Die Beurteilung eines Datenschutzvorfalls wird in der Praxis an Bedeutung zunehmen. Statistisch gesehen ist jedes Unternehmen früher oder später von einem Datenschutzvorfall betroffen. Es ist deshalb wichtig sich diesem Thema anzunehmen. Der nachfolgende Beitrag soll als Hilfestellung dienen um einen Datenschutzvorfall zu untersuchen und zu bewerten.
Rechtsgrundlagen
Bereits heute besteht nach Art. 33 ff der Europäischen Datenschutz-Grundverordnung (DSGVO) eine Pflicht zur Meldung von Datenschutzverletzungen. Ein Verstoss gegen datenschutzrechtliche Vorschrift kann mit Bussgeldern von bis zu 20 Mio. EUR geahndet werden.
Auch das revidierte Schweizer Datenschutzgesetz (revDSG) sieht eine Meldepflicht von Verletzungen der Datensicherheit vor (Art. 22 revDSG):
Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten). Eine Verletzung der Datensicherheit ist eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG). Sofern ein Verdacht besteht, dass ein Vorfall mit Personendaten – ob unbeabsichtigt oder unrechtmässig – zur Vernichtung, zum Verlust, zur Veränderung; oder zur unbefugten Offenlegung von beziehungsweise zu unbefugtem Zugang zu Personendaten führt, ist deshalb zu prüfen, ob eine Verletzung der Datensicherheit vorliegt. Diese ist unabhängig von der Höhe des Risikos für die betroffenen Personen und unabhängig davon, ob er möglicherweise meldepflichtig ist oder nicht.
Führt die Verletzung voraussichtlich zu einem einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, muss sie dem Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten gemeldet werden. Ferner informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Hierfür ist eine Beurteilung des Datenschutzvorfalls, sowie die damit verbundenen Risiken für die betroffenen Personen notwendig. Nur so kann entschieden werden, ob eine Meldung gegenüber der Betroffenen und/oder des EDÖBs notwendig ist und um die entsprechende Meldung vorzubereiten.
Problematisch ist, dass die beteiligten Mitarbeiter oft nicht genau wissen, welche Informationen Sie beizubringen haben, um eine solche Beurteilung zu machen. Die nachfolgenden Fragen sollen deshalb als Hilfestellungen gelten.
Untersuchung des Datenschutzvorfalls
Bei der Beurteilung eines Datenschutzvorfalls können insbesondere die nachfolgenden Fragen herangezogen werden:
- Wie kam es zu diesem Vorfall?
- In welchem Arbeitsbereich ist der Vorfall aufgetreten?
- Dauert der Vorfall weiterhin an?
- Falls ja, welche Sofortmassnahmen wurden getroffen?
- Wie viele Datensätze sind betroffen?
- Sind Personendaten betroffen?
- Falls ja, welche Personendaten sind betroffen?
- Falls ja, wie viele Personen sind betroffen?
- War ein Auftragsbearbeiter involviert?
- Betrifft der Vorfall mehrere Länder?
- Welche Massnahmen wurden eingeleitet?
Risikobeurteilung des Datenschutzvorfalls
Zur Beurteilung des Risikos des Datenschutzvorfalls können folgende Fragen herangezogen werden:
- Um welche Art der Verletzung handelt es sich?
- Verletzung der Vertraulichkeit: unbefugte oder versehentliche Offenlegung oder Zugriff auf Personendaten
- Verletzung der Integrität: unbefugte oder versehentliche Veränderung von Personendaten
- Verletzung der Verfügbarkeit: versehentlicher oder unbefugter Verlust des Zugangs zu oder der Zerstörung von Personendaten
- Wie sensibel sind die betroffenen Daten?
- Wie einfach ist die Identifizierung von Personen durch den Datenschutzvorfall?
- Wie schwer sind die Folgen des Vorfalls?
- Weisen die betroffenen Personen besondere Merkmale auf, z.B. Kinder/Minderjährige oder andere schutzbedürftige Personen oder andere Faktoren, die die betroffene Person anfällig machen?
- Weist der Verantwortliche besondere Merkmale auf, z.B. öffentlich-rechtliche Institution, ein Spital?
- Wie hoch ist die Zahl der betroffenen Personen?
- Wie hoch ist die Zahl der betroffenen Datensätze?
- Wie schwer sind die potentiellen Auswirkungen auf die Rechte der betroffenen Personen?
- Wie wahrscheinlich ist die Wiederholung des Vorfalls?
Fristenwahrung
Ergibt sich aus der obigen Bewertung, dass die Verletzung der Datensicherheit ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so ist diese unverzüglich EDÖB zu melden. In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen (Art. 22 revDSG). Darüber hinaus informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Es ist deshalb wichtig, dass ein Reaktionsplan zur Bewältigung von Datenpannen geschaffen wird und dieser muss im Unternehmen bekannt sein. Dabei müssen die einzelnen Rollen konkret Mitarbeitern zugewiesen werden. Nur so kann ein Team gebildet werden, welches sofortige Massnahmen ergreift und eine möglicherweise notwendige Meldung an die betroffenen Personen und/oder den EDÖB vorbereitet.
Sehr gerne unterstützen wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
