Meldung von Verletzungen der Sicherheit von Personendaten
Gemäss Artikel 30a GIDA, muss der Verantwortliche für die Datenbearbeitung dem kantonalen Datenschutz- und Öffentlichkeitsbeauftragten unverzüglich die Fälle von Verletzungen der Sicherheit von Personendaten melden, die einen schweren Eingriff in die Grundrechte und Grundfreiheiten von Betroffenen darstellen können.
Zu diesem Zweck hat unsere Behörde beschlossen, eine Plattform für die Kommunikation dieser Daten zur Verfügung zu stellen, um diese zu sichern. Die Kommunikation mittels unverschlüsselter E-Mails würde gegen das GIDA verstossen, so dass die Nutzung der Plattform erforderlich ist.
Die Meldung muss zumindest die Art der Verletzung der Sicherheit von Personendaten, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen enthalten.
Darüber hinaus sieht das Gesetz vor, dass der Auftragsbearbeiter dem Verantwortlichen für die Datenbearbeitung unverzüglich jede Verletzung der Sicherheit von Personendaten melden muss.
Ausserdem müssen die betroffene(n) Person(en) unverzüglich informiert werden, wenn dies zu ihrem Schutz erforderlich ist.
Schliesslich hat der Verantwortliche für die Datenbearbeitung die Möglichkeit, die Information an die betroffene Person einzuschränken, aufzuschieben oder darauf zu verzichten, wenn:
- ein überwiegendes öffentliches Interesse, insbesondere die innere oder äussere Sicherheit des Staates, dies erfordert oder wenn die Meldung eine Ermittlung, eine Untersuchung oder ein Verwaltungs- oder Gerichtsverfahren gefährden kann;
- die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert;
- die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt werden kann;
- dies aufgrund überwiegender Interessen Dritter erforderlich ist.