Meldung von Datenschutzverletzungen

Mit Art. 24 DSG wird neu eine Pflicht zur Meldung von Verletzungen der Datensicherheit eingeführt. Der Verantwortliche meldet demnach dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Gegebenenfalls müssen ebenfalls die Betroffenen direkt informiert werden.

Bei einer Verletzung der Datensicherheit handelt es sich um eine Verletzung der Sicherheit, welche, ungeachtet der Absicht oder der Widerrechtlichkeit, dazu führt, dass Personendaten verlorengehen, gelöscht oder vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG). Die Verletzung kann sowohl durch externe als auch interne Beteiligte erfolgen (so zum Beispiel durch einen Hackerangriff oder aber durch fahrlässig handelnde Mitarbeiter). Als Folge einer Verletzung der Datensicherheit können etwa ein Kontrollverlust der betroffenen Person über ihre Daten oder Datenmissbräuche stehen. Da es bei einer Verletzung der Datensicherheit regelmässig auch zu Persönlichkeitsverletzungen kommt, gilt sie ebenfalls als eine Persönlichkeitsverletzung im Sinne von Art. 30 Abs. 2 lit. a DSG.

Um der betroffenen Person zu ermöglichen, auf Gefährdungen zu reagieren, muss der Verantwortliche Datenschutzverletzungen melden. In erster Linie Meldung erfolgt eine Meldung an den Datenschutzbeauftragten (Art. 24 Abs. 1 DSG). Die Meldung hat ab Zeitpunkt der Kenntnisnahme so rasch als möglich zu erfolgen. Massgebend ist dafür insbesondere das Ausmass der Gefährdung für die betroffenen Personen: Je erheblicher die Gefährdung und je grösser die Anzahl der Betroffenen, umso schneller muss der Verantwortliche die Meldung vornehmen. Die Meldung an den Beauftragten ist jedoch nur nötig, wenn die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Person führt. Unbedeutende Verletzungen sind davon ausgenommen. Um zu eruieren, ob eine belangvolle Verletzung vorliegt, muss der Verantwortliche eine Prognose in Bezug auf die ihre möglichen Auswirkungen für die betroffene Person stellen.

Art. 24 Abs. 2 DSG definiert Mindestanforderungen an eine Meldung an den Datenschutzbeauftragten. Zunächst muss – soweit als möglich – die Art der Verletzung der Datensicherheit genannt werden. Dabei können vier Arten der Verletzung unterscheiden werden: die Vernichtung oder Löschung, der Verlust, die Veränderung und die Bekanntgabe von Daten an Unbefugte. Zudem hat der Verantwortliche die Folgen der Verletzung der Datensicherheit für die betroffenen Personen (nicht für den Verantwortlichen) zu umschreiben. Zuletzt muss angegeben werden, welche Massnahmen ergriffen bzw. geplant wurden, um die Verletzung zu beseitigen oder zumindest deren Folgen zu mildern.

Eine Verletzung der Datensicherheit kann auch beim Auftragsbearbeiter auftreten. Daher ist dieser nach Art. 24 Abs. 3 DSG verpflichtet, dem Verantwortlichen so rasch als möglich jede unbefugte Datenbearbeitung zu melden. In solchen Fällen trägt der Verantwortliche die Pflicht, anschliessend eine Risikoabschätzung vorzunehmen und darüber zu entscheiden, inwieweit eine Meldepflicht gegenüber dem Datenschutzbeauftragten und den betroffenen Personen besteht. Die betroffene Person muss grundsätzlich nicht benachrichtigt werden. Gemäss Art. 24 Abs. 4 DSG muss sie jedoch über die Verletzung der Datensicherheit informiert werden, wenn es zu ihrem Schutz erforderlich ist oder wenn der Datenschutzbeauftragte dies verlangt. Bei der Entscheidung darüber, ob eine Information erforderlich ist, besteht ein gewisser Ermessensspielraum. Insbesondere muss dabei berücksichtigt werden, ob durch eine allfällige Inkenntnissetzung der Betroffenen die Risiken für Verletzungen ihrer Persönlichkeit reduziert werden können. Dies ist speziell dann der Fall, wenn sie entsprechende Vorkehrungen zu deren Schutz treffen können (z.B. durch eine Änderung von Zugangsdaten oder Passwörtern). Die Information an die betroffenen Personen kann eingeschränkt, aufgeschoben oder darauf verzichtet werden, wenn dies aufgrund überwiegender Interessen Dritter erforderlich ist oder eine gesetzliche Geheimhaltungspflicht dies verbietet (Art. 24 Abs. 5 lit. a DSG). Das gleiche gilt, wenn die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert (lit. b). Ein unverhältnismässiger Aufwand liegt etwa dann vor, wenn die verursachten Kosten im Verhältnis zum Informationsgewinn für die betroffenen Personen als unverhältnismässig erschienen. Insbesondere in solchen Fällen kann der Verantwortliche von seinem Recht Gebrauch machen, die betroffenen Personen durch eine öffentliche Bekanntmachung zu informieren (lit. c).

Kostenfreies Datenschutz Risk Assessment.

L24 AG
Weinbergstrasse 29
8006 Zürich