Leitfaden zur Meldung von Verletzungen der Datensicherheit
Gstaad Palace
1. Zweck und Grundlage
Dieser Leitfaden (Leitfaden) enthält Bestimmungen zum Umgang mit Verletzungen der Datensicherheit und zur Benachrichtigung der zuständigen Datenschutzbehörde und der betroffenen Personen beim Gstaad Palace (nachfolgend Unternehmen). Der Leitfaden vermittelt den Mitarbeitenden die wichtigsten Grundlagen zum Umgang mit Verletzungen der Datensicherheit und befähigt sie, zusammen mit weiteren Massnahmen und Dokumenten, in Zusammenarbeit mit der Datenschutzkoordinationsstelle zeitnah auf Verletzungen der Datensicherheit zu reagieren. Die unterschiedlichen Verantwortlichkeiten sind in Ziffer 11 dieses Leitfadens im Detail geregelt.
Da das Unternehmen Hotellerie bezogene Dienstleistungen sowie gegebenenfalls weitere Dienstleistungen und Waren anbietet und in diesem Zusammenhang Personendaten bearbeitet, orientiert sich der Leitfaden an den Anforderungen des schweizerischen Datenschutzgesetzes (DSG) sowie der EU-Datenschutzgrundverordnung (DSGVO), soweit anwendbar
Ergänzend zu diesem Leitfaden muss die Datenschutzkoordinationsstelle ggf. länderspezifische Regelungen erlassen und diese berücksichtigen.
2. Ziel dieses Leitfadens
Dieser Leitfaden legt dar, wie auf Verletzungen der Datensicherheit innerhalb des Unternehmens zu reagieren ist, und soll sicherstellen, dass die erforderliche Benachrichtigung der zuständigen Datenschutzbehörde so rasch wie möglich nach Feststellung der Verletzung der Datensicherheit erfolgt. Diese Benachrichtigung muss in der Regel innerhalb von 72 Stunden nach Feststellung der Datensicherheitsverletzung stattfinden.
3. Geltungsbereich
Dieser Leitfaden gilt für alle Mitarbeitenden des Unternehmens, die Personendaten bearbeiten, potenziell an Datenbearbeitungstätigkeiten beteiligt sind oder Verletzungen der Datensicherheit feststellen. Die Mitarbeitenden sind im Rahmen ihres Arbeitsverhältnisses verpflichtet, alle geltenden Datenschutzgesetze sowie diesen Leitfaden einzuhalten.
4. Definitionen
Das anwendbare Datenschutzrecht definiert einige wichtige Begriffe. Grundsätzlich haben die nachfolgenden Begriffe die gleiche Bedeutung, wie sie im DSG definiert werden.
Relevant ist vor allem der Begriff der Personendaten:
Personendaten Besonders schützenswerte Personendaten
Definition Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z.B. Name, Adresse, Standortdaten, ggf. auch Online-Kennungen wie GeräteID, Cookie-ID, IP-Adresse, RFID-Tags usw.).
Sensitivität
Personendaten der folgenden Kategorien: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie; genetische Daten; biometrische Daten, die eine natürliche Person eindeutig identifizieren; Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen; Daten über Massnahmen der sozialen Hilfe(Aufnahmen von Videoüberwachungssystemen, Daten über die Gesundheit von Mitarbeitern, Strafregisterauszüge von Mitarbeitern, Allergien der Gäste, etc.).
Mit «Personen» sind natürliche Personen und nicht juristische Personen gemeint. Informationen über eine Kontaktperson eines Lieferanten oder bei einem anderen Unternehmen im B2BVerkehr gelten ebenfalls als Personendaten.
Eine Verletzung der Datensicherheit liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Mit anderen Worten liegt ein «Sicherheitsvorfall» vor, sobald die Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten vorübergehend oder permanent beeinträchtigt ist.
5. Verletzungen der Datensicherheit und ihre Auswirkungen
Wie bereits die vorgenannte Definition zeigt, führt die Verletzung der Datensicherheit zur versehentlichen oder unrechtmässigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe, zum unbefugten Zugriff auf oder zur gemeinsamen Nutzung von Personendaten. Dies schliesst nicht nur vorsätzliche Verletzungen ein, sondern auch solche, die zufällig oder unbewusst verursacht wurden. Zudem liegt eine Verletzung der Datensicherheit nicht nur dann vor, wenn es zum Verlust von Personendaten kommt, sondern bspw. auch bei der unbefugten Änderung oder Einsichtnahme in Personendaten.
Beispiele für Verletzungen der Datensicherheit sind:
- Zugriff auf Personendaten durch einen unbefugten Dritten (z.B. Hacker-Angriffe);
- Senden von Personendaten an einen falschen Empfänger (z. B. Senden per E-Mail);
- Verlust oder Diebstahl von Datenbearbeitungsgeräten mit Personendaten (z. B. Verlust eines Geschäftshandys oder Notebooks);
- Veränderung/Bearbeitung von Personendaten ohne Erlaubnis; und
- Verlust der Verfügbarkeit von Personendaten (z. B. nicht verfügbarer Cloud-Dienst).
Eine Verletzung der Datensicherheit kann, wenn sie nicht rechtzeitig und in geeigneter Weise behoben wird, zu physischen, materiellen oder immateriellen Schäden für die betroffenen Personen führen. Beispiele solcher Schäden sind:
- Verlust der Kontrolle über ihre Personendaten oder Einschränkung ihrer Rechte;
- Diskriminierung;
- Identitätsdiebstahl oder -Missbrauch;
- finanzieller Verlust;
- unbefugte Umkehrung der Pseudonymisierung;
- Rufschädigung; oder
- Verlust der Vertraulichkeit von durch das Berufsgeheimnis geschützten Personendaten.
6. Pflichten bei der Entdeckung einer Verletzung der Datensicherheit
Jeder Mitarbeitende hat die folgenden Pflichten, wenn er eine Verletzung der Datensicherheit feststellt oder den Verdacht hat, dass eine solche vorliegt:
- Unverzügliche Dokumentation der Verletzung der Datensicherheit (Zeitpunkt und Datum) sowie ggf. weiterer Beweise (z.B. E-Mails, Screenshots, etc.);
- Unverzügliche Benachrichtigung der Datenschutzkoordinationsstelle;
- Unverzügliche Benachrichtigung der IT-Abteilung, um die unverzügliche Dokumentation der Verletzung der Datensicherheit mit geeigneten Mitteln sicherzustellen, z. B:
o Beschreibung der Verletzung;
o Aufnahme von Screenshots;
o Sammlung von Protokollen oder Logdateien;
o Speicherung der E-Mail-Korrespondenz, usw.;
- Einleiten von Massnahmen zur Risikominderung in Zusammenarbeit mit der Datenschutzkoordinationsstelle.
Es kann erforderlich sein, weitere Untersuchungen durchzuführen, um die Ursache für die Verletzung der Datensicherheit genauer zu bestimmen. Diese Untersuchung wird von der Datenschutzkoordinationsstelle geleitet und mit dem Fragebogen gemäss Anhang 1 dokumentiert. Gegebenenfalls sind externe Dienstleister mit der Untersuchung zu beauftragen.
7. Zeitplan und Verpflichtung zur Meldung einer Verletzung der Datensicherheit
7.1 Timing
Eine Meldung über eine Verletzung der Datensicherheit muss so rasch wie möglich, grundsätzlich aber spätestens innerhalb von 72 Stunden ab Entdeckung an die zuständige Datenschutzaufsichtsbehörde übermittelt werden.
Kenntnis über eine Verletzung der Datensicherheit liegt vor, wenn mit einer angemessenen Gewissheit feststeht, dass eine Verletzung der Datensicherheit eingetreten ist, die zu einer Gefährdung von Personendaten geführt hat.
Beispiele:
1. Im Falle des Verlusts eines USB-Sticks mit unverschlüsselten Personendaten ist es oft nicht möglich festzustellen, ob Unbefugte Zugang zu diesen Daten hatten. Doch auch wenn das Unternehmen nicht feststellen kann, ob eine Verletzung der Vertraulichkeit stattgefunden hat, gibt es einen angemessenen Grad an Sicherheit, dass eine Verletzung der Verfügbarkeit stattgefunden hat. Das Unternehmen würde «Kenntnis» erlangen, wenn es feststellt, dass der USB-Stick verloren gegangen ist.
2. Ein Dritter informiert ein Unternehmen darüber, dass er vom Unternehmen versehentlich Personendaten eines Kunden erhalten hat und legt Beweise für die unbefugte Weitergabe vor. Da dem Unternehmen eindeutige Beweise für eine Verletzung der Vertraulichkeit vorgelegt wurden, hat es «Kenntnis» erlangt.
3. Ein Unternehmen stellt fest, dass möglicherweise ein Eindringen in sein Netzwerk stattgefunden hat. Das Unternehmen überprüft seine Systeme, um festzustellen, ob Personendaten, die sich in diesem System befinden, kompromittiert wurden, und bestätigt, dass dies der Fall ist. Da dem Unternehmen nun eindeutige Beweise für eine Verletzung der Unversehrtheit vorliegen, hat es «Kenntnis» erlangt.
4. Ein Cyberkrimineller kontaktiert das Unternehmen, nachdem er sein System gehackt hat, um ein Lösegeld zu fordern. In diesem Fall hat das Unternehmen, nachdem es sein System überprüft hat, um zu bestätigen, dass es angegriffen wurde, eindeutige Beweise dafür, dass eine Verletzung der Datensicherheit stattgefunden hat, und hat «Kenntnis» erlangt.
Die Unternehmen sind hierbei verpflichtet, alle geeigneten technischen und organisatorischen Massnahmen zu ergreifen, um unverzüglich festzustellen, ob eine Verletzung der Datensicherheit stattgefunden hat. Damit ist das Unternehmen verpflichtet, dafür zu sorgen, dass es rechtzeitig von Verstössen «Kenntnis» erlangt.
Schrittweise Benachrichtigung
Je nach Art der Verletzung der Datensicherheit kann eine weitere Untersuchung durch das Unternehmen erforderlich sein, um alle relevanten Fakten im Zusammenhang mit dem Vorfall zu ermitteln. Nicht in jedem Fall liegen innerhalb von 72 Stunden nach Kenntnis einer Verletzung der Datensicherheit alle erforderlichen Informationen vor. Daher ist eine schrittweise Benachrichtigung zulässig. Dies wird in erster Linie bei umfangreichen Verletzungen der Datensicherheit der Fall sein, wie z.B. bei Cybersicherheitsvorfällen, bei denen eine eingehende forensische Untersuchung erforderlich ist, um das Ausmass der Gefährdung von Personendaten vollständig zu ermitteln. Das Unternehmen muss die Datenschutzbehörde über die schrittweise Benachrichtigung informieren und diese begründen.
Verspätete Benachrichtigungen
Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, so ist sie mit einer Begründung für die Verzögerung zu versehen. Damit und mit dem Konzept der schrittweisen Benachrichtigung wird anerkannt, dass ein Unternehmen nicht immer in der Lage ist, eine Verletzung der Datensicherheit innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.
Dies könnte zum Beispiel der Fall sein, wenn ein Unternehmen innerhalb eines kurzen Zeitraums mehrere ähnliche Verletzungen der Datensicherheit erfährt, die eine grosse Anzahl von betroffenen Personen in gleicher Weise betreffen.
Grundsätzlich ist jede einzelne Verletzung der Datensicherheit ein meldepflichtiger Vorfall. Die europäischen Datenschutzbehörden anerkennen jedoch, dass Unternehmen eine «gebündelte» Meldung einreichen können, um eine Überlastung zu vermeiden. Voraussetzung ist allerdings, dass solche Verletzungen der Datensicherheit betreffend die Art von Personendaten, und die Art und Weise der Verletzung innerhalb eines relativ kurzen Zeitraums vorgefallen sind. Wenn es zu einer Reihe von Verletzungen der Datensicherheit kommt, die verschiedene Arten von Personendaten betreffen, die auf unterschiedliche Weise verletzt wurden, dann sollte jeder Vorfall einzeln gemeldet werden.
7.2 Meldung an die Datenschutzbehörde
DSGVO
Die DSGVO verlangt, dass jede Verletzung der Datensicherheit den Datenschutzbehörden gemeldet wird, sofern nicht ausgeschlossen werden kann, dass diese keinen negativen Effekt auf die betroffenen Personen hat. Eine spezielle Risikobewertung ist somit nicht erforderlich.
DSG
Das DSG verlangt, in Abweichung zur DSGVO, für die Meldung an die Datenschutzbehörde, dass die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt Anhang 4 beinhaltet Beispiele, die ein «hohes Risiko» darstellen. Sie dienen als Veranschaulichung dafür, wann gemäss DSG eine Meldung an die Datenschutzbehörden erfolgen muss. Zudem helfen die nachfolgenden Ausführungen bei der Risikobewertung.
Bewertung des Risikos einer Verletzung der Datensicherheit
Das Risiko bewertet sich nach dem Zusammenfallen der Eintrittswahrscheinlichkeit und Schwere eines bestimmten Ereignisses. Das Unternehmen muss eine objektive Bewertung der Risiken vornehmen. Es ist hilfreich, eine strukturierte Matrix zu verwenden, um über die Wahrscheinlichkeit und den Schweregrad von Risiken nachzudenken. Wenn es zu einer Verletzung der Datensicherheit gekommen ist, müssen die Wahrscheinlichkeit und der Schweregrad des daraus resultierenden Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person anhand der folgenden Risikoermittlungsmatrix analysiert und dokumentiert werden:
Schwere des Schadens schwer
Geringes Risiko
Geringes Risiko Hohes Risiko Hohes Risiko bedeu-
Mittleres Risiko Hohes Risiko
Geringes Risiko Geringes Risiko Geringes Risiko
entfernt möglich wahrscheinlich Wahrscheinlichkeit eines Schadenseintritts
Es muss jede Verletzung von Fall zu Fall unter Berücksichtigung aller relevanten Faktoren bewertet werden. Führt die Bewertung zu der Entscheidung, dass eine Verletzung der Datensicherheit der zuständigen Datenschutzbehörde gemeldet werden muss, muss die endgültige Entscheidung zur Meldung von der Geschäftsleitung bzw. der Hoteldirektion getroffen werden.
7.3 Meldung an die betroffenen Personen
DSGVO
Die DSGVO verlangt, dass eine Verletzung der Datensicherheit den betroffenen Personen gemeldet wird, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt Anhang 4 gibt Anhaltspunkte dafür, wann eine Meldung an die betroffenen Personen erfolgen muss.
Betreffend Risikobewertung hilft wiederum auch die vorangehende Matrix. Eine Verletzung der Datensicherheit kann für die betroffenen Personen eine Reihe von negativen Auswirkungen haben, darunter fällt u.a. seelisches Leid und körperliche oder materielle Schäden. Verletzungen der Datensicherheit können die betroffenen Personen, deren Personendaten kompromittiert wurden, erheblich belasten. Daher muss jede Verletzung von Fall zu Fall unter Berücksichtigung aller relevanten Faktoren bewertet werden. Führt die Bewertung zu der Entscheidung, dass eine Verletzung der Datensicherheit der zuständigen Datenschutzbehörde gemeldet werden muss, muss die endgültige Entscheidung zur Meldung von der Geschäftsleitung getroffen werden.
DSG
Das DSG verlangt, dass eine Verletzung der Datensicherheit den betroffenen Personen gemeldet wird, wenn kumulativ die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt und es zu deren Schutz erforderlich ist oder der EDÖB es verlangt. Betreffend die erste Voraussetzung kann auf die Ausführungen zur Meldung an die Datenschutzbehörde gemäss DSG verwiesen werden. Die zweite Voraussetzung ist erfüllt, wenn durch die Information an die betroffenen Personen das Risiko entweder beseitigt oder reduziert werden kann (Anhang IV beinhaltet Beispiele, wann eine Meldung der betroffenen Personen erfolgen muss).
Eine Meldung an die betroffenen Personen ist entsprechend insbesondere dann erforderlich, wenn die unmittelbare Gefahr eines Schadens für sie eingedämmt werden muss. Einer der Hauptgründe für die Unterrichtung der betroffenen Personen besteht darin, ihnen zu helfen, Massnahmen zu ergreifen, um sich vor den Auswirkungen einer Verletzung der Datensicherheit zu schützen, zum Beispiel indem sie ihre Zugangsdaten oder Passwörter ändern.
Führt die Bewertung zur Entscheidung, dass die betroffenen Personen über die Verletzung der Datensicherheit informiert werden müssen, muss die endgültige Entscheidung zur Meldung von der Geschäftsleitung bzw. der Hoteldirektion getroffen werden.
8. Verfahren für die interne Meldung einer Verletzung der Datensicherheit
Eine Verletzung der Datensicherheit kann von allen Mitarbeitenden des Unternehmens festgestellt werden. In einem ersten Schritt müssen sich die den Vorfall entdeckende Mitarbeitenden unverzüglich mit der Datenschutzkoordinationsstelle in Verbindung setzen und die entdeckte Verletzung dokumentieren (mindestens mit Uhrzeit und Datum einschliesslich weiterer Informationen zur Beweissicherung). Danach übernimmt die Datenschutzkoordinationsstelle den Fall und unterstützt und berät die Mitarbeitenden.
Die Datenschutzkoordinationsstelle informiert unverzüglich die Geschäftsleitung bzw. die Hoteldirektion, dokumentiert die Datenschutzverletzung (vgl. Anhang 1) und prüft die Notwendigkeit einer Meldung der Verletzung der Datensicherheit an die zuständige Datenschutzaufsichtsbehörde Ist eine Meldung der Verletzung der Datensicherheit nach ihrer Einschätzung erforderlich, stellt die Datenschutzkoordinationsstelle die Informationen zusammen, damit die Geschäftsleitung bzw. die Hoteldirektion entscheiden kann, ob die Verletzung gemeldet werden soll. Nach der Entscheidung der Geschäftsleitung der Hoteldirektion bereitet die Datenschutzkoordinationsstelle die Meldung vor und reicht sie ein (vgl. Anhang 2 und/oder Anhang 3).
Im Allgemeinen umfasst das Verfahren im Falle einer Verletzung der Datensicherheit die folgenden Schritte:
Schritt Was Wer Wann
1 Das Unternehmen entdeckt einen Sicherheitsvorfall bzw. wird darauf aufmerksam gemacht und stellt fest, ob Personendaten sind. Das Unternehmen erhält «Kenntnis» von einer Verletzung des Schutzes von Personendaten und schätzt das Risiko für betroffene Personen ein.
2 Dokumentation der Verletzung der Datensicherheit (Zeitpunkt und Datum) und Beweissicherung
3 Information der Datenschutzkoordinationsstelle
Mitarbeitende Jederzeit
Mitarbeitende Unmittelbar nach Entdeckung der Verletzung
Mitarbeitende Unmittelbar nach Entdeckung der Verletzung
4 Prüfung der Dokumentation des/der Mitarbeitenden und Entscheidung über die Durchführung von Massnahmen. Bewertung des Risikos der Verletzung der Datensicherheit für die betroffenen Personen
5 Feststellung, ob eine Meldung der Verletzung der Datensicherheit erforderlich ist. Unterschied beachten in Bezug auf die unterschiedlichen Meldeschwellen nach DSG und DSGVO. Dokumentation der Verletzung und Genehmigung durch die Geschäftsleitung/Hoteldirektion.
6 Vorbereiten und übermitteln der Meldung der Verletzung der Datensicherheit an die Datenschutzbehörde
Datenschutzkoordinationsstelle
Unmittelbar
7 Falls erforderlich, vorbereiten und übermitteln der Meldung der Verletzung der Datensicherheit an die betroffenen Personen.
Datenschutzkoordinationsstelle
Geschäftsleitung/Hoteldirektion Unmittelbar
8 Dokumentation des Vorfalls und der Meldung
9 Review des Vorfalls und Beantragen von Massnahmen zur Verhinderung gleichartiger Vorfälle bei der Geschäftsleitung/Hoteldirektion
Datenschutzkoordinationsstelle Spätestens 72 Stunden nach der Entdeckung der Datenschutzverletzung
Datenschutzkoordinationsstelle Unverzüglich nach der Meldung an die Aufsichtsbehörde
Datenschutzkoordinationsstelle Unmittelbar
Datenschutzkoordinationsstelle Nach Abschluss des Vorfalls
Die Mitarbeitenden müssen die Datenschutzkoordinationsstelle informieren, sobald sie eine Verletzung der Datensicherheit feststellen oder vermuten. Es ist wichtig, das Datum und die Uhrzeit der Entdeckung der Verletzung zu dokumentieren, um sicherzustellen, dass die Meldung an die zuständige Datenschutzaufsichtsbehörde so rasch wie möglich, grundsätzlich spätestens innert 72 Stunden, vorgenommen werden kann. Die Datenschutzkoordinationsstelle informiert die Geschäftsleitung bzw. die Hoteldirektion, um zu entscheiden, ob eine Verletzung gemeldet werden muss. Zudem werden die entsprechenden Massnahmen durch die Datenschutzkoordinationsstelle in Zusammenarbeit mit weiteren Abteilungen getroffen.
9. Form der Meldung einer Verletzung der Datensicherheit
Ergibt die Analyse, dass eine Verletzung der Datensicherheit der zuständigen Datenschutzaufsichtsbehörde gemeldet werden muss, und hat die Geschäftsleitung bzw. die Hoteldirektion in Absprache mit der Datenschutzkoordinationsstelle beschlossen, die Verletzung der Datensicherheit zu melden, ist das Musterformular in Anhang 2 zu verwenden. Das ausgefüllte Formular wird an die zuständige Datenschutzaufsichtsbehörde gesandt und eine Kopie davon muss archiviert werden.
Ergibt die Analyse einer Verletzung der Datensicherheit, dass die betroffenen Personen zu benachrichtigen sind, und hat die Geschäftsleitung bzw. die Hoteldirektion in Absprache mit der Datenschutzkoordinationsstelle beschlossen, die betroffenen Personen zu benachrichtigen, ist das Musterformular in Anhang 3 zu verwenden. Das ausgefüllte Formular kann jeder betroffenen Person zugesandt werden und eine Kopie davon muss archiviert werden.
10. Zusätzliche hilfreiche Informationen
Unterstützende Beispiele finden sich in Anhang 4 dieses Leitfadens
11. Verantwortlichkeiten
11.1 Geschäftsleitung bzw. Hoteldirektion
Die Geschäftsleitung bzw. die Hoteldirektion legt den übergreifenden Rahmen für die Meldung von Verletzungen der Datensicherheit an die zuständige Datenschutzaufsichtsbehörde fest und entscheidet letztlich, ob eine Meldung erfolgt. Sie ernennt eine datenschutzverantwortliche Person – die Datenschutzkoordinationsstelle –, die als leitende, beratende und kontrollierende Instanz für Meldungen von Verletzungen der Datensicherheit fungiert.
11.2 Vorgesetzte
Die Vorgesetzten aller Stufen sind in ihren Verantwortungsbereichen für die Durchsetzung und Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Sie sorgen in Zusammenarbeit mit der Datenschutzkoordinationsstelle für Schulung und Sensibilisierung ihrer Mitarbeitenden. Sie nehmen eine Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, Massnahmen zum Datenschutz einzuhalten.
11.3 Mitarbeitende
Jeder Mitarbeitende hat dafür Sorge zu tragen, dass er die Datenschutzkoordinationsstelle unverzüglich über eine Verletzung der Datensicherheit informiert, die entdeckte Verletzung dokumentiert und Beweise sichert. Mitarbeitende haben die Anweisungen der Datenschutzkoordinationsstelle zu befolgen. Zudem sind die Mitarbeitenden verpflichtet, regelmässig an Schulungen zum Thema Datensicherheit teilzunehmen.
11.4 Datenschutzkoordinationsstelle
Das Unternehmen hat eine Datenschutzkoordinationsstelle benannt. Die Datenschutzkoordinationsstelle ist die zentrale Anlaufstelle für Fragen des Datenschutzes und der Datensicherheit sowie die federführende Stelle, um im Einzelfall gestützt auf den Beschluss der Geschäftsleitung bzw. der Hoteldirektion eine Verletzung der Datensicherheit an die zuständige Datenschutzaufsichtsbehörde zu melden. Sie kann via fbm@palace.ch oder Telefon unter 861 kontaktiert werden.
Die Datenschutzkoordinationsstelle ist dafür verantwortlich, dass die Meldungen von Verletzungen der Datensicherheit dokumentiert werden, um die Standards für die Rechenschaftspflicht zu erfüllen. Sie sorgt dafür, dass die Dokumentation zu erfolgten Meldungen während mindestens zwei Jahren aufbewahrt wird. Darüber hinaus ist die Datenschutzkoordinationsstelle verantwortlich dafür, Verletzungen der Datensicherheit in Zusammenarbeit mit anderen Abteilungen nach dem Vorfall zu überprüfen und ggf. notwendige Massnahmen zur Verhinderung gleichartiger Vorfälle der Geschäftsleitung bzw. der Hoteldirektion zur Umsetzung vorzuschlagen
12. Sanktionen
Verstösse gegen diesen Leitfaden können disziplinarische Massnahmen und/oder zivil- und/oder strafrechtliche Verfahren nach sich ziehen.
13. Schlussbestimmungen
13.1 Änderungen und Ergänzungen
Dieser Leitfaden kann nur schriftlich durch einen Beschluss der Geschäftsleitung bzw. der Hoteldirektion abgeändert, ergänzt oder aufgehoben werden. Als Änderung oder Ergänzung ist jegliche Hinzufügung, Streichung oder Modifikation einzelner Bestimmungen zu qualifizieren. Ausgenommen hiervon sind Berichtigungen formeller Art.
13.2 Ergänzende Dokumente
Dieser Leitfaden ist die Grundlage, um sicherzustellen, dass Benachrichtigungen über Verletzungen der Datensicherheit dann erfolgen, wenn dies erforderlich ist. Aufbauend darauf können weitere Dokumente entwickelt werden, die im Zusammenhang mit der Bearbeitung von Personendaten erforderlich sind, insbesondere benutzer- oder abteilungsspezifische Leitfäden.
13.3 Integrierte Anhänge
Die folgenden Anhänge sind Bestandteil dieses Leitfadens:
Anhang 1: Fragebogen zur Dokumentation von Verletzungen der Datensicherheit
Anhang 2: Meldeformular (Datenschutzaufsichtsbehörde)
Anhang 3: Meldeformular (betroffene Personen)
Anhang 4: Unterstützende Beispiele
Im Falle von Widersprüchen ist dieser Leitfaden massgebend.
13.4 Sonstiges
Dieser Leitfaden ist allen Mitarbeitenden über das bestehende Weisungswesen des Unternehmens oder über andere Kanäle gemäss Entscheidung der Datenschutzkoordinationsstelle zugänglich.
Änderungen oder Ergänzungen zu diesem Leitfaden treten im Moment der Veröffentlichung auf https://issuu.com/gstaadpalace/docs/leitfaden_verletzung_der_datensicherheit_de_8.1.2?fr=xKAE9_-Dt8g in Kraft.
13.5 Datum des Inkrafttretens
Dieser Leitfaden tritt am Montag, 13. Januar 2025 in Kraft.
Anhang 1 Fragebogen zur Dokumentation von Verletzungen der Datensicherheit
Dieser Anhang muss von der Datenschutzkoordinationsstelle ausgefüllt werden. Der ausgefüllte
Anhang muss aufbewahrt werden, um der datenschutzrechtlichen Rechenschaftspflicht nachzukommen. Jede Verletzung der Datensicherheit, mit Ausnahme von Bagatellvorfällen, muss unabhängig von der Höhe des Risikos für die betroffenen Personen dokumentiert werden. Die Bewertung der Risiken sollte anhand dieses Fragebogens und der Risikoidentifikationsmatrix (s. Ziff. 7.1 des Leitfadens) erfolgen. Schliesslich kann diese Bewertung in ein allenfalls eingesetztes spezifisches Tool zur Dokumentation von Cyber Incidents (z.B. OneTrust oder ZOA-GDPR) übertragen werden, um die Verletzung der Datensicherheit und die im Einzelfall getroffene Entscheidung zu dokumentieren. Diese Dokumentation hat aber unabhängig des Einsatzes eines solchen Tools zu erfolgen.
Beschreibung der Verletzung der Datensicherheit (was ist passiert? Wie kam es zur Verletzung der Datensicherheit und unter welchen Umständen? usw.)
Datum und Uhrzeit der Verletzung der Datensicherheit
Welche Personendaten sind betroffen?
Sind besonders schützenswerte Personendaten betroffen (z. B. Gesundheitsdaten usw.)?
Beschreibung der wahrscheinlichen Folgen der Verletzung der Datensicherheit
Anzahl der betroffenen Datensätze
Anzahl der betroffenen Personen
Beschreibung der getroffenen Massnahmen
1. Zuständigkeit:
Funktion
Verantwortliche Person bei der Datenschutzkoordinationsstelle
Datenschutzbeauftragter (sofern vorhanden)
Für die Meldung zuständige Person
Name und Abteilung
Bitte beachten Sie: Bei der Meldung von Verletzungen der Datensicherheit an die zuständige Datenschutzbehörde ist die Datenschutzkoordinationsstelle einzubeziehen. Die Entscheidung, ob eine Verletzung der Datensicherheit an die zuständige Datenschutzbehörde gemeldet wird, muss von der Geschäftsleitung bzw. der Hoteldirektion getroffen werden.
2. Meldung für den Fall, dass das Unternehmen Auftragsbearbeiterin ist
Wenn das Unternehmen Auftragsbearbeiterin ist und eine Verletzung der Datensicherheit festgestellt wurde, müssen die oben genannten Informationen unverzüglich an den für die Bearbeitung Verantwortlichen übermittelt werden. Die Abschnitte 1 und 3 müssen jedoch nicht ausgefüllt oder an den für die Bearbeitung Verantwortlichen übermittelt werden.
An den Verantwortlichen übermittelte Benachrichtigung am/durch:
3. Validierungsschema
Führt die Verletzung der Datensicherheit zu einem Risiko für die betroffenen Personen und muss daher die Datenschutzaufsichtsbehörde informiert werden?
Eine Meldung an die Aufsichtsbehörde ist nicht erforderlich, wenn die Verletzung des Datenschutzes wahrscheinlich nicht zu einem hohen Risiko für die betroffene Person führt.
Rechtfertigung und Entscheidung:
Müssen die betroffenen Personen informiert werden? Ja Nein
Eine Information der betroffenen Personen muss immer dann erfolgen, wenn es zu ihrem Schutz erforderlich ist oder von der zuständigen Datenschutzaufsichtsbehörde verlangt wird. Eine Information der betroffenen Personen ist nicht (mehr) erforderlich, wenn geeignete technische und organisatorische Massnahmen vorhanden sind, die einen unbefugten Zugriff auf die betreffenden Personendaten praktisch unmöglich machen (z. B. Verschlüsselung). Auf eine Information kann auch verzichtet werden, wenn wirksame Massnahmen zur Schadensbegrenzung getroffen wurden. In der Regel sollte die Information der betroffenen Personen erfolgen, wenn die Information den betroffenen Personen die Möglichkeit gibt, den Schaden durch eigene Massnahmen wirksam zu minimieren (z.B. durch Sperrung der Kreditkarte, Änderung eines Passwortes, usw.).
Rechtfertigung und Entscheidung:
Meldung erforderlich?
Datum und Uhrzeit der Meldung
Die Meldung muss so rasch wie möglich, grundsätzlich aber spätestens innerhalb von 72 Stunden nach Feststellung der Verletzung der Datensicherheit erfolgen.
Ja Nein
Falls diese Frist nicht eingehalten werden kann, fügen Sie bitte eine ausführliche Begründung bei.
Unterschrift der verantwortlichen Person der Datenschutzkoordinationsstelle
Genehmigung der Geschäftsleitung/Hoteldirektion
Anhang 2 Meldeformular (Datenschutzaufsichtsbehörde)
Für eine Meldung der Verletzung der Datensicherheit an den EDÖB ist die Meldeplattform des EDÖBs zu verwenden. Dieses ist abrufbar unter:
https://databreach.edoeb.admin.ch/report
Für eine Meldung an andere Datenschutzbehörden kann, sofern die jeweiligen Datenschutzbehörden keine anderen Formulare zwingend vorschreiben, das nachfolgende Formular verwendet werden.
1. Anschrift der Aufsichtsbehörde für Datenschutz
2. Name und Kontaktinformationen des für die Bearbeitung Verantwortlichen
3. Name und Kontaktdaten der verantwortlichen Person der Datenschutzkoordinationsstelle
4. Beschreibung der Verletzung der Datensicherheit
5. Datum, Uhrzeit und Dauer der Verletzung der Datensicherheit (sowie gegebenenfalls eine Begründung, warum die Meldung erst nach Ablauf der 72-Stunden-Frist erfolgt ist)
6. Welche Personendaten sind betroffen?
z.B. Kontaktinformationen, Kreditkarteninformationen, etc.
7. Beschreibung der möglichen Auswirkungen und Risiken der Verletzung der Datensicherheit für die betroffenen Personen
8. Kategorien von Personendaten und Anzahl der betroffenen Datensätze
9. Kategorien und Anzahl der betroffenen Personen
10. Beschreibung der getroffenen Massnahmen zur Minderung der Folgen und Risiken
Anhang 3 Meldeformular (betroffene Personen)
1. Anschrift der betroffenen Person
2. Name und Kontaktdaten der verantwortlichen Person der Datenschutzkoordinationsstelle
3. Beschreibung der Verletzung der Datensicherheit und der betroffenen Personendaten
4. Beschreibung der möglichen Auswirkungen und Risiken der Verletzung der Datensicherheit für die betroffenen Personen
5. Beschreibung der getroffenen Massnahmen zur Minderung der Folgen und Risiken
6. Massnahmen, welche die die betroffene Person ergreifen kann
Beispiel
Anhang 4 Unterstützende Beispiele
Die folgende Auswahl von Beispielen hilft bei der Feststellung, ob eine Meldung an die Aufsichtsbehörde und/oder eine Information der betroffenen Person in verschiedenen Szenarien erforderlich ist:
Meldung an die zuständige Aufsichtsbehörde?
Ein Hotel hat die Sicherungskopie eines Archivs mit Personendaten in verschlüsselter Form auf einem USB-Stick gespeichert. Bei einem Einbruch wird der USBStick entwendet.
Ein Hotel betreibt einen Onlinedienst, wie z.B. ein eigenes Reservierungs- und Buchungsportal. Der Dienst wird Opfer eines Cyberangriffs und dabei werden Personendaten abgeschöpft.
In der Telefonzentrale eines Hotels kommt es zu einem kurzen, mehrere Minuten andauernden Stromausfall, sodass die Gäste das Hotel nicht erreichen und
Ja, der Vorfall muss an die Aufsichtsbehörde gemeldet werden, wenn Folgen für die betroffenen Personen zu erwarten sind.
Benachrichtigung der betroffenen Person?
Anmerkungen
Nein.
Solange die Daten durch einen dem Stand der Technik entsprechenden Algorithmus verschlüsselt sind, Datensicherungen existieren, der eindeutige Schlüssel nicht beeinträchtigt wurde und sich die Daten zeitnah wiederherstellen lassen, handelt es sich vermutlich nicht um eine meldepflichtige Datenschutzverletzung. Kommt es später aber doch zu einer Beeinträchtigung, ist die Meldung erforderlich.
Ja, die betroffenen Personen müssen, abhängig von der Art der beeinträchtigten Personendaten und wenn schwerwiegende Folgen für die betroffenen Personen zu erwarten sind, benachrichtigt werden.
Nein.
Dies ist keine meldepflichtige Datenschutzverletzung, allerdings ist der Vorfall trotzdem dokumentationspflichtig.
Nein
Nein
nicht auf ihre Buchungen zugreifen können.
Ein Hotel wird Opfer eines Ransomware-Angriffs, bei dem sämtliche Daten verschlüsselt werden. Es sind keine Sicherungskopien vorhanden und die Daten können nicht wiederhergestellt werden. Bei einer Untersuchung stellt sich heraus, dass die Ransomware ausschliesslich der Datenverschlüsselung diente und dass keine weitere Schadsoftware im System präsent war.
Ein Hotel betreibt einen Online-Reservierungsund Buchungsportal mit Gästen aus mehreren Ländern. Nach einem Cyberangriff auf das Portal veröffentlicht der Angreifer Benutzernamen, Passwörter und getätigte Reservierungen und Buchungen im Internet.
Ein als Auftragsdatenbearbeiter fungierendes Webhosting-Unternehmen stellt fest, dass der Code zur Steuerung der Benutzerautorisierung einen Fehler enthält. Aufgrund des Fehlers kann jeder Benutzer die Kontodaten aller anderen Benutzer einsehen.
Ja, der Vorfall muss an die zuständige Aufsichtsbehörde gemeldet werden, wenn Folgen für die betroffenen Personen zu erwarten sind, da es sich um einen Verlust der Datenverfügbarkeit handelt.
Ja, die betroffenen Personen müssen, abhängig von der Art der beeinträchtigten Personendaten, den möglichen Auswirkungen der Nichtverfügbarkeit der Daten sowie anderen wahrscheinlichen Folgen, benachrichtigt werden.
Wenn eine Datensicherung vorhanden gewesen wäre und sich die Daten zeitnah hätten wiederherstellen lassen, wären die Meldung an die Aufsichtsbehörde und die Benachrichtigung der betroffenen Personen nicht erforderlich gewesen, da kein dauerhafter Verlust der Datenverfügbarkeit oder -vertraulichkeit vorgelegen hätte.
Ja, Vorfälle mit grenzüberschreitender Bearbeitung müssen an die zuständige(n) Aufsichtsbehörde gemeldet werden.
Ja, denn der Vorfall könnte zu einem hohen Risiko führen und die Meldung ist zum Schutz der betroffenen Personen erforderlich
Das Unternehmen sollte Massnahmen ergreifen –indem sie z.B. das Zurücksetzen der Passwörter für die betroffenen Konten erzwingt – und andere Schritte zur Eindämmung des Risikos unternehmen.
Als Auftragsbearbeiter muss das Webhosting-Unternehmen seine betroffenen Kunden (die Verantwortlichen) unverzüglich benachrichtigen.
In der Annahme, dass das Webhosting-Unternehmen eine eigene Untersuchung durchgeführt hat, sollten die betroffenen Verantwortlichen hinreichende Gewissheit darüber haben, ob in ihrem konkreten Fall eine
Wenn voraussichtlich kein hohes Risiko für die betroffenen Personen besteht und kein Schutzbedarf besteht, müssen diese nicht benachrichtigt werden.
Das Webhosting-Unternehmen (der Auftragsbearbeiter) muss auch etwaige andere Meldepflichten berücksichtigen.
Sofern keine Anhaltspunkte dafür vorliegen, dass die Schwachstelle bei einem der Verantwortlichen ausgenutzt wurde, ist möglicherweise keine
Eine E-Mail für Direktwerbezwecke wird an Empfänger in den Feldern "An..." oder "Cc..." geschickt, sodass die EMail-Adressen der Empfänger für alle Empfänger sichtbar sind.
Datenschutzverletzung aufgetreten ist, sodass wahrscheinlich davon ausgegangen werden kann, dass ihnen die Datenschutzverletzung mit der Benachrichtigung durch das Webhosting-Unternehmen (den Auftragsbearbeiter) "bekannt" geworden ist. Dann muss der Verantwortliche die Datenschutzverletzung an die Aufsichtsbehörde melden.
Ja, die Meldung an die Aufsichtsbehörde kann obligatorisch sein, wenn sehr viele Personen betroffen sind, sensible Daten offengelegt werden (z. B. die Mailingliste eines Psychotherapeuten) oder wenn andere Faktoren ein hohes Risiko bergen (z. B. wenn die E-Mail die ursprünglichen Passwörter enthält).
Ja, die betroffenen Personen müssen, je nach Umfang und Art der betroffenen Personendaten und der Schwere der möglichen Folgen, benachrichtigt werden.
meldepflichtige Datenschutzverletzung aufgetreten.
Die Benachrichtigung ist unter Umständen nicht erforderlich, wenn keine sensiblen Daten offengelegt werden und nur eine kleine Anzahl von EMail-Adressen sichtbar ist.