Data Breach Notification Switzerland (EDOEB)

Die Datenschutzverletzung-Meldung an den EDOEB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) in der Schweiz ist ein formelles Dokument, mit dem ein Verantwortlicher gemäss Art. 24 des revidierten Bundesgesetzes über den Datenschutz (DSG, SR 235.1) in Kraft seit 1. September 2023 und Art. 15-16 der Datenschutzverordnung (DSV, SR 235.11) dem EDOEB eine Verletzung der Datensicherheit (Datenpanne, Data Breach) meldet, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.

Eine Verletzung der Datensicherheit (Datenschutzverletzung) liegt gemäss DSG vor, wenn Personendaten unbeabsichtigt oder unrechtmässig verlorengehen, gelöscht, vernichtet, verändert oder unbefugt offengelegt oder abgerufen werden. Dies umfasst Cyberangriffe (Hacking, Phishing, Ransomware), physischen Verlust von Datenträgern (Laptops, USB-Sticks), Fehlversand von E-Mails, unbeabsichtigte Datenveroffentlichung auf Webseiten und Insider-Bedrohungen durch Mitarbeitende.

Die 72-Stunden-Frist: Art. 24 DSG verpflichtet den Verantwortlichen, dem EDOEB eine Datenschutzverletzung so rasch wie möglich zu melden, wenn diese voraussichtlich zu einem hohen Risiko führt. Die DSV Art. 15-16 präzisieren den Inhalt der Meldung und empfehlen eine Meldung innerhalb von 72 Stunden ab Kenntnisnahme der Verletzung durch den Verantwortlichen. Die 72-Stunden-Frist beginnt ab dem Moment, in dem der Verantwortliche hinreichende Kenntnis von der Verletzung hat, um eine Meldung zu erstatten.

Der EDOEB (www.edoeb.admin.ch) ist die unabhängige Aufsichtsbehörde für Datenschutz in der Schweiz gemäss Art. 43 DSG. Nach Eingang der Meldung prüft der EDOEB die Schwere der Verletzung und kann weitere Massnahmen anordnen, eine Sachverhaltsuntersuchung einleiten oder Empfehlungen und Verfügungen erlassen.

Nicht jede Datenschutzverletzung ist meldepflichtig: Nur Verletzungen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen, sind dem EDOEB zu melden. Ein hohes Risiko liegt insbesondere vor bei grossangelegten Verletzungen, bei Betroffenheit besonders schutzenswerter Personendaten (Gesundheitsdaten, biometrische Daten, Strafregistereinträge gemäss Art. 5 lit. c DSG) oder bei Verletzungen, die Identitätsdiebstahl, Diskriminierung oder erhebliche finanzielle Schäden ermöglichen.

Hoch-Risiko-Verletzungen begründen zudem die Pflicht zur Benachrichtigung der betroffenen Personen gemäss Art. 24 Abs. 4 DSG: Wenn die Verletzung trotz der vom Verantwortlichen ergriffenen Massnahmen zu einem hohen Risiko führt, muss der Verantwortliche auch die betroffenen Personen unverzüglich benachrichtigen. Die Benachrichtigung muss verständlich sein und konkrete Schutzmassnahmen empfehlen.

Eine Datenschutzverletzung-Meldung an den EDOEB in der Schweiz ist gemäss DSG Art. 24 in folgenden Situationen erforderlich.

Cyberangriffe mit Datenzugriff: Bei einem Hackerangriff (SQL-Injection, Brute-Force, Phishing, Man-in-the-Middle), bei dem ein Angreifer unberechtigten Zugang zu einer Datenbank oder einem IT-System erlangt und Personendaten abgerufen, kopiert oder verändert hat. Dies ist der häufigste Fall einer meldepflichtigen Datenschutzverletzung in der Praxis.

Ransomware-Angriffe: Bei einem Ransomware-Angriff, bei dem Daten verschlüsselt und Personendaten möglicherweise abgeführt wurden, besteht Meldepflicht gemäss DSG Art. 24, da die betroffenen Personen einem hohen Risiko ausgesetzt sein können.

Physischer Datenverlust: Wenn ein Laptop, USB-Stick, Smartphone oder ein anderer Datentraeger mit Personendaten verloren geht oder gestohlen wird, liegt eine Datenschutzverletzung vor. Falls die Daten nicht verschlüsselt sind, ist das Risiko hoch und eine Meldung an den EDOEB ist in der Regel erforderlich.

Fehlversand sensibler Daten: Wenn Personendaten per E-Mail an den falschen Empfänger gesendet werden (z.B. Kundenliste an falschen Adressaten, vertrauliche Gesundheitsdaten an falsche E-Mail-Adresse), liegt eine Datenschutzverletzung vor, die je nach Schwere meldepflichtig sein kann.

Unbeabsichtigte Datenveroffentlichung: Wenn Personendaten auf einer Webseite, Cloud-Plattform oder einem anderen öffentlich zugänglichen System versehentlich zuganglich gemacht werden, besteht je nach Umfang und Sensibilität der Daten Meldepflicht.

Insider-Bedrohungen: Wenn Mitarbeitende unbefugt auf Personendaten zugreifen oder Personendaten an Dritte weitergeben, liegt eine Datenschutzverletzung vor. Je nach Schwere und Umfang kann eine Meldung an den EDOEB erforderlich sein.

Verletzungen bei Auftragsbearbeitern: Wenn ein Auftragsbearbeiter (Cloud-Anbieter, IT-Dienstleister) eine Datenschutzverletzung meldet, die Personendaten des Verantwortlichen betrifft, ist der Verantwortliche seinerseits zur Meldung an den EDOEB verpflichtet, sofern das Risiko hoch ist.

Eine vollständige Datenschutzverletzung-Meldung an den EDOEB gemäss DSG Art. 24 und DSV Art. 15-16 muss folgende Bestandteile enthalten.

Identität des Verantwortlichen: Vollständiger Name und Adresse der Organisation sowie Name und Kontaktangaben der meldenden Person (Datenschutzverantwortliche/r oder Datenschutzberater/in).

Art der Verletzung: Genaue Beschreibung der Art der Datenschutzverletzung (Hacking, Phishing, Ransomware, physischer Verlust, Fehlversand, Insider-Bedrohung) und des Angriffs- bzw. Verlustmechanismus.

Zeitpunkt und Zeitraum: Zeitpunkt des Eintretens der Verletzung (soweit bekannt) und Zeitpunkt der Entdeckung durch den Verantwortlichen. Die 72-Stunden-Frist gemäss DSV Art. 15 läuft ab Kenntnisnahme.

Betroffene Datenkategorien: Genaue Angabe der betroffenen Personendatenkategorien: Name, E-Mail, verschluesselte Passwörter, Adressdaten, Zahlungsdaten, oder besonders schutzenswerte Personendaten (Gesundheitsdaten, biometrische Daten, Strafregistereinträge gemäss DSG Art. 5 lit. c).

Anzahl betroffener Personen: Geschätzte oder bekannte Anzahl der von der Verletzung betroffenen natürlichen Personen.

Ergriffene Sofortmassnahmen: Beschreibung der unmittelbar ergriffenen Gegenmassnahmen: Systemabschaltung, Passwort-Reset, Benachrichtigung der IT-Sicherheitsabteilung, Beauftragung einer IT-forensischen Untersuchung, Schliessen der Sicherheitslücke.

Risikoeinschätzung: Einschätzung, ob die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Bei hohem Risiko: auch Benachrichtigung der betroffenen Personen gemäss DSG Art. 24 Abs. 4.

Benachrichtigung betroffener Personen: Angabe, ob und wann die betroffenen Personen benachrichtigt wurden und welche Schutzmassnahmen ihnen empfohlen wurden. forms-legal.com stellt diese Vorlage als Ausgangspunkt zur Verfügung. Bei Datenschutzverletzungen empfiehlt sich die sofortige Einbindung eines in IT-Recht und Datenschutzrecht spezialisierten Rechtsanwalts und einer IT-forensischen Untersuchungsfirma.

Um die Datenschutzverletzung-Meldung an den EDOEB korrekt auszufüllen.

Schritt 1: Verletzung feststellen und dokumentieren. Stellen Sie sicher, dass tatsächlich eine Datenschutzverletzung vorliegt (nicht nur ein IT-Sicherheitsvorfall ohne Datenzugriff). Dokumentieren Sie den Zeitpunkt der Entdeckung, die Art der Verletzung und die ergriffenen Sofortmassnahmen.

Schritt 2: Risiko bewerten. Beurteilen Sie, ob die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Bei grossangelegten Verletzungen, besonders schützenswerten Daten (DSG Art. 5 lit. c) oder Daten, die Identitätsdiebstahl ermöglichen, ist das Risiko hoch.

Schritt 3: 72-Stunden-Frist beachten. Die Meldung an den EDOEB soll gemäss DSV Art. 15 so rasch wie möglich, in der Regel innerhalb von 72 Stunden ab Kenntnisnahme erfolgen. Ist eine vollständige Meldung innert 72 Stunden nicht möglich, senden Sie eine vorläufige Meldung mit den verfuegbaren Informationen und kunden Sie eine Nachlieferung an.

Schritt 4: Formular ausfüllen. Tragen Sie alle Angaben gemäss DSV Art. 16 ein: Identität des Verantwortlichen, Art und Zeitpunkt der Verletzung, betroffene Datenkategorien und Personenanzahl, ergriffene Massnahmen, Risikoeinschätzung und Benachrichtigungsstatus betroffener Personen.

Schritt 5: Betroffene Personen benachrichtigen. Bei hohem Risiko: Benachrichtigen Sie die betroffenen Personen unverzüglich gemäss DSG Art. 24 Abs. 4 mit verständlicher Beschreibung der Verletzung und konkreten Schutzmassnahmen (Passwort ändern, Kreditkarte sperren, Phishing-E-Mails melden).

Schritt 6: Meldung an EDOEB übermitteln. Übermitteln Sie die Meldung per E-Mail an den EDOEB ([email protected]) oder über das offizielle Meldeformular auf www.edoeb.admin.ch. Bewahren Sie eine Kopie der Meldung und alle Beilagen auf.

Die Meldepflicht bei Datenschutzverletzungen stützt sich auf DSG Art. 24 (SR 235.1) und DSV Art. 15-16 (SR 235.11). Meldepflichtig sind Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen. Die Meldung an den EDOEB soll so rasch wie möglich erfolgen; DSV Art. 15 empfiehlt eine Frist von 72 Stunden ab Kenntnisnahme.

Pflicht zur Benachrichtigung betroffener Personen: Gemäss DSG Art. 24 Abs. 4 muss der Verantwortliche bei einem hohen Risiko auch die betroffenen Personen unverzüglich benachrichtigen.

Folgen der Nichtmeldung: Vorsätzliche Verletzung der Meldepflicht kann gemäss DSG Art. 60 mit Bussen bis CHF 250'000 gegen verantwortliche natürliche Personen durch die kantonale Staatsanwaltschaft geahndet werden. Zivilrechtliche Schadenersatzansprüche der betroffenen Personen nach OR Art. 97 und Art. 41 sind ebenfalls möglich.

Aufbewahrung der Meldedokumentation: Der Verantwortliche muss gemäss DSV Art. 16 die Meldung, alle Nachweise und die ergriffenen Massnahmen dokumentieren und diese Dokumentation aufbewahren. Die Aufbewahrungsfrist richtet sich nach OR Art. 958f (10 Jahre für Geschäftsunterlagen).

Auftragsbearbeiter: Gemäss DSG Art. 9 müssen Auftragsbearbeiter den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren, die Personendaten des Verantwortlichen betreffen. Der Verantwortliche bleibt gegenüber dem EDOEB hauptverantwortlich für die Meldung.

Häufige Fehler bei der Datenschutzverletzung-Meldung an den EDOEB.

Fehler 1: Verpassen der 72-Stunden-Frist. Die DSV Art. 15 empfiehlt eine Meldung innerhalb von 72 Stunden. Bei Unsicherheit: Senden Sie eine vorläufige Meldung und kunden Sie eine Nachlieferung an.

Fehler 2: Unterschätzung des Risikos. Viele Verantwortliche klassifizieren Verletzungen fälschlicherweise als geringes Risiko. Bei Betroffenheit von Gesundheitsdaten, biometrischen Daten (DSG Art. 5 lit. c) oder bei grossangelegten Verletzungen (ab ca. 500+ Personen) ist in der Regel von hohem Risiko auszugehen.

Fehler 3: Keine Benachrichtigung betroffener Personen. Bei hohem Risiko müssen auch die betroffenen Personen gemäss DSG Art. 24 Abs. 4 unverzüglich benachrichtigt werden. Das Fehlen dieser Benachrichtigung verstärkt die Haftung.

Fehler 4: Keine IT-Forensik beauftragt. Ohne forensische Untersuchung ist eine vollständige Schadensbewertung oft nicht möglich. Beauftragen Sie eine IT-forensische Untersuchungsfirma, um den Umfang der Verletzung vollständig zu dokumentieren.

Fehler 5: Auftragsbearbeiter nicht informiert. Gemäss DSG Art. 9 müssen alle betroffenen Auftragsbearbeiter unverzüglich informiert werden, damit diese ihre eigenen Massnahmen ergreifen.

Fehler 6: Keine Dokumentation der Massnahmen. Der Verantwortliche muss gemäss DSV Art. 16 alle Massnahmen dokumentieren. Fehlende Dokumentation kann im Nachhinein die Haftung verstärken.

Fehler 7: Meldung an falschen EDOEB-Kanal. Nutzen Sie das offizielle Meldeformular auf www.edoeb.admin.ch oder wenden Sie sich per E-Mail an [email protected].