Durchgesickerte Daten, die im ‘Dark Net’ verkauft werden - das Unerwartete ist passiert! Eine Verletzung der Datensicherheit kann einschneidende Folgen für ein Unternehmen haben, vor allem wenn nicht sofort und angemessen reagiert wird. Wie sollten sich Unternehmen auf dieses Szenario vorbereiten und welche spezifischen Anforderungen stellt das revidierte Bundesgesetz über den Datenschutz (DSG)?
Was gilt als «Verletzung der Datensicherheit» im Sinne des revidierten DSG?
Das revidierte Bundesgesetz über den Datenschutz (DSG), das voraussichtlich Ende 2022/anfangs 2023 in Kraft treten wird, beschreibt eine Verletzung der Datensicherheit als eine «Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden».
Ursachen für Verletzungen der Datensicherheit können beispielsweise kriminelles Hacking, menschliches Versagen, Social Engineering, Malware, unbefugte Nutzung innerhalb des Unternehmens (Missbrauch von Privilegien oder falsche Handhabung von Daten) oder Verlust oder Diebstahl von Geräten (z. B. Laptops), Speichermedien oder physischen Unterlagen sein.
Welche förmlichen Meldepflichten bestehen gemäss dem revidierten DSG?
Im Falle einer Verletzung der Datensicherheit sieht das revidierte DSG eine formelle Meldepflicht für Unternehmen vor, die als ‘Verantwortliche’ auftreten, ähnlich wie in der EU-Datenschutzgrundverordnung (DSGVO). Im Unterschied zur DSGVO, die eine Frist von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung vorsieht, legt das revidierte DSG keinen spezifischen Zeitrahmen für die Benachrichtigung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) fest, sondern sieht vor, dass die Meldung so bald wie möglich zu erfolgen hat, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Personen (z.B. Kunden des Unternehmens, Mitarbeiter usw.) führt. Zudem verpflichtet das revidierte DSG die für die Datenverarbeitung Verantwortlichen, die betroffenen Personen zu benachrichtigen, wenn dies zu ihrem Schutz notwendig ist oder wenn der EDÖB dies verlangt.
Dienstleister, z. B. Cloud-Anbieter, welche Daten im Auftrag des betroffenen Unternehmens verarbeiten (Auftragsbearbeiter), sind verpflichtet, das betroffene Unternehmen (Verantwortlicher) so schnell wie möglich über eine Verletzung der Datensicherheit zu informieren.
Für regulierte und/oder börsennotierte Unternehmen können nach den einschlägigen Vorschriften zusätzliche Meldepflichten gelten. Unter bestimmten Umständen kann es auch angebracht sein, das Nationale Zentrum für Cybersicherheit (NCSC) zu benachrichtigen oder eine Strafanzeige bei den zuständigen Strafverfolgungsbehörden einzureichen (weitere Einzelheiten finden Sie in unserem aktuellen Insight-Artikel über Cyberlaw).
Welche Präventivmassnahmen sollten Unternehmen im Rahmen des überarbeiteten DSG ergreifen?
Um Verstösse gegen die Datensicherheit zu vermeiden, müssen verantwortliche Unternehmen und die Auftragsbearbeiter die Sicherheit personenbezogener Daten durch technische und organisatorische Massnahmen (TOMs) gewährleisten. Die TOMs müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung angemessen sein und den Risiken der jeweiligen Datenbearbeitung angemessen begegnen. Die Mindestanforderungen werden in der künftigen Verordnung zum DSG festgelegt, deren finale Fassung derzeit noch nicht publiziert wurde (die Grundelemente werden aber voraussichtlich nicht verändert).
Im Wesentlichen sollten die TOMs so konzipiert sein, dass sie die spezifischen Risiken einer Bearbeitungstätigkeit und der betroffenen Personendaten berücksichtigen. Dabei ist Folgendes zu berücksichtigen:
- Zweck, die Art, den Umfang und die Umstände der spezifischen Datenverarbeitungstätigkeit
- Wahrscheinlichkeit des Auftretens einer Verletzung der Datensicherheit und die möglichen Folgen für die betroffenen Personen
- Stand der Technik
- Implementierungskosten
Auf der Grundlage dieser Bewertung müssen im Rahmen der Massnahmen möglicherweise besondere Kontrollen eingeführt werden (z.B. in Bezug auf Zugang, Transport, Wiederherstellung usw.). Die verantwortlichen Unternehmen müssen die TOM in angemessenen Abständen während des gesamten Bearbeitungszyklus überprüfen. Unter dem revidierten DSG kann die Nichteinhaltung der Mindestanforderungen an die Datensicherheit unter bestimmten Umständen mit einer Busse von bis zu 250'000 CHF geahndet werden, die sich gegen die im Namen des Unternehmens handelnden verantwortlichen Personen richtet.
Zusätzliche Massnahmen können notwendig und sinnvoll sein, wie z. B. die Analyse unternehmensspezifischer ICT-Risiken, die Erstellung eines Abwehrplans und eines Plans zur schnellen und effektiven Reaktion auf Vorfälle (weitere Einzelheiten finden Sie in unserem Insight-Artikel über Cyberlaw). Unternehmen wird empfohlen, diese Massnahmen zu ergreifen, um sich vor Vorfällen zu schützen und im Falle einer Verletzung der Datensicherheit rechtzeitig und effizient reagieren zu können.
PwC unterstützt Unternehmen im Umgang mit und bei der Prävention von Verletzungen der Datensicherheit sowie bei der effizienten und pragmatischen Umsetzung der weitergehenden Pflichten aus dem revidierten DSG.
#social#
Related content
Kontaktieren Sie uns
Lorena Rota
Manager, MLaw, Data Privacy & Security Healthcare, PwC Switzerland
Tel.: +41 58 792 2750