Beurteilung eines Datenschutzvorfalls

Dez 31, 2023

Die Beurteilung eines Datenschutzvorfalls wird in der Praxis an Bedeutung zunehmen. Statistisch gesehen ist jedes Unternehmen früher oder später von einem Datenschutzvorfall betroffen. Es ist deshalb wichtig sich diesem Thema anzunehmen. Der nachfolgende Beitrag soll als Hilfestellung dienen um einen Datenschutzvorfall zu untersuchen und zu bewerten.

Rechtsgrundlagen

Bereits heute besteht nach Art. 33 ff der Europäischen Datenschutz-Grundverordnung (DSGVO) eine Pflicht zur Meldung von Datenschutzverletzungen. Ein Verstoss gegen datenschutzrechtliche Vorschrift kann mit Bussgeldern von bis zu 20 Mio. EUR geahndet werden.

Auch das revidierte Schweizer Datenschutzgesetz (revDSG) sieht eine Meldepflicht von Verletzungen der Datensicherheit vor (Art. 22 revDSG):

Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten). Eine Verletzung der Datensicherheit ist eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG). Sofern ein Verdacht besteht, dass ein Vorfall mit Personendaten – ob unbeabsichtigt oder unrechtmässig – zur Vernichtung, zum Verlust, zur Veränderung; oder zur unbefugten Offenlegung von beziehungsweise zu unbefugtem Zugang zu Personendaten führt, ist deshalb zu prüfen, ob eine Verletzung der Datensicherheit vorliegt. Diese ist unabhängig von der Höhe des Risikos für die betroffenen Personen und unabhängig davon, ob er möglicherweise meldepflichtig ist oder nicht.

Führt die Verletzung voraussichtlich zu einem einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, muss sie dem Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten gemeldet werden. Ferner informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Hierfür ist eine Beurteilung des Datenschutzvorfalls, sowie die damit verbundenen Risiken für die betroffenen Personen notwendig. Nur so kann entschieden werden, ob eine Meldung gegenüber der Betroffenen und/oder des EDÖBs notwendig ist und um die entsprechende Meldung vorzubereiten.

Problematisch ist, dass die beteiligten Mitarbeiter oft nicht genau wissen, welche Informationen Sie beizubringen haben, um eine solche Beurteilung zu machen. Die nachfolgenden Fragen sollen deshalb als Hilfestellungen gelten.

 

Untersuchung des Datenschutzvorfalls

Bei der Beurteilung eines Datenschutzvorfalls können insbesondere die nachfolgenden Fragen herangezogen werden:

  • Wie kam es zu diesem Vorfall?
  • In welchem Arbeitsbereich ist der Vorfall aufgetreten?
  • Dauert der Vorfall weiterhin an?
    • Falls ja, welche Sofortmassnahmen wurden getroffen?
  • Wie viele Datensätze sind betroffen?
  • Sind Personendaten betroffen?
    • Falls ja, welche Personendaten sind betroffen?
    • Falls ja, wie viele Personen sind betroffen?
  • War ein Auftragsbearbeiter involviert?
  • Betrifft der Vorfall mehrere Länder?
  • Welche Massnahmen wurden eingeleitet?
Risikobeurteilung des Datenschutzvorfalls

Zur Beurteilung des Risikos des Datenschutzvorfalls können folgende Fragen herangezogen werden:

  • Um welche Art der Verletzung handelt es sich?
    • Verletzung der Vertraulichkeit: unbefugte oder versehentliche Offenlegung oder Zugriff auf Personendaten
    • Verletzung der Integrität: unbefugte oder versehentliche Veränderung von Personendaten
    • Verletzung der Verfügbarkeit: versehentlicher oder unbefugter Verlust des Zugangs zu oder der Zerstörung von Personendaten
  • Wie sensibel sind die betroffenen Daten?
  • Wie einfach ist die Identifizierung von Personen durch den Datenschutzvorfall?
  • Wie schwer sind die Folgen des Vorfalls?
  • Weisen die betroffenen Personen besondere Merkmale auf, z.B. Kinder/Minderjährige oder andere schutzbedürftige Personen oder andere Faktoren, die die betroffene Person anfällig machen?
  • Weist der Verantwortliche besondere Merkmale auf, z.B. öffentlich-rechtliche Institution, ein Spital?
  • Wie hoch ist die Zahl der betroffenen Personen?
  • Wie hoch ist die Zahl der betroffenen Datensätze?
  • Wie schwer sind die potentiellen Auswirkungen auf die Rechte der betroffenen Personen?
  • Wie wahrscheinlich ist die Wiederholung des Vorfalls?
Fristenwahrung

Ergibt sich aus der obigen Bewertung, dass die Verletzung der Datensicherheit ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so ist diese unverzüglich EDÖB zu melden. In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen (Art. 22 revDSG). Darüber hinaus informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

Es ist deshalb wichtig, dass ein Reaktionsplan zur Bewältigung von Datenpannen geschaffen wird und dieser muss im Unternehmen bekannt sein. Dabei müssen die einzelnen Rollen konkret Mitarbeitern zugewiesen werden. Nur so kann ein Team gebildet werden, welches sofortige Massnahmen ergreift und eine möglicherweise notwendige Meldung an die betroffenen Personen und/oder den EDÖB vorbereitet.

Sehr gerne unterstützen wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.