Die neue Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Datenschutzverletzungen der zuständigen Aufsichtsbehörde und allenfalls auch den betroffenen Personen gemeldet werden müssen (Art. 33 f. DSGVO).
Mit der Geltung der DSGVO seit dem 25. Mai 2018 wurden teilweise schon bestehende Meldepflichten verschärft. Auch Unternehmen und andere Verantwortliche ausserhalb von Europäischer Union (EU) und Europäischem Wirtschaftsraum (EWR) einschliesslich Liechtenstein können betroffen sein. So gibt es bereits einzelne Schweizer Unternehmen, die einen «Data Breach» gemäss DSGVO an Aufsichtsbehörden in der EU melden mussten.
In der Folge kam es in den letzten Wochen zu einem deutlichen Anstieg von Meldungen unter anderem in Deutschland, wie Netzpolitik.org meldet.
Tausende von Meldungen allein in Deutschland und Grossbritannien
Der deutsche Bundesbeauftragte für den Datenschutz (BfDI), bei dem die Meldungen an deutsche Aufsichtsbehörden zusammenlaufen, erhielt allein im ersten Monat der Geltung der DSGVO über 1’000 Meldungen!
Auch in Grossbritannien erhält das zuständige Information Commissioner’s Office (ICO) viele Meldungen. Im Juni 2018 wurden – so berichtet Netzpolitik.org – knapp 1’750 Meldungen verzeichnet.
Deutschland: Möglichkeit für Online-Meldung von Datenschutzverletzungen
Meldungen müssen unverzüglich – möglichst innerhalb von 72 Stunden – erfolgen. Bei Verantwortlichen im Ausland können sich die Aufsichtsbehörden im weiteren Verfahren auch an den obligatorischen Datenschutz-Vertreter gemäss Art. 27 DSGVO wenden.
Der BfDI stellt ein Formular für die Meldung von Datenschutzverstößen zur Verfügung und hat ein Informationsblatt veröffentlicht.
Betroffene Personen, die sich über Datenschutzverletzungen von Unternehmen und anderen Verantwortlichen beschweren möchten, finden beim BfDI ein Formular zur Online-Beschwerde sowie ein Informationsblatt.
Schweiz: Meldepflichten kommen erst mit dem revidierten Datenschutzgesetz
Das heutige Datenschutzgesetz (DSG) in der Schweiz kennt keine Meldepflichten bei Datenschutzverletzungen. Hingegen sieht der vorliegende Entwurf für das revidierte DSG in Art. 22 die «Meldung von Verletzungen der Datensicherheit» vor:
«1 Der Verantwortliche meldet dem Beauftragten so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der Beauftragte es verlangt.»
Die Revision verzögert sich. Es ist deshalb noch nicht absehbar, wann das revidierte DSG in Kraft treten wird.