Die Verletzung des Schutzes personenbezogener Daten beschreibt gemäss Art 4 Abs. 12 DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Aufgrund dieser weiten Definition sind regelmässig Verarbeitungen personenbezogener Daten die im täglichen Geschäftsalltag auftreten als eine solche Verletzung zu werten. So sind z.B. die endgültige Löschung einer Email mit Kundendaten, der Versand einer Email an den falschen Empfänger oder die Fehleingabe in Systemen mit personenbezogenen Daten erfasst.
Als ersten Schritt ist es daher wichtig, diese Vorgänge in einem Vorfalls-Register zu dokumentieren. Meiste lösen einfache Verstösse jedoch keine Meldepflicht an die Datenschutzbehörden oder die betroffen Person aus. Ausschlaggebend für die Meldepflicht ist dabei die in Art. 22 genannten Risiken für die betroffenen Personen. Wenn der Verstoss voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt ist eine Meldung nicht notwendig. In den anderen Fällen hat eine Meldung unverzüglich, jedoch spätestens innerhalb von 72h zu erfolgen.
Die Herausforderung für Schweizer Unternehmen beseht darin die Behörde für die Meldung zu identifizieren. Dies dürfte in der Regel alle Datenschutzbehörden sein, in deren Jurisdiktion sich betroffene Personen befinden. Die Zuständigkeit ergibt sich dabei aus Art. 55 DSGVO und dem Erwägungsgrund 122 welcher die Zuständigkeit für Verarbeitungstätigkeiten, die Auswirkungen auf betroffene Personen im Hoheitsgebiet der Aufsichtsbehörde haben, beschreibt.
Die Meldung kann in den meisten Fällen standardisiert über die Websites der jeweiligen Datenschutzbehörden erfolgen. Sie muss mindestens die folgenden Informationen (sofern vorliegend) enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Sobald die Gründe für die Verletzung bekannt sind muss das betroffene Unternehmen Abhilfemassnahmen treffen die sich am risikobasierten Ansatz der DSGVO orientierten. Dies bedeutet in der Praxis aufgrund der Schwere der möglichen Verletzung der Rechte und Freiheiten der betroffenen Personen und unter Einbezug des Stands der Technik und der Implementierungskosten risikoadäquate Massnahmen zu treffen.