Schweiz: Umsetzung der Informationspflichten bei Datensicherheitsverletzungen

In der Schweiz können Datenpannen sowohl nach der Datenschutz-Grundverordnung (DSGVO) als auch nach dem Schweizerischen Datenschutzgesetz (DSG) neben Meldepflichten bei der zuständigen Aufsichtsbehörde (wir berichteten) auch Informationspflichten auslösen.

Dieser Beitrag soll einen Überblick über die Informationspflichten geben, die Unternehmen gegenüber Betroffenen von Verletzungen der Datensicherheit haben. Hierzu soll insbesondere auch auf die Ausführungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) aus dessen Leitfaden zur Meldung von Datensicherheitsverletzungen („Leitfaden Data Breach“) eingegangen werden.

Relevante Normen für die Informationspflichten bei Verletzungen der Datensicherheit

Für die Informationspflicht bei Datensicherheitsverletzungen sind Art. 24 Abs. 4, 5 DSG sowie Art. 15 Abs. 3 Datenschutzverordnung (DSV) zu beachten.

Nach diesen Normen sind betroffene Personen dann über die Datensicherheitsverletzung zu informieren, wenn es zu deren Schutz erforderlich ist oder die schweizerische Aufsichtsbehörde es verlangt (Art. 24 Abs. 4 DSG).

Der Umfang der Informationspflicht richtet sich nach Art. 15 Abs. 3 DSV. Danach sind Betroffene mindestens über die Art der Verletzung, deren Folgen einschließlich möglicher Risiken für die betroffene Person, die getroffenen bzw. vorgesehenen Maßnahmen zur Behebung des Mangels und dessen Folgen sowie über den Namen und die Kontaktdaten einer Ansprechperson bei der verantwortlichen Stelle zu informieren.

Eine Einschränkung der Informationspflicht kann nur in engen Ausnahmefällen erfolgen; dies wird in Art. 24 Abs. 5 DSG geregelt.

Hinweise des EDÖB zur Information von Betroffenen

Im „Leitfaden Data Breach“ gibt der EDÖB wichtige Hinweise zur Umsetzung der Informationspflichten bei Datensicherheitsverletzungen, die nachfolgend zusammengefasst werden sollen:

• Schutzbedürftigkeit der Betroffenen als Kriterium für eine Informationspflicht
  Der EDÖB stellt u. a. unter Berufung auf Literaturquellen klar, dass eine Informationsverpflichtung gegenüber den Betroffenen auch unabhängig von einer Meldepflicht gegenüber dem EDÖB bestehen kann. Dabei wird der Erwartungshorizont der Betroffenen in den Fokus gerückt. Der EDÖB bringt zum Ausdruck, dass die Information dem Schutz der Betroffenen dient und diese Information gerade auch dann vorzunehmen ist, wenn ein „hohes Risiko“ als Voraussetzung für eine Meldepflicht durch den Verantwortlichen zwar verneint, ein reelles Risiko für die Betroffenen aber gerade aufgrund ihrer Unkenntnis über den Vorfall besteht.
  Unter Berufung auf Literaturquellen führt der EDÖB auch aus, dass ein Schutzbedürfnis auch gerade dann bestehen kann, wenn die Betroffenen aktiv werden müssen, um den Folgen des Vorfalls entgegenzuwirken. Dies sei bspw. dann der Fall, wenn die Betroffenen selbst Zugangsdaten oder Passwörter ändern müssen (hier wird auf die Botschaft zum revidierten DSG, BBl 2017 6941 ff., 7065, verwiesen).
  Gleichzeitig betont der EDÖB auch, dass ein „voraussichtlich hohes Risiko“, das eine Meldepflicht gegenüber seiner Behörde auslöst, regelmäßig auch mit einer Informationspflicht gegenüber den Betroffenen einhergeht.
• Anordnung des EDÖB als Kriterium für eine Informationspflicht
  Der EDÖB führt auch aus, dass er Verantwortliche zur Information von Betroffenen anweisen kann. Eine Informationspflicht wird der EDÖB dann verlangen, wenn dies aus seiner Sicht aufgrund der Schutzbedürftigkeit, der von der Datensicherheitsverletzung Betroffenen erforderlich ist. Eine Betroffeneninformation kann aber z. B. auch dann verlangt werden, wenn sehr viele Personen von einem Vorfall betroffen sind oder ein öffentliches Interesse daran besteht.
• Umsetzung der Betroffeneninformation
  Für die Mindestangaben der Information verweist der EDÖB auf die Anforderungen des Art. 15 Abs. 3 DSV. Diese sind den Betroffenen in „einfacher und verständlicher Sprache“ mitzuteilen. In der Regel wird die Information individuell auf die Betroffenen zugeschnitten sein müssen und direkt an diese gerichtet sein.

Fazit

Aus den Ausführungen des EDÖB geht in der Gesamtschau hervor, dass der Zweck der Information, der von einer Datensicherheitsverletzung betroffenen Person darin liegt, dass die Betroffenen verstehen können, was vorgefallen ist und welche Maßnahmen bereits ergriffen wurden. Dazu müssen die Informationen mitgeteilt werden, die zur Einschätzung der Dimension des Vorfalls für die Betroffenen relevant sind. Dabei ist zu beachten, dass der Sachverhalt für die Betroffenen verständlich zu schildern ist und sie die Möglichkeit haben, selbst Maßnahmen zum Schutz ihrer Daten treffen zu können.