Wenn es zu einer Datensicherheitsverletzung «zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person kommt, dann ist es nicht relevant, wie die Daten offengelegt, verloren, oder für Unbefugten offengelegt, aber die Persönlichkeit oder die Grundrechte verletzt worden sind, dann muss die Meldung an den EDÖB so rasch als möglich erfolgen. (Im DSGVO wird innert 72 Std. vorgeschrieben).
Beispiel:
- E-Mail mit Personendaten werden irrtümlicherweise an den falschen Empfänger gesendet, oder
- USB-Stick ohne Sicherheit geht verloren.
Im neuen DSG ist die Meldepflicht erwähnt. Der Wortlaut heisst:
- Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
- In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
- Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
- Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
- Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:
a. ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
b. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
c. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist. - Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.
