwand (z.B., wenn so viele Personen betroffen sind, dass die verursachten Kosten in keinem Verhältnis zum Informationsgewinn für die Betroffenen stehen);
  • Die Information der betroffenen Person ist durch eine öffentliche Bekanntmachung in vergleichbarer Weise (z.B. Publikation auf Website) sichergestellt.

Dokumentation

Zum Schluss sollten die Vorfälle dokumentiert und die Dokumentation sollte intern abgelegt werden. Damit kann in einem Problemfall auch aufgezeigt werden, dass die Vorgaben ernst genommen und entsprechend umgesetzt werden. Gemäss Verordnung ist die Dokumentation ab dem Zeitpunkt der Meldung mindestens drei Jahre aufzubewahren.

Strafen bei Missachtung

Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) kommen mit dem revDSG auch gewisse neue Kompetenzen zu. Insbesondere kann er gemäss Art. 51 revDSG Verfügungen erlassen. Falls das Unternehmen bei einer Datensicherheitsverletzung keine Meldung vornimmt, der EDÖB jedoch von der Verletzung erfährt und die Situation anders einschätzt, könnte er somit verfügen, dass die Information an die betroffene Person oder an ihn selbst erfolgt. Würde das Unternehmen vorsätzlich diese Verfügung missachten, so kann die verantwortliche natürliche Person mit einer Busse bis zu 250'000 Franken bestraft werden (Art. 63 revDSG).

Wer vorsätzlich die Mindestanforderungen an die Datensicherheit, welche der Bundesrat in der Verordnung vorgibt, nicht einhält, kann zukünftig mit Busse bis zu 250’000 Franken bestraft werden. Die Schutzziele welche durch die Massnahmen der Datensicherheit erreicht werden müssen, sind in der Verordnung aufgelistet (z.B. Zugriffs- und Zugangskontrolle).

Empfehlungen

Datensicherheitsverletzungen sollten so weit als möglich verhindert werden. Dazu müssen angemessene technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit getroffen werden. Die Angemessenheit dieser Massnahmen beurteilt sich insbesondere nach dem Zweck und der Art der Datenbearbeitung, der Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenziellen Auswirkungen für die Betroffenen sowie dem Stand der Technik. Um bei einem Datensicherheitsvorfall trotzdem vorbereitet zu sein, ist es ratsam, einen internen Prozess zu erstellen, der regelt, wie in einem solchen Fall vorzugehen ist. Dabei sollte eine Person im Unternehmen zuständig sein, zu prüfen, ob eine Meldung an den EDÖB oder die betroffene Person nötig ist und falls ja, dass diese rechtzeitig und mit allen notwendigen Informationen erfolgt.

 

>>> mehr zu diesem brandaktuellen Thema erfahren Sie in unserem Zertifikatslehrgang "Datenschutzberater*in"! Jetzt informieren und anmelden.