Teil 9 – Meldepflicht bei Datenschutzverletzung: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Einleitend soll die Funktion der Datenschutzaufsichtsbehörden der EU und des EDÖB, welcher als Schweizer Datenschutzaufsichtsbehörde gilt, erläutert werden. Beiden gemeinsam ist, dass ihnen eine allfällige Verletzung des Datenschutzes gemeldet werden muss, dass sie Verarbeitungsvorgänge (so bezeichnet in der DSGVO) bzw. Bearbeitungsvorgänge (so bezeichnet im DSGneu) untersuchen und dass sie Verfügungen zur Einstellung, Einschränkung oder Anpassung einer Datenbearbeitung erlassen können.

Die Definition „Verletzung der Datensicherheit“ ist im DSGneu und der DSGVO gleich und meint, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSGneu). Gemäss DSGVO müssen solche Meldungen von Verletzungen innert 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden (Art. 33 f. DSGVO).

Im DSGneu ist die Vornahme einer sog. „Data Breach Notification“ mit Art. 24 DSGneu („Meldung von Verletzungen der Datensicherheit“) neu eingeführt. Nur wenn „ein hohes Risiko“ negativer Folgen für die betroffene Person besteht, muss eine Verletzung der Datensicherheit dem EDÖB gemeldet werden, was eine Beurteilung im Einzelfall nötig macht. In der Schweiz kennen wir die 72 Stunden-Frist nicht (Gesetzeswortlaut: „so rasch als möglich“) und auch nicht die Pflicht zur Protokollierung der Verletzung, was gewiss die sinnvollere Regelung ist als in der DSGVO, wo jede dieser Meldungen eines Datenlecks auch an die betroffene Person gemacht werden muss (Art. 33 Abs. 5 DSGVO).

Gemäss DSGneu muss eine Meldung an die betroffene Person nur gemacht werden, falls es zu ihrem Schutz erforderlich ist, also falls sie z. B. ein Passwort ändern muss, damit der verletzte Schutz eines Accounts wiederhergestellt ist, weil die Zugangsdaten durch Unberechtigte abgegriffen wurden. In der Meldung an den EDÖB oder die Datenschutzaufsichtsbehörde ist mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen zu nennen.

Auftragsverarbeiter müssen Datenschutzverletzungen in jedem Fall sofort dem Auftragsgebenden melden, unabhängig davon, ob die Verletzung ein hohes Risiko mit sich bringt, damit der Auftraggeber entscheiden kann und muss, wie mit der Datensicherheitsverletzung umzugehen ist. Das DSGneu sieht keine rechtlichen Sanktionen für Verletzung der Melde- und Informationspflichten vor, was in der Praxis wohl bedeuten wird, dass längst nicht alle Vorfälle gemeldet werden dürften.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen