Symbol einer Hand mit erhobenem Zeigefinger, was Nummer eins oder Aufmerksamkeit bedeutet.
Mietzinserhöhung erhalten? Informiere dich zu deinen Rechten

Meldeverfahren für Verletzung der Datensicherheit für Unternehmen

Schweizer Unternehmen sollten ein Meldeverfahren für Verletzung der Datensicherheit einführen. MyRight erklärt wie!

Die Antwort im Detail

Was tun bei einer Datenverletzung?

Es kann passieren, dass bei der Bearbeitung von Daten die Vertraulichkeit, die Integrität oder die Verfügbarkeit beeinträchtigt wird und dadurch Daten verloren gehen, gelöscht, geändert oder Unbefugten offengelegt bzw. zugänglich gemacht werden. Stelle sicher, dass es im Unternehmen für diesen Fall eine verantwortliche Person gibt und Prozesse festgelegt werden, wie die Informationen zu dieser Person gelangen. Der ganze Vorfall muss dokumentiert und die Unterlagen aufbewahrt werden. Die verantwortliche Person muss die Verletzung der Datensicherheit unter Umständen umgehend dem EDÖB melden.


Wann muss eine Meldung erfolgen?

Nicht jede Verletzung der Datensicherheit ist meldepflichtig. Als Grundsatz gilt, dass nur Verletzungen gemeldet werden müssen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Eine Beurteilung muss immer im Einzelfall erfolgen. Dabei kannst du dich an der Matrix für die Datenschutz-Folgenabschätzung (DSFA) (Verlinkung) orientieren. Es geht darum, zu beurteilen, wie schwer mögliche Folgen wiegen und wie wahrscheinlich es ist, dass diese eintreten.


Wer muss informiert werden?

  • Liegt ein meldepflichtiger Fall vor, so muss der EDÖB so rasch als möglich über die Vorkommnisse in Kenntnis gesetzt werden. Eine zeitliche Vorgabe kennt das Gesetzt nicht. Die Meldung sollte jedoch dann erfolgen, wenn klar ist, welcher Art die Verletzung ist, wie die Folgen eingeschätzt werden und welche Massnahmen geplant sind.
  • Die betroffenen Personen müssen zusätzlich informiert werden, wenn die Information für ihren Schutz erforderlich ist. Das kann beispielsweise dann der Fall sein, wenn ein Passwort geändert werden muss. Verlangt der EDÖB eine Meldung, besteht diese Pflicht ebenso

 

Sanktionen

Das revidierte Datenschutzgesetz (revDSG) sieht keine strafrechtlichen Sanktionen vor, wenn die Meldepflicht gegenüber dem EDÖB verletzt wird. Fällst du allerdings unter den Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO), verhält es sich anders. Wir empfehlen dir, diese Bestimmung ernst zu nehmen und allfällige Verletzungen zeitnah zu melden.


Weitere Rechtstipps und Vorlagen zum Thema Datenschutz: