Meldepflichten bei Datenpannen de lege lata und de lege ferenda
In näherer Zukunft dürfte sich auch für den Schweizer Gesetzgeberdie Frage nach Aufnahme einer Pflicht zu «Data Breach Notifications» stellen.
Angesichts der zunehmenden wirtschaftlichen Bedeutung von personenbezogenen Daten ist schon seit geraumer Zeit eine Zunahme von unzulässigen Zugriffen auf Datensammlungen zu beobachten1. Ein bekanntes Beispiel stellt etwa der Zugriff auf die Daten (Namen, Adressen, Kreditkartenangaben) von 77 Millionen Nutzern des PlayStation- Netzwerks von Sony aus dem Jahr 2011 dar2.
Derartige unbefugte Datenzugriffe werden (aus Sicht derjenigen Partei, welche für die Sicherheit der gesammelten und gespeicherten Daten verantwortlich ist) als «Data Breach », «Datenpanne» oder «Datenmissbrauch» bezeichnet3. Aus Sicht der Datenschutzgesetzgebung fragt sich, wie mit solchen Datenpannen (oder eher: Datensicherheitspannen) umzugehen ist. Namentlich stellt sich die Frage, ob eine Notifizierungspflicht gegenüber den betroffenen Datensubjekten und/oder gegenüber einer Datenschutzbehörde geboten ist.
Mit der Revision des Übereinkommens des Europarates zum Schutz personenbezogener Daten (Europaratskonvention 108)4 wird eine solche Notifizierungspflicht eingeführt. Die Schweiz wird bei einer Ratifizierung der überarbeiteten Konvention die nationale Gesetzgebung, insbesondere natürlich das Bundesgesetz über den Datenschutz (DSG), sorgfältig prüfen und evaluieren müssen, inwieweit bestehende Gesetzesbestimmungen geändert bzw. erweitert werden müssen.
Der vorliegende Beitrag untersucht in einem ersten Schritt, inwiefern schon das geltende Recht Notifizierungspflichten im Zusammenhangmit unerlaubten Datenzugriffen vorsieht. Im Anschluss daran wird, nach einem kurzen Blick auf die Rechtslage im Ausland, die vorgesehene Regelung gemäss revidierter Europaratskonvention dargestellt und untersucht, welche Fragen sich diesbezüglich für den Schweizer Gesetzgeber stellen dürften.
Notifizierungspflichten gemäss geltendem Recht
Untersucht man Notifizierungspflichten bei unbefugten Datenzugriffen gemäss geltendem Recht5, ist zunächst zwischen Notifizierungspflichten gegenüber dem Datensubjekt und möglichen Notifizierungspflichten gegenüber einer Behörde zu unterscheiden.
Bezüglich einer Notifizierungspflicht gegenüber dem Datensubjekt findet sich im DSG keine explizite Grundlage6. Man kann sich indes fragen, ob es der Grundsatz der Datenbearbeitung nach Treu und Glauben7 gebietet, dass der Inhaber einer Datensammlung bei einem (schwerwiegenden) unbefugten Zugriff das betroffene Datensubjekt über den Zugriff informiert. In der Literatur wird dies verschiedentlich bejaht. So wird vertreten, dass etwa bei einem unbeabsichtigten Aufschalten von Personendaten im Internet oder bei einer sonstigen versehentlich erfolgten Datenbekanntgabe an Dritte eine solche Informationspflicht bestehe8. Insbesondere MEIER vertritt, in ausdrücklicherAnlehnung an Bestimmungen ausländischer Rechtsordnungen betreffend «Data Breach Notifications», dass im Fall von Sicherheitsmängeln (Datenverlust, Datenzerstörung oder Daterfdiebstahl in grossem Ausmass) die betroffenen Datensubjekte, die Öffentlichkeit oder die Behörden gestützt auf den Grundsatz von Treu und Glauben zu informieren seien. Dabei müssten aber die Gefährdung der Persönlichkeit der betroffenen Personen schwerwiegend und die betroffenen Daten besonders schätzenswert oder zumindest «heikel» («délicates »)sein9. Auch RosENTHa~ befürwortet eine solche Pflicht, und zwar nicht nur gegenüber den betroffenen Personen, sondern unter Umständen auch gegenüber Dritten (z. B. gegenüber Kreditkartengesellschaften beim Verlust von Kreditkartendaten), wobei sich eine Informationspflicht auch aus anderen Gründen ergeben könne, etwa aus dem Grundsatz der Datensicherheit10, aus vertraglichen Verpflichtungen, der Obliegenheit zur Schadensminderung sowie aus dem eigenen Interesse des Datenbearbeiters an der Minderung möglicher Schäden11.
Darüber hinaus lässt sich eine Informationspflicht gegenüber einem betroffenen Datensubjektauch aus anderen Rechtsnormen ableiten. Zu denken ist etwa an die Fürsorgepflicht eines Arbeitgebers12, wonach dieser bekanntermassendie Persönlichkeit seiner Arbeitnehmer zu schützen hat. Sofern deshalb ein unbefugter Datenzugriff (etwa auf Human-Resources-Datenbestände) die Persönlichkeit von Arbeitnehmern verletzen könnte, was regelmässig der Fall sein dürfte, ist ein Arbeitgeber zur Wahrung seiner Fürsorgepflicht dazu verpflichtet, den Arbeitnehmer über den Data Breach in Kenntnis zu setzen.
Auch hinsichtlich einer möglichen Notifizierungspflicht gegenüber Datenschutzbehörden bei einem Data Breach findet sich im DSG keine explizite Pflicht. Jedoch bestehen — gewissermassen sektorspezifisch — verschiedene Regelungen in weiteren Gesetzen, woraus sich Informationspflichten im Falle einer Datenpanne ergeben können. Dabei wird jedoch regelmässig nicht am unbefugten Datenzugriff als solchem angeknüpft, sondern an den sich daraus möglicherweise ergebenden, sicherheitsrelevanten Folgen.
So sind etwa Anbieterinnen von Fernmeldediensten gemäss Art. 96 Abs. 1 FDV13 verpflichtet, Störungen im Betrieb ihrer Netze, welche eine relevante Anzahl Kundinnen und Kunden betreffen, unverzüglich dem Bundesamt für Kommunikation (BAKOM) zu melden. Sofern sich mit anderen Worten aus einem Hackerangriff oder einem Datendiebstahl eine solche Störung ergibt, besteht eine entsprechende Notifizierungspflicht. Ähnliches gilt im Bereich der Luftfahrt, wo eine Meldepflicht gegenüber dem Bundesamt für Zivilluftfahrt (BAZL) besteht für Betriebsunterbrechungen, Mängel, Fehlfunktionen oder andere regelwidrige Gegebenheiten, welche die Sicherheit eines Luftfahrzeugs, seiner Insassen oder Dritter gefährdet oder gefährden könnte, ohne dass es zu einem Flugunfall oder einem schweren Vorfall kommt14. Folglich löst ein flugsicherheitsrelevanter Datendiebstahl eine entsprechende Notìfizierungspflicht aus. Vergleichbare Mcldepflichten bestehen sodann gegenüber dem Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK)15 gegenüber dem Eidgenössischen Nuklearsicherheitsinspektorat (ENSI)16 oder gegenüber dem Eidgenössischen Starkstrominspektorat digma 201 5.3 (ESTI)17. Ausschlaggebend ist aber auch dort jeweils nicht eine Datenpanne als solche, sondern sich daraus möglicherweise ergebende Sicherheitsrisiken oder Schäden. Schliesslich ist denkbar, dass im Bereich des Finanzmarktrechts aufsichtsrechtlich relevante Datenpannen meldepflichtig sind18 und dass eine Informationspflichtauch auf Grundlage der Ad-hoc- Publizität bestehen kann.
Darüber hinaus besteht schon heute die Möglichkeit (nicht aber die Pflicht), Datenverluste oder ähnliche Zwischenfälle der Mcldeund Analysestelle Informationssicherung (MELANI)19 und/oder der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK)20 zu melden.
Insgesamt lässt sich festhalten, dass keine ausdrückliche Grundlage im Bereich des Da- tenschutzrechts für eine Notifizierungspflicht bei Datenschutzpannen besteht21. Eine Benachrichtigungspflicht gegenüber dem betroffenen Datensubjekt lässt sich wohl aus dem Grundsatz von Treu und Glauben ableiten, deren Umfang und Einzelheiten sind, soweit ersichtlich, aber noch kaum geklärt: Notifizierungspflichten gegenüber Behörden bestehen gemäss einzelnen Spezialgesetzen, wobei aber nicht die Datenpanne als solche, sondern primärdamit verbundene Sicherheitsrisiken und/ oder andere aufsichtsrechtlich relevante Tatbeständeausschlaggebend für die Meldepflicht sind.
To read this article in full, please click here.
Originally published by Digma.
Footnotes
1. VgI. EBNETER, RZ. Z.
2. Siehe (http://www.reuters.com/article/2011/04/27/us-sony-stoldendata-idUSTRE73P6WB20110427.
3 EH MANN, ó3.
4. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, SR 0.235.1; zur Revision dieser Konvention im Allgemeinen FASNACHT, Rz. 31.4 ff.; zu den Notifikationspflichten bei Datenpannen insti. Rz. 31.19 ff.
5. Dazu im Allgemeinen FasNacHr, Rz. 31.19.
6. EBNETER, RZ. L Z.
7. Art. 4 Abs. 2 DSG.
8. Siehe EPiNEV, 527, m.w.H.
9. MEIER, N 657.
10. Art. 7 DSG; einschränkend insofern EsNETER, Rz. 13.
11. Handkommentar/RosENrHn~, Art. 4 N 16; für das kantonale Recht ebenso BEnT RuoiN, § 9 N 50, in: Beat Rudin/Bruno Baeriswyl (Hrsg.), Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Basel-Stadt, Zürich 2014. Siehe auch EBNETER, Rz. 15 f., der überdies eine Informationspflicht auch aus dem sog. Gefahrensatz bzw. aus erwecktem Vertrauen herleitet, was nach hier vertretener Auffassung indes wohl zu weit geht.
12. Art. 328 OR.
13. Verordnung vom 9.3.2007 über Fernmeldedienste (FDV), SR 784.101.1.
l4. Art. 77b Abs. 1 i.V.m. Art. 77a lit. a der Verordnung vom 14.11.1973 über die Luftfahrt (Luftfahrtverordnung, LFV), SR 748.01.
15. Art. 14a des Eisenbahngesetzes vom 20.12.1957 (EBG), SR 742.101.
16. Art. 21 der Kernenergieverordnung vom 10.12.2004 (KEV), SR 732.11.
17. Art. 16 der Verordnung vom 30.3.1994 über elektrische Starkstromanlagen (Starkstromverordnung) (SR 734.2).
18. Art. 29 Abs. 2 des Bundesgesetzes vom 22.6.2007 über die Eidgenössische Finanzmarktaufsicht (FINMAG), SR 956.1.
19. (http://www.melani.admin.ch).
20. (http://www.cybercrime.admin.ch).
21. FASNACHT, Rz. 31.19.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
