Die Art.-29-Datenschutzgruppe hat einen auf den 3. Oktober 2017 datierten Entwurf eines Leitfadens zu Meldungen von Datensicherheitsverletzungen veröffentlicht (“Guidelines on Personal data breach notification under Regulation 2016/679″ [PDF]). Sie äussert sich darin u.a. zu folgenden Themen:
- Legaldefinition der “Datensicherheitsverletzung”
- RIsikoeinschätzung: Methodik, relevante Risiken und Gewichtung (aber relativ knapp)
- Auslösung der Meldepflicht gegenüber der zuständigen Behörde (unverzüglich, nachdem eine Verletzung “bekannt” ist; zulässige Vorabklärungen vor einer Meldung)
- Pflichten des Auftragsverarbeiters
- Gegenstand der Meldepflicht; Ablauf; gestufte und gebündelte Meldungen; Nachmeldungen
- Zuständigkeit der Behörden; Leitbehörde
- Entfallen einer Meldepflicht, wenn Risiken fehlen
- Mitteilungen gegenüber den Betroffenen; “hohe” Risiken; Art und Weise der Meldung
- Wegfallen der Mitteilungspflicht
Der Leitfaden enthält diverse Beispiele, u.a. für “hohe Risiken”, die zu einer Mitteilungspflicht gegenüber betroffenen Personen führen können, etwa folgende:
- Diebstahl von Login-Daten und Kaufhistorien von einem internationalen Online-Anbieter
- Infolge eines Cyber-Angriffs kann ein Spital für 30 Stunden nicht mehr auf Gesundheitsdaten zugreifen
- Personendaten über 5000 Studierende werden an die falsche Mailinglisten mit 1000+ Empfängern geschickt
- Marketing-E-Mails werden so versandt, dass die Empfänger alle anderen Empfänger erkennen können
Der Leitfaden fasst das Vorgehen bei Datensicherheitsverletzungen sodann wie folgt zusammen:
Pro memoria: Der Entwurf des DSG enthält ebenfalls die Pflicht zur Meldung bzw. Mitteilung von Datenschutzverletzungen (Art. 22 E‑DSG). Abweichungen zur DSGVO bestehen insbesondere wie folgt:
- Die Meldepflicht gegenüber dem EDÖB entsteht erst bei “hohen” Risiken (anders als bei der DSGVO besteht also nicht bei jedem ernsthaften Risiko eine Meldepflicht);
- es besteht keine besondere Begründungspflicht, wenn eine Meldung erst nach 72 Stunden seit Bekanntwerden erfolgt;
- eine Mitteilungspflicht gegenüber den betroffenen Personen wird nur ausgelöst, wenn hohe Risiken bestehen und die Mitteilung zusätzlich zum Schutz der Betroffenen erforderlich ist;
- die Ausnahmen von der Mitteilungspflicht sind anders geregelt;
- es wird nicht ausdrücklich eine Dokumentation der Verletzungen verlangt;
- bei Verletzung sind keine Sanktionen vorgesehen.