Die Art.-29-Datenschutzgruppe hat einen auf den 3. Okto­ber 2017 datier­ten Ent­wurf eines Leit­fa­dens zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen ver­öf­fent­licht (“Gui­de­li­nes on Per­so­nal data bre­ach noti­fi­ca­ti­on under Regu­la­ti­on 2016/679″ [PDF]). Sie äussert sich dar­in u.a. zu fol­gen­den The­men:

  • Legal­de­fi­ni­ti­on der “Daten­si­cher­heits­ver­let­zung”
  • RIsi­ko­ein­schät­zung: Metho­dik, rele­van­te Risi­ken und Gewich­tung (aber rela­tiv knapp)
  • Aus­lö­sung der Mel­de­pflicht gegen­über der zustän­di­gen Behör­de (unver­züg­lich, nach­dem eine Ver­let­zung “bekannt” ist; zuläs­si­ge Vor­ab­klä­run­gen vor einer Mel­dung)
  • Pflich­ten des Auf­trags­ver­ar­bei­ters
  • Gegen­stand der Mel­de­pflicht; Ablauf; gestuf­te und gebün­del­te Mel­dun­gen; Nach­mel­dun­gen
  • Zustän­dig­keit der Behör­den; Leit­be­hör­de
  • Ent­fal­len einer Mel­de­pflicht, wenn Risi­ken feh­len
  • Mit­tei­lun­gen gegen­über den Betrof­fe­nen; “hohe” Risi­ken; Art und Wei­se der Mel­dung
  • Weg­fal­len der Mit­tei­lungs­pflicht

Der Leit­fa­den ent­hält diver­se Bei­spie­le, u.a. für “hohe Risi­ken”, die zu einer Mit­tei­lungs­pflicht gegen­über betrof­fe­nen Per­so­nen füh­ren kön­nen, etwa fol­gen­de:

  • Dieb­stahl von Log­in-Daten und Kauf­hi­sto­ri­en von einem inter­na­tio­na­len Online-Anbie­ter
  • Infol­ge eines Cyber-Angriffs kann ein Spi­tal für 30 Stun­den nicht mehr auf Gesund­heits­da­ten zugrei­fen
  • Per­so­nen­da­ten über 5000 Stu­die­ren­de wer­den an die fal­sche Mai­ling­li­sten mit 1000+ Emp­fän­gern geschickt
  • Mar­ke­ting-E-Mails wer­den so ver­sandt, dass die Emp­fän­ger alle ande­ren Emp­fän­ger erken­nen kön­nen

Der Leit­fa­den fasst das Vor­ge­hen bei Daten­si­cher­heits­ver­let­zun­gen sodann wie folgt zusam­men:

Pro memo­ria: Der Ent­wurf des DSG ent­hält eben­falls die Pflicht zur Mel­dung bzw. Mit­tei­lung von Daten­schutz­ver­let­zun­gen (Art. 22 E-DSG). Abwei­chun­gen zur DSGVO bestehen ins­be­son­de­re wie folgt:

  • Die Mel­de­pflicht gegen­über dem EDÖB ent­steht erst bei “hohen” Risi­ken (anders als bei der DSGVO besteht also nicht bei jedem ernst­haf­ten Risi­ko eine Mel­de­pflicht);
  • es besteht kei­ne beson­de­re Begrün­dungs­pflicht, wenn eine Mel­dung erst nach 72 Stun­den seit Bekannt­wer­den erfolgt;
  • eine Mit­tei­lungs­pflicht gegen­über den betrof­fe­nen Per­so­nen wird nur aus­ge­löst, wenn hohe Risi­ken bestehen und die Mit­tei­lung zusätz­lich zum Schutz der Betrof­fe­nen erfor­der­lich ist;
  • die Aus­nah­men von der Mit­tei­lungs­pflicht sind anders gere­gelt;
  • es wird nicht aus­drück­lich eine Doku­men­ta­ti­on der Ver­let­zun­gen ver­langt;
  • bei Ver­let­zung sind kei­ne Sank­tio­nen vor­ge­se­hen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.