ACHTUNG, WIR HABEN EINE DATENPANNE! WAS NUN? - Der Umgang mit Datenschutzverletzungen - Froriep
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
R E C HT
C O R N E L I A M AT T I G
ACHTUNG, WIR HABEN EINE DATENPANNE!
WAS NUN?
Der Umgang mit Datenschutzverletzungen
Am 25. Mai war die DSGVO [1] bereits seit einem Jahr in Kraft. Viele Unternehmen
haben die rechtlichen Vorgaben bereits umgesetzt. Nun rücken Fragen zum Umgang
mit Prozessen, Betroffenenrechten und Datenschutzverletzungen in den Fokus.
Mittlerweile hört man fast schon täglich von Datenschutz- 1. Verletzung der Vertraulichkeit, was die unbefugte oder un-
verletzungen, bekannte und in den Medien aufgenommene beabsichtigte Preisgabe oder Einsichtnahme in Personenda-
Fälle betrafen u. a. Marriott oder Nokia [2]. Es zeigt sich, dass ten beinhaltet.
fast jeder in irgendeiner Form von solchen Sicherheitslücken 2. Verletzung der Integrität, das heisst die unbefugte oder
betroffen sein kann. Doch was muss (m)ein Unternehmen unbeabsichtigte Änderung von Personendaten.
heute im Zusammenhang mit solchen Datenschutzverlet- 3. Verletzung der Verfügbarkeit, also der unbefugte oder un-
zungen beachten und unternehmen? beabsichtigte Verlust des Zugangs zu personenbezogenen
Daten oder auch das unbeabsichtigte oder unrechtmässige
1. WAS IST EINE DATENSCHUTZVERLETZUNG? Vernichten von Personendaten.
Datenschutzverletzungen können aus einer Vielzahl von Er-
eignissen entstehen, welche von versehentlichen Fehlern bis Natürlich muss jede Datenschutzverletzung im Einzelnen be-
hin zu Hacking oder weiteren Cybervorfällen reichen [3]. Al- trachtet werden. So stellt sich u. a. in Bezug auf die Verlet-
lerdings ist nicht jede Sicherheitsverletzung zwingend eine zung der Verfügbarkeit die Frage, ob ein vorübergehender
Datenschutzverletzung, denn dabei müssen Personendaten Verlust der Verfügbarkeit (z. B. ein Stromausfall) einen sol-
betroffen sein. Personendaten sind Informationen, die eine chen Sicherheitsvorfall darstellt.
natürliche Person identifizieren oder identifizierbar ma- Die Working Party 29 (Vorgänger des heutigen EU-Daten-
chen [4]. So definiert Art. 4 Abs. 12 der Datenschutz-Grund- schutzausschusses), welche als unabhängiges Beratungsgre-
verordnung (DSGVO) den Begriff Verletzung des Schutzes mium der EU fungiert, hat den vorübergehenden Verlust der
personenbezogener Daten als Verfügbarkeit grundsätzlich als eine Datenschutzverletzung
«eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder un- im Sinne der DSGVO definiert. Ob diese allerdings zu mel-
rechtmässig, zur Vernichtung, zum Verlust, zur Veränderung, den ist, hängt vom Vorfall sowie dessen Auswirkungen ab.
oder zur unbefugten Offenlegung von beziehungsweise zum un- Der vorübergehende Verlust der Verfügbarkeit fällt aller-
befugten Zugang zu personenbezogenen Daten führt, die über- dings beispielsweise nicht darunter, wenn es sich um eine
mittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.» geplante Systemwartung handelt [7].
Anders als das EU-Recht sieht das Schweizer Datenschutz-
Das heisst, eine Datenschutzverletzung ist ein Sicherheits- recht im Bundesgesetz über den Datenschutz (DSG) vom
vorfall, welcher Personendaten beeinträchtigt [5]. 19. Juni 1992 keine Definition des Begriffs Datenschutz
Datenschutzverletzungen können demzufolge in die drei verletzung vor. Entsprechend gibt es keine explizite Melde-
nachfolgenden Kategorien von Verletzungen unterteilt wer- pflicht. Dies soll allerdings mit der Revision des Daten-
den [6]: schutzgesetzes geändert werden, um die Gleichwertigkeit
von Schweizer und EU-Datenschutzrecht sicherzustellen.
So definiert Art. 4 lit. g des Entwurfs zum Datenschutzge-
CORNELIA MATTIG, setz vom 15. September 2017 (E-DSG) [8] eine Verletzung der
MLAW, LL.M., Datensicherheit als
RECHTSANWÄLTIN, «eine Verletzung der Sicherheit, die ungeachtet der Absicht oder
FRORIEP LEGAL, der Widerrechtlichkeit dazu führt, dass Personendaten verloren-
CMATTIG@FRORIEP.CH gehen, gelöscht, vernichtet oder verändert werden oder Unbefug-
ten offengelegt oder zugänglich gemacht werden.»
Zudem sieht der Entwurf für bestimmte Fälle auch eine
Meldepflicht an den Eidgenössischen Datenschutz- und Öf-
6–7 | 2019 E X P E R T F O C U S 491R E C HT Achtung, wir hab en eine Datenpanne! Was nun?
fentlichkeitsbeauftragten (EDÖB) und gegebenenfalls an tenschutzverletzungen. Diese Pflicht erhält zusätzliches
die Betroffenen vor. Gewicht, da die Verletzung der Meldepflicht Bussen von bis
Aufgrund der Ähnlichkeit der Definition des Begriffs zu EUR 10 Mio. oder bis zu 2% des weltweiten Umsatzes zur
Datenschutzverletzung in der DSGVO und im E-DSG wird Folge haben kann [10]. Der Verantwortliche im Sinne dieser
im Folgenden von einem einheitlichen Begriff der Daten- Bestimmung ist gemäss Art. 4 Abs. 7 DSGVO die natürliche
schutzverletzung ausgegangen. oder juristische Person, Behörde, Einrichtung oder andere
Stelle, die allein oder gemeinsam mit anderen über die Zwe-
2. WAS IST IM FALL EINER DATENSCHUTZ cke und Mittel der Verarbeitung von Personendaten ent-
VERLETZUNG ZU TUN? scheidet.
Die DSGVO befasst sich explizit mit Datenschutzverletzun- Um die knapp berechnete Frist von 72 Stunden einzuhal-
gen und mit den in diesem Zusammenhang zu ergreifenden ten, stellt sich in diesem Zusammenhang zunächst die Frage,
Schritten. So sieht die EU-Verordnung vor, dass ein Daten zu welchem Zeitpunkt der Verantwortliche von einer Daten-
bearbeiter bereits vor einem Vorfall geeignete technische schutzverletzung Kenntnis hat. Die Working Party 29 geht
und organisatorische Massnahmen zu implementieren hat, davon aus, dass eine Datenschutzverletzung einem Verant-
wortlichen bekannt ist, sobald er eine hinreichende Gewiss-
heit darüber hat, dass sich ein Sicherheitsvorfall ereignet
« Die Verletzung der Meldepflicht hat, der den Schutz von personenbezogenen Daten beein-
trächtigt [11].
erhält zusätzliches Gewicht, Obschon nicht jede Datenschutzverletzung eine Meldung
da sie Bussen von bis zu EUR 10 Mio. gemäss DSGVO erfordert, ist sicherzustellen, dass der Ver-
antwortliche alle geeigneten technischen und organisatori-
oder bis zu 2% des weltweiten schen Massnahmen ergriffen hat, um einen Sicherheitsvor-
Umsatzes zur Folge haben kann.» fall zu erkennen. Das heisst, dass das reine Nichtwissen
wegen mangelnder Massnahmen den Verantwortlichen im
um eine Datenschutzverletzung zu vermeiden. Diese sollen Fall einer fehlenden Meldung nicht schützt [12]. Die Daten-
ein dem Risiko angemessenes Sicherheitsniveau gewährleis- schutzbehörden in der EU/im EWR und insbesondere die iri-
ten. Neben präventiven Massnahmen müssen auch solche sche Behörde haben in diesem Kontext bereits mehrfach
getroffen werden, die einen Sicherheitsvorfall sofort erkenn- klargestellt, dass jeder Vorfall intern dokumentiert und mit
bar machen, also noch bevor klar ist, ob es sich um eine Da- einer Einschätzung des Risikos versehen werden soll [13].
tenschutzverletzung handelt. Das heisst, das Sicherheits- Wenn geprüft wird, ob eine Meldung unverzüglich erfolgt ist,
konzept einer Unternehmung, die DSGVO-konform ist, werden auch die Art, die Schwere sowie die Folgen der Daten-
stellt sicher, dass Sicherheitsvorfälle verhindert und sofern schutzverletzung berücksichtigt. Dies bleibt jedoch immer
dies nicht möglich ist, rasch erkannt werden, um eine an- eine Einzelfallbetrachtung [14]. Die interne Dokumentation
gemessene Reaktion zu gewährleisten [9]. Um entsprechend des Vorfalls kann dabei als Hilfsmittel zur Bewertung beige-
rasch auf Sicherheitsvorfälle reagieren zu können, ist es von zogen werden. Sie kann im Fall einer Datenschutzverletzung
zentraler Bedeutung, kurze und klare interne Prozesse zu auch der besseren Zusammenarbeit mit der Behörde dienen,
definieren. was sich i. d. R. positiv in der Bemessung der Bussenhöhe wi-
Das DSG befasst sich nicht explizit mit Datenschutzver derspiegelt [15].
letzungen, entsprechend sind die zu ergreifenden Mass Der Verantwortliche hat spätestens innert 72 Stunden der
nahmen für Schweizer Unternehmen nicht klar ersichtlich. Aufsichtsbehörde eine Meldung zuzustellen. In dieser Zeit
Das heisst jedoch nicht, dass keine Verpflichtungen im Zu- ist bereits Verschiedenes abzuklären, das in der Meldung
sammenhang mit Datenschutzverletzungen bestehen. festgehalten werden muss [16]. Die Meldung hat im Mini-
mum generelle Angaben zu den nachfolgenden Punkten zu
2.1 Wann besteht eine Meldepflicht enthalten [17]:
gegenüber Behörden? Datenschutzverletzung inkl. Kategorien der Personen
2.1.1 Meldepflicht nach DSGVO. Art. 33 Abs. 1 DSGVO sieht vor, daten; ungefähre Anzahl der betroffenen Personen;
dass Kontakt vom Datenschutzbeaufsichtigten oder einem an-
«im Falle einer Verletzung des Schutzes personenbezogener Da deren internen Kontakt; wahrscheinliche Konsequenzen
ten […] der Verantwortliche unverzüglich und möglichst binnen der Datenschutzverletzung sowie vorgeschlagene Mass-
72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese nahmen zur Beseitigung der Datenschutzverletzung und
der gemäss Artikel 55 zuständigen Aufsichtsbehörde [meldet], es ihrer Konsequenzen.
sei denn, dass die Verletzung des Schutzes personenbezogener
Daten voraussichtlich nicht zu einem Risiko für die Rechte und Damit eine solche umfassende Meldung innert Frist möglich
Freiheiten natürlicher Personen führt.» ist, müssen klare interne Prozesse definiert werden, damit
Datenschutzverletzungen umgehend erkannt, behoben und
Dies ist eine der zentralen Neuerungen, welche die EU mit die erforderlichen Informationen gesammelt werden können.
der DSGVO eingeführt hat. Denn zuvor kannten die meisten Solche Massnahmen können sowohl technischer als auch
Mitgliedstaaten keine allgemeinen Meldepflichten bei Da- organisatorischer Natur sein, um Abweichungen oder Un
492 E X P E R T F O C U S 2019 | 6–7Achtung, wir hab en eine Datenpanne! Was nun? R E C HT
Abbildung: VORGEHEN IM FALLE EINER SICHERHEITSVERLETZUNG
Abschätzung Risiko
Interne und externe
Vorbereitung Meldung,
Kontrolle und
sofern notwendig
Kommunikation
Meldung an die
Sicherheitsvorfall
relevante interne Stelle
Vornahme
Technische
zwischenzeitlicher
Massnahmen
Massnahmen
Dokumentation Organisatorische
des Prozesses Massnahmen
regelmässigkeiten im Datenfluss zu erkennen [18]. Sobald schutzverletzung zu melden. Für diese Meldung sieht die
ein Sicherheitsvorfall festgestellt wird, müssen die zustän DSGVO keine konkrete Frist vor. Der Text besagt einzig,
digen internen Stellen umgehend informiert werden, das Ri- dass sie unverzüglich zu erfolgen hat (Art. 33 Abs. 2 DSGVO).
siko des Vorfalls für Personendaten abgeschätzt sowie die Damit der Verantwortliche seiner Pflicht nachkommen
Quelle der Datenschutzverletzung behoben und gegebenen- kann, ist es zentral, dass der Auftragsverarbeiter diesen um-
falls gemeldet werden. Deshalb ist es wichtig, einfache und gehend informiert und ihm alle zusätzlichen Informatio-
direkte Kommunikationswege zu schaffen. Sinnvolle Mass- nen laufend zukommen lässt. Um dies sicherzustellen, ist
nahmen in Unternehmen sind Vorfallreaktionspläne und es erforderlich, dass der in der DSGVO vorgeschriebene Ver-
Governance-Regeln. In solchen Plänen bzw. bei Governance- trag zwischen dem Verantwortlichen und dem Auftragsver-
Regeln sollten mindestens die in der Abbildung erwähnten arbeiter sorgfältig ausgearbeitet wird [25]. In Ausnahmefäl-
Schritte adressiert werden [19]. Sie sind zentral, damit ein len kann es sein, dass der Auftragsverarbeiter die Meldung
umgehendes Handeln gewährleistet und die Dokumenta vornimmt. Dies ist der Fall, wenn der Verantwortliche
tionspflicht erfüllt wird. keine Meldung macht, obschon der Auftragsvera rbeiter
Die Gesamtverantwortung für den Schutz personenbezo- eine solche als notwendig erachtet. In diesem Fall kann der
gener Daten liegt beim Verantwortlichen, inbegriffen das Auftragsverarbeiter diese im Namen des Verantwortlichen
Melden einer Datenschutzverletzung an die zuständige Auf- selbst einreichen, sofern er die ordnungsgemässe Genehmi-
sichtsbehörde [20]. Der Verantwortliche für die Datenverar- gung des Verantwortlichen hat. Gemäss der Working Party
beitung (im Sinne der DSGVO) ist verpflichtet, jedem Hinweis 29 sollte diese Möglichkeit zudem vertraglich vorgesehen
auf eine Datenschutzverletzung nachzugehen [21]. Deshalb werden [26].
ist eine klare Rollenverteilung zwischen dem Verantwortli- Natürlich kann es in der Praxis auch zu Abweichungen von
chen und dem Auftragsverarbeiter bei der Zusammenarbeit der 72-Stunden-Meldefrist kommen. Die DSGVO sieht in die-
von verschiedenen Parteien aus datenschutzrechtlicher sen Fällen eine schrittweise oder eine verzögerte Meldung
Sicht essenziell. Die Rolle des Verantwortlichen steht dabei vor [27].
der Rolle des Auftragsverarbeiters gegenüber [22]. Der Auf- Das Schweizer Datenschutzrecht sieht hingegen keine
tragsverarbeiter ist eine natürliche oder juristische Person, Meldepflicht an die Behörden vor, sofern spezialgesetzlich
Behörde, Einrichtung oder andere Stelle, die Personendaten nichts Abweichendes geregelt ist. Dies würde sich mit An-
im Auftrag des Verantwortlichen verarbeitet [23]. Obschon nahme des E-DSG ändern.
der Verantwortliche die Gesamtverantwortung trägt, bedeu-
tet dies nicht, dass ein Auftragsverarbeiter keine Pflichten 2.1.2 Muss ein in der Schweiz niedergelassenes Unternehmen, auf
hat. Er hat u. a. den Verantwortlichen bei der Erfüllung sei- das die DSGVO Anwendung findet, Sicherheitsvorfälle einer Behörde
ner Obliegenheiten zu unterstützen. Der Umfang dieser Ver- melden? Art. 3 DSGVO sieht in gewissen Fällen vor, dass sich
pflichtungen kann vertraglich erweitert werden. Ein Auf- der Anwendungsbereich auch auf Drittstaaten der EU (z. B.
tragsverarbeiter muss zudem Datenschutzverletzungen er- die Schweiz) ausdehnt. Das EU-Recht geht in diesen Fällen
kennen sowie die dafür notwendigen technischen und von einer Meldepflicht von Verantwortlichen in Drittstaaten
organisatorischen Massnahmen in seinem Unternehmen aus, indem es die Regelungen der DSGVO als direkt anwend
implementieren [24]. Daneben hat der Auftragsverarbeiter bar erachtet [28]. Die Aufsichtsbehörde kann dem Verant-
die Pflicht, den betroffenen Verantwortlichen eine Daten- wortlichen gemäss EU-Recht eine Geldbusse nach Art. 83
6–7 | 2019 E X P E R T F O C U S 493R E C HT Achtung, wir hab en eine Datenpanne! Was nun?
Abs. 4 lit. a DSGVO auferlegen, wenn keine Meldung erfolgt. Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen von der Melde-
D. h. gemäss DSGVO kann eine Meldepflicht auch für Unter- pflicht vor: wenn geeignete technische und organisatorische
nehmen in Drittstaaten bestehen. Es ist grundsätzlich eine Sicherheitsvorkehrungen (z. B. Verschlüsselung) angewen-
Meldung an die Datenschutzbehörde des Staats zu machen, det wurden, wenn Schutzmassnahmen implementiert wur-
in dem die Datenschutzverletzung erfolgt. Im Fall von grenz- den oder wenn diese einen unverhältnismässigen Aufwand
überschreitenden Datenschutzverletzungen kann dies dazu darstellen würden.
führen, dass Aufsichtsbehörden in mehreren Mitgliedstaa- In den Fällen des unverhältnismässigen Aufwands ist (an-
ten zuständig sind. stelle der Meldung an die einzelnen Betroffenen) eine öffent-
Die DSGVO hat in diesem Zusammenhang den One-Stop- liche Bekanntmachung oder eine ähnliche Massnahme zu
Shop-Mechanismus eingeführt, damit der in der EU nieder- ergreifen [35]. Das heisst, die Meldung entfällt nicht grund-
gelassene Verantwortliche eine Datenschutzverletzung nur sätzlich, sondern wird anders ausgestaltet. Wenn einer die-
einer Behörde melden muss [29]. Dieser One-Stop-Shop-Me- ser Ausnahmetatbestände vorliegt, muss der Verantwortli-
chanismus gilt allerdings nicht für Unternehmen, die in che diesen in jedem Fall dokumentieren und der Aufsichts
einem Drittstaat niedergelassen sind [30]. Das bedeutet, dass behörde nachweisen können [36].
zum Beispiel ein in der Schweiz niedergelassenes Unterneh- Auch für Verstösse gegen die Pflicht, Betroffene zu be
men gegebenenfalls mehreren EU-Aufsichtsbehörden eine nachrichtigen, können die Aufsichtsbehörden Geldbussen
Datenschutzverletzung melden muss. Dadurch werden die sprechen [37].
Verantwortlichen in Drittstaaten nicht gleichbehandelt, wie
jene, die in der EU/im EWR niedergelassen sind. 2.2.2 Meldung an die Betroffenen nach DSG. Das Schweizer Da-
Diese Meldepflicht und die Möglichkeit der EU-Behörden, tenschutzrecht besteht aus einer Reihe von Grundsätzen und
Bussen gegen Schweizer Unternehmen auszusprechen, wurde Garantien, welche im Kontext jeder Datenbearbeitung zu be-
in der Schweiz kontrovers diskutiert, insbesondere im Hin- achten sind [38]. Der Grundsatz von Treu und Glauben im
blick auf Art. 271 Ziff. 1 StGB. Gemäss diesem Artikel macht DSG stellt eine Art Generalklausel dar, welche in verschiede-
sich strafbar, wer auf schweizerischem Gebiet ohne Bewil nen Konstellationen zum Zuge kommen kann. So kann da-
ligung für einen fremden Staat Handlungen vornimmt, raus die Pflicht abgeleitet werden, sich loyal und vertrauens-
die grundsätzlich einer Behörde oder einem Beamten zu- würdig zu verhalten, woraus sich wiederum eine Informa
kommen. Erfasst ist zudem, wer einer solchen Handlung tionspflicht ergibt. Aus dieser lässt sich ableiten, dass die
Vorschub leistet. Das EJPD hat in einer Erläuterung [31] ver- betroffenen Personen über Datenschutzverletzungen zu in-
sucht, Klarheit für Schweizer Unternehmen zu schaffen. Es formieren sind [39]. Also kann man sagen, dass auch im
erklärt, dass Art. 271 Ziff. 1 StGB keine Anwendung findet Schweizer Recht eine Pflicht zur Meldung einer Datenschutz-
und ein in der Schweiz niedergelassener Verantwortlicher verletzung an die betroffenen Personen besteht. Da die Infor-
daher keine vorgängige Bewilligung des Bundes einholen mationspflicht auf einem Grundsatz des Schweizer Daten-
muss, um eine Meldung nach Art. 33 DSGVO vorzuneh schutzrechts basiert, könnte zudem argumentiert werden,
men [32]. Inwiefern eine Busse gegen ein Schweizer Unter- dass die Meldepflicht an die Betroffenen beim DSG früher
nehmen vollstreckbar ist, bleibt jedoch weiterhin unklar. greift als die Pflicht nach Art. 34 DSGVO, wo zusätzlich ein
hohes Risiko gefordert ist.
2.2 Wann müssen die betroffenen Personen
benachrichtigt werden? 2.2.3 Weitere Meldepflichten. Sowohl im EU- wie auch im
2.2.1 Meldung an die Betroffenen nach DSGVO. Art. 34 DSGVO, Schweizer Recht ergeben sich weitere Meldepflichten aus an-
welcher die Meldung an die betroffenen Personen regelt, ist deren Gesetzen oder Rechtsinstrumenten [40]. Gerade im
zusammen mit Art. 33 DSGVO zu lesen, weshalb auf die heutigen Schweizer Recht haben spezialgesetzliche Melde-
Grundsätze von Art. 33 DSGVO verwiesen werden kann, pflichten [41], wie im Finanzmarktrecht vorgesehen, eine
wenn es keine spezielle Regelung gibt [33]. Eine Meldung an zentrale Bedeutung, da es die explizite Meldepflicht im
die Betroffenen hat im Fall einer Verletzung unverzüglich DSG nicht gibt.
zu erfolgen, sofern sie ein hohes Risiko für die persönlichen
Rechte und Freiheiten natürlicher Personen zur Folge hat. 2.3 Bestehen weitere Pflichten? Die DSGVO verlangt, dass
Ob ein hohes Risiko besteht, hat jedes Unternehmen in einer jede Datenschutzverletzung dokumentiert wird. Dies hilft
Risikoabschätzung selbst zu bestimmen. Die DSGVO stellt dem Verantwortlichen, seine Rechenschaftspflicht gegen-
klare Anforderungen an diese Meldung. So muss sie in kla- über der Aufsichtsbehörde zu belegen, welche Einsicht in
rer und einfacher Sprache abgefasst werden und eine Be- diese Dokumente verlangen kann. Dies gilt auch für den
schreibung der Art der Verletzung des Schutzes enthalten. Fall, dass keine Meldung erforderlich ist [42]. Die Aufzeich-
Zudem muss die Meldung mindestens die drei nachfolgen- nungen müssen aufbewahrt werden [43].
den Punkte umfassen [34]: Art. 5 Abs. 2 DSGVO sieht ferner eine Rechenschaftspflicht
Name und Kontaktdaten des Datenschutzbeauftragten in Bezug auf die Datenverarbeitung vor. Sie ist gleichzeitig
oder einer anderen Anlaufstelle; Beschreibung der wahr- auch Ausdruck der gestärkten Eigenverantwortung des Ver-
scheinlichen Folgen der Verletzung und Beschreibung der antwortlichen. Dieser muss den Nachweis erbringen, dass
von dem Verantwortlichen ergriffenen oder vorgeschlagenen die Bestimmungen der DSGVO eingehalten werden [44].
Massnahmen. Diese Pflicht begründet dann auch die Darlegungs- und Be-
494 E X P E R T F O C U S 2019 | 6–7Achtung, wir hab en eine Datenpanne! Was nun? R E C HT
6–7 | 2019 E X P E R T F O C U S 495R E C HT Achtung, wir hab en eine Datenpanne! Was nun?
weislast des Verantwortlichen, welche sich durch die DSGVO eintritt erfasst sind [50]. Die Bestimmung des Begriffs Scha-
wie ein roter Faden zieht und auch die Verarbeitung durch den definiert sich grundsätzlich gemäss dem mitgliedstaat-
den Auftragsverarbeiter erfasst [45]. lichen Begriff. Die DSGVO verlangt allerdings in jedem Fall
eine weite Auslegung dieses Begriffs [51].
3. GIBT ES EINE ZIVILRECHTLICHE HAFTUNG Art. 82 Abs. 3 DSGVO und der dazugehörende Erläute-
FÜR EINE DATENSCHUTZVERLETZUNG? rungsgrund 146 formulieren eine Beweislastumkehr. Dem-
Bisher fanden sich Bestimmungen zur zivilrechtlichen Haf- gemäss kann der Verantwortliche oder der Auftragsverarbei-
tung in der nationalen Gesetzgebung der EU-Mitgliedstaa- ter sich nur von der Haftung befreien, wenn er nachweist,
ten [46]. Die DSGVO sieht nun neu in Art. 82 Abs. 1 DSGVO
vor, dass
«jede Person, der wegen eines Verstosses gegen diese Verordnung « Für jedes Unternehmen wird das
ein materieller oder immaterieller Schaden entstanden ist, […] An-
spruch auf Schadenersatz gegen den Verantwortlichen oder gegen
Implementieren von Datenprozessen
den Auftragsverarbeiter [hat].» und die Risikoabschätzung
Abs. 2 dieses Art. stellt ausserdem eine Verschuldensvermu
in Bezug auf Datenbearbeitung
tung auf. Diese besagt, dass jeder an der Datenverarbeitung zum Tagesgeschäft.»
beteiligte Verantwortliche für den Schaden haftet, der durch
eine nicht der Verordnung entsprechende Verarbeitung ent- dass er für den Schaden in keiner Weise verantwortlich ist.
standen ist. Beim Auftragsverarbeiter ist dies nur der Fall, Dies hat zur Folge, dass kein Kausalzusammenhang zwi-
wenn er den ihm auferlegten Pflichten nicht nachkommt schen der Verletzungshandlung und dem Schaden bestehen
oder die Weisungen des Verantwortlichen nicht beachtet. darf oder dass die Verletzung auf einem unvermeidbaren
Damit enthält die DSGVO neben den aufsichtsrechtlichen Ereignis beruht [52]. Dies führt dazu, dass es für Betroffene
Massnahmen auch eine Rechtsgrundlage, auf der ein Betrof- von Datenschutzverletzungen einfacher wird, solche auf
fener direkt gegen einen Verantwortlichen oder Auftragsver- dem Zivilweg einzuklagen.
arbeiter vorgehen kann. Darüber hinaus sieht die DSGVO Im Schweizer DSG ist die Haftung nicht spezialgesetzlich
die Möglichkeit von Verbandsklagen vor. geregelt. Das heisst allerdings nicht, dass keine Haftung
Die erweiterte zivilrechtliche Haftung, die explizite Haf- möglich ist, allerdings gestaltet sich diese i. d. R. nach den
tung für immaterielle Schäden sowie die Möglichkeit von allgemeinen Haftungsgrundsätzen (Art. 41 ff., 97 ff. OR).
Verbandsklagen dürften wohl zu einer deutlichen Verschär-
fung der bisherigen Praxis führen [47]. 4. FAZIT
Im Falle einer Haftungsklage nach DSGVO ergibt sich das Die Ausführungen zeigen, dass Unternehmen in Bezug auf
zuständige Gericht aus Art. 79 Abs. 2 DSGVO. Demgemäss Datenbearbeitungen und Datenschutzverletzungen zwei
hat die betroffene Person die Wahl, die Klage am Ort der Punkte beachten sollten. Erstens: Präventive Massnahmen
Niederlassung des Verantwortlichen bzw. des Auftragsverar- sparen Geld aufgrund reduzierter Bussen und potenzieller
beiters zu erheben oder im EU-Mitgliedstaat ihres Aufent- Haftungsminderungen. Zweitens: Technische und organisa-
halts. Dies gilt nicht, wenn es sich beim Verantwortlichen um torische Massnahmen sowie eine korrekte Dokumentation
eine Behörde handelt, die beim Ausüben ihrer Tätigkeit erlauben ein schnelles Handeln und eine einfachere Beweis-
Daten verarbeitet hat. Im Übrigen liegt das Regeln der Zu- führung im Falle von Datenschutzverletzungen. Entspre-
ständigkeit grundsätzlich im Kompetenzbereich der Mit chende Vorkehrungen sind daher klar zu empfehlen. Gerade
gliedstaaten [48]. auch im Hinblick auf eventuelle zivilrechtliche Haftungs-
Im Einzelnen ist für eine Klage der Verstoss gegen eine möglichkeiten sollte diesen erhöhte Aufmerksamkeit ge-
Norm der DSGVO, das Bestehen eines materiellen und/oder schenkt werden. Dies bedeutet für jedes Unternehmen, dass
immateriellen Schadens sowie das Verschulden des Verant- das Implementieren von Prozessen und die Risikoabschät-
wortlichen oder des Auftragsverarbeiters erforderlich. zung in Bezug auf die Datenbearbeitung zum Tagesgeschäft
Das Ausdehnen auf immaterielle Schäden erlaubt die wird. Ansonsten drohen nicht nur hohe Bussen, sondern
Möglichkeit, Schmerzensgeld oder Genugtuung zu verlan- auch das Risiko von Haftungsklagen, welche seit dem In-
gen [49]. Es ist davon auszugehen, dass unter dem Begriff krafttreten der DSGVO deutlich einfacher durchzusetzen
Verschulden sowohl die vorsätzliche als auch die fahrlässige sind als zuvor. n
Verletzung einer DSGVO-Bestimmung und deren Schadens
Anmerkungen: 1) Verordnung (EU) 2016/679 zum land-to-investigate-nokia-branded-phones-after- S. 171. 4) European Union Agency for Fundamental
Schutz natürlicher Personen bei der Verarbeitung data-breach-report-idUSKCN1R20XF, Zugriff am Rights, Handbook on European data protection law,
personenbezogener Daten und zum freien Daten- 1. April 2019; Langer, M. A., Hacker entwenden Da 2018, S. 83. 5) Artikel-29-Datenschutzgruppe, Leitli-
verkehr (DSGVO). 2) Exemplarisch für viele: Reu- ten von 500 Millionen Starwood-Hotelgästen, in: nien für die Meldung von Verletzungen des Schut-
ters, Finland to investigate Nokia-branded phones Neue Zürcher Zeitung vom 30. November 2018. zes personenbezogener Daten gemäss der Verord-
after data breach report vom 21. März 2019, https:// 3) European Union Agency for Fundamental Rights, nung (EU) 2016/679, angenommen am 3. Oktober
www.reuters.com/article/us-finland-telecoms/fin Handbook on European data protection law, 2018, 2017, zuletzt überarbeitet und angenommen am
496 E X P E R T F O C U S 2019 | 6–7Achtung, wir hab en eine Datenpanne! Was nun? R E C HT
6. Februar 2018, S. 8. 6) Artikel-29-Datenschutz- gruppe, Leitlinien für die Meldung von Verletzun- lage, 2018, Art. 34, Rz. 4. 34) Dr. Hladjk, J., in: Eh-
gruppe, Leitlinien für die Meldung von Verletzun- gen des Schutzes personenbezogener Daten ge- mann, E., Selmayr, M. (Hrsg.), Becksche Kurzkom-
gen des Schutzes personenbezogener Daten gemäss mäss der Verordnung (EU) 2016/679, angenommen mentare DS-GVO Datenschutz-Grundverordnung,
der Verordnung (EU) 2016/679, angenommen am am 3. Oktober 2017, zuletzt überarbeitet und an- 2. Auflage, 2018, Art. 34, Rz. 7. 35) Dr. Hladjk, J., in:
3. Oktober 2017, zuletzt überarbeitet und angenom- genommen am 6. Februar 2018, S. 14. 20) Artikel- Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz-
men am 6. Februar 2018, S. 8 f. 7) Artikel-29-Daten- 29-Datenschutzgruppe, Leitlinien für die Meldung kommentare DS-GVO Datenschutz-Grundverord-
schutzgruppe, Leitlinien für die Meldung von Ver- von Verletzungen des Schutzes personenbezogener nung, 2. Auflage, 2018, Art. 34, Rz. 12. 36) Art. 5 Abs. 2
letzungen des Schutzes personenbezogener Daten Daten gemäss der Verordnung (EU) 2016/679, an- DSGVO; Dr. Hladjk, J., in: Ehmann, E., Selmayr,
gemäss der Verordnung (EU) 2016/679, angenom- genommen am 3. Oktober 2017, zuletzt überarbei- M. (Hrsg.), Becksche Kurzkommentare DS-GVO
men am 3. Oktober 2017, zuletzt überarbeitet tet und angenommen am 6. Februar 2018, S. 15 f. Datenschutz-Grundverordnung, 2. Auflage, 2018,
und angenommen am 6. Februar 2018, S. 9. 8) BBl, 21) Artikel-29-Datenschutzgruppe, Leitlinien für Art. 34, Rz. 13. 37) Art. 83 DSGVO; Dr. Hladjk, J., in
Totalrevision des Bundesgesetzes über den Daten- die Meldung von Verletzungen des Schutzes perso- Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz-
schutz und Änderung weiterer Erlasse zum Daten- nenbezogener Daten gemäss der Verordnung (EU) kommentare DS-GVO Datenschutz-Grundverord-
schutz, 2017, S. 7193 ff. 9) Artikel-29-Datenschutz- 2016/679, angenommen am 3. Oktober 2017, zu- nung, 2. Auflage, 2018, Art. 34, Rz. 17. 38) Epiney,
gruppe, Leitlinien für die Meldung von Verletzun- letzt überarbeitet und angenommen am 6. Februar A., in: Belser, E. M., Epiney, A., Waldmann, B., Da-
gen des Schutzes personenbezogener Daten gemäss 2018, S. 14. 22) Art. 4 Abs. 7 DSGVO. 23) Art. 4 Abs. 8 tenschutzrecht, § 9 Rz. 1. 39) Epiney, A., in: Belser,
der Verordnung (EU) 2016/679, angenommen am DSGVO. 24) Artikel-29-Datenschutzgruppe, Leitli- E. M., Epiney, A., Waldmann, B., § 9 Rz. 22. 40) Ar-
3. Oktober 2017, zuletzt überarbeitet und angenom- nien für die Meldung von Verletzungen des Schut- tikel-29-Datenschutzgruppe, Leitlinien für die
men am 6. Februar 2018, S. 6. 10) Voigt P., von dem zes personenbezogener Daten gemäss der Verord- Meldung von Verletzungen des Schutzes personen-
Bussche, A. The EU General Data Protection Regu- nung (EU) 2016/679, angenommen am 3. Oktober bezogener Daten gemäss der Verordnung (EU)
lation (GDPR) – A Practical Guide, Springer, 2017, 2017, zuletzt überarbeitet und angenommen am 2016/679, angenommen am 3. Oktober 2017, zuletzt
S. 65 f., Art. 83 Abs. 4 DSGVO. 11) Artikel-29-Daten- 6. Februar 2018, S. 16. 25) Artikel-29-Datenschutz- überarbeitet und angenommen am 6. Februar 2018,
schutzgruppe, Leitlinien für die Meldung von Ver- gruppe, Leitlinien für die Meldung von Verletzun- S. 33 41) Exemplarisch für viele: Art. 96 FDV, Art. 29
letzungen des Schutzes personenbezogener Daten gen des Schutzes personenbezogener Daten gemäss Abs. 2 FINMAG, Finma RS 2008/21 A3/42 ff., Art. 12
gemäss der Verordnung (EU) 2016/679, angenom- der Verordnung (EU) 2016/679, angenommen am EDPV. 42) Artikel-29-Datenschutzgruppe, Leitlinien
men am 3. Oktober 2017, zuletzt überarbeitet und 3. Oktober 2017, zuletzt überarbeitet und ange- für die Meldung von Verletzungen des Schutzes
angenommen am 6. Februar 2018, S. 12. 12) Er nommen am 6. Februar 2018, S. 15 f. 26) Artikel- personenbezogener Daten gemäss der Verordnung
wägungsgrund 87; Artikel-29-Datenschutzgruppe, 29-Datenschutzgruppe, Leitlinien für die Meldung (EU) 2016/679, angenommen am 3. Oktober 2017,
Leitlinien für die Meldung von Verletzungen des von Verletzungen des Schutzes personenbezogener zuletzt überarbeitet und angenommen am 6. Feb-
Schutzes personenbezogener Daten gemäss der Ver- Daten gemäss der Verordnung (EU) 2016/679, an- ruar 2018, S. 9. 43) Artikel-29-Datenschutzgruppe,
ordnung (EU) 2016/679, angenommen am 3. Okto- genommen am 3. Oktober 2017, zuletzt überarbei- Leitlinien für die Meldung von Verletzungen des
ber 2017, zuletzt überarbeitet und angenommen am tet und angenommen am 6. Februar 2018, S. 15 f. Schutzes personenbezogener Daten gemäss der Ver-
6. Februar 2018, S. 12. 13) Data Protection Commis- 27) Artikel-29-Datenschutzgruppe, Leitlinien für ordnung (EU) 2016/679, angenommen am 3. Okto-
sion, Breach Notification, https://www.datapro die Meldung von Verletzungen des Schutzes perso- ber 2017, zuletzt überarbeitet und angenommen am
tection.ie/en/organisations/know-your-obligations/ nenbezogener Daten gemäss der Verordnung (EU) 6. Februar 2018, S. 32. 44) Dr. Heberlein, H., in: Eh-
breach-notification, Zugriff am 18. März 2019. 2016/679, angenommen am 3. Oktober 2017, zuletzt mann, E., Selmayr, M. (Hrsg.), Becksche Kurzkom-
14) Artikel-29-Datenschutzgruppe, Leitlinien für überarbeitet und angenommen am 6. Februar 2018, mentare DS-GVO Datenschutz-Grundverordnung,
die Meldung von Verletzungen des Schutzes perso- S. 15 f. 28) Vgl. European Data Protection Board, 2. Auflage, 2018, Art. 5, Rz. 29. 45) Dr. Heberlein, H.,
nenbezogener Daten gemäss der Verordnung (EU) Guidelines 3/2018 on the territorial scope of the in: Ehmann, E., Selmayr, M. (Hrsg.), Becksche Kurz-
2016/679, angenommen am 3. Oktober 2017, zuletzt GDPR, Article 3, version for public consultation, ad- kommentare DS-GVO Datenschutz-Grundverord-
überarbeitet und angenommen am 6. Februar 2018, opted on 16 November 2018. 29) Voigt, P., von dem nung, 2. Auflage, 2018, Art. 5, Rz. 32 f. 46) Voigt, P.,
S. 12. 15) Im Fall Knuddels hat die Kooperation mit Bussche, A., The EU General Data Protection Regu- von dem Bussche, A., The EU General Data Protec-
der Aufsichtsbehörde zu einer reduzierten Busse lation (GDPR) – A Practical Guide, Springer, 2017, tion Regulation (GDPR) – A Practical Guide, Sprin-
geführt: Budras, C., Jansen, J., Datenschützer bestra- S. 191 ff. 30) Artikel-29-Datenschutzgruppe, Leitli- ger, 2017, S. 204 f. 47) Vgl. Wybitul, T., EU-Daten-
fen massenhaften Datenklau, in: Frankfurter All- nien für die Bestimmung der federführenden Auf- schutz-Grundverordnung im Unternehmen, 2016,
gemeine Zeitung, https://www.faz.net/aktuell/ sichtsbehörde eines Verantwortlichen oder Auf- S. 28 f. 48) Nemitz, P., in: Ehmann, E., Selmayr, M.
wirtschaft/diginomics/dsgvo-datenschuetzer-bestra tragsverarbeiters, angenommen am 13. Dezember (Hrsg.), Becksche Kurzkommentare DS-GVO Da-
fen-massenhaften-datenklau-15903347.html, Zu- 2016, zuletzt überarbeitet am 5. April 2017, S. 9. tenschutz-Grundverordnung, 2. Auflage, 2018,
griff 19. April 2019. 16) Artikel-29-Datenschutzgruppe, 31) EJPD, Erläuterung betreffend die Pflicht zur Art. 79, Rz. 4. 49) Nemitz, P., in: Ehmann, E., Selmayr,
Leitlinien für die Meldung von Verletzungen des Meldung von Verletzungen des Schutzes personen- M. (Hrsg.), Becksche Kurzkommentare DS-GVO
Schutzes personenbezogener Daten gemäss der Ver bezogener Daten nach Art. 33 der Verordnung (EU) Datenschutz-Grundverordnung, 2. Auflage, 2018,
ordnung (EU) 2016/679, angenommen am 3. Okto- 2016/679 zum Schutz natürlicher Personen bei der Art. 82, Rz. 13. 50) Nemitz, P., in: Ehmann, E., Sel-
ber 2017, zuletzt überarbeitet und angenommen Verarbeitung personenbezogener Daten und zum mayr, M. (Hrsg.), Becksche Kurzkommentare
am 6. Februar 2018, S. 13. 17) Voigt P., von dem Bus- freien Datenverkehr (DSGVO). 32) EJPD, Erläute- D S-GVO Datenschutz-Grundverordnung, 2. Auflage,
sche, A., The EU General Data Protection Regula- rung betreffend die Pflicht zur Meldung von Ver- 2018, Art. 82, Rz. 14. 51) Nemitz, P., in: Ehmann, E.,
tion (GDPR) – A Practical Guide, Springer, 2017, letzungen des Schutzes personenbezogener Daten Selmayr, M. (Hrsg.), Becksche Kurzkommentare
S. 67. 18) Artikel-29-Datenschutzgruppe, Leitlinien nach Art. 33 der Verordnung (EU) 2016/679 zum DS-GVO Datenschutz-Grundverordnung, 2. Auflage,
für die Meldung von Verletzungen des Schutzes Schutz natürlicher Personen bei der Verarbeitung 2018, Art. 82, Rz. 16. 52) Nemitz, P., in: Ehmann, E.,
personenbezogener Daten gemäss der Verordnung personenbezogener Daten und zum freien Daten- Selmayr, M. (Hrsg.), Becksche Kurzkommentare
(EU) 2016/679, angenommen am 3. Oktober 2017, verkehr (DSGVO). 33) Dr. Hladjk, J., in: Ehmann, E., DS-GVO Datenschutz-Grundverordnung, 2. Auflage,
zuletzt überarbeitet und angenommen am 6. Feb- Selmayr, M. (Hrsg.), Becksche Kurzkommentare 2018, Art. 82, Rz. 19.
ruar 2018, S. 14. 19) Vgl. Artikel-29-Datenschutz- DS-GVO Datenschutz-Grundverordnung, 2. Auf-
6–7 | 2019 E X P E R T F O C U S 497Sie können auch lesen
