23.07.2024 von Anna Maria Rieder und Andreas Schäfer
In der Praxis kommt es noch selten vor, dass die zuständige Aufsichtsbehörde, in der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (nachfolgend: «EDÖB»), bei den Untersuchungen Zwangsmassnahmen anwendet. In der Regel wendet sich die Behörde mit einem Auskunftsersuchen an ein Unternehmen, um den Sachverhalt einer Beschwerde zu ermitteln. In der überwiegenden Zahl der aufsichtsrechtlichen Verfahren erteilen die betroffenen Unternehmen die gewünschten Auskünfte mehr oder weniger bereitwillig. Im Folgenden geben wir am Beispiel von Xplain einen Überblick über das Instrument der Untersuchungen des EDÖB.
Der EDÖB überwacht die Einhaltung der Datenschutzbestimmungen durch Bundesorgane und Privatpersonen. Zu seinen Hauptaufgaben gehören die Untersuchung von Verstössen gegen sämtliche Sachverhalte, auf welche das Datenschutzgesetz (DSG) oder andere (bereichsspezifische) Datenschutzvorschriften des Bundes anwendbar sind und die Anordnung von Verwaltungsmassnahmen zur Durchsetzung dieser Vorschriften. Gemäss dem DSG leitet der EDÖB eine Untersuchung ein, sobald Anzeichen für einen Verstoss gegen Datenschutzbestimmungen bestehen (vgl. Art. 49 DSG). Diese Untersuchung ist ein förmliches Verwaltungsverfahren, das dazu dient, den relevanten Sachverhalt festzustellen und rechtlich zu bewerten. Die Eröffnung einer Untersuchung kann entweder von Amtes wegen oder aufgrund einer Anzeige erfolgen. Die Meldung an den EDÖB kann über das Webformular auf seiner Webseite erfolgen, ist jedoch grundsätzlich in jeder Form möglich. Es gibt keine festgelegte Frist für die Meldung, aber der Sachverhalt sollte aktuell sein, damit der EDÖB bei einem Verstoss rechtzeitig geeignete Massnahmen gemäss dem DSG anordnen kann. Es fallen keine Gebühren für die Bearbeitung einer Meldung an.
Im Mai 2023 erlitt die Xplain AG, ein Unternehmen aus Interlaken, das Software für den Sicherheitsbereich in der Schweiz entwickelt, einen Ransomware-Angriff, bei dem eine beträchtliche Menge an Daten gestohlen und aufgrund der Nichtzahlung der geforderten Lösegeldsumme im Darknet veröffentlicht wurden. Dieser Vorfall betraf auch sensible Daten von verschiedenen Bundesstellen sowie vertrauliche Informationen und hoch sensible Personendaten. Seit dem Bekanntwerden des Datenlecks hat der Bundesrat eine Reihe von Massnahmen ergriffen bzw. in Auftrag gegeben, um den Vorfall zu untersuchen und Lehren daraus zu ziehen.
Das neue Datenschutzgesetz (DSG) bringt wesentliche Änderungen in der Art und Weise, wie Datenschutzverletzungen untersucht und behandelt werden. Unter dem DSG eröffnet der EDÖB eine Untersuchung nur dann, wenn die Verletzung der Datenschutzvorschriften von erheblicher Bedeutung ist (vgl. Art. 49 Abs. 2 DSG). Bei weniger gravierenden Verletzungen, die keine wesentliche Beeinträchtigung der Privatsphäre oder informationellen Selbstbestimmung darstellen, kann auf die Eröffnung einer Untersuchung verzichtet werden. Der EDÖB hat hierbei einen gewissen Ermessensspielraum.
Die Eröffnung einer Untersuchung durch den EDÖB stellt eine verwaltungsinterne Massnahme dar und ist nicht anfechtbar. Das betroffene Bundesorgan oder die private Person erhält ein entsprechendes Eröffnungsschreiben und in der Regel einen Fragebogen, um notwendige Informationen und Unterlagen anzufordern. Im Gegensatz zur Vorabklärung ist das Untersuchungsverfahren formeller und orientiert sich am Verwaltungsverfahrensgesetz des Bundes (VwVG). Der Verantwortliche ist verpflichtet, an der Aufklärung des Sachverhalts mitzuwirken und hat eine Auskunfts- sowie Editionspflicht. Es besteht jedoch auch ein Auskunftsverweigerungsrecht unter bestimmten Bedingungen. Falls der Verantwortliche seine Mitwirkungspflichten nicht erfüllt, kann der EDÖB gemäss Art. 50 DSG prozessuale Massnahmen wie den Zugang zu bestimmten Räumlichkeiten anordnen.
Endet die Untersuchung ohne Nachweis eines Datenschutzverstosses, stellt der EDÖB das Verfahren ein oder erklärt es für gegenstandslos. Bei nachgewiesenen Verstössen kann der EDÖB Verwaltungsmassnahmen nach Art. 51 DSG ergreifen.
Der EDÖB kann anordnen, dass die Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder eingestellt wird. Zudem kann er verlangen, dass die betroffenen Personendaten gelöscht oder vernichtet werden. Bei Datenübermittlungen ins Ausland kann er deren Bekanntgabe aufschieben oder untersagen, wenn diese gegen die gesetzlichen Anforderungen verstösst.
Der EDÖB kann z.B. anordnen, dass eine Datenschutz-Folgenabschätzung durchgeführt wird oder dass einer betroffenen Person die ihr zustehenden Auskünfte erteilt werden, wenn sich der Verantwortliche weigert, diese zu geben.
Sollte während der Untersuchung der rechtmässige Zustand wiederhergestellt werden, kann der EDÖB auch lediglich eine Verwarnung aussprechen.
EDÖB Untersuchung am EDÖB Untersuchung am Beispiel Xplain
Aufgrund der von der Hackergruppe PLAY entwendeten und im Darknet publizierten Daten, die auf den Servern von Xplain gespeichert waren, hat der EDÖB je eine Untersuchung gegen Xplain sowie gegen die Bundesämter für Polizei (fedpol) und Zoll und Grenzsicherheit (BAZG) eröffnet. Ziel war es insbesondere, die Umstände zu untersuchen, unter denen die Daten von den Bundesämtern an Xplain übermittelt und auf den Servern von Xplain gespeichert wurden.
Der EDÖB stellte fest, dass weder fedpol noch das BAZG mit Xplain klare Vereinbarungen über die Speicherung von Personendaten im Rahmen von Supportleistungen getroffen hatten. Es fehlten klare Anforderungen an die Datensicherheit, was zu einer unverhältnismässig grossen Menge an unstrukturierten Daten auf den Servern von Xplain führte.
Xplain hatte zwar keinen direkten Zugriff auf die Datenbanken von fedpol oder BAZG, hätte aber wissen müssen, dass ihre Supportfunktionen auch Personendaten enthalten können und diese im Rahmen der Supportprozesse auf ihren Servern bearbeitet werden. Xplain hatte als Auftragsbearbeiter keine angemessenen und ausreichenden technischen und organisatorischen Massnahmen getroffen, was zu Verletzungen der datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit führte. Trotz vereinzelter Löschungsverpflichtungen wurden die Daten widerrechtlich aufbewahrt. In seinem Untersuchungsbericht formuliert der EDÖB Empfehlungen an das BAZG, an fedpol und an Xplain mit dem Ziel, weitere Datenschutzverletzungen zu reduzieren.
Die wesentlichen Verfahrensschritte sind nachfolgend aufgeführt:
07.06.2023 - Xplain meldet eine Datenschutzverletzung über das Meldeportal an den EDÖB.
13.07.2023 - Der EDÖB beginnt mit der Sachverhaltsabklärung und nimmt Kontakt mit Xplain auf.
24.07.2023 - Xplain sendet dem EDÖB ein Informationsschreiben.
04.08.2023 - Der EDÖB stellt Xplain eine Editionsaufforderung zu.
25.08.2023 - Die Rechtsanwaltskanzlei Xplains reicht eine Stellungnahme zur Editionsaufforderung ein.
07.11.2023 - Besprechung zwischen Anwaltskanzlei und Xplain mit Protokollierung der Ergebnisse.
08.01.2024 - Beantragung weiterer Auskünfte durch Xplain.
22.01.2024 - Xplain erhält neue Akten und Auskünfte.
15.02.2024 - Anfrage bezüglich der Cyberversicherungspolice.
29.02.2024 - Übermittlung der Cyberversicherungspolice.
08.03.2024 - Der EDÖB trifft eine Sachverhaltsfeststellung und teilt diese Xplain mit.
22.03.2024 - Erhalt der Stellungnahme zur Sachverhaltsfeststellung.
04.04.2024 - Xplain erhält die Sachverhaltsfeststellung des EDÖB zur Beantragung von Schwärzungen.
Bei der Sachverhaltsabklärung prüfte der EDÖB, ob Xplain die Anforderungen des Datenschutzgesetzes (DSG) erfüllte. Im Rahmen dieser Sachverhaltsabklärung lag der Fokus auf den Datenbearbeitungen von Xplain im Zusammenhang mit der Bundesverwaltung während des Ransomware-Vorfalls. Besonders im Augenmerk standen dabei die Datenbearbeitungen des fedpol und des BAZG. Bei Feststellung von Mängeln gab der EDÖB entsprechende Empfehlungen zur Verbesserung ab.
Xplain hat als Verantwortlicher und Auftragsbearbeiter das Datenschutzgesetz verletzt, insbesondere in Bezug auf die Grundsätze der Datensicherheit, Rechtsmässigkeit, Verhältnismässigkeit und Zweckbindung. Die Zusammenarbeit von Xplain mit BAZG bzw. fedpol dient als Muster für das Verhältnis zu den übrigen Bundesämtern, weshalb die Ergebnisse der datenschutzrechtlichen Beurteilung auch für die übrige Bundesverwaltung von Bedeutung sind.
Der EDÖB erlässt gegenüber Xplain folgende Empfehlungen:
In Bezug auf die Verletzung des Grundsatzes der Datensicherheit, hat Xplain technische und organisatorische Massnahmen der Datensicherheit zu treffen. Diese sollen angemessen sein in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der Inneren Sicherheit.
Weiter ist Xplain verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzurichten, ein Risikomanagement zu implementieren und regelmässige Schulungen für Mitarbeitende sowie regelmässige Audits durchzuführen. Zusätzlich soll ein Löschkonzept entsprechend den gesetzlichen und vertraglichen Anforderungen umgesetzt werden.
Was das Fedpol und das BAZG angeht, sollen diese untersuchen, unter welchen Bedingungen es notwendig ist, dass Personendaten im Rahmen von Supportprozessen die IT-Systeme des Bundes verlassen und bei externen Anbietern gespeichert werden müssen. Des Weiteren sollen ihre Mitarbeitende kontinuierlich über Datenschutzrisiken informiert werden und die Verträge im Bereich Datensicherheit klarer formuliert werden.
Es lässt sich somit abschliessend festhalten, dass die EDÖB-Untersuchung am Beispiel Xplain wichtige Erkenntnisse über die Einhaltung der Datenschutzbestimmungen und den Umgang mit Personendaten durch Unternehmen geliefert hat. Die Untersuchung verdeutlicht die Notwendigkeit angemessener technischer und organisatorischer Massnahmen zum Schutz sensibler Daten.
Falls Unklarheiten oder Fragen zum Thema Datensicherheit und Datenschutzverletzungen bestehen, hilft Dir unser Datenschutzteam gerne weiter.
Christian Mitscherlich, MLaw, Rechtsanwalt, Partner