Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Data Breach – Schon fast alltägliche Praxis!

07/2024 – Fachartikel von Thomas Nydegger & Ursula Thier, Swiss Infosec AG

Einleitung

In den letzten Jahren wurden Schweizer Unternehmen verstärkt zum Ziel von Hackerangriffen und Cyberkriminalität. Diese Angriffe richten sich nicht nur gegen Grossunternehmen wie Swiss, SBB, Ruag und Swissport, sondern zunehmend auch gegen KMUs. Die Vorfälle verdeutlichen die allgegenwärtige Bedrohung durch Cyberkriminalität und die Notwendigkeit verstärkter Sicherheitsmassnahmen und -strategien.

Eine fehlende Incident-Organisation kann bei einem Hackerangriff verheerende Folgen haben. Viele KMUs kennen keine Krisenszenarien für solche Vorfälle. Ohne definierte Prozesse wird die Reaktionszeit verzögert, was den Angreifern mehr Raum gibt. Eine solche Schwäche kann zu rechtlichen und finanziellen Konsequenzen führen. Unternehmen müssen sich dabei auch mit Datenschutzfragen und Meldepflichten gemäss den einschlägigen Gesetzen auseinandersetzen.

Meldepflichten für Unternehmen

Bei einer Datenschutzverletzung handelt es sich um eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h Datenschutzgesetz [DSG]). Das DSG verlangt vom Verantwortlichen, dass er Verletzungen der Datensicherheit (oder auch «Data Breaches»), die zu einem hohen Risiko für die betroffenen Personen führen, so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (Art. 24 DSG) meldet. Meldepflichtig sind nur jene Verletzungen der Datensicherheit, die eine gewisse Schwere aufweisen. Eine blosse Gefahr einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten begründet noch keine Verletzung der Datensicherheit. Verlangt wird eine effektiv eingetretene Verletzung. Irrelevant ist, ob bloss eine Gefahr bestand, dass Unbefugte Daten einsehen können oder ob sie effektiv davon Kenntnis genommen haben.

Beispiel: Ein USB-Stick, auf welchem Personendaten gespeichert sind, wird im Zug liegengelassen. Zu prüfen ist, ob effektiv eine Verletzung der Datensicherheit vorliegt. Ist der USB-Stick dermassen verschlüsselt, dass es praktisch unmöglich ist, Kenntnis vom Inhalt zu nehmen, liegt keine Verletzung der Datensicherheit vor. Anders liegt der Fall, wenn der USB-Stick nicht oder ungenügend verschlüsselt ist. Im letzteren Fall ist eine Beurteilung vorzunehmen, ob durch die Verletzung der Datensicherheit ein hohes Risiko für die betroffene Person eingetreten ist. Je sensibler die Daten auf dem USB-Stick sind, umso höher wird das Risiko sein.

Unter Umständen sind auch die betroffenen Personen zu orientieren, vor allem dann, wenn Massnahmen zu ihrem Schutz getroffen werden müssen. Von dieser Information sind Ausnahmen möglich, beispielsweise weil eine gesetzliche Geheimhaltungspflicht dies verbietet oder weil die Information unmöglich oder mit unverhältnismässigem Aufwand verbunden ist (Art. 24 Abs. 5 DSG).

In der EU liegt die Schwelle für eine Meldung tiefer als beim DSG: Eine Meldung muss bereits erfolgen, wenn irgendein Risiko für die betroffene Person nicht ausgeschlossen ist. Die Meldung hat gemäss Art. 33 der europäischen Datenschutz-Grundverordnung (DSGVO) innerhalb von 72 Stunden an die Aufsichtsbehörde zu erfolgen. Gemäss Art. 34 DSGVO sind die betroffenen Personen zu informieren, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht.

Eventuell sind auch weitere Datenschutzgesetze (z.B. kantonale Datenschutzgesetze, ausländische Datenschutzbestimmungen) zu beachten.

Schweizer Unternehmen, die sowohl dem DSG als auch der DSGVO unterstehen, müssen prüfen, ob sie sowohl in der EU (nachfolgend sind jeweils sämtliche Staaten im Europäischen Wirtschaftsraum EWR mitgemeint) wie auch in der Schweiz die Meldung vornehmen müssen. Ist dies der Fall und hat das Unternehmen keine Hauptniederlassung in der EU, hat das Unternehmen die verschiedenen Aufsichtsbehörden in der EU parallel zu informieren und kann nicht vom „One-Stop-Shop“-Konzept gemäss Art. 56 DSGVO profitieren.

Schliesslich hat das Unternehmen zu prüfen, ob weitere Meldepflichten bestehen, beispielsweise aus Vertragsrecht oder besonderen regulatorischen Vorgaben (z.B. Art. 29 Abs. 2 nach dem Finanzmarktaufsichtsgesetz [FINMAG] oder Art. 74a ff. des Informationssicherheitsgesetzes [ISG]).

Praktische Umsetzung der Meldepflicht nach DSG und DSGVO

Umsetzung nach DSG

Bei einer Datenschutzverletzung ist es wichtig, schnell und strukturiert zu handeln, um die gesetzlichen Vorgaben zu erfüllen und potenzielle Schäden zu minimieren. Die Meldung an den EDÖB erfolgt in mehreren klar definierten Schritten.

  • Vorfall erkennen und bewerten: Sobald eine Datenschutzverletzung entdeckt wird, müssen Unternehmen sofort reagieren. Es gilt, alle relevanten Informationen über die Art und den Umfang der Verletzung zu sammeln. Eine interne Risikobeurteilung ist unerlässlich, um die potenziellen Auswirkungen auf die betroffenen Personen und das Unternehmen selbst einzuschätzen. Diese erste Bewertung legt den Grundstein für alle weiteren Schritte.
  • Dokumentation und Vorbereitung: Eine gründliche Dokumentation ist der Schlüssel zu einer erfolgreichen Meldung. Unternehmen müssen genau beschreiben, was passiert ist, welche Arten von personenbezogenen Daten betroffen sind und wie viele Personen betroffen sein könnten. Zudem sollten die sofort ergriffenen Massnahmen zur Eindämmung der Verletzung sowie eine Analyse der potenziellen Risiken und Folgen für die Betroffenen festgehalten werden.
  • Kontaktaufnahme mit dem EDÖB: Nachdem alle relevanten Informationen gesammelt und dokumentiert wurden, erfolgt die formelle Kontaktaufnahme mit dem EDÖB. Hierfür sollte das offizielle Meldeformular genutzt oder die Meldung schriftlich per Brief oder E-Mail eingereicht werden. Es ist wichtig, alle Kontaktdaten des Unternehmens und des Ansprechpartners für Datenschutzangelegenheiten anzugeben, um eine reibungslose Kommunikation sicherzustellen.
  • Inhalt der Meldung: Die Meldung an den EDÖB muss detaillierte Informationen enthalten. Dies umfasst eine genaue Beschreibung des Vorfalls, das Datum und die Uhrzeit der Feststellung der Verletzung sowie Details zu den betroffenen Datenkategorien und der Anzahl der betroffenen Personen. Weiterhin sollten die ergriffenen Sofortmassnahmen und geplanten weiteren Schritte zur Behebung der Verletzung beschrieben werden. Eine Einschätzung der möglichen Folgen und Risiken für die betroffenen Personen rundet die Meldung ab.
  • Nachverfolgung und Kommunikation: Nach Einreichung der Meldung ist es wichtig, auf eine Bestätigung und eventuelle Rückfragen des EDÖB zu warten. Unternehmen sollten bereit sein, bei Bedarf zusätzliche Informationen bereitzustellen. Gleichzeitig ist es erforderlich, die betroffenen Personen über die Datenschutzverletzung und die ergriffenen Massnahmen zu informieren, um Transparenz zu gewährleisten und das Vertrauen zu erhalten.
  • Interne Prozesse und Nachbereitung: Nach der Meldung ist eine gründliche Nachbereitung notwendig. Unternehmen sollten die Ursachen der Datenschutzverletzung analysieren und Massnahmen entwickeln, um diese zu beheben. Ein permanentes Monitoring und – bei Bedarf – eine Anpassung der bestehenden Sicherheitsmassnahmen ist ebenfalls entscheidend. Regelmässige Schulungen und Sensibilisierungsmassnahmen für Mitarbeitende im Bereich Datenschutz und Datensicherheit tragen dazu bei, zukünftige Verletzungen zu verhindern.

Umsetzung nach DSGVO

Die DSGVO legt strenge Anforderungen und klare Vorgaben für die Meldung von Datenschutzverletzungen fest, die sich in mehreren wesentlichen Punkten von den Anforderungen an eine Meldung an den EDÖB in der Schweiz unterscheiden.

Einer der bedeutendsten Unterschiede liegt in der Frist zur Meldung einer Datenschutzverletzung. Nach der DSGVO müssen Unternehmen eine Verletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Diese strikte Frist erfordert eine sehr schnelle und effiziente Risikobeurteilung, um sicherzustellen, dass die Meldung rechtzeitig erfolgt. In der Schweiz hingegen gibt es keine explizite Frist, obwohl es empfohlen wird, die Meldung «ohne Verzögerung» vorzunehmen.

Die DSGVO schreibt zudem detaillierte Dokumentationspflichten vor. Unternehmen müssen eine umfassende Beschreibung der Art der Verletzung, der betroffenen Daten und Personen sowie der ergriffenen Massnahmen zur Behebung und Eindämmung der Datensicherheitsverletzung liefern. Die Anforderungen sind rigoros und erfordern eine gründliche und detaillierte Dokumentation. Im Vergleich dazu sind die Dokumentationsanforderungen in der Schweiz weniger formell und detailliert, obwohl eine gründliche Dokumentation ebenfalls empfohlen wird.

Ein weiterer Unterschied besteht in der Art und Weise der Kontaktaufnahme mit der Datenschutzbehörde. Nach der DSGVO müssen Unternehmen die jeweils zuständige nationale Datenschutzbehörde informieren, wobei im Rahmen des One-Stop-Shop-Prinzips bei multinationalen Unternehmen mit Sitz in der EU eine federführende Behörde bestimmt wird. Dies erfordert eine klare Bestimmung der zuständigen Behörde und kann die Meldepflicht komplexer machen. Unternehmen mit Sitz in der Schweiz, die nicht über eine Niederlassung in der EU verfügen, sind aber vom One-Stop-Shop-Prinzip ausgenommen, was den Aufwand und die Komplexität nochmals erhöht.

Die Anforderungen an den Inhalt der Meldung sind unter der DSGVO sehr detailliert. Neben einer genauen Beschreibung des Vorfalls müssen Unternehmen auch die möglichen Folgen für die betroffenen Personen und die Massnahmen zur Behebung und Minimierung der Risiken angeben. Diese umfassenden Anforderungen stellen sicher, dass die Datenschutzbehörden ein klares Bild der Situation erhalten und angemessene Massnahmen ergreifen können.

Die DSGVO verlangt, dass Unternehmen die betroffenen Personen unverzüglich informieren, wenn die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt. Dies erfordert eine klare Kommunikation und gegebenenfalls zusätzliche Massnahmen, um die Betroffenen zu schützen. In der Schweiz besteht eine gesetzliche Verpflichtung zur Information der betroffenen Personen dann, wenn es zu ihrem Schutz erforderlich ist oder wenn es der EDÖB verlangt.

Risikoerkennung und -bewertung

Die Pflicht zur Meldung gegenüber den Datenschutzbehörden oder gegenüber den betroffenen Personen erfordert in jedem Fall eine Risikoabwägung. Die Risikoerkennung bei Datenschutzverletzungen ist jedoch komplex und bedingt ein schnelles und präzises Handeln. Unternehmen müssen bewerten, welche Arten von Daten betroffen sind und welche potenziellen Auswirkungen dies auf die betroffenen Personen haben könnte. Unvollständige Informationen unmittelbar nach der Entdeckung einer Verletzung erschweren eine schnelle und präzise Risikoanalyse. Die Einschätzung des Risikos kann unterschiedlich ausfallen und erfordert enge Zusammenarbeit zwischen IT, Recht, Compliance und Management. Standardisierte Verfahren und Tools zur Risikoerkennung fehlen oft, was die Konsistenz und Qualität der Analyse beeinträchtigen kann. Effiziente Prozesse und Schulungen in den Bereichen Datenschutz, Informations- und IT-Sicherheit sind deshalb unerlässlich, um den gesetzlichen Vorgaben gerecht zu werden.

EU-Vertretung von Schweizer Unternehmen nach Art. 27 DSGVO

Schweizer Unternehmen ohne Sitz in der EU, die Daten von EU-Bürgern bearbeiten, müssen einen Vertreter in der EU benennen. Das Fehlen eines solchen Vertreters führt zu Rechtsunsicherheit, erhöhtem Haftungsrisiko und Bussgeldern. Die verzögerte Kommunikation und ein Vertrauensverlust bei EU-Kunden sind weitere Risiken. Die Bestellung eines EU-Vertreters nach Art. 27 DSGVO durch Schweizer Unternehmen stellt sicher, dass die Anforderungen der DSGVO erfüllt werden und die Zusammenarbeit mit den EU-Datenschutzbehörden gewährleistet ist. Schritte zur Bestellung umfassen die Auswahl eines Vertreters, eine schriftliche Vereinbarung, öffentliche Benennung, Bereitstellung von Kontaktinformationen und effektive Kommunikation.

Folgen einer unterlassenen oder inkorrekten Meldung

Zwischen dem DSG und der DSGVO gibt es auch Unterschiede, was die Unterlassung einer Meldung betrifft. Wird eine Verletzung der Datensicherheit nicht gemeldet, ist diese Unterlassung nach DSG nicht strafbar. Anders sieht dies die DSGVO vor: Ein Verstoss gegen die Meldepflicht kann zu einem Bussgeld von bis zu € 10 Mio. oder 2% des weltweit erzielten Vorjahresumsatzes führen. Schweizer Unternehmen sollten deshalb in jedem Fall bemüht sein, sich an die Meldepflicht nach DSG zu halten, insbesondere dann, wenn sie gleichzeitig auch der Meldepflicht nach der DSGVO unterstehen. Denkbar sind auch zivilrechtliche Konsequenzen, sei es aus Vertragsbruch oder weil ein Data Breach zu einer widerrechtlichen Verletzung der Persönlichkeitsrechte der Betroffenen führt.

Vorteile eines externen Datenschutzberaters in einer Incident-Organisation

Ein externer Datenschutzberater bietet im Falle eines Hackerangriffs zahlreiche Vorteile, die sowohl die sofortige Reaktion als auch die langfristige Datenstrategie eines Unternehmens optimieren können. Hier sind die wesentlichen Aspekte, die den Einsatz eines externen Datenschutzberaters innerhalb einer Incident-Organisation besonders wertvoll machen:

  1. Genaue Beurteilung der Lage: Ein externer Datenschutzberater bringt eine objektive Sichtweise ein und kann eine präzise Ist-Analyse durchführen.
  2. Risikobewertung und Meldepflichten: Ein externer Datenschutzberater kann fundierte Empfehlungen zur Risikobewertung und zur Erfüllung der Meldepflichten geben.
  3. Mandatierung einer EU-Vertretung: Ein externer Datenschutzberater kann den Prozess der Mandatierung einer EU-Vertretung effizient unterstützen.
  4. Einheitliche Kommunikation: Bei der Meldung von Datenschutzvorfällen ist es wichtig, dass die Informationen konsistent und widerspruchsfrei an alle relevanten Stellen übermittelt werden.
  5. Kontinuierliche Verfügbarkeit und Vertretung: Ein externer Datenschutzberater bietet ständige Bereitschaft und Vertretung auch während Urlaubs- oder Krankheitszeiten.
  6. Expertenwissen und Schulungen: Externe Datenschutzberater bieten tiefgehendes Expertenwissen und langjährige Erfahrung und können Mitarbeiterschulungen durchführen.

Schlusswort

Die Bedeutung der Cybersicherheit für Unternehmen kann nicht genug betont werden. Angesichts der zunehmenden Bedrohungen durch Cyberkriminalität müssen Unternehmen proaktive Massnahmen ergreifen, um ihre Daten und Systeme zu schützen. Eine gut strukturierte Incident-Organisation und namentlich der Beizug eines externen Datenschutzberaters ist von entscheidender Bedeutung, um im Falle eines Angriffs schnell und effektiv reagieren zu können.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 01.07.2024
Kompetenzzentrum Datenschutz


© Swiss Infosec AG 2024