Ein Klick auf eine Phishing-Mail, ein verlorener Laptop oder ein Hackerangriff – schon ist ein Security Incident passiert. Doch bedeutet das automatisch auch eine datenschutzrechtliche Meldepflicht nach dem Schweizer Datenschutzgesetz (DSG)? In diesem Beitrag erfahren Sie, wann ein Security Incident datenschutzrelevant wird, welche Meldepflichten bestehen und warum es entscheidend ist, bereits im Vorfeld gut vorbereitet zu sein.

Begriffsklärung: Datenschutz, Datensicherheit & Security Incident

Die Begriffe Datenschutz, Datensicherheit und Security Incident sind nicht zu verwechseln. Denn sie bezeichnen unterschiedliche Dinge und das kann im Ernstfall zu Missverständnissen führen.

Begriff	Beschreibung
Datenschutz	Schützt natürliche Personen durch Grundsätze (z. B. Rechtmässigkeit, Zweckmässigkeit, Transparenz) und Anforderungen (z. B. Bearbeitungsverzeichnis, Datenschutz-Folgenabschätzung, Massnahmen zur Datensicherheit) für den Umgang mit Personendaten. Ein Beispiel für die Einhaltung des Datenschutzes ist folgendes: Zur Gewährleistung der Zweckmässigkeit dürfen Kundendaten eines Online-Shops nur für die Bestellabwicklung bearbeitet werden. Sie dürfen aber nicht weiterverkauft werden. Mitarbeitende sind entsprechend auf Anforderungen des Datenschutzes zu sensibilisieren.
Datensicherheit	Technische und organisatorische Massnahmen (TOMs) zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit aller Daten. Beispiele für TOMs sind: Verschlüsselte Übertragung von E-Mails und Dateien Zwei-Faktor-Authentifizierung für den Zugriff auf interne Systeme Regelmässige Backups in einem abgesicherten Rechenzentrum Zutrittskontrollen im Serverraum Schulungsmassnahmen der Mitarbeitenden
Security Incident	Konkretes Ereignis, bei dem technische und organisatorische Massnahmen fehlten, umgangen wurden bzw. anderweitig versagt haben. Beispiele für Security Incidents sind: Ein Mitarbeiter sendet versehentlich eine Kundenliste an die falsche Adresse oder setzt E-Mail-Adressen ins CC statt BCC. Ein Laptop mit unverschlüsselten Personaldaten wird gestohlen. Ein Ransomware-Angriff verschlüsselt Daten. Ein Cloud-Dienst fällt aus und wichtige Systeme sind stundenlang nicht verfügbar. Systeme fallen aus. Ab wann ein Security Incident, datenschutzrelevant wird, wird im nachfolgenden Kapitel beschrieben.

Tabelle 1: Begriffserklärung für datenschutzrelevante Security Incidents mit Beispielen

Datenschutzrelevanz des Security Incidents und Meldepflicht

Datenschutzrelevant wird ein Security Incident, wenn dabei Personendaten betroffen sind. Das Bundesgesetz über den Datenschutz (DSG) spricht von einer Verletzung der Datensicherheit, wenn diese dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Das DSG verlangt, dass ein Incident bzw. die Verletzung der Datensicherheit an den Eidgenössischen Öffentlichkeits- und Datenschutzbeauftragten¹ gemeldet wird, wenn ein hohes Risiko für die betroffene Person besteht. Ob ein hohes Risiko vorliegt, hängt insbesondere von der Art und dem Umfang der betroffenen Personendaten sowie von den Umständen ab. In folgenden Fällen sollte von einem hohen Risiko ausgegangen werden:

• Es sind Daten von schutzwürdigen Personengruppen betroffen (z. B. Kinder, Arbeitnehmer, Patienten, etc.)
• Betroffene Daten identifizieren eine Person eindeutig, können aber nicht verändert werden bzw. ändern sich im Leben der Betroffenen nicht (z. B. AHV-Nummer)
• Bei Bekanntwerden, Abhandenkommen oder Manipulation der Daten entsteht ein irreversibler grosser Schaden (z. B. finanziell, sozial, wirtschaftlich) für die betroffene Person
• Es ist eine sehr grosse Anzahl von Personen von der Bearbeitung betroffen oder es sind sehr grosse Datensätze mit sehr vielen Personendaten betroffen.²

Hierfür stellt der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein Meldeformular zur Verfügung.

Tipp: Ein Security Incident betrifft nicht immer nur Sachdaten, sondern kann häufig auch personenbezogene Daten gefährden. Prüfen Sie daher umgehend:

1. Sind Personendaten betroffen? (z.B. Daten von Mitarbeitenden, Kunden, Klienten, etc.)
2. Handelt es sich um sensible Daten? Ein Abfluss von Kontaktdaten (z. B. Name und E-Mail-Adresse) hat in der Regel weniger gravierende Folgen für die betroffenen Personen als ein Abfluss sensiblerer Informationen wie Gesundheitsdaten oder Bankinformationen)
3. Besteht ein hohes Risiko für Betroffene? (siehe Ausführungen oben)

¹Abhängig vom Anwendungsbereich müssen weitere bzw. andere Aufsichtsstellen informiert werden. Neben den Datenschutzgesetzen verlangen je nach Vorfall auch andere Gesetze (z. B. das Informationssicherheitsgesetz [ISG]) eine Meldung bei einem Security Incident.
²Gem. «Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen» der Datenschutzkonferenz

Werden all diese Fragen mit «Ja» beantwortet, muss der Verantwortliche den EDÖB informieren. Wenn es zum Schutz der betroffenen Personen notwendig ist bzw. der EDÖB dies verlangt, informiert der Verantwortliche zusätzlich die betroffenen Personen. Ist der Vorfall beim Auftragsbearbeiter aufgetreten, informiert dieser umgehend den Verantwortlichen. Im Zweifel wird eine Meldung empfohlen.

Es wird empfohlen, das Vorgehen, die zu involvierenden Parteien, etc. in einem Prozess entsprechend zu dokumentieren (siehe auch Tabelle 2: Massnahmen).

Warum die eigentliche Arbeit VOR dem Vorfall beginnt

Der Umgang mit Datensicherheitsvorfällen erfordert viele reaktive Massnahmen. In der Praxis sind jedoch bereits vorbereitende Massnahmen gefragt, um Krisenereignissen bestmöglich begegnen zu können und gleichzeitig die Resilienz des Unternehmens zu erhöhen. Frühzeitig geschaffene Strukturen erleichtern zudem das effektive Management von Sicherheitsvorfällen, da potenzielle Herausforderungen, wie unklare Verantwortlichkeiten, fehlende Meldeprozesse oder mangelnde Transparenz über Datenflüsse und Systeme, bereits adressiert wurden. Dies kann beispielsweise im Rahmen eines Datenschutzmanagementsystems (DSMS) oder eines Informationssicherheitsmanagementsystems (ISMS) mit integriertem Datenschutz erfolgen. Es wird empfohlen, mindestens folgende Herausforderungen anzugehen und Massnahmen umzusetzen:

Massnahme	Beschreibung
Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten / Erweiterung des Inventars der Informatikmittel	Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten, um eine bessere Übersicht über die Datenflüsse zu erhalten (Alternativ Erweiterung des Inventars der Informatikmittel um relevante Aspekte). Ziel ist es, Klarheit darüber zu schaffen, welche Personendaten wo, in welchen Systemen und durch wen bearbeitet werden, und welche Sicherheitsmassnahmen dabei umgesetzt sind. Dadurch können Sie im Ernstfall schnell reagieren und Schäden minimieren. Darüber hinaus macht die Dokumentation der Bearbeitungstätigkeiten die bereits umgesetzten technischen und organisatorischen Massnahmen (TOM) transparent und ermöglicht es, diese bei Bedarf gezielt zu erweitern.
Definition und Dokumentation klarer Zuständigkeiten und Rollen	Klare Zuweisung und Dokumentation von Zuständigkeiten in Bezug auf Datenschutz und Informationssicherheit (z. B. in Richtlinien, Organigrammen und Prozessen). Dadurch ist im Falle eines Security Incidents oder Datensicherheitsvorfalls) sofort ersichtlich, wer welche Aufgaben übernimmt (z. B. Analyse, Kommunikation oder Eskalation). Das ermöglicht ein koordiniertes, schnelles und effektives Handeln zur Schadensbegrenzung. Eine Grundlage bietet zudem ein Incident Response Playbook und zusätzlich ein Business Continuity-Notfallplan. Das Playbook legt standardisierte Abläufe für den Umgang mit Sicherheitsvorfällen fest (z. B. Identifikation, Bewertung, Eindämmung, Kommunikation und Nachbearbeitung). Die Integration in bestehende Notfall- und Business-Continuity-Pläne stellt sicher, dass auch bei gravierenden Vorfällen der Geschäftsbetrieb rasch wiederhergestellt werden kann. Im Ernstfall kann somit zielgerichtet und ohne Verzögerung reagiert werden. Es wird empfohlen, mögliche Cyber Incident-Szenarien zu simulieren und die entsprechenden Prozesse zu testen, um eine optimale Vorbereitung für den Ernstfall zu gewährleisten.
Schulung und Sensibilisierung	Durch kontinuierliche Schulungen werden Mitarbeitende für Datenschutz- und IT-Sicherheitsrisiken sensibilisiert. Sie lernen, wie sie Phishing-Mails erkennen, mit Daten korrekt umgehen oder bei Verdachtsfällen reagieren. Im Ernstfall sind sie vorbereitet und tragen dazu bei, Vorfälle frühzeitig zu erkennen oder gar zu verhindern.
Privacy by Design & Default	Berücksichtigung der Datenschutzgrundsätze (Rechtmässigkeit, Verhältnismässigkeit, Zweckmässigkeit, etc.) bereits bei der Konzeption von Systemen und Prozessen. So wird sichergestellt, dass nur notwendige Daten bearbeitet werden – in einer Art und Weise, die rechtmässig, transparent und sicher ist. Sollte es zu einem Vorfall kommen, ist das Risiko für Betroffene minimiert, da weniger sensible Daten betroffen sind.

Tabelle 2: Massnahmen

Fazit

Schon eine mangelhafte Vorbereitung – zum Beispiel fehlende Dokumentation, unklare Verantwortlichkeiten oder veraltete Prozesse – kann im Ernstfall dazu führen, dass Datensicherheitsverletzungen auftreten, weil nicht korrekt reagiert wird.

Um Ihre Daten und das Vertrauen Ihrer Kunden, Partner, Mitarbeitenden, etc. zu schützen, empfiehlt es sich, proaktiv zu handeln und den Datenschutz als kontinuierlichen Prozess zu verstehen, damit die betroffenen Personen geschützt sind. Vor diesem Hintergrund empfiehlt es sich dringend, die notwendigen Grundlagen wie das Verzeichnis der Bearbeitungstätigkeiten, klare Verantwortlichkeiten und etablierte Prozesse für den Umgang mit Datensicherheitsverletzungen zu schaffen oder zu aktualisieren. (siehe Tabelle 2: Massnahmen)

Möchten Sie den Reifegrad des Datenschutzes in Ihrem Unternehmen oder dessen Vorbereitung auf einen Datensicherheitsvorfall bewerten? Wir unterstützen Sie gerne mit Datenschutz-Standortbestimmungen oder Workshops und praxisnahen Leitfäden für den Umgang mit Datensicherheitsvorfällen und die schnellere und gezieltere Reaktion auf Security Incidents – individuell auf Ihre Organisation zugeschnitten. Nehmen Sie mit uns Kontakt auf.