Die Meldung von Datenschutzverletzungen ist in § 7c DSG geregelt.

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung liegt vor, wenn Personendaten unabsichtlich oder unrechtmässig vernichtet werden oder verloren gehen, verändert werden oder Unbefugten zugänglich sind bzw. offenbart werden.

Wann besteht die Pflicht zur Meldung einer Datenschutzverletzung?

Eine Datenschutzverletzung ist zu melden, wenn sie zu einer Gefährdung der Grundrechte der betroffenen Personen führt. Auf eine Meldung kann verzichtet werden, wenn die Datenschutzverletzung nicht zu einer Verletzung der Grundrechte der betroffenen Personen führt. Bestehen Zweifel, ob durch eine Verletzung Grundrechte gefährdet sind, ist Meldung zu erstatten.

Wer muss die Datenschutzverletzung melden?

Das für die Datenbearbeitung verantwortliche Organ muss die Datenschutzverletzung melden.

Lagert das verantwortliche Organ die Datenbearbeitung aus, ist die Auftragsdatenbearbeiterin zu verpflichten, das Auftrag gebende Organ unverzüglich über eine Datenschutzverletzung zu informieren. Die Meldung an die Datenschutzstelle erfolgt immer durch das verantwortliche Organ.

Wie muss eine Datenschutzverletzung gemeldet werden?

Die Form der Meldung ist nicht vorgeschrieben. Eine schriftliche Meldung wird jedoch empfohlen. Dazu stellt die Datenschutzstelle ein Meldeformular zur Verfügung. Das ausgefüllte Formular kann über das Kontaktformular (verschlüsselt) oder per Post zugestellt werden.

Innerhalb welcher Frist muss eine Datenschutzverletzung gemeldet werden?

Eine Datenschutzverletzung ist der Datenschutzstelle «unverzüglich» zu melden. Zum Zeitpunkt der Meldung müssen noch nicht alle Angaben vorliegen. Zusätzliche Informationen zur Datenschutzverletzung können später nachgereicht werden.

Müssen die von der Datenschutzverletzung betroffenen Personen informiert werden?

Die betroffenen Personen sind über die Datenschutzverletzung zu informieren, wenn die Umstände dies erfordern oder die Datenschutzstelle dies verlangt. Dies ist insbesondere dann der Fall, wenn die betroffenen Personen selbst Vorkehrungen zu ihrem Schutz treffen müssen. Die betroffenen Personen sollten über mögliche Folgen der Verletzung, die zu ergreifenden Schutzmassnahmen (wie z.B. die Änderung von Passwörtern oder Zugangsdaten) sowie über die Meldung an die Datenschutzstelle informiert werden.