Die Verletzung des Schutzes personenbezogener Daten beschreibt gemäss Art 4 Abs. 12 DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmässig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Aufgrund dieser weiten Definition sind regelmässige Verarbeitungen personenbezogener Daten, die im täglichen Geschäftsalltag auftreten, als eine solche Verletzung zu werten. So sind z. B. die endgültige Löschung einer E-Mail mit Kundendaten, der Versand einer E-Mail an falsche Empfänger:innen oder die Fehleingabe in Systemen mit personenbezogenen Daten erfasst.

Als ersten Schritt ist es daher wichtig, diese Vorgänge in einem Vorfall-Register zu dokumentieren. Meistens lösen einfache Verstösse allerdings keine Meldepflicht an die Datenschutzbehörden oder die betroffene Person aus. Ausschlaggebend für die Meldepflicht ist dabei die in Art. 22 genannten Risiken für die betroffenen Personen. Wenn der Verstoss voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine Meldung entbehrlich. In den anderen Fällen hat eine Meldung unverzüglich, jedoch spätestens innerhalb von 72h zu erfolgen.

Die Herausforderung für Schweizer Unternehmen beseht darin, die Behörde für die Meldung zu identifizieren. Dies dürften in der Regel alle Datenschutzbehörden sein, in deren Jurisdiktion sich betroffene Personen befinden. Die Zuständigkeit ergibt sich dabei aus Art. 55 DSGVO und dem Erwägungsgrund 122 welcher die Zuständigkeit für Verarbeitungstätigkeiten, die Auswirkungen auf betroffene Personen im Hoheitsgebiet der Aufsichtsbehörde haben, beschreibt.

Die Meldung kann in den meisten Fällen standardisiert über die Websites der jeweiligen Datenschutzbehörden erfolgen. Sie muss mindestens die folgenden Informationen (sofern vorliegend) enthalten:

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten der datenschutzbeauftragten Person oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Sobald die Gründe für die Verletzung bekannt sind, muss das betroffene Unternehmen Abhilfemassnahmen treffen, die sich am risikobasierten Ansatz der DSGVO orientierten. Dies bedeutet in der Praxis aufgrund der Schwere der möglichen Verletzung der Rechte und Freiheiten der betroffenen Personen und unter Einbezug des Stands der Technik und der Implementierungskosten risikoadäquate Massnahmen zu treffen.