EDÖB veröffentlicht Leitfaden zu Data Breaches

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat einen Leitfaden zur Meldung von Datensicherheitsverletzungen veröffentlicht. Er bezieht sich dabei insbesondere auf Art. 24 des Datenschutzgesetzes (DSG), der die Pflichten der Verantwortlichen und die Rechte der Betroffenen im Falle einer Datensicherheitsverletzung regelt. 

Das DSG soll die Persönlichkeit und Grundrechte von natürlichen Personen, über die Daten bearbeitet werden, schützen. Wenn es bei der Bearbeitung zu einer Verletzung der Datensicherheit kommt, wie etwa dem unbeabsichtigten Löschen von Personendaten, greift Art. 24. Der EDÖB behandelt in seinem Leitfaden die rechtlichen Voraussetzungen für eine Meldung von Datensicherheitsverletzungen an den EDÖB sowie die Bedingungen für die Information der Betroffenen einer solchen Verletzung.

Meldepflicht an den EDÖB

Kommt es zu einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffene Person führt, sind Verantwortliche dazu verpflichtet, den Vorfall so schnell wie möglich an den EDÖB zu melden. Dieser könne dann die veranlassten Massnahmen zum Schutz des Betroffenen evaluieren und gegebenenfalls ergänzen. In Fällen, bei denen kein hohes Risiko für Betroffene zu erkennen ist, nimmt das EDÖB auch freiwillige Meldungen entgegen. 

Hohes Risiko

Verantwortliche sollen neu auch das voraussichtliche Risiko für Personen, deren Datensicherheit verletzt wurde, in Betracht ziehen. Das bedeutet, sie müssen das Risiko einschätzen, ohne getroffene Sofortmassnahmen zu berücksichtigen. Das DSG liefert zwei Kriterien für die Beurteilung der Höhe des Risikos. 

Das erste ist die Schwere der Beeinträchtigung der Persönlichkeit oder der Grundrechte der betroffenen Person. Dabei seien Art der Datensicherheitsverletzung und Motive unberechtigter Dritter von Bedeutung; beispielsweise ob es sich um einen menschlichen Fehler, eine technische Störung oder kriminelle Absicht handelt. Auch die Art der Daten, wie etwa besonders schützenswerte Gesundheitsdaten, trägt zur Schwere der Folgen und Risiken bei. Das zweite Kriterium, um Risiken einzuschätzen, ist die Wahrscheinlichkeit befürchteter Folgen. Bei einer Datensicherheitsverletzung in einem Spital seien die Folgen deutlich schwerer als zum Beispiel bei einem Lebensmittelverteiler.

Sanktionen

Verantwortliche müssen im Falle einer Datensicherheitsverletzung, bei einem hohen oder voraussichtlich hohen Risiko für Betroffene, den Vorfall über ein interaktives Formular auf www.databreach.edoeb.admin.ch melden. Kommen sie dieser Pflicht nicht nach, kann der EDÖB eine Nachholung der Meldepflicht verfügen. Eine gänzliche oder teilweise Missachtung der Meldepflicht ist nach DSG nicht strafbewehrt.

Information gegenüber den Betroffenen

Unabhängig von der Höhe des Risikos für Betroffene müssen Verantwortliche bei Datensicherheitsverletzungen diese informieren, wenn es zum Schutz dieser Betroffenen erforderlich ist oder der EDÖB dies verlangt. Erforderlich ist die Information zum Beispiel, wenn betroffene Personen selbst Passwörter ändern müssen oder Kreditkarten gesperrt werden müssen, um den Schaden zu mindern. 

In diesen Fällen müssen Verantwortliche die Betroffenen "in einfacher und verständlicher Sprache" individuell über die Art der Verletzung, Folgen und mögliche Risiken sowie geplante oder getroffene Massnahmen informieren. Auch müssen Name und Kontaktdaten einer Ansprechperson kommuniziert werden. Bei Unterlassung der Informationspflicht kann der EDÖB eine Nachholung der Meldepflicht verfügen und gegebenenfalls auch weitere Verwaltungsmassnahmen aussprechen. 

Der EDÖB beklagte letztes Jahr, dass in vielen Digitalisierungsvorhaben der Persönlichkeitsschutz unterschätzt werde. Lesen Sie hier, wie der EDÖB zum neuen Datenschutzgesetz von 2023 steht.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.