Datenschutzrechtsrevision | Teil 3: Cyberangriff – die richtige Reaktion zählt
Im ersten Beitrag unserer Reihe zur Datenschutzrevision haben wir Ihnen aufgezeigt, welche Änderungen mit der Revision einhergehen. Im zweiten Beitrag gaben wir Ihnen praktische Empfehlungen, wie auf die Änderungen zu reagieren ist. Nachfolgend beleuchten wir, wie im Falle eines Cyberangriffes angemessen zu reagieren ist.
Cyberangriffe auf Unternehmens- und Verwaltungsdaten zählen in Zeiten der Digitalisierung bedauerlicherweise zum Alltag. Oftmals erfährt die Öffentlichkeit entweder gar nicht oder sehr spät von solchen Vorfällen, auch weil damit ein Reputationsschaden befürchtet wird. Noch bedenklicher ist, dass die Betroffenen nur unzureichend informiert werden, obwohl deren persönliche Daten entwendet wurden und später sogar im Internet oder Darknet auftauchen (können). Das Kommunikationsdesaster ist vollbracht. Erfahrungen damit mussten auch kürzlich zwei betroffene Städte machen. Weder die Gemeinde Rolle (nzz.ch Paywall), noch die Gemeinde Bülach (nzz.ch Paywall) waren auf einen Cyberangriff vorbereitet oder führten eine sachgerechte Kommunikation. Oftmals stellt eine Cyberattacke zugleich auch einen datenschutzrechtlichen Vorfall dar, wenn personenbezogene Daten betroffen sind.
Rechtliche Aspekte
Mit dem revidierten Schweizer Datenschutzgesetz (revDSG) kommen zukünftig weitergehende Pflichten auf Unternehmen und Behörden zu (Übersicht der Änderungen). Denn das revDSG orientiert sich weitestgehend an der seit 2018 in der EU geltenden Datenschutzgrundverordnung (DSGVO). So müssen ab dem 1. September 2023 Folgenabschätzungen für die Datennutzung vorgenommen werden und das Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch.
Zudem schreibt das revDSG in Art. 24 Abs. 1 vor, dass Verletzungen der Datensicherheit, die zu einem hohen Risiko für die betroffenen Personendaten führen, "so rasch als möglich" dem EDÖB gemeldet werden müssen. Das revDSG schreibt keine starre Frist für die Meldung vor; anders als die DSGVO, die eine "unverzügliche" Meldung (ohne schuldhaftes Zögern) und möglichst binnen 72 Stunden vorschreibt. Aus der Begründung zum revDSG ist zu entnehmen, dass der Verantwortliche grundsätzlich schnell handeln muss, ihm aber ein Ermessenspielraum eingeräumt wird. Dieser richtet sich nach dem Ausmass der Gefährdung der Daten der betroffenen Personen; je erheblicher die Gefährdung, je grösser die Anzahl der Betroffenen, umso schneller muss gehandelt werden. Dabei ist dem Verantwortlichen aber angemessene Zeit einzuräumen, um das Ausmass und die Anzahl der Betroffenen mit professioneller Hilfe z.B. IT-Experten, festzustellen. Ist die Feststellung aufwendiger und nimmt beispielsweise mehrere Wochen in Anspruch, kommt zur Erfüllung der Pflicht aus Art. 24 Abs. 1 nach unserer Auffassung auch eine vorläufige Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Betracht.
Den Inhalt der Meldung an den EDÖB gibt Art. 24 Abs. 2 revDSG vor und wird durch Art. 15 Datenschutzverordnung (DSV) näher konkretisiert. Es sind mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen sowie die Ansprechperson mitzuteilen. Soweit möglich, sind weitere Angaben wie Zeitpunkt und Dauer, ungefähre Anzahl der Betroffenen und die Folgen und Risiken der betroffenen Personen anzugeben (Art. 15 Abs. 1 lit. b. - d. DSV). Die "Verletzung der Datensicherheit" wird in einer von vier Kategorien angegeben: die Vernichtung oder Löschung, der Verlust, die Veränderung oder die Bekanntgabe von Daten an Unbefugte. Die Folgen der Verletzung sind so weit als möglich zu umschreiben, dabei ist die Sicht der Betroffenen massgebend. Schlussendlich sind die ergriffenen oder für die Zukunft vorgesehenen Massnahmen anzugeben. Gerade dieser Punkt ist wichtig: Zum einen soll die Meldung den EDÖB in die Lage versetzen, schnell und wirksam zu intervenieren oder aber auch eine Information an die Betroffenen gem. Art. 24 Abs. 4 revDSG vorzuschreiben. Zum anderen lässt sich daraus ableiten, ob der Verantwortliche sachgerecht mit dem Datenschutzvorfall umgegangen ist und welche weitergehenden Massnahmen zum Schutz der Datensicherheit für die Zukunft geplant sind. In rechtlicher Hinsicht kann sich hier leider zeigen, dass bisherige Massnahmen unzureichend waren. In strategischer Hinsicht kann für die Zukunft dargestellt werden, dass erhebliche Massnahmen zur Datensicherheit getroffen werden. Bei der Formulierung stehen wir Ihnen rechtsbegleitend gerne zur Verfügung.
Der Verstoss gegen die Meldepflicht nach Art. 24 revDSG ist indes nicht unmittelbar mit einer Busse belegt. Wird vom EDÖB hingegen von Amtes wegen oder aufgrund einer Anzeige eine Untersuchung gegen Datenvorschriften eingeleitet, sind in diesem Verfahren bei vorsätzlich falschen Auskünften oder vorsätzlicher Verweigerung der Mitwirkung Bussen von bis zu CHF 250'000 möglich.
Die betroffenen Personen müssen von Gesetzes wegen grundsätzlich nicht zwingend informiert werden. Die Information an die Betroffenen des Datensicherheits-/Cyber-Vorfalls hat nur dann zu erfolgen, wenn es zum Schutz der Personen erforderlich ist oder der EDÖB dies verlangt. Hier kommt es darauf an, ob durch die Information an die Betroffenen die Risiken für die Persönlichkeit oder die Grundrechte reduziert werden können. Dies soll dann der Fall sein, wenn die betroffenen Personen Vorkehrungen zum Schutz ihrer Daten treffen müssen, beispielsweise Zugangsdaten oder Passwörter ändern. Weitere Beispiele sind die Kontrolle von Kontobewegungen (z.B. bei Verlust von Kreditkartendaten) oder die Information an Dritte, um Missbrauch zu verhindern (z.B. Bankdaten, Sozialversicherungsdaten). Aus Transparenzgründen und zur Wiederherstellung des Vertrauens dürfte jedoch eine offene Kommunikation an die Betroffenen oftmals geboten sein.
Kommunikation
Ein besonderes Augenmerk ist in den Zeiten von Social-Media-Shitstorms und Twitter-Eilmeldungen auf die Kommunikation von Cyberangriffen zu legen. Ist der technische Schaden und Datenverlust nicht mehr zu verhindern, sollte die Reputation nicht auch noch durch eine schlechte Kommunikation geschädigt werden. In einer Zeit, in der selbst Staatsgeheimnisse nicht geheim bleiben, ist davon auszugehen, dass ein Datenschutzvorfall in einem mittleren oder grösseren Unternehmen oder einer Behörde auf jeden Fall der Öffentlichkeit bekannt wird. Der Presse-Mechanismus ist dann immer gleich: Neben dem Vorfall selbst werden zusätzlich die mangelhafte Kommunikation und Fehlerkultur zum Gegenstand der Berichterstattung gemacht. Bekanntermassen fallen in der Öffentlichkeit stehende Personen selten über einen Fehler, sondern vielmehr über den Umgang mit einem Fehler. Dieses Prinzip gilt auch hier: Der Umgang mit einem Datenschutzverstoss entscheidet darüber, ob die Reputation leidet oder gar persönliche Konsequenzen wie Rücktritte oder Kündigungen drohen.
Auch die Informationsprozesse – sowohl innerhalb eines Unternehmens wie auch innerhalb der Behörde bis zum Behördenleiter oder der politisch verantwortlichen Person – müssen vorhanden sein. Wie für gesundheitliche oder betriebliche Vorfälle mit Notfallrufnummern, Melde- und Informationsketten sollte es auch für Datenschutzverstösse ein Regularium geben: Welcher IT-Dienstleister ist zu informieren? Welche Anwaltskanzlei ist anzurufen? Welche Personen sind in welcher Reihenfolge zu informieren? Wer hat den "Hut auf" und ist Ansprechpartner für Medien und Betroffene? Das kann neben Behörden- und Unternehmenssprecher auch eine spezialisierte Anwaltskanzlei wie Wicki Partners AG sein.
Schlussendlich ist bei der Nutzung von sozialen Netzwerken die Kommunikation anzupassen. Es gibt verschiedene kommunikative Möglichkeiten, um eine sachgerechte Social-Media-Strategie im Fall einer Datenschutzpanne zu verfolgen. Hier gilt, dass es immer besser ist, vor der Welle zu sein als einer bereits erfolgten Shitstorm-Welle hinterherzuschreiben. Mit verschiedenen Massnahmen und den richtigen Experten lässt sich der Social-Media-Account in einer Krisensituation so verwalten, dass der Datenschutzvorfall nicht das allein bestimmende Thema ist.
Wicki Partners AG steht nicht nur in rechtlicher Hinsicht, sondern auch bei der Krisenkommunikation an Ihrer Seite. Unsere Experten beraten Sie rechtlich und vertreten Sie in der Medienkommunikation und als Ansprechpartner für Medien. In einer Krisensituation auch 24/7.
Haben Sie Fragen zum Datenschutzrecht und dem Vorgehen bei Cyber-Vorfällen? Wenden Sie sich gerne an Sven Kohlmeier. Er ist regelmässiger Referent auf Konferenzen zu Cybersecurity und auf Grund früherer Tätigkeit ein Experte für die Medien- und Social-Media-Kommunikation.