Grundsatz der Datensicherheit
Unter dem Grundsatz der Datensicherheit (Art. 8 DSG) versteht man den eigentlichen Schutz von Daten durch technische und organisatorische Massnahmen. Diese Massnahmen gewährleisten die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Authentizität der Daten sowie die Nachvollziehbarkeit der Datenbearbeitung. Dabei gilt auch hier das Prinzip der Verhältnismässigkeit und die Massnahmen müssen dem Stand der Technik entsprechen. Je sensibler die zu schützenden Daten sind, desto höher sind die Anforderungen an diesen Datenschutz. Da der Mensch regelmässig das schwächste Glied in der Kette des Datenschutzes ist, sind neben technischen vor allem auch organisatorische Massnahmen wichtig. Die Nachvollziehbarkeit der Datenverarbeitung verlangt eine entsprechende Protokollierung. Beides sind auch Schwerpunkte der nachfolgend erläuterten neuen EU-Datenschutz-Grundverordnung.
Meldung von Verletzungen der Datensicherheit
Gemäss Art. 24 DSG müssen Verletzungen der Datensicherheit neu von den Verantwortlichen (s. Kapitel 06.01 Data Protection und Art. 5 lit. j DSG) dem EDÖB (s. Kapitel 06.16 Eidg. Datenschutz- und Öffentlichkeitsbeauftragter) gemeldet werden, wenn jene voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Nach Art. 5 lit. h DSG handelt es sich um eine Verletzung der Datensicherheit, wenn diese dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Die betroffenen Personen selbst müssen über die Verletzungen der Datensicherheit informiert werden, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.