Seit dem 25. Juni 2019 sind die öffentlichen Organe im Kanton St.Gallen verpflichtet, der Fachstelle für Datenschutz so rasch wie möglich eine Verletzung der Datensicherheit zu melden, die voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt.
Jede Verletzung der Sicherheit, die dazu führt, dass Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Die Verletzung kann dabei entweder durch Mitarbeitende oder durch externe Dritte erfolgen.
Phasen, Ablauf und Handlungen
Führt eine Datenbearbeitung voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person, muss dies der zuständigen Fachstelle für Datenschutz gemeldet werden. Ausreichend dafür ist die blosse Möglichkeit, dass Personendaten für Unbefugte zugänglich werden. Irrelevant ist, ob der unbefugte Zugang tatsächlich stattfindet. Das kann beispielsweise bei folgenden Konstellationen der Fall sein: Vorliegen eines Kontrollverlustes über Daten, eine erhebliche Anzahl betroffener Personen, keine Möglichkeit der raschen Behebung und keine Möglichkeit zur sofortigen Minimierung des Risikos für die betroffenen Personen oder andere qualifizierende Merkmale (etwa systematisches Vorgehen oder gezielter Hackerangriff). Bestehen Zweifel, ob gemeldet werden muss, ist der Vorfall ebenfalls zu melden. Nicht gemeldet werden müssen leichte Vorfälle.
Es ist daher wichtig, dass sich die verantwortliche Person unmittelbar nachdem ihr eine Datenschutzverletzung bekannt wird, nicht nur um die Eindämmung des Vorfalls bemüht, sondern auch prüft, welches Risiko damit verbunden sein könnte. Auf diese Weise können leichter wirksame Massnahmen zur Eindämmung und Behebung der Datenschutzverletzung ergriffen werden. Zweitens kann besser beurteilt werden, ob die Meldung an die Fachstelle für Datenschutz erforderlich ist und ob die betroffene Person von der Datenschutzverletzung informiert werden muss.
Das für die Datenbearbeitung verantwortliche öffentliche Organ muss die Meldung erstatten. Falls die Datenschutzverletzung bei einer Datenbearbeitung durch Dritte geschieht, hat dieser unverzüglich das auftraggebende öffentliche Organ zu benachrichtigen. Die Meldung an die Fachstelle erfolgt auch in diesem Fall durch das verantwortliche öffentliche Organ.
Der Datenschutzvorfall und alle damit zusammenhängenden Informationen muss der zuständigen Fachstelle für Datenschutz gemeldet werden. Handelt es sich beim öffentlichen Organ um ein Organ, Behörde oder Dienststelle des Kantons oder selbständiger öffentlich-rechtlicher Anstalt des Kantons, ist der Vorfall der kantonalen Fachstelle für Datenschutz zu melden. Ist erkennbar, dass der Datenschutzvorfall Auswirkungen in mehreren Kantonen haben könnte, ist dies bei der Meldung zu vermerken.
Handelt es sich beim öffentlichen Organ um ein Organ, eine Behörde oder eine Dienststelle einer Gemeinde, selbständigen öffentlich-rechtlichen Gemeindeunternehmen oder Gemeindeverband bzw. Zweckverband, ist der Vorfall der zuständigen Gemeindefachstelle für Datenschutz zu melden.
Die Meldung hat schriftlich zu erfolgen. Die Form der Meldung ist allerdings nicht vorgeschrieben. Die Fachstelle für Datenschutz hat auf Ihrer Homepage ein Formular mit konkreten Fragen zur Verfügung gestellt.
Gemäss Art. 9a Abs. 1 DSG hat die Meldung so rasch wie möglich zu erfolgen. Die Meldung darf dabei nicht unnötig verzögert werden. Zum Zeitpunkt der Meldung müssen noch nicht alle Angaben im Detail vorliegen. Zusätzliche Informationen zum Vorfall können später nachgereicht werden.
Die zuständige Fachstelle für Datenschutz
- prüft die Antworten auf ihre Vollständigkeit,
- beurteilt den Sachverhalt,
- prüft, ob die getroffenen Massnahmen (auch im Hinblick auf künftige Vorfälle) ausreichen und ob eine Information an die betroffene Person erforderlich ist,
- nimmt in einem schriftlichen Bericht Stellung und gibt zuhanden der verantwortlichen Stelle Empfehlungen ab. Dabei können weitere Massnahmen erforderlich sein oder die Fachstelle für Datenschutz kommt zum Schluss, dass die betroffene Person zu informieren ist.
Die verantwortliche Stelle hat nach Erhalt des Berichts Zeit, zu den Empfehlungen eine schriftliche Stellungnahme zu erarbeiten. Danach zeigt sich, ob eine weitere Begleitung des Vorfalls insb. Nachkontrolle der zusätzlichen Massnahmen erforderlich ist ober ob beim zuständigen Departement Massnahmen beantragt werden müssen. Bei erheblichen Verletzungen der Datensicherheit kann die Fachstelle für Datenschutz eine anfechtbare Verfügung erlassen.
Sofern die Umstände es erfordern, sind die betroffenen Personen zu informieren. Dies ist insbesondere der Fall, wenn die betroffenen Personen Vorkehren zu ihrem Schutz treffen müssen. Die Information ist aber auch abhängig von der Art der Daten und hat v.a. dann zu erfolgen, wenn besonders schützenswerte Personendaten, Persönlichkeitsprofile oder Profiles betroffen sind, wenn ein besonderes Schädigungspotenzial für die betroffene Person (Bankdaten, Kreditkarteninformationen, Zugangsdaten, Passwörter oder Daten, die einem Berufsgeheimnis unterliegen) besteht oder andere erhebliche Risiken vorhanden sind. Die Information an die betroffene Person umfasst mögliche Folgen der Verletzung, die zu ergreifenden Schutzmassnahmen, wie die Änderung von Passwörtern oder Zugangsdaten sowie die Kontaktdaten der zuständigen Fachstelle.
Die Information an die betroffene Person kann eingeschränkt, aufgeschoben oder darauf verzichtet werden, wenn:
- dies aufgrund überwiegender Interessen Dritter erforderlich ist;
- dies aufgrund überwiegender öffentlicher Interessen, insbesondere zur Wahrung der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist;
- die Mitteilung der Information eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann;
- die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert oder
- die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.
- Liegenlassen eines geschäftlichen USB-Sticks (mit sensiblen Kundendaten, ohne Passwortschutz) auf öffentlichem Grund.
- E-Mail-Versand mit sensiblem Inhalt an die falsche E-Mail-Adresse.
- Ein IV-Bezüger erhält per Post eine Abrechnung eines anderen IV-Bezügers.
- Zugriffsrechte von Mitarbeitenden werden nach dem Austritt nicht entzogen.
Noch offene Fragen?
Fachstelle für Datenschutz Kanton St.Gallen
Regierungsgebäude
9001 St. Gallen