LAWINFO

Datenschutzrecht

QR Code

Meldung Datenschutzverletzung («Data Breach Notification»)

Rechtsgebiet:
Datenschutzrecht
Stichworte:
Datenschutz, Datenschutzrecht
Autor:
Bürgi Nägeli Rechtsanwälte
Herausgeber:
Verlag:
LAWMEDIA AG

Das Handling einer Datenschutzverletzung bzw. Datenschutzpanne (auch: «Data Breach Management») beinhaltet folgendes:

Definition

  • Datenschutzverletzungsmeldung («Data Breach Notification»)   =   Meldepflicht an den EDÖB, falls diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen.

Grundlagen

  • nDSG 24
  • nDSG 25
  • nDSV 15
  • nDSV 14

Meldung

  • Grundsatz
    • Eine Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
  • Rasche Mitteilung bei hohem Risiko
    • Gemäss nDSG 24 ist eine Verletzung
      • so rasch als möglich zu melden,
      • wenn sie voraussichtlich zu einem hohen Risiko führt
        • für die Persönlichkeit oder
        • für die Grundrechte der betroffenen Person.

Verletzungskatalog

  • Begriffskatalog
    • Die Verletzung der Datensicherheit ist im Begriffskatalog von nDSG 5 lit. h definiert:
      • Die Verletzung tritt ein bei:
        • Verlust von Personendaten (unbeabsichtigt oder widerrechtlich)
        • Personendaten-Löschungen
        • Personendaten-Vernichtungen
        • Personendaten-Veränderungen
        • unbefugter Personendaten-Offenlegung
        • unbefugter Personendaten-Zugänglichmachung.
  • Verletzungen
    • Eine Verletzung kann sich manifestieren in:
      • einem ungewollten Datenverlust
      • einer fehlerhaften Bekanntgabe
      • einem äusseren Angriff
      • einem technischen Fehler
      • einem menschliches Fehlverhalten
    • Die Verletzung kann auch – in Kompetenzverletzung oder mittels fahrlässigen Handelns – erfolgen durch:
      • Dritte
      • Mitarbeiter
      • Auftragsbearbeiter
      • etc.
    • Vgl. Botschaft nDSG, S. 7064.

Definition der Meldevoraussetzungen

  • Ausgangslage
    • In nDSG und DSV wird nicht klar definiert, wann eine Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
  • Analyse des Verantwortlichen
    • Ähnlich der „DSFA“ hat der Verantwortliche für den konkreten Verletzungsfall eine Prognose in Bezug auf die möglichen Auswirkungen der Verletzung auf die betroffene Person zu stellen (vgl. Botschaft nDSG, S. 7064).

Ausnahmen von der Meldepflicht

  • Nicht jede Datenschutzverletzung ist meldepflichtig.
    • Es ist daher genau zu prüfen, ob die Meldevoraussetzungen gegeben sind.

Rasche Meldung / Frist

  • Ausgangslage
    • Mit der Formulierung «so rasch als möglich» bestimmt nDSG 24 Abs. 1 den zeitlichen Rahmen so vage wie nötig die Notwendigkeit der unverzüglichen Meldung.
  • Raschheit vor Vollständigkeit
    • Nicht die Vollständigkeit der Meldung hat Priorität:
      • DSV 15 Abs. 2 (siehe unten) stellt dies insofern klar, als fehlende Angaben „so rasch als möglich nachgeliefert“ werden können, sollte es dem Verantwortlichen nicht möglich sein, alle Angaben gleichzeitig zu melden.
  • Meldungsinhalt
    • Der Inhalt der Meldung wird in DSV 15 Abs. 1 lit. a–g bestimmt
    • Es sollen v.a. gemeldet werden:
      • Beschreibung der Verletzung
      • Risiken
      • getroffene und zu treffende Massnahmen.

Meldung in Strafverfahren

  • Eine „Data Breach Notification“ soll in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden (vgl. nDSG 24 Abs. 6).

Kenntnisgabe der Datenschutzverletzung an betroffene Person(en)

  • Grundsatz
    • Die betroffene Person kann auf Gefährdungen durch die Datenschutzverletzung nur reagieren, wenn ihr die Verletzung der Datensicherheit bekannt ist.
  • Orientierung
    • Der Verantwortliche hat daher die betroffene Person zu informieren, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt (Art. 24 Abs. 4 nDSG).

Auftragsbearbeitungsverhältnis

  • Zuständigkeiten
    • Im Auftragsbearbeitungsverhältnis bestimmt DSV 15 Abs. 3, dass der Auftragsbearbeiter eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen zu melden hat und nicht direkt an den EDÖB gelangen soll.

Dokumentierungs- und Aufbewahrungspflicht

  • Grundsatz
    • Der Verantwortliche hat die Verletzungen zu dokumentieren.
  • Dokumentierungsumfang
    • Die Dokumentation muss enthalten:
      • die mit den Vorfällen zusammenhängenden Tatsachen
      • die Auswirkungen der Verletzungen
      • die ergriffenen Massnahmen.
    • Vgl. für die Details DSV 15 (siehe Box unten).
  • Aufbewahrungsdauer der Dokumentation
    • Die Verletzungs-Dokumentation ist, ab dem Meldungs-Zeitpunkt berechnet, mindestens zwei Jahre aufzubewahren (vgl. DSV 15 Abs. 4).

Die Details von nDSG 24

Art. 24 nDSG Meldung von Verletzungen der Datensicherheit

1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:

  1. ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
  2. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
  3. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.

Art. 15 DSV Meldung von Verletzungen der Datensicherheit

1 Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:

  1. die Art der Verletzung;
  2. soweit möglich den Zeitpunkt und die Dauer;
  3. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
  4. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
  5. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
  6. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
  7. den Namen und die Kontaktdaten einer Ansprechperson.

2 Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.

3 Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e–g mit.

4 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren.

Literatur

  • SCHÖNBÄCHLER MATTHIAS R., Zum neuen Schweizer Datenschutzrecht, in: ZBJV 159 (2023) S. 187 ff.

Links

    Kontakt

    Bürgi Nägeli Rechtsanwälte

    Kontakt / Help

    Bürgi Nägeli Rechtsanwälte

    Anrede

    Ihr Vorname*

    Ihr Nachname*

    Firma

    Telefonnummer*

    Betreff (Interessen- / Streitgegenstand)*

    * = Pflichtfelder

    Datenschutzerklärung | Privacy

    Eine Kopie der Mitteilung geht an die im Feld "E-Mail" angegebene E-Mail-Adresse.

    Vorbehalt / Disclaimer

    Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

    Urheber- und Verlagsrechte

    Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.