Mittwoch, Juli 15, 2026

Mehrwert für Manager

Ticker

Data Breach – der Notfall im Datenschutz

28as ist ein Datenvorfall oder Data Breach? Welche Meldepflichten oder rechtliche Folgen daraus entstehen können, werden in diesem Kommentar beantwortet.

Ein Datenvorfall liegt vor, wenn es ein Risiko für die (datenschutzrechtlichen) Rechte von Betroffenen gibt.
Was bedeutet das? Daten werden von Unberechtigten erhalten, Daten werden gelöscht.

Es kann aber auch der Verlust der Verfügbarkeit ein Datenvorfall sein. Klassische Beispiele können Ransomware-Attacken, Cyberangriffe, bei denen Daten abgegriffen werden, Verlust oder Diebstahl von unverschlüsselten Datenträgern sein, aber auch, wenn ein Newsletter mit sensiblen Inhalten an Empfänger in »An:« gesendet wird statt in »BCC:«.

Wer muss einen Datenvorfall melden?

Der datenschutzrechtlich Verantwortliche ist verpflichtet, Datenvorfälle zu melden. Bedient man sich Dienstleistern (Auftragsverarbeitern) und geschieht der Datenvorfall dort, muss der Dienstleister den Verantwortlichen Informieren.

Was muss an wen gemeldet werden?

Es gibt mehrere Meldepflichten – einerseits an die Datenschutzbehörde, andererseits an die Betroffenen, und falls man diese nicht herausfinden kann, kann man die Informationen über den Datenvorfall auch publizieren.

Die Meldung an die Datenschutzbehörde muss bei einem Datenvorfall immer gemacht werden, und dies binnen 72 Stunden ab Kenntnis des Datenvorfalls. Dadurch kann es gerade an Wochenenden zu einem großen Zeitdruck kommen.

An Betroffene muss man den Datenvorfall zusätzlich zur Datenschutzbehörde nur melden, wenn es zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen kommt. Wenn ein Datenvorfall überhaupt kein Risiko für Betroffene darstellt, und es keine Meldeverpflichtung gibt, muss dieser trotzdem dokumentiert werden.

Die Meldung muss unter anderem folgende Punkte beinhalten – ein Formular gibt es auch auf der Webseite der Datenschutzbehörde:

- Was ist passiert?
- Wer ist betroffen und wie hoch ist ungefähr die Anzahl der Betroffenen?
- Welche Datenkategorien sind betroffen?
- Wann war der Vorfall und wann wurde dieser bekannt?
- Was sind die wahrscheinlichen Folgen?
- Welche Maßnahmen wurden getroffen?

Was sind die Konsequenzen?

Bei Nicht- oder Spätmeldung eines Datenvorfalls kann es zu Strafen kommen. Darüber hinaus kann es auch zu einem amtswegigen Audit durch die Datenschutzbehörde kommen, insbesondere in Fällen, wenn der Datenvorfall ein Zeichen für größere strukturelle Probleme ist.

Im Idealfall stellt die Datenschutzbehörde das Verfahren ein, insbesondere wenn sie der Meinung ist, es liege kein Datenvorfall vor, oder die Auswirkungen vom Verantwortlichen angemessen behandelt und minimiert wurden.

Wie beugt man dem Datenvorfall vor?

Die wichtigsten Vorbeugemaßnahmen sind natürlich technischer Natur. Sichere Systeme, verschlüsselte Inhalte und geschulte Mitarbeiter*innen sind hier zentral. Es gibt aber auch einen starken rechtlich-organisatorischen Aspekt.

Mitarbeiter*innen muss bewusst sein, dass alle Vorfälle gemeldet werden. Hierfür müssen Prozesse und allenfalls Notfallsnummern respektive E-Mail-Adressen im Unternehmen eingerichtet werden, um die Situation möglichst schnell beurteilen zu können.

Beispielsweise können technische Vorfälle an die IT gemeldet werden – es muss aber dort klar sein, ob etwas ein Datenvorfall sein kann, und wen man fragt. Gibt es Datenschutzbeauftragte, sind diese die zentrale Kommunikationsstelle.

Je nach Größe des Unternehmens und des Vorfalls, kann der Datenvorfall-Notfallsplan bis hin zu einer Strategie für die Krisenkommunikation gehen.

Die wichtigsten Punkte sind jedenfalls, dass die verantwortlichen Mitarbeiter*innen wissen, an wen sie sich wenden können – sowohl intern als auch extern. Weiters muss eine Analyse, ob ein Datenvorfall vorliegt, so schnell wie möglich geschehen.

Und nicht zu vergessen: festgelegte Abläufe und Kommunikationsprozesse für den Datenvorfall.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Unterschätzte Gefahren überall
Heute ein Plan für morgen.

By accepting you will be accessing a service provided by a third-party external to https://www.report.at/

Firmen | News

Nagarro
07 Juli 2026
Firmen | News
Warum sich der Erfolg von KI-Projekten erst nach der Einführung entscheidet. Manche Prinzipien gelten unabhängig von Branche oder Sport. Während bei der Fußball-WM gerade Millionen Menschen über Aufstellungen, Taktik und Favoriten diskutieren, erlebe...
Firmen | News
07 Juli 2026
Firmen | News
Klickvinyl hat sich als pragmatische Antwort auf knappe Renovierungszeiten und steigende Designansprüche etabliert. Der Belag lässt sich schwimmend und ohne flächigen Klebstoff verlegen, ist strapazierfähig und kommt der Optik natürlicher Holzböden i...
Vertiv
02 Juli 2026
Firmen | News
Das neue Werk stärkt die regionale Produktion, die Widerstandsfähigkeit der Lieferkette sowie die Implementierungskapazitäten für Stromversorgungs-, Kühlungs- und integrierte Infrastrukturlösungen Vertiv, ein weltweit führender Anbieter für kritische...
Firmen | News
02 Juli 2026
Firmen | News
Zwei Tage vollgepackt mit Keynotes, Workshops und Networking – das war die techConference 2026 von Microsoft in der Messe Wien. Neben KI und anderen IT-Trends stand dabei das Thema Security besonders im Fokus. Axians steuerte dazu einen Workshop zum ...

Neue Blog Beiträge

06 Juli 2026
Mensch und Gesellschaft
Politik
Vor etwa zehn Jahren durfte ich in meiner Funktion als Leiter der Abteilung Compliance bei Casinos Austria ein Seminar in den Räumlichkeiten der FIFA in Zürich besuchen. Der Verband gab sich damals demonstrativ geläutert. Man sprach von Reformen, von...
06 Juli 2026
Architektur, Bauen & Wohnen
Der steuerfinanzierte Waldfonds verfolgt legitime Ziele wie Klimaschutz, nachhaltige Waldbewirtschaftung und die Stärkung regionaler Wertschöpfung. Gleichzeitig zeigt die aktuelle Diskussion jedoch deutlich, dass die konkrete Ausgestaltung zunehmend ...
29 Juni 2026
Intelligente Netze
Europa
Mensch und Gesellschaft
Am 26. Juni 2026 lud epicenter.works zu einem Fireside Chat mit dem US-amerikanischen Experten für Kryptographie und Computersicherheit Bruce Schneier ins traditionsreiche Café Alt Wien. Thomas Lohninger führte durch ein gutes halbe Stunde dichtes Ge...