Data Breach – der Notfall im Datenschutz

28as ist ein Datenvorfall oder Data Breach? Welche Meldepflichten oder rechtliche Folgen daraus entstehen können, werden in diesem Kommentar beantwortet.

Ein Datenvorfall liegt vor, wenn es ein Risiko für die (datenschutzrechtlichen) Rechte von Betroffenen gibt.
Was bedeutet das? Daten werden von Unberechtigten erhalten, Daten werden gelöscht.

Es kann aber auch der Verlust der Verfügbarkeit ein Datenvorfall sein. Klassische Beispiele können Ransomware-Attacken, Cyberangriffe, bei denen Daten abgegriffen werden, Verlust oder Diebstahl von unverschlüsselten Datenträgern sein, aber auch, wenn ein Newsletter mit sensiblen Inhalten an Empfänger in »An:« gesendet wird statt in »BCC:«.

Wer muss einen Datenvorfall melden?

Der datenschutzrechtlich Verantwortliche ist verpflichtet, Datenvorfälle zu melden. Bedient man sich Dienstleistern (Auftragsverarbeitern) und geschieht der Datenvorfall dort, muss der Dienstleister den Verantwortlichen Informieren.

Was muss an wen gemeldet werden?

Es gibt mehrere Meldepflichten – einerseits an die Datenschutzbehörde, andererseits an die Betroffenen, und falls man diese nicht herausfinden kann, kann man die Informationen über den Datenvorfall auch publizieren.

Die Meldung an die Datenschutzbehörde muss bei einem Datenvorfall immer gemacht werden, und dies binnen 72 Stunden ab Kenntnis des Datenvorfalls. Dadurch kann es gerade an Wochenenden zu einem großen Zeitdruck kommen.

An Betroffene muss man den Datenvorfall zusätzlich zur Datenschutzbehörde nur melden, wenn es zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen kommt. Wenn ein Datenvorfall überhaupt kein Risiko für Betroffene darstellt, und es keine Meldeverpflichtung gibt, muss dieser trotzdem dokumentiert werden.

Die Meldung muss unter anderem folgende Punkte beinhalten – ein Formular gibt es auch auf der Webseite der Datenschutzbehörde:

- Was ist passiert?
- Wer ist betroffen und wie hoch ist ungefähr die Anzahl der Betroffenen?
- Welche Datenkategorien sind betroffen?
- Wann war der Vorfall und wann wurde dieser bekannt?
- Was sind die wahrscheinlichen Folgen?
- Welche Maßnahmen wurden getroffen?

Was sind die Konsequenzen?

Bei Nicht- oder Spätmeldung eines Datenvorfalls kann es zu Strafen kommen. Darüber hinaus kann es auch zu einem amtswegigen Audit durch die Datenschutzbehörde kommen, insbesondere in Fällen, wenn der Datenvorfall ein Zeichen für größere strukturelle Probleme ist.

Im Idealfall stellt die Datenschutzbehörde das Verfahren ein, insbesondere wenn sie der Meinung ist, es liege kein Datenvorfall vor, oder die Auswirkungen vom Verantwortlichen angemessen behandelt und minimiert wurden.

Wie beugt man dem Datenvorfall vor?

Die wichtigsten Vorbeugemaßnahmen sind natürlich technischer Natur. Sichere Systeme, verschlüsselte Inhalte und geschulte Mitarbeiter*innen sind hier zentral. Es gibt aber auch einen starken rechtlich-organisatorischen Aspekt.

Mitarbeiter*innen muss bewusst sein, dass alle Vorfälle gemeldet werden. Hierfür müssen Prozesse und allenfalls Notfallsnummern respektive E-Mail-Adressen im Unternehmen eingerichtet werden, um die Situation möglichst schnell beurteilen zu können.

Beispielsweise können technische Vorfälle an die IT gemeldet werden – es muss aber dort klar sein, ob etwas ein Datenvorfall sein kann, und wen man fragt. Gibt es Datenschutzbeauftragte, sind diese die zentrale Kommunikationsstelle.

Je nach Größe des Unternehmens und des Vorfalls, kann der Datenvorfall-Notfallsplan bis hin zu einer Strategie für die Krisenkommunikation gehen.

Die wichtigsten Punkte sind jedenfalls, dass die verantwortlichen Mitarbeiter*innen wissen, an wen sie sich wenden können – sowohl intern als auch extern. Weiters muss eine Analyse, ob ein Datenvorfall vorliegt, so schnell wie möglich geschehen.

Und nicht zu vergessen: festgelegte Abläufe und Kommunikationsprozesse für den Datenvorfall.