Da­ten­schutz­vor­fall mel­den

Öffentliche Organe müssen Datenschutzvorfälle der Datenschutzbeauftragten melden, wenn die Grundrechte auf informationelle Selbstbestimmung beziehungsweise auf Privatsphäre der betroffenen Personen gefährden sein könnten.

Was ist ein Da­ten­schutz­vor­fall?

Ein Datenschutzvorfall liegt vor, wenn personenbezogene Daten unwiederbringlich vernichtet werden oder verloren gehen oder unbeabsichtigt oder unrechtmässig verändert oder Unbefugten zugänglich werden.

Wel­che Vor­fäl­le müs­sen ge­mel­det wer­den?

Ein Datenschutzvorfall muss gemeldet werden, wenn er zu einer Gefährdung der Grundrechte auf informationelle Selbstbestimmung beziehungsweise auf Privatsphäre von betroffenen Personen führen kann. Bestehen Zweifel, ob Grundrechte gefährdet sind, ist ebenfalls Meldung zu erstatten.

Wer muss den Vor­fall mel­den?

Das für die Datenbearbeitung verantwortliche öffentliche Organ muss den Datenschutzvorfall der Datenschutzbeauftragten melden.

Ist ein Auftragnehmer respektive Outsourcingpartner involviert, muss er das verantwortliche öffentliche Organ sofort über die Verletzung informieren. Dieses meldet den Vorfall der Datenschutzbeauftragten.

Wem ist der Vor­fall zu mel­den?


Ein Datenschutzvorfall ist der Datenschutzbeauftragten des Kantons Zürich zu melden.

Bei der Meldung ist zu vermerken, falls Auswirkungen in mehreren Kantonen möglich sind.

Die Städte Zürich und Winterthur haben eigene Datenschutzstellen. Datenschutzvorfälle bei Behörden und Verwaltung dieser Städte sind bei den entsprechenden Datenschutzstellen zu melden.

Wel­che Frist muss ein­ge­hal­ten wer­den?

Ein Datenschutzvorfall ist gemäss Gesetz unverzüglich zu melden. Die Meldung über einen Datenschutzvorfall darf nicht verzögert werden.

Zum Zeitpunkt der Meldung müssen nicht alle Angaben vorliegen. Zusätzliche Informationen zum Vorfall können nachgereicht werden.

Müs­sen die be­trof­fe­nen Per­so­nen in­for­miert wer­den?

Die betroffenen Personen sind über den Datenschutzvorfall zu informieren, wenn die Umstände es erfordern oder die Datenschutzbeauftragte es verlangt. Dies ist beispielsweise der Fall, wenn die betroffenen Personen Schutzmassnahmen treffen müssen.

Die Information an die betroffenen Personen beinhaltet die möglichen Folgen der Verletzung, die notwendigen Schutzmassnahmen, wie die Änderung von Passwörtern oder Zugangsdaten, sowie die Kontaktdaten der Datenschutzbeauftragten.

Kann die Information eingeschränkt werden?

Die Information an die betroffenen Personen kann eingeschränkt oder aufgeschoben oder es kann auf sie verzichtet werden, wenn ein überwiegendes öffentliches oder privates Interesse entgegensteht. Das ist beispielsweise der Fall, wenn durch die Information an eine betroffene Person die Privatsphäre von Dritten beeinträchtigt werden kann. Die Datenschutzbeauftragte berät öffentliche Organe beim Entscheid über die Information an betroffene Personen.

Rechts­grund­la­gen

Die Bestimmung über die Meldepflicht ist mit dem revidierten Gesetz über die Information und den Datenschutz (IDG, LS 170.4) am 1. Juni 2020 in Kraft getreten. Datenschutzvorfälle sind zu melden, wenn die Grundrechte von betroffenen Personen gefährdet sind (§ 12a Abs. 1). § 12a Abs. 2 und 3 IDG regeln die Information an die betroffenen Personen.