Wenn eine Verletzung des Datenschutzes vorliegt, müssen Sie die Wahrscheinlichkeit und Schwere des daraus resultierenden Risikos für die Rechte und Freiheiten der betroffenen Personen ermitteln. Wenn es wahrscheinlich ist, dass ein Risiko besteht, müssen Sie die Datenschutzstelle konsultieren.

Wenn ein solches Risiko unwahrscheinlich ist, bedarf es keiner Meldung. Allerdings müssen Sie auch eine solche Verletzung intern dokumentieren (Art. 33 Abs. 5 DSGVO). Dabei sollten Sie die Gründe für den Verzicht auf die Meldung nachvollziehbar festhalten.

Bei der Bewertung der Risiken für die Rechte und Freiheiten Betroffener ist es wichtig, sich auf mögliche negative Folgen für den Einzelnen zu konzentrieren. In Erwägungsgrund  85 der DSGVO heisst es dazu:

Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Die Frage muss von Fall zu Fall unter Berücksichtigung aller relevanten Faktoren beurteilt werden. Nähere Informationen zur Beurteilung des Risikos finden Sie in den Leitlinien des Europäischen Datenschutzausschusses zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäss der Verordnung (EU) 2016/679.

Im Falle einer Datenpanne sehen die Art. 33 und Art. 34 DSGVO eine abgestufte Meldepflicht vor:

1.    Der Aufsichtsbehörde ist die Datenpanne jedenfalls zu melden, mit der Ausnahme, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

2.    Die betroffene Person muss nur dann von der Datenpanne informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Gleichfalls ist die betroffene Person dann nicht (mehr) über die Datenpanne zu informieren, wenn sichergestellt ist, dass Unbefugte keinen Zugang zu den personenbezogenen Daten dieser Person haben.

Eine Benachrichtigung der betroffenen Person ist auch dann nicht notwendig, wenn effektive Massnahmen zur Schadensbegrenzung vorgenommen wurden und gleichzeitig das zum Zeitpunkt der Datenpanne gegebene hohe Risiko nicht mehr besteht.

Und schliesslich kann auf eine persönliche Benachrichtigung der Betroffenen verzichtet werden, wenn dies mit einem unverhältnismässigen Aufwand verbunden wäre und stattdessen eine öffentliche Bekanntmachung oder ähnliches erfolgen kann, durch welche die betroffenen Personen vergleichbar wirksam informiert werden.

Meldungen nach Art. 33 DSGVO müssen folgende Informationen umfassen:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschliesslich, soweit möglich:
  • der Kategorien und der ungefähren Anzahl der betroffenen Personen; und
  • die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
• Name und Kontaktdaten des Datenschutzbeauftragten (falls einer bestellt ist);
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und
• eine Beschreibung der Massnahmen, die ergriffen oder vorgeschlagen wurden, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschliesslich der Massnahmen, die getroffen wurden, um etwaige nachteilige Auswirkungen zu mildern.

Die Meldung an die Datenaufsichtsbehörde hat gemäss Art. 33 Abs. 1 DSGVO durch den Verantwortlichen zu erfolgen. Für den Fall einer Auftragsverarbeitung obliegt es dem Auftragsverarbeiter, die Datenpanne an den Verantwortlichen zu melden.

Der Verantwortliche hat gemäss Art. 33 Abs. 5 DSGVO geeignete Massnahmen zur Behebung der Datenpanne, sprich geeignete Massnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, und gegebenenfalls Massnahmen zur Abschwächung ihrer möglichen negativen Auswirkungen zu setzen.

Die Datenpanne und die ergriffenen Abhilfemassnahmen sind umfassend zu dokumentieren.