Gastbeitrag
19.04.2023, 08:30 Uhr
19.04.2023, 08:30 Uhr
Data Breach Notifications – bald auch in der Schweiz
In der Schweiz besteht derzeit keine Pflicht, Verletzungen der Datensicherheit einer Datenschutzbehörde oder den hiervon betroffenen Personen zu melden. Dies ändert sich mit dem neuen Datenschutzgesetz ab September.
Roland Mathys ist Co-Leiter der Rechtskommission von swissICT
(Quelle: Wittmer Rechtsanwälte)
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 müssen in der EU Verletzungen der Datensicherheit der zuständigen Behörde und den von einer Verletzung betroffenen Personen gemeldet werden (Data Breach Notification). Das Schweizer Datenschutzgesetz (DSG) kennt eine solche Pflicht bisher nicht. Das neue DSG, das ab 1. September 2023 gelten wird, führt eine Meldepflicht nun auch in der Schweiz ein.
Was ist eine Verletzung der Datensicherheit?
Gemeldet werden muss nicht jeder Verstoss gegen den Datenschutz, sondern bloss eine Verletzung der Datensicherheit. Eine solche liegt vor, wenn Personendaten infolge einer Verletzung der Sicherheit verlorengehen oder gelöscht, verändert oder Unbefugten offengelegt werden. Geschützt werden somit die Verfügbarkeit, Integrität und Vertraulichkeit der Personendaten. Typische Anwendungsfälle betreffen Cyberattacken (zum Beispiel Ransomware) oder den Verlust eines Notebooks mit unverschlüsselten Personendaten.
Wer muss wem melden?
Gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den betroffenen Personen ist das für eine Bearbeitung verantwortliche Unternehmen meldepflichtig (zum Beispiel die Arbeitgeberin hinsichtlich Personendaten von Mitarbeitenden). Ist die Verletzung nicht beim Verantwortlichen eingetreten, sondern bei einem für ihn tätigen Dritten (beispielsweise IT-Dienstleister), muss dieser den Vorfall an den Verantwortlichen melden.
In welchen Fällen muss gemeldet werden?
Das verantwortliche Unternehmen muss eine Verletzung der Datensicherheit nur dann an den EDÖB melden, wenn die Verletzung zu einem voraussichtlich hohen Risiko für die betroffenen Personen führt. Dies ist etwa der Fall, wenn Personendaten geleakt und mit grosser Wahrscheinlichkeit für Phishing-Attacken eingesetzt werden.
Die betroffenen Personen müssen vor allem dann informiert werden, wenn dies zu ihrem Schutz erforderlich ist. Zu denken ist an Vorfälle, bei denen Passwörter oder Kreditkarteninformationen gestohlen wurden, damit die betroffenen Personen mit der sofortigen Änderung von Passwörtern bzw. Sperrung von Kreditkarten reagieren können.
Was muss bis wann und wie gemeldet werden?
Die Meldung an den EDÖB und die betroffenen Personen muss «so rasch als möglich» erfolgen. Anders als die DSGVO kennt das neue DSG somit keine starre Maximalfrist von 72 Stunden ab Kenntnis des Vorfalls. Zügiges Handeln ist dennoch angesagt.
Gemeldet werden müssen mindestens die Art der Verletzung, deren Folgen und die dagegen ergriffenen oder vorgesehenen Massnahmen. Die Meldung sollte schriftlich erfolgen, wofür der EDÖB ein Online-Meldeformular zur Verfügung stellen wird.
Der Inhalt einer Meldung darf in einem Strafverfahren nicht gegen das meldende Unternehmen verwendet werden. Das Unternehmen muss also nicht befürchten, sich durch eine Meldung den Strafbehörden «ans Messer zu liefern».
Was gilt, wenn die Meldung ausbleibt?
Anders als in der EU wird eine unterbliebene oder verspätete Meldung im neuen DSG nicht mit Busse sanktioniert. In Grenzfällen mag sich ein Unternehmen deshalb die Frage stellen, ob eine Meldung überhaupt abgesetzt werden soll. Bei diesem Entscheid spielen im Einzelfall diverse Faktoren eine Rolle (beispielsweise Reputationsüberlegungen).
Der Autor
Roland Mathys ist Co-Leiter der Rechtskommission von swissICT. Der Rechtsanwalt und Wirtschaftsinformatiker leitet als Partner das Technologie- und Datenrechtsteam von Schellenberg Wittmer Rechtsanwälte in Zürich. Er ist Co-Autor der Bestimmung über Data Breach Notifications im demnächst erscheinenden Basler Kommentar zum neuen Datenschutzgesetz. www.swissict.ch