Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird.
Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils so formuliert, dass abstrakt geregelt wird, unter welchen Risikovoraussetzungen eine Meldepflicht vorliegt. Das bedeutet, dass Verantwortliche den ihnen vorliegenden Einzelfall jeweils unter Berücksichtigung der gesetzlichen Regelungen prüfen müssen. Die Beurteilung einer Meldepflicht kann aber gerade in Anbetracht des Einzelfalls durchaus herausfordernd sein.
Die schweizerische Aufsichtsbehörde, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), hat im Februar 2025 einen Leitfaden zur Meldung von Datensicherheitsverletzungen („Leitfaden Data Breach“) veröffentlicht. Der Leitfaden kann Verantwortliche bei der Beurteilung, ob eine Meldepflicht im Einzelnen vorliegt, unterstützen.
Dieser Beitrag soll die wesentlichen gesetzlichen Anforderungen nach dem DSG zur Meldung von Datensicherheitsverletzungen benennen und gleichzeitig zentrale Unterschiede zur DSGVO skizzieren. Zudem werden wichtige Punkte aus dem Leitfaden des EDÖB für die Beurteilung einer Meldepflicht zusammengefasst.
Meldung von Verletzungen der Datensicherheit (Art. 24 DSG, Art. 15 Datenschutzverordnung (DSV)) und wichtige Unterschiede zu Art. 33 DSGVO
Risikoschwelle für die Meldung
Das „Äquivalent“ zum Art. 33 DSGVO stellt in der Schweiz der Art. 24 DSG dar. Diese Norm regelt, dass eine verantwortliche Stelle der schweizerischen Aufsichtsbehörde „so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt“ meldet.
Im Unterschied zur DSGVO liegt eine Meldepflicht dem Wortlaut des DSG also erst bei einem „voraussichtlich hohen Risiko“ für die Betroffenen vor. Die Meldeschwelle nach dem DSG für eine Datensicherheitsverletzung liegt also „höher“, denn nach der DSGVO ist eine Datenschutzverletzung nur dann nicht zu melden, wenn sie „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Frist für die Meldung
Zudem wird im DSG keine konkrete zeitliche Frist für die Meldung benannt. Während die DSGVO eine Meldepflicht von „möglichst binnen 72 Stunden“ vorsieht, normiert das DSG, dass eine Meldung „so rasch als möglich“ zu erfolgen hat. Dies impliziert ebenfalls ein schnelles Handeln der verantwortlichen Stelle, ein konkreter zeitlicher Rahmen wird im DSG jedoch gerade nicht genannt.
Umfang der Meldung
Das DSG normiert in Art. 24 Abs. 2 auch den Umfang der Meldung. Gegenüber dem EDÖB müssen demnach mindestens Angaben zur Art der Verletzung der Datensicherheit sowie deren Folgen gemacht werden. Es muss auch mitgeteilt werden, welche Maßnahmen bereits getroffen oder vorgesehen sind. Ergänzend dazu normiert Art. 15 DSV, welche weiteren Angaben gegenüber dem EDÖB zu machen sind; u. a. – jeweils soweit möglich – Zeitpunkt und Dauer des Vorfalls, Kategorien und ungefähre Anzahl der betroffenen Daten und Personen sowie Kontaktdaten einer Ansprechperson.
In Art. 33 Abs. 3 DSGVO wird ebenfalls der Umfang der Meldung geregelt. Der Umfang der Angaben der Meldung ist in DSGVO und DSG/DSV sehr ähnlich. Insgesamt muss durch die Angaben in der jeweiligen Meldung sichergestellt werden, dass für die Behörde der Umfang des Vorfalls sowie mögliche Folgen und getroffene bzw. noch zu treffende Abmilderungsmaßnahmen nachvollziehbar sind.
Aus dem „Leitfaden Data Breach“ des EDÖB
Zur Beurteilung der Risikoschwelle und Frist für die Meldung
Eine Meldepflicht gegenüber dem EDÖB obliegt verantwortlichen schweizerischen Stellen dann, wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
Im Hinblick auf die Einschlägigkeit des Kriteriums des voraussichtlich hohen Risikos empfiehlt der EDÖB, dass einerseits bekannte und bereits eingetretene Risiken für die Betroffenen zu berücksichtigen sind. Zudem sollen sich Verantwortliche aber auch darüber Gedanken machen, welche weiteren Folgen die Datenschutzverletzung neben den bereits bekannten Risiken für die Betroffenen haben kann. Der EDÖB verdeutlicht, dass auch potenzielle weitere, aber noch nicht eingetretene Folgen für die Betroffenen kritisch geprüft werden sollten.
Wichtig ist zudem, dass die Prüfung des voraussichtlich hohen Risikos nur im Hinblick auf die tatsächliche Datenschutzverletzung zu prüfen ist. Etwaige bereits getroffenen Gegenmaßnahmen zur Abmilderung der Folgen sind bei dieser Prüfung entsprechend nicht zu berücksichtigen. Der Vorfall an sich ist also isoliert zu betrachten, um eine Meldepflicht zu prüfen.
Im Leitfaden gibt der EDÖB Hilfestellungen an die Hand, wie die Beurteilung der Risikohöhe aus einer Datenschutzverletzung bemessen werden kann. Für die Beurteilung der Risikohöhe sind sowohl die Schwere der Folgen für die Betroffenen als auch deren (Eintritts-)Wahrscheinlichkeit zu berücksichtigen. Dies ist auch von Relevanz für die Umsetzung der raschen Meldung.
Im Hinblick auf die Schwere der Folgen für die Betroffenen ist zu prüfen, wie sehr die Betroffenen durch den Vorfall beeinträchtigt werden. Hierzu können aus Sicht des EDÖB verschiedene Überlegungen herangezogen werden, vorliegend soll auf folgende drei Punkte eingegangen werden:
- Schutzwürdigkeit der betroffenen Personendaten: Hier gilt, dass je sensibler die betroffenen Daten sind, desto höher ist das Risiko für die betroffenen Personen, in ihrer Persönlichkeit bzw. ihren Grundrechten verletzt zu sein. Das bedeutet, dass der Sensibilitätsgrad der betroffenen Daten ein bedeutsames Kriterium für die Risikoeinschätzung darstellt. Daneben kann aber auch der Kontext, in dem betroffene Daten verarbeitet werden, erhebliche Auswirkungen auf die Sensibilität und damit das Gesamtrisiko haben.
- Art und Umstände der Verletzung sowie Kreis und Motive der unberechtigten Dritten: Das bedeutet, dass die konkreten Umstände und bekannten Hintergründe des Vorfalls zu berücksichtigen sind, d. h. ob es sich ggf. um einen menschlichen einzelnen Fehler, ein technisches Problem oder eine kriminelle Absicht handelt.
- Ideelle und wirtschaftliche Nachteile: Wenn durch den Vorfall bspw. Missbräuche wie Kreditkartenbetrug oder Identitätsdiebstahl, Diebstahl, Schädigung des Rufes der betroffenen Person oder auch finanzielle Nachteile für die betroffenen Personen möglich sind, wiegen die Folgen für die Betroffenen schwer.
Hinsichtlich der (Eintritts-)Wahrscheinlichkeit der befürchteten Folgen ist durch den Verantwortlichen auch zu prüfen, wie hoch die Wahrscheinlichkeit sein dürfte, dass bislang nicht eingetretene, aber denkbare Auswirkungen des Vorfalls für die Betroffenen sich tatsächlich noch realisieren können. Hierbei ist auch die konkrete Tätigkeit der verantwortlichen Stelle zu berücksichtigen, insbesondere im Hinblick auf die Sensibilität ihrer regelmäßigen Datenverarbeitungen. So führt der EDÖB aus, dass bspw. ein Krankenhaus, das von einer Datensicherheitsverletzung betroffen ist, aufgrund der besonders schützenswerten Patientendaten eine Meldung besonders zeitnah umsetzen muss und dass sich dies in anderen Konstellationen ggf. anders gestalten kann.
Zur Angabe des Umfangs der Meldung
Wenn eine Meldepflicht nach dem DSG für eine Datensicherheitsverletzung besteht, müssen die in Art. 15 Abs. 1 DSV genannten Angaben dem EDÖB mitgeteilt werden. Hierfür kann das entsprechende Onlineformular des EDÖB genutzt werden.
Fazit
Wenn Datenschutzvorfälle bekannt sind, ist umgehend zu reagieren. Durch den Verantwortlichen ist schnellstmöglich zu klären, was passiert ist und welche Personen bzw. Daten betroffen sind bzw. sein könnten und welche Risiken der Vorfall für die Betroffenen birgt. Wenn Verantwortliche, die den Regelungen des DSG unterliegen, zu dem Ergebnis kommen, dass ein voraussichtlich hohes Risiko für die Betroffenen des Vorfalls besteht, ist der Vorfall so rasch als möglich dem EDÖB zu melden. Für die Beurteilung des Risikos stellt der „Leitfaden Data Breach“ des EDÖB eine gute Hilfestellung dar.