DATA BREACHES – WANN UNTERNEHMEN MELDEN MÜSSEN UND WIE SIE RICHTIG REAGIEREN

IT-Systeme, Cloud-Dienste und datengetriebene Geschäftsmodelle gehören heute zum Alltag vieler Unternehmen. Gleichzeitig steigt die Zahl von Sicherheitsvorfällen kontinuierlich. Ein falsch adressiertes E-Mail, eine Fehlkonfiguration in der Cloud oder ein erfolgreicher Cyberangriff können dazu führen, dass Daten unbefugt offengelegt werden.

Bevor beurteilt werden kann, ob eine Meldepflicht besteht – und welche –, muss zwingend geklärt werden, um welche Art Incident es sich handelt. Die relevanten Meldepflichten stammen aus unterschiedlichen Gesetzen, die nicht immer dieselben Definitionen verwenden.

Dieser Beitrag zeigt, wann ein Data Breach v.a. aus einer Datenschutzsicht vorliegt (mit Verweisen auf weitere Meldepflichten) und wie Unternehmen im Ernstfall rechtlich und organisatorisch reagieren sollten.

DATENSICHERHEITSVERLETZUNG GEMÄSS DATENSCHUTZGESETZ (BUNDESGESETZ ÜBER DEN DATENSCHUTZ, DSG)

Datensicherheitsverletzung

Eine Datensicherheitsverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG).

Datenschutzrechtlich ist die Meldepflicht nur dann relevant wird, wenn tatsächlich Personendaten betroffen sind. Reine Beeinträchtigungen von Geschäfts-, Fabrikations-, Amts- oder Berufsgeheimnissen ohne Personenbezug fallen nicht darunter, können aber u.a. andere Meldepflichten auslösen (siehe unten).

Meldepflicht an den EDÖB

Eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist erforderlich, wenn der Data Breach  voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person(en) führt (Art. 24 Abs. 1 DSG).

Eine Meldung an den EDÖB hat so rasch als möglich zu erfolgen. Entscheidend ist deshalb eine rasche Reaktion nach Kenntnis des Vorfalls und nach einer ersten Risikoanalyse.

Besonders wichtig ist, dass Unternehmen nicht zuwarten dürfen, wenn ein hohes Risiko nicht mit hinreichender Wahrscheinlichkeit ausgeschlossen werden kann. Ist nach den zeitlich engen Umständen eines Vorfalls erkennbar, dass ein voraussichtlich hohes Risiko bestehen könnte, muss gemeldet werden, auch wenn noch nicht alle technischen oder forensischen Details abschliessend geklärt sind.

Die Meldung ist eine Schilderung von Tatsachen und Einschätzungen. Sie soll insbesondere Art, Zeitpunkt, Dauer und Umfang der Verletzung sowie die bereits bekannten oder befürchteten Auswirkungen auf die betroffenen Personen beschreiben.

Fehlen einzelne Angaben anfangs noch, sind Nachmeldungen zulässig. Fehlende Informationen sind ebenfalls so rasch als möglich nachzureichen. Für obligatorische Meldungen stellt der EDÖB ein eigenes Meldeportal zur Verfügung.

Risikoanalyse

Der EDÖB konkretisiert das voraussichtlich hohe Risiko anhand zweier zentraler Dimensionen: der Schwere der möglichen Folgen und der Wahrscheinlichkeit ihres Eintritts.

Für die Schwere der Folgen sind insbesondere folgende Aspekte relevant:

• die Schutzwürdigkeit der betroffenen Daten

• die Art und Umstände der Verletzung

• den Aufwand für die Identifizierbarkeit von Personen

• Menge und Bearbeitungsdauer der betroffenen Daten

• mögliche ideelle oder wirtschaftliche Nachteile

• die besondere Vulnerabilität betroffener Personen

• sowie die Gesamtzahl der betroffenen Personen

Besonders schützenswerte Personendaten, Kreditkarteninformationen oder Kopien von Identitätsdokumenten können rasch auf ein hohes Risiko hindeuten.

Wirksam verschlüsselte Daten können das Risiko dagegen entscheidend reduzieren. Solche Daten gelten für Nichtberechtigte als unlesbar und lösen grundsätzlich keine Meldepflicht nach dem Datenschutzgesetz aus. Eine blosse Pseudonymisierung genügt demgegenüber nicht ohne Weiteres.

Unternehmen sollten beachten, dass zukünftige, erst später geplante Massnahmen bei der Beurteilung grundsätzlich nicht zugunsten des Verantwortlichen berücksichtigt werden dürfen. Unternehmen dürfen also nicht zunächst umfangreiche spätere Abklärungen oder Massnahmen abwarten und dadurch die Meldung verzögern. Nur Sofortmassnahmen, die noch vor der Meldung die befürchteten Auswirkungen nachweislich ausgeschlossen oder erheblich reduziert haben, können in die Risikobeurteilung einfliessen.

Information betroffener Personen

Müssen betroffene Personen über den Data Breach informiert werden? Unter Umständen ja. Die Informationspflicht gegenüber den betroffenen Personen ist von der Meldepflicht an den EDÖB zu unterscheiden.

Betroffene Personen müssen informiert werden, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt. Diese Informationspflicht ist nicht identisch ist mit dem Kriterium des voraussichtlich hohen Risikos.

Ein Schutzbedürfnis besteht insbesondere dann, wenn Betroffene selbst Massnahmen zur Schadensbegrenzung ergreifen können oder müssen, etwa:

• Passwörter ändern

• Kreditkarten sperren

• Kontoauszüge überprüfen

• besonders aufmerksam auf Phishing-Versuche achten

Die Information an betroffene Personen muss in einfacher und verständlicher Sprache erfolgen (Art. 15 Abs. 3 DSV). Sie muss mindestens erläutern:

• was passiert ist

• welche Risiken bestehen

• welche Massnahmen getroffen oder vorgesehen sind

• an wen sich Betroffene wenden können

Grundsätzlich ist eine direkte und individuelle Information der betroffenen Personen erforderlich. Eine öffentliche Bekanntmachung ist nur ausnahmsweise zulässig.

MELDEPFLICHTEN GEMÄSS DATENSCHUTZ-GRUNDVERORDNUNG DER EU (DSGVO)

Für Schweizer Unternehmen endet die Analyse eines Data Breach nicht zwingend mit dem Datenschutzgesetz.

Untersteht ein Schweizer Unternehmen auch der Datenschutz-Grundverordnung der EU (DSGVO), ist eine Meldepflicht gemäss DSGVO zu prüfen. Der DSGVO untersteht ein Schweizer Unternehmen insbesondere dann, wenn einer der nachfolgenden Anknüpfungspunkte gegeben ist:

• Das Unternehmen hat einen Standort / eine Niederlassung in der EU/im EWR;

• Das Angebot von Waren oder Dienstleistungen ist auf die EU resp. den EWR ausgerichtet oder

• Das Verhalten von Personen in der EU / in der EWR wird beobachtet.

Während nach dem DSG eine Meldung an den EDÖB nur erforderlich ist, wenn eine Datensicherheitsverletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen führt, sieht die DSGVO eine tiefere Meldeschwelle vor. Eine Meldung an die Aufsichtsbehörde ist bereits erforderlich, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht ausgeschlossen werden kann.

Zudem enthält die DSGVO mit der 72-Stunden-Frist eine klar definierte zeitliche Vorgabe für die Behördenmeldung (Art. 33 DSGVO).

Auch bei der Information der betroffenen Personen und der Aufsichtsstruktur bestehen Unterschiede. Während das DSG eine Information verlangt, wenn dies zum Schutz der betroffenen Personen erforderlich ist oder der EDÖB dies anordnet, schreibt die DSGVO eine Information bei hohem Risiko für die Rechte und Freiheiten der Betroffenen vor.

Besonderheiten für Meldepflichten in der EU

Besteht eine Meldepflicht gemäss DSGVO ist der sog. One-Stop-Shop-Mechanismus besonders praxisrelevant. Dieser kann die Kommunikation mit Datenschutzbehörden in grenzüberschreitenden Fällen vereinfachen, setzt jedoch voraus, dass ein Unternehmen über eine Niederlassung im EWR verfügt. In diesem Fall muss eine Meldung nur bei derjenigen Datenschutzbehörde gemacht werden, welche am Ort der Niederlassung zuständig ist.

Fehlt einem Schweizer Unternehmen eine solche Niederlassung, greift der One-Stop-Shop-Mechanismus grundsätzlich nicht. In diesem Fall muss eine meldepflichtige Datenschutzverletzung unter Umständen gegenüber mehreren  Aufsichtsbehörden parallel gemeldet werden.

Die blosse Benennung eines EU-Vertreters nach Art. 27 DSGVO löst den One-Stop-Shop-Mechanismus nicht aus.

Gerade für Cloud-, IT- oder Plattformunternehmen kann ein einziger Sicherheitsvorfall daher gleichzeitig Meldepflichten in mehreren europäischen Ländern auslösen.

WEITERE MELDEPFLICHTEN IM CYBER- UND AUFSICHTSRECHT

Ein Sicherheitsvorfall kann neben der datenschutzrechtlichen Bewertung auch weitere regulatorische Meldepflichten auslösen.

Eine zentrale Rolle spielt dabei das Informationssicherheitsgesetz (ISG), das unter Umständen auch für Schweizer Unternehmen relevant sein kann, insbesondere wenn sie kritische Infrastrukturen betreiben (z.B. Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren oder für Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden).

Ein im Sinne des ISG relevanter Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist, z.B.: 

• Erfolgreich im System installierte Schadsoftware 

• Verschlüsselungstrojaner

• Angriffe auf die Verfügbarkeit 

• unerlaubtes Eindringen in Datenverarbeitungssystem durch das Ausnutzen von Schwachstellen.

Solche Cyberangriffe müssen dem Bundesamt für Cybersicherheit (BACS) grundsätzlich innerhalb von 24 Stunden nach Entdeckung des Angriffs gemeldet werden. Die Meldung an das BACS dient vor allem der Früherkennung von Cyberbedrohungen und der Stabilität kritischer Infrastrukturen.

Daneben können je nach Tätigkeitsbereich weitere regulatorische Pflichten bestehen. Im Finanzmarktumfeld müssen beaufsichtigte Institute der Finanzmarktaufsicht FINMA Vorkommnisse melden, die für die Aufsicht wesentlich sind. Darunter können auch schwerwiegende Cybervorfälle oder Datensicherheitsverletzungen fallen (Art. 29 Abs. 2 FINMAG).

Bei einem EU-Bezug können ebenfalls weitere Meldepflichten aus EU-Regulatorien bestehen, z.B. gemäss der NIS2-Richtlinie, dem Digital Operational Resilience Act (DORA) oder dem Cyber Resilience Act (CRA).

Ein einzelner Incident kann daher gleichzeitig Meldepflichten gegenüber mehreren Behörden auslösen, etwa gegenüber dem EDÖB, dem BACS, der FINMA oder bei internationaler Tätigkeit auch gegenüber europäischen Behörden.

WIE SOLLTEN UNTERNEHMEN BEI EINEM DATA BREACH REAGIEREN?

Wird ein möglicher Data Breach entdeckt, sind die ersten Stunden entscheidend. Eine strukturierte Reaktion sollte folgende Schritte umfassen.

WEITERE INFORMATIONEN:

• Entscheidbaum für Meldepflichten gemäss Schweizer Datenschutzgesetz auf unserer ONMAP

• Meldepflichten für Cyberangriffe auf kritische Infrastrukturen (Blogbeitrag)

• Leitfaden des EDÖB betreffend die Meldung von Datensicherheitsverletzungen und Information der Betroffenen nach Art. 24 DSG

• Meldeportal des EDÖB

SIND SIE VON EINEM DATA BREACH BETROFFEN?

Kontaktieren Sie uns jederzeit gerne.  

Ihre Ansprechperson:

Caroline Danner

Rechtsanwältin & Inhaberin ONLAW

Selina Häfliger

BLAW, juristische Mitarbeiterin

Bild von Sadun Bughdaryan auf Unsplash.