Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was bedeutet ein «Datenschutzverstoss» im nDSG?

Von einem «Datenschutzverstoss» ist erst dann die Rede, wenn aufgrund einer Sicherheitsverletzung unbeabsichtigt oder widerrechtlich Personendaten verlorengehen, gelöscht, oder verändert werden oder diese Unbefugten offengelegt oder zugänglich gemacht werden.

Der Begriff wird nicht selten auch als «Datensicherheitsverletzung» oder «Datenpanne» bezeichnet, was jedoch leicht zu Missverständnissen führen kann kann, wenn damit eine technische Informationssicherheitsverletzung gemeint ist, die Personendaten-Risiken ggf. mit einschliesst oder gar nicht berücksichtigt, (beispielsweise im Sinne eines Vorfalls im Rahmen eines unternehmerischen Informationssicherheits-Managementsystems, ISMS; Stichwort: ISO 27001).

Während Hacker- und andere Cyber-Angriffe selbstverständlich einen Datenschutzverstoss auslösen können, sind hier insbesondere unternehmensinterne Vorfallspotenziale zu erwähnen, die eher und öfter eintreten können, beispielsweise dass unbeabsichtigte Löschen von Personendaten durch Mitarbeitende oder der Verlust von Personendaten aufgrund einer technischen Panne.

Ob überhaupt ein Datenschutzverstoss vorliegt, wird in der Regel anfangs unklar sein. Bei einer Datensicherheitsverletzung muss zunächst geprüft werden, ob überhaupt, und wenn ja, inwieweit Personendaten betroffen sind.

Um die korrekten Erst- und Folgemassnahmen effizient und effektiv durchführen zu können, muss im Vorfeld ein Plan erstellt werden, der die Verantwortlichkeiten und Abläufe klärt.

Damit anlassbezogen korrekt «reagiert» wird, ist es wichtig, die entsprechenden Grundlagen zu schaffen. Dazu müssen insbesondere die Verantwortlichkeiten geklärt sein und Mitarbeitende im Vorfeld geschult werden.

Die Meldung eines Datenschutzverstosses an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist nur dann Pflicht, wenn der «Verstoss» voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt.

Sicherlich liegt ein «hohes» Risiko dann vor, wenn es um besonders sensible Personendaten (beispielweise Gesundheitsdaten) geht oder wenn der «Verstoss» zu einer schwerwiegenden Beeinträchtigung der betroffenen Person führen kann. Um das Risiko beurteilen zu können, sind folgende Faktoren zu berücksichtigen:

  • Die Art des Datenschutzverstosses.
  • Die «Sensibilität» und die Menge der betroffenen Personendaten.
  • Die Identifizierbarkeit einer betroffenen Person (je einfacher, desto kritischer).
  • Die Schwere der Folgen des «Verstosses» für die betroffenen Personen.

Es läuft auf eine Prognose des Unternehmens in Bezug auf die möglichen Auswirkungen des «Verstosses» für die betroffenen Personen hinaus. Je nachdem, wie die Prognose ausfällt, entscheidet sich, ob betroffene Personen zu informieren sind oder nicht.

Die genauen Anforderungen an die Meldung sind sowohl im nDSG als auch in der (neuen) DSV enthalten:

Artikel 24 (Meldung von Verletzungen der Datensicherheit) nDSG (wesentlicher Auszug):

«1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. [...]

6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.»

Artikel 15 (Meldung von Verletzungen der Datensicherheit) DSV

«1 Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:

  1. die Art der Verletzung;
  2. soweit möglich den Zeitpunkt und die Dauer;
  3. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
  4. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
  5. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
  6. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
  7. den Namen und die Kontaktdaten einer Ansprechperson.

2 Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.

3 Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e - g mit.

4 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren. »

Die Ausnahmen der Meldepflicht werden in Artikel 24 Absatz 5 nDSG festgehalten, wo es heisst:

[...] 5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:

  1. ein Grund nach Artikel 26 [Einschränkungen des Auskunftsrechts] Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
  2. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
  3. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist. [...]

Zur Ergänzung und zum besseren Verständnis nachfolgend der Wortlaut der oben referenzierten Artikel:

Artikel 26 Absatz 1 Buchstabe b nDSG:

1 Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn:

[...] b. dies aufgrund überwiegender Interessen Dritter erforderlich ist; [...]»

Artikel 26 Absatz 2 Buchstabe b nDSG:

[...] 2 Darüber hinaus ist es in den folgenden Fällen möglich, die Auskunft zu verweigern, [...]

  1. Der Verantwortliche ist ein Bundesorgan, und eine der folgenden Voraussetzungen ist erfüllt:
  1. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.
  2. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden. [...]

Das nDSG macht keine klaren Vorgaben über die Meldefrist an den EDÖB. In Artikel 24 Absatz 1 nDSG heisst es lediglich, dass der Verantwortliche

« [...] dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit [meldet], die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. [...] »

Daraus lässt sich nur mit Bestimmtheit schliessen: Je grösser die grösser Anzahl der durch den Vorfall betroffenen Personen oder je erheblicher die Gefährdung dieser Personen ist, desto schneller muss gehandelt werden.

Wichtige EDÖB-Links (Online-Quelle):

Merkblatt betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB (Stand: Mai 2023)

Untersuchung [durch den EDÖB] von Verstössen gegen Datenschutzvorschriften [Stand: Mai 2023]