EDÖB: Leit­fa­den zu Data Breaches

Deutsch
Deutsch English Français

Behörde(n): 

Branche(n): 

Gesetze:

Tags:

Inhalt

Der EDÖB hat am 7. Febru­ar 2025 einen auf den 6. Febru­ar 2025 datier­ten acht­sei­ti­gen “Leit­fa­den betref­fend die Mel­dung von Daten­si­cher­heits­ver­let­zun­gen und Infor­ma­ti­on der Betrof­fe­nen nach Art. 24 DSG” veröffentlicht:

Der Leit­fa­den betrifft die Pflich­ten im Fall einer Ver­let­zung der Daten­si­cher­heit i.S.v. Art. 5 lit. h DSG, also nur, wenn Per­so­nen­da­ten betrof­fen sind. Ande­re Mel­de­pflich­ten bspw. nach Art. 29 Abs. 2 FINMAG, nach der revi­dier­ten Fas­sung des ISG usw. sind nicht Gegen­stand des Leitfadens.

Infor­ma­ti­on der Verantwortlichen

Gegen­stand der Mel­dung: Der Leit­fa­den bleibt hier sehr knapp und ver­weist auf Art. 15 DSV.

Mel­de­pflicht und Mel­de­recht:

  • Der EDÖB nimmt frei­wil­li­ge Mel­dun­gen bei tie­fe­ren Risi­ken ent­ge­gen, beson­ders wenn ein media­les Inter­es­se bestehen kann (wovon i.d.R. aber abzu­ra­ten ist, ausser bei Fäl­len mit ohne­hin dro­hen­der Medi­en­öf­fent­lich­keit, weil der EDÖB dem BGÖ unter­liegt [sie­he unten] und Medi­en wei­te­re Anga­ben ver­lan­gen kön­nen, und das auch regel­mä­ssig tun, und weil der EDÖB bei der Ver­öf­fent­li­chung sehr frei­gie­big ist). Frei­wil­li­ge Mel­dun­gen kön­nen lei­der nach wie vor nicht über das Mel­de­for­mu­lar des EDÖB für Ver­let­zun­gen erfol­gen, wes­halb zumin­dest sol­che Mel­dun­gen in ande­rer Form erfol­gen sollten.
  • Eine Mel­de­pflicht besteht bei “hohen Risi­ken”. Weil das DSG Risi­ko­stu­fen nicht ein­heit­lich bestimmt, ist Art. 24 DSG sozu­sa­gen auto­nom aus­zu­le­gen. Wann ein Risi­ko in die­sem Sin­ne hoch ist, lässt der Leit­fa­den offen; er ent­hält nur Hin­wei­se, wie das Risi­ko zu bestim­men ist (aber eben nicht, ab wann es hoch ist): 
    • Zu berück­sich­ti­gen sei­en kei­ne Mass­nah­men, die erst nach der Ver­let­zung ergrif­fen wer­den. “In der bis­he­ri­gen Pra­xis” habe der EDÖB aber auch Sofort­mass­nah­men berück­sich­ti­gen kön­nen, die noch vor der Mel­dung wirk­sam wur­den. Das scheint wei­ter­hin zu gel­ten, auch wenn der Leit­fa­den gera­de hier eine kla­re Aus­sa­ge ver­mis­sen lässt. Dass sol­che Mass­nah­men beacht­lich sind, ergibt sich aber nicht nur dar­aus, dass der EDÖB auf sei­ne “frü­he­re” Pra­xis ver­weist, davon aber gera­de nicht klar abrückt, son­dern auch aus dem Norm­zweck der Mel­de­pflicht. Es ist daher wohl rich­tig, das Erfor­der­nis des hohen Risi­kos auf den Zeit­punkt der Mel­dung und nicht oder nicht nur des Ein­tritts der Ver­let­zung zu bezie­hen. “Im Zwei­fel” sei aber zu mel­den und nicht zuzuwarten.
    • Schwe­re der Fol­gen: Die­se sei zu bestim­men abhän­gig von 
      • der Schutz­wür­dig­keit der Daten;
      • der Art und der Umstän­de der Verletzung;
      • des Krei­ses und der Moti­ve unbe­rech­tig­ter Dritter;
      • des Auf­wands für die Bestim­mung der Betrof­fe­nen (eine Bekannt­ga­be von für Emp­fän­ger anony­men – bspw. wirk­sam ver­schlüs­sel­ten – Daten fal­le nicht unter Art. 24 DSG, wie der EDÖB zu Recht festhält);
      • der Men­ge der Daten und der Bear­bei­tungs­dau­er (wes­halb letz­te­res, ist unklar und fraglich);
      • der mög­li­chen ideel­len und wirt­schaft­li­chen Nachteile;
      • der Vul­nerabi­li­tät Betrof­fe­ner; und
      • der Gesamt­men­ge der betrof­fe­nen Per­so­nen und Daten.
    • Ein­tritts­wahr­schein­lich­keit: Hier geht es um eine Ein­schät­zung, wes­halb der Ver­ant­wort­li­che nicht zuwar­ten darf, bis Gewiss­heit besteht.

Mel­de­frist: Mel­de­pflich­ti­ge Ver­let­zun­gen sind mög­lichst rasch zu mel­den, ggf. stu­fen­wei­se. Das Mel­de­por­tal kann ver­wen­det wer­den, aber zwin­gend ist das nicht, und das For­mu­lar fragt auch nach nicht mel­de­pflich­ti­gen Anga­ben, die dann öffent­lich wer­den können.

Vor­ge­hen bei einer Mel­dung: Geht eine Mel­dung einer Ver­let­zung ein,

  • prüft der EDÖB sum­ma­risch, ob die getrof­fe­nen oder geplan­ten Mass­nah­men zum Schutz der Betrof­fe­nen ange­mes­sen erschei­nen. Ggf. for­dert der EDÖB auf, die Infor­ma­tio­nen zu prä­zi­sie­ren oder ande­re Mass­nah­men zu tref­fen, und der EDÖB kann mit dem Ver­ant­wort­li­chen in Kon­takt tre­ten, damit der Vor­fall (z.B. durch Siche­rung von Log­da­ten) doku­men­tiert wird;
  • prüft er, ob betrof­fe­ne Per­so­nen ange­mes­sen infor­miert wer­den, und der EDÖB kann die Öffent­lich­keit über sei­ne Fest­stel­lun­gen und Anord­nun­gen infor­mie­ren (ein Pro­blem, weil es dazu führt, dass auch sinn­vol­le Mel­dun­gen eher unter­las­sen wer­den, und weil die Ver­öf­fent­li­chungs­pra­xis des EDÖB enorm weit geht).

Öffent­lich­keit: Der EDÖB weist aus­drück­lich dar­auf hin, dass der Inhalt von Mel­dun­gen dem BGÖ unterliegt.

Sank­tio­nen: Die Ver­let­zung der Mel­de­pflicht gegen­über dem EDÖB ist nicht sank­tio­niert (und sie stellt auch kei­ne Per­sön­lich­keits­ver­let­zung dar). Straf­bar wäre erst eine Zuwi­der­hand­lung gegen eine Ver­fü­gung des EDÖB.

Infor­ma­ti­on der Betroffenen

Nach Art. 24 Abs. 4 DSG muss der Ver­ant­wort­li­che Betrof­fe­ne dann über eine Daten­schutz­ver­let­zung infor­mie­ren, wenn die Infor­ma­ti­on zum Schutz der Betrof­fe­nen erfor­der­lich ist (oder der EDÖB es anordnet):

Aus­lö­ser: Eine Mit­tei­lung ist zum Schutz der Betrof­fe­nen erfor­der­lich (ent­ge­gen eines Teils der Lite­ra­tur, aber im Ein­klang mit dem BSK: auch dann, wenn kei­ne Mel­de­pflicht gegen­über dem EDÖB besteht, d.h. das Risi­ko nicht in die­sem Sin­ne hoch ist),

  • wenn die­se Mass­nah­men zum Selbst­schutz ergrei­fen soll­ten (z. B. Pass­wor­t­än­de­rung, Kre­dit­kar­ten­sper­rung, erhöh­te Wach­sam­keit wegen der Phis­hing-Gefahr) oder wenn Betrof­fe­ne “in Unkennt­nis der Lage […] mit dem Schlimm­sten rech­nen”, auch wenn das Risi­ko tief sein mag. Dass in einer sol­chen Situa­ti­on eine Infor­ma­ti­on recht­lich zwin­gend sein kann, begrün­det der EDÖB aller­dings nicht wei­ter; die Bot­schaft sagt nichts der­glei­chen. Es dürf­te ein sel­te­ner Fall sein; der EDÖB wird hier aber u.U. eine Mit­tei­lung anordnen;
  • wenn der EDÖB eine Mit­tei­lung anord­net. Das kann er laut Leit­fa­den nicht etwa nur dann tun, wenn es der Schutz der Betrof­fe­nen erfor­dert, son­dern auch, weil die Medi­en sich dafür interessieren:

    Er kann sie dar­über hin­aus aber auch ver­lan­gen, weil nach sei­nem Dafür­hal­ten wegen der gro­ssen Anzahl von Betrof­fe­nen oder einer media­len Bericht­erstat­tung ein öffent­li­ches Inter­es­se dar­an besteht, dass die Ver­ant­wort­li­chen die hohe Anzahl von Betrof­fe­nen und damit indi­rekt auch eine brei­te Öffent­lich­keit in geeig­ne­ter Wei­se mit nähe­ren Infor­ma­tio­nen zu den Fol­gen einer Daten­si­cher­heits­ver­let­zung versorgen.

    Das ist abzu­leh­nen. Die Anord­nung des EDÖB ist als Mass­nah­me gedacht, den Ver­ant­wort­li­chen zu sei­ner Erfül­lung der Mit­tei­lungs­pflicht anzu­hal­ten; das geht sowohl aus der Geset­zes­sy­ste­ma­tik als auch dem Norm­zweck als auch der Bot­schaft klar her­vor. Es ergibt sich fer­ner aus Art. 57 Abs. 2 DSG: Der EDÖB kann – wenn ein aus­rei­chen­des öffent­li­ches Inter­es­se denn tat­säch­lich bestehen soll­te – die Öffent­lich­keit über sei­ne “Fest­stel­lun­gen und Ver­fü­gun­gen” infor­mie­ren. Der EDÖB kann eine Mass­nah­me aber sicher nicht ver­fü­gen, nur um anschlie­ssend dar­über zu berich­ten, wor­auf sei­ne Hal­tung aber hin­aus­läuft. Die Auf­ga­be des EDÖB besteht dar­in, die Anwen­dung des lege artis aus­zu­le­gen­den DSG zu beauf­sich­ti­gen (Art. 4 Abs. 1 DSG), und nicht, den Medi­en zuzu­ar­bei­ten oder sich selbst als Medi­um zu ver­hal­ten. Eine Anord­nung zur Mit­tei­lung an Betrof­fe­ne aus die­ser Moti­va­ti­on her­aus wäre des­halb rechtswidrig.

Art und Wei­se: Betrof­fe­ne sind nach Art. 15 Abs. 3 DSV in “ein­fa­cher und ver­ständ­li­cher Spra­che” und mit gewis­sen Min­dest­an­ga­ben zu infor­mie­ren, aber Form­vor­schrif­ten bestehen nicht. Aus­nahms­wei­se kann eine öffent­li­che Bekannt­ma­chung genü­gen, sofern die Infor­ma­ti­on der ein­zel­nen Betrof­fe­nen dadurch sicher­ge­stellt sei.