Garan­te: Bus­se wegen man­gen­der Sicher­heit nach der Mel­dung eines Breaches

Man kann sich fra­gen, ob die Mel­dung einer Daten­si­cher­heits­ver­let­zung nicht das Risi­ko mit sich bringt, wegen einer Ver­let­zung der Sicher­heits­an­for­de­run­gen – die einem Breach zugrun­de­lie­gen kann, aber natür­lich nicht muss – ver­folgt zu wer­den. In der Schweiz regelt dies Art. 24 Abs. 6 DSG:

Eine Mel­dung, die auf­grund die­ses Arti­kels erfolgt, darf in einem Straf­ver­fah­ren gegen die mel­de­pflich­ti­ge Per­son nur mit deren Ein­ver­ständ­nis ver­wen­det werden.

Dem Wort­laut nach schützt dies aller­dings nur die mel­de­pflich­ti­ge Per­son, also den Ver­ant­wort­li­chen, und nicht etwa die für eine Ver­let­zung ver­ant­wort­li­chen und u.U. straf­ba­ren Men­schen. Man darf die Bestim­mung aller­dings wohl so aus­le­gen, dass letz­te­re vor Selbst­be­la­stung geschützt wer­den sol­len und nicht etwa nur der Ver­ant­wort­li­che, des­sen Daten­schutz­ver­let­zung über Art. 29 StGB und Art. 6 VStrR ein­zel­nen Per­so­nen zuge­rech­net wird (die Bot­schaft schweigt zu die­ser Frage).

Im Aus­land kann eine Mel­dung einer Sicher­heits­ver­let­zung aber durch­aus uner­wünsch­te Fol­gen haben. Ein Bei­spiel dazu lie­fert ein Ent­scheid des ita­lie­ni­schen Garan­te vom 28. Sep­tem­ber 2023. Der Garan­te hat­te eine Ein­rich­tung der öffent­li­chen Ver­wal­tung mit einer Bus­se von EUR 30’000 belegt, weil die­se die Per­so­nen­da­ten – ein­schliess­lich von Gesund­heits­da­ten – von 842’000 Pati­en­ten und Mit­ar­bei­ten­den nicht ange­mes­sen geschützt hat­te. Bspw. fehl­ten Mass­nah­men zur sofor­ti­gen Erken­nung der Sicher­heits­ver­let­zung und zur Netz­werk­si­cher­heit (kei­ne Mehr­fak­torau­then­ti­sie­rung; feh­len­de Netz­werk­seg­men­tie­rung); damit sei auch der Grund­satz von Pri­va­cy by Design ver­letzt. Von die­sen Ver­let­zun­gen hat­te der Garan­te nach der Mel­dung eines Ran­som-Angriffs Kennt­nis erhalten.