ACHTUNG, WIR HABEN EINE DATENPANNE! WAS NUN? - Der Umgang mit Datenschutzverletzungen - Froriep
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
R E C HT C O R N E L I A M AT T I G ACHTUNG, WIR HABEN EINE DATENPANNE! WAS NUN? Der Umgang mit Datenschutzverletzungen Am 25. Mai war die DSGVO [1] bereits seit einem Jahr in Kraft. Viele Unternehmen haben die rechtlichen Vorgaben bereits umgesetzt. Nun rücken Fragen zum Umgang mit Prozessen, Betroffenenrechten und Datenschutzverletzungen in den Fokus. Mittlerweile hört man fast schon täglich von Datenschutz- 1. Verletzung der Vertraulichkeit, was die unbefugte oder un- verletzungen, bekannte und in den Medien aufgenommene beabsichtigte Preisgabe oder Einsichtnahme in Personenda- Fälle betrafen u. a. Marriott oder Nokia [2]. Es zeigt sich, dass ten beinhaltet. fast jeder in irgendeiner Form von solchen Sicherheitslücken 2. Verletzung der Integrität, das heisst die unbefugte oder betroffen sein kann. Doch was muss (m)ein Unternehmen unbeabsichtigte Änderung von Personendaten. heute im Zusammenhang mit solchen Datenschutzverlet- 3. Verletzung der Verfügbarkeit, also der unbefugte oder un- zungen beachten und unternehmen? beabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder auch das unbeabsichtigte oder unrechtmässige 1. WAS IST EINE DATENSCHUTZVERLETZUNG? Vernichten von Personendaten. Datenschutzverletzungen können aus einer Vielzahl von Er- eignissen entstehen, welche von versehentlichen Fehlern bis Natürlich muss jede Datenschutzverletzung im Einzelnen be- hin zu Hacking oder weiteren Cybervorfällen reichen [3]. Al- trachtet werden. So stellt sich u. a. in Bezug auf die Verlet- lerdings ist nicht jede Sicherheitsverletzung zwingend eine zung der Verfügbarkeit die Frage, ob ein vorübergehender Datenschutzverletzung, denn dabei müssen Personendaten Verlust der Verfügbarkeit (z. B. ein Stromausfall) einen sol- betroffen sein. Personendaten sind Informationen, die eine chen Sicherheitsvorfall darstellt. natürliche Person identifizieren oder identifizierbar ma- Die Working Party 29 (Vorgänger des heutigen EU-Daten- chen [4]. So definiert Art. 4 Abs. 12 der Datenschutz-Grund- schutzausschusses), welche als unabhängiges Beratungsgre- verordnung (DSGVO) den Begriff Verletzung des Schutzes mium der EU fungiert, hat den vorübergehenden Verlust der personenbezogener Daten als Verfügbarkeit grundsätzlich als eine Datenschutzverletzung «eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder un- im Sinne der DSGVO definiert. Ob diese allerdings zu mel- rechtmässig, zur Vernichtung, zum Verlust, zur Veränderung, den ist, hängt vom Vorfall sowie dessen Auswirkungen ab. oder zur unbefugten Offenlegung von beziehungsweise zum un- Der vorübergehende Verlust der Verfügbarkeit fällt aller- befugten Zugang zu personenbezogenen Daten führt, die über- dings beispielsweise nicht darunter, wenn es sich um eine mittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.» geplante Systemwartung handelt [7]. Anders als das EU-Recht sieht das Schweizer Datenschutz- Das heisst, eine Datenschutzverletzung ist ein Sicherheits- recht im Bundesgesetz über den Datenschutz (DSG) vom vorfall, welcher Personendaten beeinträchtigt [5]. 19. Juni 1992 keine Definition des Begriffs Datenschutz Datenschutzverletzungen können demzufolge in die drei verletzung vor. Entsprechend gibt es keine explizite Melde- nachfolgenden Kategorien von Verletzungen unterteilt wer- pflicht. Dies soll allerdings mit der Revision des Daten- den [6]: schutzgesetzes geändert werden, um die Gleichwertigkeit von Schweizer und EU-Datenschutzrecht sicherzustellen. So definiert Art. 4 lit. g des Entwurfs zum Datenschutzge- CORNELIA MATTIG, setz vom 15. September 2017 (E-DSG) [8] eine Verletzung der MLAW, LL.M., Datensicherheit als RECHTSANWÄLTIN, «eine Verletzung der Sicherheit, die ungeachtet der Absicht oder FRORIEP LEGAL, der Widerrechtlichkeit dazu führt, dass Personendaten verloren- CMATTIG@FRORIEP.CH gehen, gelöscht, vernichtet oder verändert werden oder Unbefug- ten offengelegt oder zugänglich gemacht werden.» Zudem sieht der Entwurf für bestimmte Fälle auch eine Meldepflicht an den Eidgenössischen Datenschutz- und Öf- 6–7 | 2019 E X P E R T F O C U S 491
R E C HT Achtung, wir hab en eine Datenpanne! Was nun? fentlichkeitsbeauftragten (EDÖB) und gegebenenfalls an tenschutzverletzungen. Diese Pflicht erhält zusätzliches die Betroffenen vor. Gewicht, da die Verletzung der Meldepflicht Bussen von bis Aufgrund der Ähnlichkeit der Definition des Begriffs zu EUR 10 Mio. oder bis zu 2% des weltweiten Umsatzes zur Datenschutzverletzung in der DSGVO und im E-DSG wird Folge haben kann [10]. Der Verantwortliche im Sinne dieser im Folgenden von einem einheitlichen Begriff der Daten- Bestimmung ist gemäss Art. 4 Abs. 7 DSGVO die natürliche schutzverletzung ausgegangen. oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwe- 2. WAS IST IM FALL EINER DATENSCHUTZ cke und Mittel der Verarbeitung von Personendaten ent- VERLETZUNG ZU TUN? scheidet. Die DSGVO befasst sich explizit mit Datenschutzverletzun- Um die knapp berechnete Frist von 72 Stunden einzuhal- gen und mit den in diesem Zusammenhang zu ergreifenden ten, stellt sich in diesem Zusammenhang zunächst die Frage, Schritten. So sieht die EU-Verordnung vor, dass ein Daten zu welchem Zeitpunkt der Verantwortliche von einer Daten- bearbeiter bereits vor einem Vorfall geeignete technische schutzverletzung Kenntnis hat. Die Working Party 29 geht und organisatorische Massnahmen zu implementieren hat, davon aus, dass eine Datenschutzverletzung einem Verant- wortlichen bekannt ist, sobald er eine hinreichende Gewiss- heit darüber hat, dass sich ein Sicherheitsvorfall ereignet « Die Verletzung der Meldepflicht hat, der den Schutz von personenbezogenen Daten beein- trächtigt [11]. erhält zusätzliches Gewicht, Obschon nicht jede Datenschutzverletzung eine Meldung da sie Bussen von bis zu EUR 10 Mio. gemäss DSGVO erfordert, ist sicherzustellen, dass der Ver- antwortliche alle geeigneten technischen und organisatori- oder bis zu 2% des weltweiten schen Massnahmen ergriffen hat, um einen Sicherheitsvor- Umsatzes zur Folge haben kann.» fall zu erkennen. Das heisst, dass das reine Nichtwissen wegen mangelnder Massnahmen den Verantwortlichen im um eine Datenschutzverletzung zu vermeiden. Diese sollen Fall einer fehlenden Meldung nicht schützt [12]. Die Daten- ein dem Risiko angemessenes Sicherheitsniveau gewährleis- schutzbehörden in der EU/im EWR und insbesondere die iri- ten. Neben präventiven Massnahmen müssen auch solche sche Behörde haben in diesem Kontext bereits mehrfach getroffen werden, die einen Sicherheitsvorfall sofort erkenn- klargestellt, dass jeder Vorfall intern dokumentiert und mit bar machen, also noch bevor klar ist, ob es sich um eine Da- einer Einschätzung des Risikos versehen werden soll [13]. tenschutzverletzung handelt. Das heisst, das Sicherheits- Wenn geprüft wird, ob eine Meldung unverzüglich erfolgt ist, konzept einer Unternehmung, die DSGVO-konform ist, werden auch die Art, die Schwere sowie die Folgen der Daten- stellt sicher, dass Sicherheitsvorfälle verhindert und sofern schutzverletzung berücksichtigt. Dies bleibt jedoch immer dies nicht möglich ist, rasch erkannt werden, um eine an- eine Einzelfallbetrachtung [14]. Die interne Dokumentation gemessene Reaktion zu gewährleisten [9]. Um entsprechend des Vorfalls kann dabei als Hilfsmittel zur Bewertung beige- rasch auf Sicherheitsvorfälle reagieren zu können, ist es von zogen werden. Sie kann im Fall einer Datenschutzverletzung zentraler Bedeutung, kurze und klare interne Prozesse zu auch der besseren Zusammenarbeit mit der Behörde dienen, definieren. was sich i. d. R. positiv in der Bemessung der Bussenhöhe wi- Das DSG befasst sich nicht explizit mit Datenschutzver derspiegelt [15]. letzungen, entsprechend sind die zu ergreifenden Mass Der Verantwortliche hat spätestens innert 72 Stunden der nahmen für Schweizer Unternehmen nicht klar ersichtlich. Aufsichtsbehörde eine Meldung zuzustellen. In dieser Zeit Das heisst jedoch nicht, dass keine Verpflichtungen im Zu- ist bereits Verschiedenes abzuklären, das in der Meldung sammenhang mit Datenschutzverletzungen bestehen. festgehalten werden muss [16]. Die Meldung hat im Mini- mum generelle Angaben zu den nachfolgenden Punkten zu 2.1 Wann besteht eine Meldepflicht enthalten [17]: gegenüber Behörden? Datenschutzverletzung inkl. Kategorien der Personen 2.1.1 Meldepflicht nach DSGVO. Art. 33 Abs. 1 DSGVO sieht vor, daten; ungefähre Anzahl der betroffenen Personen; dass Kontakt vom Datenschutzbeaufsichtigten oder einem an- «im Falle einer Verletzung des Schutzes personenbezogener Da deren internen Kontakt; wahrscheinliche Konsequenzen ten […] der Verantwortliche unverzüglich und möglichst binnen der Datenschutzverletzung sowie vorgeschlagene Mass- 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese nahmen zur Beseitigung der Datenschutzverletzung und der gemäss Artikel 55 zuständigen Aufsichtsbehörde [meldet], es ihrer Konsequenzen. sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Damit eine solche umfassende Meldung innert Frist möglich Freiheiten natürlicher Personen führt.» ist, müssen klare interne Prozesse definiert werden, damit Datenschutzverletzungen umgehend erkannt, behoben und Dies ist eine der zentralen Neuerungen, welche die EU mit die erforderlichen Informationen gesammelt werden können. der DSGVO eingeführt hat. Denn zuvor kannten die meisten Solche Massnahmen können sowohl technischer als auch Mitgliedstaaten keine allgemeinen Meldepflichten bei Da- organisatorischer Natur sein, um Abweichungen oder Un 492 E X P E R T F O C U S 2019 | 6–7
Achtung, wir hab en eine Datenpanne! Was nun? R E C HT Abbildung: VORGEHEN IM FALLE EINER SICHERHEITSVERLETZUNG Abschätzung Risiko Interne und externe Vorbereitung Meldung, Kontrolle und sofern notwendig Kommunikation Meldung an die Sicherheitsvorfall relevante interne Stelle Vornahme Technische zwischenzeitlicher Massnahmen Massnahmen Dokumentation Organisatorische des Prozesses Massnahmen regelmässigkeiten im Datenfluss zu erkennen [18]. Sobald schutzverletzung zu melden. Für diese Meldung sieht die ein Sicherheitsvorfall festgestellt wird, müssen die zustän DSGVO keine konkrete Frist vor. Der Text besagt einzig, digen internen Stellen umgehend informiert werden, das Ri- dass sie unverzüglich zu erfolgen hat (Art. 33 Abs. 2 DSGVO). siko des Vorfalls für Personendaten abgeschätzt sowie die Damit der Verantwortliche seiner Pflicht nachkommen Quelle der Datenschutzverletzung behoben und gegebenen- kann, ist es zentral, dass der Auftragsverarbeiter diesen um- falls gemeldet werden. Deshalb ist es wichtig, einfache und gehend informiert und ihm alle zusätzlichen Informatio- direkte Kommunikationswege zu schaffen. Sinnvolle Mass- nen laufend zukommen lässt. Um dies sicherzustellen, ist nahmen in Unternehmen sind Vorfallreaktionspläne und es erforderlich, dass der in der DSGVO vorgeschriebene Ver- Governance-Regeln. In solchen Plänen bzw. bei Governance- trag zwischen dem Verantwortlichen und dem Auftragsver- Regeln sollten mindestens die in der Abbildung erwähnten arbeiter sorgfältig ausgearbeitet wird [25]. In Ausnahmefäl- Schritte adressiert werden [19]. Sie sind zentral, damit ein len kann es sein, dass der Auftragsverarbeiter die Meldung umgehendes Handeln gewährleistet und die Dokumenta vornimmt. Dies ist der Fall, wenn der Verantwortliche tionspflicht erfüllt wird. keine Meldung macht, obschon der Auftragsvera rbeiter Die Gesamtverantwortung für den Schutz personenbezo- eine solche als notwendig erachtet. In diesem Fall kann der gener Daten liegt beim Verantwortlichen, inbegriffen das Auftragsverarbeiter diese im Namen des Verantwortlichen Melden einer Datenschutzverletzung an die zuständige Auf- selbst einreichen, sofern er die ordnungsgemässe Genehmi- sichtsbehörde [20]. Der Verantwortliche für die Datenverar- gung des Verantwortlichen hat. Gemäss der Working Party beitung (im Sinne der DSGVO) ist verpflichtet, jedem Hinweis 29 sollte diese Möglichkeit zudem vertraglich vorgesehen auf eine Datenschutzverletzung nachzugehen [21]. Deshalb werden [26]. ist eine klare Rollenverteilung zwischen dem Verantwortli- Natürlich kann es in der Praxis auch zu Abweichungen von chen und dem Auftragsverarbeiter bei der Zusammenarbeit der 72-Stunden-Meldefrist kommen. Die DSGVO sieht in die- von verschiedenen Parteien aus datenschutzrechtlicher sen Fällen eine schrittweise oder eine verzögerte Meldung Sicht essenziell. Die Rolle des Verantwortlichen steht dabei vor [27]. der Rolle des Auftragsverarbeiters gegenüber [22]. Der Auf- Das Schweizer Datenschutzrecht sieht hingegen keine tragsverarbeiter ist eine natürliche oder juristische Person, Meldepflicht an die Behörden vor, sofern spezialgesetzlich Behörde, Einrichtung oder andere Stelle, die Personendaten nichts Abweichendes geregelt ist. Dies würde sich mit An- im Auftrag des Verantwortlichen verarbeitet [23]. Obschon nahme des E-DSG ändern. der Verantwortliche die Gesamtverantwortung trägt, bedeu- tet dies nicht, dass ein Auftragsverarbeiter keine Pflichten 2.1.2 Muss ein in der Schweiz niedergelassenes Unternehmen, auf hat. Er hat u. a. den Verantwortlichen bei der Erfüllung sei- das die DSGVO Anwendung findet, Sicherheitsvorfälle einer Behörde ner Obliegenheiten zu unterstützen. Der Umfang dieser Ver- melden? Art. 3 DSGVO sieht in gewissen Fällen vor, dass sich pflichtungen kann vertraglich erweitert werden. Ein Auf- der Anwendungsbereich auch auf Drittstaaten der EU (z. B. tragsverarbeiter muss zudem Datenschutzverletzungen er- die Schweiz) ausdehnt. Das EU-Recht geht in diesen Fällen kennen sowie die dafür notwendigen technischen und von einer Meldepflicht von Verantwortlichen in Drittstaaten organisatorischen Massnahmen in seinem Unternehmen aus, indem es die Regelungen der DSGVO als direkt anwend implementieren [24]. Daneben hat der Auftragsverarbeiter bar erachtet [28]. Die Aufsichtsbehörde kann dem Verant- die Pflicht, den betroffenen Verantwortlichen eine Daten- wortlichen gemäss EU-Recht eine Geldbusse nach Art. 83 6–7 | 2019 E X P E R T F O C U S 493
R E C HT Achtung, wir hab en eine Datenpanne! Was nun? Abs. 4 lit. a DSGVO auferlegen, wenn keine Meldung erfolgt. Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen von der Melde- D. h. gemäss DSGVO kann eine Meldepflicht auch für Unter- pflicht vor: wenn geeignete technische und organisatorische nehmen in Drittstaaten bestehen. Es ist grundsätzlich eine Sicherheitsvorkehrungen (z. B. Verschlüsselung) angewen- Meldung an die Datenschutzbehörde des Staats zu machen, det wurden, wenn Schutzmassnahmen implementiert wur- in dem die Datenschutzverletzung erfolgt. Im Fall von grenz- den oder wenn diese einen unverhältnismässigen Aufwand überschreitenden Datenschutzverletzungen kann dies dazu darstellen würden. führen, dass Aufsichtsbehörden in mehreren Mitgliedstaa- In den Fällen des unverhältnismässigen Aufwands ist (an- ten zuständig sind. stelle der Meldung an die einzelnen Betroffenen) eine öffent- Die DSGVO hat in diesem Zusammenhang den One-Stop- liche Bekanntmachung oder eine ähnliche Massnahme zu Shop-Mechanismus eingeführt, damit der in der EU nieder- ergreifen [35]. Das heisst, die Meldung entfällt nicht grund- gelassene Verantwortliche eine Datenschutzverletzung nur sätzlich, sondern wird anders ausgestaltet. Wenn einer die- einer Behörde melden muss [29]. Dieser One-Stop-Shop-Me- ser Ausnahmetatbestände vorliegt, muss der Verantwortli- chanismus gilt allerdings nicht für Unternehmen, die in che diesen in jedem Fall dokumentieren und der Aufsichts einem Drittstaat niedergelassen sind [30]. Das bedeutet, dass behörde nachweisen können [36]. zum Beispiel ein in der Schweiz niedergelassenes Unterneh- Auch für Verstösse gegen die Pflicht, Betroffene zu be men gegebenenfalls mehreren EU-Aufsichtsbehörden eine nachrichtigen, können die Aufsichtsbehörden Geldbussen Datenschutzverletzung melden muss. Dadurch werden die sprechen [37]. Verantwortlichen in Drittstaaten nicht gleichbehandelt, wie jene, die in der EU/im EWR niedergelassen sind. 2.2.2 Meldung an die Betroffenen nach DSG. Das Schweizer Da- Diese Meldepflicht und die Möglichkeit der EU-Behörden, tenschutzrecht besteht aus einer Reihe von Grundsätzen und Bussen gegen Schweizer Unternehmen auszusprechen, wurde Garantien, welche im Kontext jeder Datenbearbeitung zu be- in der Schweiz kontrovers diskutiert, insbesondere im Hin- achten sind [38]. Der Grundsatz von Treu und Glauben im blick auf Art. 271 Ziff. 1 StGB. Gemäss diesem Artikel macht DSG stellt eine Art Generalklausel dar, welche in verschiede- sich strafbar, wer auf schweizerischem Gebiet ohne Bewil nen Konstellationen zum Zuge kommen kann. So kann da- ligung für einen fremden Staat Handlungen vornimmt, raus die Pflicht abgeleitet werden, sich loyal und vertrauens- die grundsätzlich einer Behörde oder einem Beamten zu- würdig zu verhalten, woraus sich wiederum eine Informa kommen. Erfasst ist zudem, wer einer solchen Handlung tionspflicht ergibt. Aus dieser lässt sich ableiten, dass die Vorschub leistet. Das EJPD hat in einer Erläuterung [31] ver- betroffenen Personen über Datenschutzverletzungen zu in- sucht, Klarheit für Schweizer Unternehmen zu schaffen. Es formieren sind [39]. Also kann man sagen, dass auch im erklärt, dass Art. 271 Ziff. 1 StGB keine Anwendung findet Schweizer Recht eine Pflicht zur Meldung einer Datenschutz- und ein in der Schweiz niedergelassener Verantwortlicher verletzung an die betroffenen Personen besteht. Da die Infor- daher keine vorgängige Bewilligung des Bundes einholen mationspflicht auf einem Grundsatz des Schweizer Daten- muss, um eine Meldung nach Art. 33 DSGVO vorzuneh schutzrechts basiert, könnte zudem argumentiert werden, men [32]. Inwiefern eine Busse gegen ein Schweizer Unter- dass die Meldepflicht an die Betroffenen beim DSG früher nehmen vollstreckbar ist, bleibt jedoch weiterhin unklar. greift als die Pflicht nach Art. 34 DSGVO, wo zusätzlich ein hohes Risiko gefordert ist. 2.2 Wann müssen die betroffenen Personen benachrichtigt werden? 2.2.3 Weitere Meldepflichten. Sowohl im EU- wie auch im 2.2.1 Meldung an die Betroffenen nach DSGVO. Art. 34 DSGVO, Schweizer Recht ergeben sich weitere Meldepflichten aus an- welcher die Meldung an die betroffenen Personen regelt, ist deren Gesetzen oder Rechtsinstrumenten [40]. Gerade im zusammen mit Art. 33 DSGVO zu lesen, weshalb auf die heutigen Schweizer Recht haben spezialgesetzliche Melde- Grundsätze von Art. 33 DSGVO verwiesen werden kann, pflichten [41], wie im Finanzmarktrecht vorgesehen, eine wenn es keine spezielle Regelung gibt [33]. Eine Meldung an zentrale Bedeutung, da es die explizite Meldepflicht im die Betroffenen hat im Fall einer Verletzung unverzüglich DSG nicht gibt. zu erfolgen, sofern sie ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. 2.3 Bestehen weitere Pflichten? Die DSGVO verlangt, dass Ob ein hohes Risiko besteht, hat jedes Unternehmen in einer jede Datenschutzverletzung dokumentiert wird. Dies hilft Risikoabschätzung selbst zu bestimmen. Die DSGVO stellt dem Verantwortlichen, seine Rechenschaftspflicht gegen- klare Anforderungen an diese Meldung. So muss sie in kla- über der Aufsichtsbehörde zu belegen, welche Einsicht in rer und einfacher Sprache abgefasst werden und eine Be- diese Dokumente verlangen kann. Dies gilt auch für den schreibung der Art der Verletzung des Schutzes enthalten. Fall, dass keine Meldung erforderlich ist [42]. Die Aufzeich- Zudem muss die Meldung mindestens die drei nachfolgen- nungen müssen aufbewahrt werden [43]. den Punkte umfassen [34]: Art. 5 Abs. 2 DSGVO sieht ferner eine Rechenschaftspflicht Name und Kontaktdaten des Datenschutzbeauftragten in Bezug auf die Datenverarbeitung vor. Sie ist gleichzeitig oder einer anderen Anlaufstelle; Beschreibung der wahr- auch Ausdruck der gestärkten Eigenverantwortung des Ver- scheinlichen Folgen der Verletzung und Beschreibung der antwortlichen. Dieser muss den Nachweis erbringen, dass von dem Verantwortlichen ergriffenen oder vorgeschlagenen die Bestimmungen der DSGVO eingehalten werden [44]. Massnahmen. Diese Pflicht begründet dann auch die Darlegungs- und Be- 494 E X P E R T F O C U S 2019 | 6–7
Achtung, wir hab en eine Datenpanne! Was nun? R E C HT 6–7 | 2019 E X P E R T F O C U S 495
R E C HT Achtung, wir hab en eine Datenpanne! Was nun? weislast des Verantwortlichen, welche sich durch die DSGVO eintritt erfasst sind [50]. Die Bestimmung des Begriffs Scha- wie ein roter Faden zieht und auch die Verarbeitung durch den definiert sich grundsätzlich gemäss dem mitgliedstaat- den Auftragsverarbeiter erfasst [45]. lichen Begriff. Die DSGVO verlangt allerdings in jedem Fall eine weite Auslegung dieses Begriffs [51]. 3. GIBT ES EINE ZIVILRECHTLICHE HAFTUNG Art. 82 Abs. 3 DSGVO und der dazugehörende Erläute- FÜR EINE DATENSCHUTZVERLETZUNG? rungsgrund 146 formulieren eine Beweislastumkehr. Dem- Bisher fanden sich Bestimmungen zur zivilrechtlichen Haf- gemäss kann der Verantwortliche oder der Auftragsverarbei- tung in der nationalen Gesetzgebung der EU-Mitgliedstaa- ter sich nur von der Haftung befreien, wenn er nachweist, ten [46]. Die DSGVO sieht nun neu in Art. 82 Abs. 1 DSGVO vor, dass «jede Person, der wegen eines Verstosses gegen diese Verordnung « Für jedes Unternehmen wird das ein materieller oder immaterieller Schaden entstanden ist, […] An- spruch auf Schadenersatz gegen den Verantwortlichen oder gegen Implementieren von Datenprozessen den Auftragsverarbeiter [hat].» und die Risikoabschätzung Abs. 2 dieses Art. stellt ausserdem eine Verschuldensvermu in Bezug auf Datenbearbeitung tung auf. Diese besagt, dass jeder an der Datenverarbeitung zum Tagesgeschäft.» beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht der Verordnung entsprechende Verarbeitung ent- dass er für den Schaden in keiner Weise verantwortlich ist. standen ist. Beim Auftragsverarbeiter ist dies nur der Fall, Dies hat zur Folge, dass kein Kausalzusammenhang zwi- wenn er den ihm auferlegten Pflichten nicht nachkommt schen der Verletzungshandlung und dem Schaden bestehen oder die Weisungen des Verantwortlichen nicht beachtet. darf oder dass die Verletzung auf einem unvermeidbaren Damit enthält die DSGVO neben den aufsichtsrechtlichen Ereignis beruht [52]. Dies führt dazu, dass es für Betroffene Massnahmen auch eine Rechtsgrundlage, auf der ein Betrof- von Datenschutzverletzungen einfacher wird, solche auf fener direkt gegen einen Verantwortlichen oder Auftragsver- dem Zivilweg einzuklagen. arbeiter vorgehen kann. Darüber hinaus sieht die DSGVO Im Schweizer DSG ist die Haftung nicht spezialgesetzlich die Möglichkeit von Verbandsklagen vor. geregelt. Das heisst allerdings nicht, dass keine Haftung Die erweiterte zivilrechtliche Haftung, die explizite Haf- möglich ist, allerdings gestaltet sich diese i. d. R. nach den tung für immaterielle Schäden sowie die Möglichkeit von allgemeinen Haftungsgrundsätzen (Art. 41 ff., 97 ff. OR). Verbandsklagen dürften wohl zu einer deutlichen Verschär- fung der bisherigen Praxis führen [47]. 4. FAZIT Im Falle einer Haftungsklage nach DSGVO ergibt sich das Die Ausführungen zeigen, dass Unternehmen in Bezug auf zuständige Gericht aus Art. 79 Abs. 2 DSGVO. Demgemäss Datenbearbeitungen und Datenschutzverletzungen zwei hat die betroffene Person die Wahl, die Klage am Ort der Punkte beachten sollten. Erstens: Präventive Massnahmen Niederlassung des Verantwortlichen bzw. des Auftragsverar- sparen Geld aufgrund reduzierter Bussen und potenzieller beiters zu erheben oder im EU-Mitgliedstaat ihres Aufent- Haftungsminderungen. Zweitens: Technische und organisa- halts. Dies gilt nicht, wenn es sich beim Verantwortlichen um torische Massnahmen sowie eine korrekte Dokumentation eine Behörde handelt, die beim Ausüben ihrer Tätigkeit erlauben ein schnelles Handeln und eine einfachere Beweis- Daten verarbeitet hat. Im Übrigen liegt das Regeln der Zu- führung im Falle von Datenschutzverletzungen. Entspre- ständigkeit grundsätzlich im Kompetenzbereich der Mit chende Vorkehrungen sind daher klar zu empfehlen. Gerade gliedstaaten [48]. auch im Hinblick auf eventuelle zivilrechtliche Haftungs- Im Einzelnen ist für eine Klage der Verstoss gegen eine möglichkeiten sollte diesen erhöhte Aufmerksamkeit ge- Norm der DSGVO, das Bestehen eines materiellen und/oder schenkt werden. Dies bedeutet für jedes Unternehmen, dass immateriellen Schadens sowie das Verschulden des Verant- das Implementieren von Prozessen und die Risikoabschät- wortlichen oder des Auftragsverarbeiters erforderlich. zung in Bezug auf die Datenbearbeitung zum Tagesgeschäft Das Ausdehnen auf immaterielle Schäden erlaubt die wird. Ansonsten drohen nicht nur hohe Bussen, sondern Möglichkeit, Schmerzensgeld oder Genugtuung zu verlan- auch das Risiko von Haftungsklagen, welche seit dem In- gen [49]. Es ist davon auszugehen, dass unter dem Begriff krafttreten der DSGVO deutlich einfacher durchzusetzen Verschulden sowohl die vorsätzliche als auch die fahrlässige sind als zuvor. n Verletzung einer DSGVO-Bestimmung und deren Schadens Anmerkungen: 1) Verordnung (EU) 2016/679 zum land-to-investigate-nokia-branded-phones-after- S. 171. 4) European Union Agency for Fundamental Schutz natürlicher Personen bei der Verarbeitung data-breach-report-idUSKCN1R20XF, Zugriff am Rights, Handbook on European data protection law, personenbezogener Daten und zum freien Daten- 1. April 2019; Langer, M. A., Hacker entwenden Da 2018, S. 83. 5) Artikel-29-Datenschutzgruppe, Leitli- verkehr (DSGVO). 2) Exemplarisch für viele: Reu- ten von 500 Millionen Starwood-Hotelgästen, in: nien für die Meldung von Verletzungen des Schut- ters, Finland to investigate Nokia-branded phones Neue Zürcher Zeitung vom 30. November 2018. zes personenbezogener Daten gemäss der Verord- after data breach report vom 21. März 2019, https:// 3) European Union Agency for Fundamental Rights, nung (EU) 2016/679, angenommen am 3. Oktober www.reuters.com/article/us-finland-telecoms/fin Handbook on European data protection law, 2018, 2017, zuletzt überarbeitet und angenommen am 496 E X P E R T F O C U S 2019 | 6–7
Achtung, wir hab en eine Datenpanne! Was nun? R E C HT 6. Februar 2018, S. 8. 6) Artikel-29-Datenschutz- gruppe, Leitlinien für die Meldung von Verletzun- lage, 2018, Art. 34, Rz. 4. 34) Dr. Hladjk, J., in: Eh- gruppe, Leitlinien für die Meldung von Verletzun- gen des Schutzes personenbezogener Daten ge- mann, E., Selmayr, M. (Hrsg.), Becksche Kurzkom- gen des Schutzes personenbezogener Daten gemäss mäss der Verordnung (EU) 2016/679, angenommen mentare DS-GVO Datenschutz-Grundverordnung, der Verordnung (EU) 2016/679, angenommen am am 3. Oktober 2017, zuletzt überarbeitet und an- 2. Auflage, 2018, Art. 34, Rz. 7. 35) Dr. Hladjk, J., in: 3. Oktober 2017, zuletzt überarbeitet und angenom- genommen am 6. Februar 2018, S. 14. 20) Artikel- Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz- men am 6. Februar 2018, S. 8 f. 7) Artikel-29-Daten- 29-Datenschutzgruppe, Leitlinien für die Meldung kommentare DS-GVO Datenschutz-Grundverord- schutzgruppe, Leitlinien für die Meldung von Ver- von Verletzungen des Schutzes personenbezogener nung, 2. Auflage, 2018, Art. 34, Rz. 12. 36) Art. 5 Abs. 2 letzungen des Schutzes personenbezogener Daten Daten gemäss der Verordnung (EU) 2016/679, an- DSGVO; Dr. Hladjk, J., in: Ehmann, E., Selmayr, gemäss der Verordnung (EU) 2016/679, angenom- genommen am 3. Oktober 2017, zuletzt überarbei- M. (Hrsg.), Becksche Kurzkommentare DS-GVO men am 3. Oktober 2017, zuletzt überarbeitet tet und angenommen am 6. Februar 2018, S. 15 f. Datenschutz-Grundverordnung, 2. Auflage, 2018, und angenommen am 6. Februar 2018, S. 9. 8) BBl, 21) Artikel-29-Datenschutzgruppe, Leitlinien für Art. 34, Rz. 13. 37) Art. 83 DSGVO; Dr. Hladjk, J., in Totalrevision des Bundesgesetzes über den Daten- die Meldung von Verletzungen des Schutzes perso- Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz- schutz und Änderung weiterer Erlasse zum Daten- nenbezogener Daten gemäss der Verordnung (EU) kommentare DS-GVO Datenschutz-Grundverord- schutz, 2017, S. 7193 ff. 9) Artikel-29-Datenschutz- 2016/679, angenommen am 3. Oktober 2017, zu- nung, 2. Auflage, 2018, Art. 34, Rz. 17. 38) Epiney, gruppe, Leitlinien für die Meldung von Verletzun- letzt überarbeitet und angenommen am 6. Februar A., in: Belser, E. M., Epiney, A., Waldmann, B., Da- gen des Schutzes personenbezogener Daten gemäss 2018, S. 14. 22) Art. 4 Abs. 7 DSGVO. 23) Art. 4 Abs. 8 tenschutzrecht, § 9 Rz. 1. 39) Epiney, A., in: Belser, der Verordnung (EU) 2016/679, angenommen am DSGVO. 24) Artikel-29-Datenschutzgruppe, Leitli- E. M., Epiney, A., Waldmann, B., § 9 Rz. 22. 40) Ar- 3. Oktober 2017, zuletzt überarbeitet und angenom- nien für die Meldung von Verletzungen des Schut- tikel-29-Datenschutzgruppe, Leitlinien für die men am 6. Februar 2018, S. 6. 10) Voigt P., von dem zes personenbezogener Daten gemäss der Verord- Meldung von Verletzungen des Schutzes personen- Bussche, A. The EU General Data Protection Regu- nung (EU) 2016/679, angenommen am 3. Oktober bezogener Daten gemäss der Verordnung (EU) lation (GDPR) – A Practical Guide, Springer, 2017, 2017, zuletzt überarbeitet und angenommen am 2016/679, angenommen am 3. Oktober 2017, zuletzt S. 65 f., Art. 83 Abs. 4 DSGVO. 11) Artikel-29-Daten- 6. Februar 2018, S. 16. 25) Artikel-29-Datenschutz- überarbeitet und angenommen am 6. Februar 2018, schutzgruppe, Leitlinien für die Meldung von Ver- gruppe, Leitlinien für die Meldung von Verletzun- S. 33 41) Exemplarisch für viele: Art. 96 FDV, Art. 29 letzungen des Schutzes personenbezogener Daten gen des Schutzes personenbezogener Daten gemäss Abs. 2 FINMAG, Finma RS 2008/21 A3/42 ff., Art. 12 gemäss der Verordnung (EU) 2016/679, angenom- der Verordnung (EU) 2016/679, angenommen am EDPV. 42) Artikel-29-Datenschutzgruppe, Leitlinien men am 3. Oktober 2017, zuletzt überarbeitet und 3. Oktober 2017, zuletzt überarbeitet und ange- für die Meldung von Verletzungen des Schutzes angenommen am 6. Februar 2018, S. 12. 12) Er nommen am 6. Februar 2018, S. 15 f. 26) Artikel- personenbezogener Daten gemäss der Verordnung wägungsgrund 87; Artikel-29-Datenschutzgruppe, 29-Datenschutzgruppe, Leitlinien für die Meldung (EU) 2016/679, angenommen am 3. Oktober 2017, Leitlinien für die Meldung von Verletzungen des von Verletzungen des Schutzes personenbezogener zuletzt überarbeitet und angenommen am 6. Feb- Schutzes personenbezogener Daten gemäss der Ver- Daten gemäss der Verordnung (EU) 2016/679, an- ruar 2018, S. 9. 43) Artikel-29-Datenschutzgruppe, ordnung (EU) 2016/679, angenommen am 3. Okto- genommen am 3. Oktober 2017, zuletzt überarbei- Leitlinien für die Meldung von Verletzungen des ber 2017, zuletzt überarbeitet und angenommen am tet und angenommen am 6. Februar 2018, S. 15 f. Schutzes personenbezogener Daten gemäss der Ver- 6. Februar 2018, S. 12. 13) Data Protection Commis- 27) Artikel-29-Datenschutzgruppe, Leitlinien für ordnung (EU) 2016/679, angenommen am 3. Okto- sion, Breach Notification, https://www.datapro die Meldung von Verletzungen des Schutzes perso- ber 2017, zuletzt überarbeitet und angenommen am tection.ie/en/organisations/know-your-obligations/ nenbezogener Daten gemäss der Verordnung (EU) 6. Februar 2018, S. 32. 44) Dr. Heberlein, H., in: Eh- breach-notification, Zugriff am 18. März 2019. 2016/679, angenommen am 3. Oktober 2017, zuletzt mann, E., Selmayr, M. (Hrsg.), Becksche Kurzkom- 14) Artikel-29-Datenschutzgruppe, Leitlinien für überarbeitet und angenommen am 6. Februar 2018, mentare DS-GVO Datenschutz-Grundverordnung, die Meldung von Verletzungen des Schutzes perso- S. 15 f. 28) Vgl. European Data Protection Board, 2. Auflage, 2018, Art. 5, Rz. 29. 45) Dr. Heberlein, H., nenbezogener Daten gemäss der Verordnung (EU) Guidelines 3/2018 on the territorial scope of the in: Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz- 2016/679, angenommen am 3. Oktober 2017, zuletzt GDPR, Article 3, version for public consultation, ad- kommentare DS-GVO Datenschutz-Grundverord- überarbeitet und angenommen am 6. Februar 2018, opted on 16 November 2018. 29) Voigt, P., von dem nung, 2. Auflage, 2018, Art. 5, Rz. 32 f. 46) Voigt, P., S. 12. 15) Im Fall Knuddels hat die Kooperation mit Bussche, A., The EU General Data Protection Regu- von dem Bussche, A., The EU General Data Protec- der Aufsichtsbehörde zu einer reduzierten Busse lation (GDPR) – A Practical Guide, Springer, 2017, tion Regulation (GDPR) – A Practical Guide, Sprin- geführt: Budras, C., Jansen, J., Datenschützer bestra- S. 191 ff. 30) Artikel-29-Datenschutzgruppe, Leitli- ger, 2017, S. 204 f. 47) Vgl. Wybitul, T., EU-Daten- fen massenhaften Datenklau, in: Frankfurter All- nien für die Bestimmung der federführenden Auf- schutz-Grundverordnung im Unternehmen, 2016, gemeine Zeitung, https://www.faz.net/aktuell/ sichtsbehörde eines Verantwortlichen oder Auf- S. 28 f. 48) Nemitz, P., in: Ehmann, E., Selmayr, M. wirtschaft/diginomics/dsgvo-datenschuetzer-bestra tragsverarbeiters, angenommen am 13. Dezember (Hrsg.), Becksche Kurzkommentare DS-GVO Da- fen-massenhaften-datenklau-15903347.html, Zu- 2016, zuletzt überarbeitet am 5. April 2017, S. 9. tenschutz-Grundverordnung, 2. Auflage, 2018, griff 19. April 2019. 16) Artikel-29-Datenschutzgruppe, 31) EJPD, Erläuterung betreffend die Pflicht zur Art. 79, Rz. 4. 49) Nemitz, P., in: Ehmann, E., Selmayr, Leitlinien für die Meldung von Verletzungen des Meldung von Verletzungen des Schutzes personen- M. (Hrsg.), Becksche Kurzkommentare DS-GVO Schutzes personenbezogener Daten gemäss der Ver bezogener Daten nach Art. 33 der Verordnung (EU) Datenschutz-Grundverordnung, 2. Auflage, 2018, ordnung (EU) 2016/679, angenommen am 3. Okto- 2016/679 zum Schutz natürlicher Personen bei der Art. 82, Rz. 13. 50) Nemitz, P., in: Ehmann, E., Sel- ber 2017, zuletzt überarbeitet und angenommen Verarbeitung personenbezogener Daten und zum mayr, M. (Hrsg.), Becksche Kurzkommentare am 6. Februar 2018, S. 13. 17) Voigt P., von dem Bus- freien Datenverkehr (DSGVO). 32) EJPD, Erläute- D S-GVO Datenschutz-Grundverordnung, 2. Auflage, sche, A., The EU General Data Protection Regula- rung betreffend die Pflicht zur Meldung von Ver- 2018, Art. 82, Rz. 14. 51) Nemitz, P., in: Ehmann, E., tion (GDPR) – A Practical Guide, Springer, 2017, letzungen des Schutzes personenbezogener Daten Selmayr, M. (Hrsg.), Becksche Kurzkommentare S. 67. 18) Artikel-29-Datenschutzgruppe, Leitlinien nach Art. 33 der Verordnung (EU) 2016/679 zum DS-GVO Datenschutz-Grundverordnung, 2. Auflage, für die Meldung von Verletzungen des Schutzes Schutz natürlicher Personen bei der Verarbeitung 2018, Art. 82, Rz. 16. 52) Nemitz, P., in: Ehmann, E., personenbezogener Daten gemäss der Verordnung personenbezogener Daten und zum freien Daten- Selmayr, M. (Hrsg.), Becksche Kurzkommentare (EU) 2016/679, angenommen am 3. Oktober 2017, verkehr (DSGVO). 33) Dr. Hladjk, J., in: Ehmann, E., DS-GVO Datenschutz-Grundverordnung, 2. Auflage, zuletzt überarbeitet und angenommen am 6. Feb- Selmayr, M. (Hrsg.), Becksche Kurzkommentare 2018, Art. 82, Rz. 19. ruar 2018, S. 14. 19) Vgl. Artikel-29-Datenschutz- DS-GVO Datenschutz-Grundverordnung, 2. Auf- 6–7 | 2019 E X P E R T F O C U S 497
Sie können auch lesen