Data Breaches? Hacker-Angriffe? So etwas passiert doch nur riesigen Firmen, neulich der ABB, ein bisschen weniger neulich CH Media. Wer so denkt, denkt zu kurz. Denn eine Verletzung der Datensicherheit liegt gemäss Gesetzgeber immer dann vor, wenn «Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden». Sobald also die Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten kompromittiert wird, liegt grundsätzlich eine Verletzung der Datensicherheit vor.

All das kann schnell passieren: Wer hat nicht schon einmal ein E-Mail aus Versehen an einen falschen Empfängerkreis verschickt, einen USB-Stick verlegt, aus Versehen eine Mail-Unterhaltung endgültig gelöscht? All das sind per definitionem Datenschutzvorfälle, wenn auch nicht zwingend solche, die beim Eidgenössischen Datenschutzbeauftragten (EDÖB) gemeldet werden müssen: Geschieht ein Datenschutzvorfall, muss an erster Stelle die Überlegung stehen, was dieser Datenverlust für potenzielle Folgen für die Betroffenen haben kann: Sind Persönlichkeits- oder Grundrechte tangiert? Der Anwalt Roman Böhni ist auf Datenschutzrecht spezialisiert. Er rät: «In einem solchen Moment ist es wichtig, ehrlich undschnell, aber trotzdem besonnen zu reagieren: Erkennt man, dass das Risiko für eine betroffene Person hoch ist, muss der Vorfall so rasch als möglich dem EDÖB gemeldet werden. Zudem ist die betroffene Person zu informieren, wenn es zu ihrem Schutz notwendig ist.»

Wie rasch muss die Meldung erfolgen?
Das Schweizer Gesetz gibt keine absolute Zahl vor, sondern spricht von «so rasch als möglich». In der EU gilt für die Meldung von Datenschutzvorfällen eine Frist von 72 Stunden. Roman Böhni sagt dazu: «Natürlich stehen die 72 Stunden, die in der EU gelten, auch in der Schweiz im Raum. Wichtig ist, dass nach Bekanntwerden eines Vorfalls umgehend mit der Analyse begonnen und keine wertvolle Zeit verschwendet wird. Je nach Vorfall sind Analyse,  Evaluierung und Umsetzung von allfälligen Massnahmen komplex und sehr zeitintensiv. Unter Umständen muss auch externe Unterstützung beigezogen werden. Die Stunden vergehen dann wie im Flug.» In solch komplexen Fällen (bspw. Hacking-Angriff) empfiehlt es sich, so rasch als möglich eine erste Meldung an den EDÖB zu machen und diese Initialmeldung bei Vorliegen weiterer Erkenntnisse regelmässig zu ergänzen. Wie erwähnt ist unter Umständen auch die betroffene Person zu informieren, sollte es zu ihrem eigenen Schutz nötig sein – zum Beispiel dann, wenn Passwörter entwendet wurden. Der Mindestinhalt der jeweiligen Meldungen ergibt sich aus dem Gesetz.

Wie bei allen Risiken ist es auch bezüglich eines Datensicherheitsvorfalles sinnvoll, sich bestmöglich vorzubereiten. Roman Böhni sagt: «Im Falle einer Krise ist alles hilfreich, was bereits vorhanden ist: Aufzeichnungen, Überlegungen, Pläne, Checklisten, Prozesse, Ansprechpersonen und natürlich Erfahrung. Im Hinblick auf das nDSG geht es aber vor allem darum, vorgängig den Prozess und die Ansprechpersonen zu definieren. Eine Datensicherheitsvorfall wird für alle Involvierten schnell äusserst herausfordernd und stressig. Da hilft es, auf bereits gemachte Überlegungen und auf vordefinierte Abläufe zurückgreifen zu können.»

Ob in der Medizinbranche eher über- oder unterdurchschnittlich viele Data Breaches vorkommen, darüber lässt sich nur spekulieren. Amerikanische Statistiken wie die von Ekran legen nahe, dass das weite Feld der Medizinalbranche an zweiter Stelle steht, wenn es um Datensicherheitsvorfälle geht – gleich nach der öffentlichen Verwaltung.

Die FMH hat eine Checkliste mit entsprechendem Prozessablauf veröffentlicht:

https://www.fmh.ch/files/pdf28/checkliste-und-prozessablauf-bei-datenschutzverletzungen.pdf