Eine Meldung Datenschutzverletzung oder „Data Breach Notification“ bezieht sich auf den Prozess, bei dem eine Organisation oder ein Unternehmen dazu verpflichtet ist, die zuständigen Datenschutzbehörden und allenfalls auch betroffenen Personen über eine Verletzung der Datensicherheit zu informieren, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Diese Verletzung betrifft die persönlichen oder vertraulichen Daten von natürlichen Personen, die von der Organisation gespeichert oder verarbeitet werden und bei einem Vorfall betroffen sind.

Es gibt verschiedene Vorfälle, bei welchen eine Datenschutzverletzung auftreten kann, darunter:

1. Cyber Incident / Angriff: Wenn eine böswillige Partei in die Computersysteme eines Unternehmens eindringt und auf personenbezogene Daten zugreifen kann und diese auch allenfalls wegkopiert (Stichwort Ransomeware-Angriffe).
2. Phishing-Angriffe: Wenn Mitarbeiter dazu verleitet werden, vertrauliche Informationen preiszugeben, indem sie auf gefälschte E-Mails oder Websites hereinfallen.
3. Verlorene oder gestohlene Geräte oder Unterlagen: Wenn physische Geräte wie Laptops, Smartphones, USB-Laufwerke oder auch Papierunterlagen verloren gehen oder gestohlen werden und auf ihnen personenbezogene Daten gespeichert sind.
4. Menschliche Fehler: Wenn Mitarbeiter Personendaten versehentlich veröffentlichen oder weitergeben, ohne die erforderlichen Massnahmen zu treffen.

Bei einer Meldung Datenschutzverletzung gilt es folgendes zu beachten:

1. Zeitrahmen: Die meisten Datenschutzgesetze schreiben vor, dass Datenschutzverletzungen so schnell wie möglich gemeldet werden müssen, oft innerhalb einer festgelegten Frist, nachdem die Verletzung entdeckt wurde. (In der Schweiz soll die Meldung «so rasch als möglich» erfolgen.)
2. Informationen zur Verletzung: Die Meldung muss detaillierte Informationen zur Verletzung enthalten, einschliesslich des Zeitpunkts des Vorfalls, der Art der verletzten Daten, der Anzahl der betroffenen Personen und der potenziellen Auswirkungen.
3. Benachrichtigung betroffener Personen: In vielen Ländern und Regionen sind Unternehmen verpflichtet, die betroffenen Personen über die Datenschutzverletzung zu informieren, insbesondere wenn die Verletzung deren persönliche Daten betrifft. Diese Benachrichtigung sollte klar und verständlich sein.
4. Meldung an Aufsichtsbehörden: Je nach Datenschutzgesetzgebung müssen Organisationen auch die zuständigen Datenschutzbehörden über die Verletzung informieren.
5. Massnahmen zur Abhilfe: Die Meldung sollte auch Informationen darüber enthalten, welche Schritte das Unternehmen unternommen hat oder beabsichtigt, um die Verletzung zu beheben und zukünftige Verletzungen zu verhindern.

Die genauen Anforderungen für die Meldung von Datenschutzverletzungen können je nach Land und Region unterschiedlich sein. Die Europäische Datenschutz-Grundverordnung (DSGVO) hat beispielsweise strenge Anforderungen für die Meldung von Datenschutzverletzungen in der Europäischen Union festgelegt. In der Schweiz gilt für Private das Datenschutzgesetz (DSG) insbesondere Art. 24 und für öffentliche Organe gelten die kantonalen Datenschutzgesetze.

Die Schweizer Gesetze sehen eine Meldung an die Behörden dann vor, wenn die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Damit wird klar, dass bei einer möglichen Verletzung der Datensicherheit immer eine Risikoanalyse aus dem Gesichtspunkt der betroffenen Person durchgeführt werden muss. Diese unterschiedet sich von der nach innen gerichteten Risikoanalyse dadurch, dass nicht die Issues des Unternehmens oder der Organisation beachtet werden müssen, sondern der Impact für die betroffene Person beurteilt wird. Es geht dabei also nicht darum, wie schnell die Unternehmung bei einem Cyber Incident wieder «up and running» ist, sondern was möglicherweise für einen Schaden bei den betroffenen Personen durch die gestohlenen Personendaten verursacht wird. Bei einem Vorfall muss darum der Sicherheitsbeauftragte oder CISO und der Datenschutzverantwortliche eng zusammenarbeiten, gegenseitig laufend den aktuellen Kenntnisstand austauschen und entsprechende Risikoanalysen durchführen.

Wer muss melden?

Meldepflichtig sind die für eine Datenbearbeitung Verantwortlichen. Auftragsbearbeiter wie Cloud- oder SaaS-Anbieter melden Datensicherheitsverletzungen an den Verantwortlichen. Von einer Datensicherheitsverletzung betroffene Personen melden solche auch im Rahmen dieser Meldepflicht.

Wie muss gemeldet werden?

Der EDÖB hat seit dem Inkrafttreten des neuen Datenschutzgesetzes am 1. September 2023 ein Online-Dienst zur Meldung von Datensicherheitsverletzungen (https://databreach.edoeb.admin.ch/report). Mit diesem Online-Dienst sind sowohl Neumeldungen als auch Folgemeldungen möglich. Die Datenschutzaufsichtsbehörden vieler Kantone haben für ihren Zuständigkeitsbereich auch entsprechende Formulare und Merkblätter publiziert.

Fazit: Bei einem Vorfall mit möglicher Datenschutzverletzung wie zum Beispiel bei einem Cyber Angriff müssen die Behörden umgehend informiert werden, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person bedeutet.

Daniel Spichty /0923