GoLaw

News

Hier finden Sie Neuigkeiten

Die Datenpanne aus rechtlicher Sicht

Immer wieder liest man von einer Verletzung der Datensicherheit und dem Diebstahl von Daten in den Medien. Dabei handelt es sich vielfach um amerikanische Unternehmen. So wurde letzten September Equifax eine Datenpanne bekannt, welche das Unternehmen bis heute beschäftigt. UBER hatte ebenfalls eine Datenpanne, versuchte aber den Vorfall zu vertuschen und unterliess eine Meldung an die Behörden, welche in einigen US Bundesstaaten vorgeschrieben ist. Aufgrund dieser Meldepflichten sind zurzeit mehr Vorfälle aus den USA bekannt. 

Im Gegensatz zu den USA kennt die EU sowie die Schweiz keine Meldepflicht. Datenpannen (Data Breach) mussten bis anhin weder der Aufsichtsbehörde noch den betroffenen Kunden mitgeteilt werden. Dies ändert nun mit der neuen Datenschutzgrundverordnung (DSGVO). Bei einer Data Breach ist die Aufsichtsbehörde innert 72 Stunden zu informieren und bei Verstössen mit einem hohen Risiko für die betroffene Person, ist diese direkt zu informieren. Wäre eine direkte Information zu umständlich, ist eine öffentliche Bekanntmachung möglich. Bei Komplexen Fällen, kann auch nur eine erste Meldung an die Aufsichtsbehörde erfolgen. Der Schweizer Entwurf des neuen Datenschutzgesetzes ist nicht ganz so streng. Eine Meldung an die Aufsichtsbehörde wird nur notwendig, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Auf eine Frist wurde ebenfalls verzichtet, die Meldung hat so rasch als möglich zu erfolgen. Sofern es zum Schutz der Person erforderlich ist, muss ebenfalls eine direkte Information stattfinden, alternativ ist eine öffentliche Bekanntmachung möglich. Die beiden Regelungen sind daher sehr ähnlich. Ein Verstoss unter der DSGVO kann zusätzlich zu einer Busse führen. 

Was stellt eine Verletzung der Datensicherheit dar? 

Der Entwurf zum neuen Datenschutzgesetz sieht eine Verletzung ungeachtet einer Absicht oder Widerrechtlichkeit als geben an, wenn Personendaten gelöscht, vernichtet, verändert oder Unbefugten offengelegt bzw. zugänglich gemacht werden. Es ist irrelevant, ob der Verstoss durch einen Mitarbeiter erfolgt oder von aussen durch einen Dritten. Es muss sich somit nicht zwangsläufig um einen externen Angriff handeln. Eine Veränderung, ein Löschen oder Entwenden von Personendaten durch eine interne Person stellt ebenso eine Verletzung dar. Die Verletzung der Datensicherheit ist immer im Zusammenspiel mit den technischen und organisatorischen Massnahmen zu sehen. 

Wann muss eine Verletzung gemeldet werden?

Eine Verletzung muss sobald diese bekannt wurde gemeldet werden. Es ist jeweils eine Einzelfallabwägung vorzunehmen. Wird bspw. ein Angriff auf das Netzwerk erkannt, heisst das noch nicht, dass erfolgreich Daten entwendet wurden. Besteht das Risiko, dass alle Sicherheitsvorkehrungen überwunden wurden und ein Zugriff auf Personendaten möglich war, kann von ausreichenden Gründen einer Verletzung gesprochen werden und es besteht ein hohes Risiko, dass die Persönlichkeitsrechte oder die Grundrechte von Personen betroffen sind und eine Meldung ist notwendig. 

Was muss gemeldet werden? 

Eine Meldung an die Aufsichtsbehörde beinhaltet die Art der Verletzung und soweit möglich, ist die ungefähre Zahl der betroffenen Personen zu nennen. Zusätzlich sind die betroffenen Datenkategorien zu nennen, d.h. um welche Art von Personendaten es sich handelt. Die Meldung muss ebenfalls eine Folgenabschätzung beinhalten und eine Beschreibung der getroffenen oder vorgesehen Massnahmen zur Behebung der Verletzung. Schlussendlich ist auch eine Kontaktperson zu nennen, sofern ein Datenschutzbeauftragter bestimmt wurde, übernimmt er diese Funktion. 

Vorgehen bei einer Verletzung der Datensicherheit

Es ist ein entsprechender Prozess zu definieren, damit im Ernstfall ein schnelles Handeln und eine ausreichende Dokumentation gewährleistet sind. Sobald eine mögliche Verletzung erkannt wurde, ist eine erste Einschätzung vorzunehmen und allenfalls sind Sofortmassnahmen zu ergreifen. Die intern zuständigen Stellen sind zu informieren, je nach Struktur kann dies die Geschäftsleitung, der CISO oder der Datenschutzbeauftragte sein. Danach ist eine genauere Einschätzung und eine Risikoeinstufung vorzunehmen. Es sind die weiteren Massnahmen zu evaluieren und es ist zu klären, ob eine Meldung an die Aufsichtsbehörde und die betroffenen Personen notwendig ist. Nachdem man sich um den aktuellen Vorfall gekümmert hat, sollte eine Nachbesprechung stattfinden und zukünftige Verbesserung besprochen werden, um eine Wiederholung zu verhindern.

Damit im Ernstfall nichts vergessen geht und alle notwendigen Angaben erfasst werden, sind entsprechende Vorlagen und Checklisten zu erstellen. Wichtig ist, dass auf jeder Stufe eine Dokumentation stattfindet. Es sollte jeder Vorfall dokumentiert werden, selbst wenn sich nach der ersten Abklärung ergibt, dass kein Risiko in Bezug auf Personendaten bestand. Die Einschätzung muss in einem späteren Zeitpunkt immer noch nachvollzierbar sein, nur so ist eine allfällige Rechtfertigung vor einer Aufsichtsbehörde möglich. Eine ausführlichere Beschreibung bezüglich des Umgangs mit Datenpannen findet sich in der «Guidelines on Personal data breach notification» (wp250) der Art. 29 Working Party der EU. 

Kommunikationsstrategie

Eine Mitteilung an die betroffenen Personen ist in Zukunft oft zwingend notwendig, weshalb hierzu bereits eine Strategie definiert werden sollte. Insbesondere wenn potentiell sehr viele Personen betroffen sein könnten, besteht eine hohe Wahrscheinlichkeit, dass die Verletzung zusätzlich von den Medien aufgegriffen wird. Eine transparente und gute Kommunikation mit den Medien sowie mit den betroffenen Personen schafft hier Vertrauen und kann weitere Imageverluste verhindern. Es sollte deshalb bereits im Vorfeld geklärt werden und klar bestimmt werden, wie und durch wen eine Datenpanne kommuniziert wird. 

Verletzung beim Outsourcing

Kaum ein Unternehmen verzichtet bei der IT heute noch auf Drittanbieter. Insbesondere wird für die Datenspeicherung oft auf ein externes Rechenzentrum zurückgegriffen. Da der überwiegende Teil der Daten dort gespeichert ist, ist bei einer Datenpanne das Rechenzentrum auf die eine oder andere Art betroffen. Gemäss der DSGVO muss ein solcher Drittanbieter eine Dantepanne dem Auftraggeber melden. Die genauen Pflichten müssen vertraglich definiert werden. Je nach Auftragsverhältnis ist eine Unterstützungs- oder Mitwirkungspflicht zu vereinbaren, da durch ein Outsourcing gar nicht mehr das technische Know-How vorhanden ist, um selbständig Massnahmen oder eine Untersuchung einzuleiten. 

Fazit

Es ist kaum verwunderlich, dass eine Meldepflicht auch in Europa Einzug hält. In der Vergangenheit waren die Unternehmen sehr zurückhaltend, bis anhin wurde oft nur falls unbedingt notwendig eine Datenpanne kommuniziert. Gemäss einer aktuellen Studie des GFS-Zürich sind in der Schweiz ein Drittel aller KMU’s von Cyber-Attacken betroffen aber auch Grossunternehmen bleiben nicht verschont. Erst kürzlich machte Swisscom mit einer Datenpanne Schlagzeilen, bei welcher über 800‘000 Kunden betroffen waren. Die zukünftige Meldepflicht wird viele Unternehmen dazu bewegen der Sicherheit mehr Beachtung zu schenken. In Zukunft kann eine Datenpanne nicht mehr unter den Teppich gekehrt werden und ein Unternehmen muss sich vor der Aufsichtsbehörde und schlussendlich bei den Kunden rechtfertigen.