Samstag, Dezember 21, 2024
Data Breach – der Notfall im Datenschutz
Katharina Bisset, Rechtsanwältin und Co-Founder von Nerds of Law (Bild: Wolfgang Lehner)

Was ist ein Datenvorfall oder Data Breach? Welche Meldepflichten oder rechtliche Folgen daraus entstehen können, beantwortet in einem Kommentar Rechtsanwältin Katharina Bisset.

Ein Datenvorfall liegt vor, wenn es ein Risiko für die (datenschutzrechtlichen) Rechte von Betroffenen gibt.
Was bedeutet das? Daten werden von Unberechtigten erhalten, Daten werden gelöscht.

Es kann aber auch der Verlust der Verfügbarkeit ein Datenvorfall sein. Klassische Beispiele können Ransomware-Attacken, Cyberangriffe, bei denen Daten abgegriffen werden, Verlust oder Diebstahl von unverschlüsselten Datenträgern sein, aber auch, wenn ein Newsletter mit sensiblen Inhalten an Empfänger in »An:« gesendet wird statt in »BCC:«.

Wer muss einen Datenvorfall melden?

Der datenschutzrechtlich Verantwortliche ist verpflichtet, Datenvorfälle zu melden. Bedient man sich Dienstleistern (Auftragsverarbeitern) und geschieht der Datenvorfall dort, muss der Dienstleister den Verantwortlichen Informieren.

Was muss an wen gemeldet werden?

Es gibt mehrere Meldepflichten – einerseits an die Datenschutzbehörde, andererseits an die Betroffenen, und falls man diese nicht herausfinden kann, kann man die Informationen über den Datenvorfall auch publizieren.

Die Meldung an die Datenschutzbehörde muss bei einem Datenvorfall immer gemacht werden, und dies binnen 72 Stunden ab Kenntnis des Datenvorfalls. Dadurch kann es gerade an Wochenenden zu einem großen Zeitdruck kommen.

An Betroffene muss man den Datenvorfall zusätzlich zur Datenschutzbehörde nur melden, wenn es zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen kommt. Wenn ein Datenvorfall überhaupt kein Risiko für Betroffene darstellt, und es keine Meldeverpflichtung gibt, muss dieser trotzdem dokumentiert werden.

Die Meldung muss unter anderem folgende Punkte beinhalten – ein Formular gibt es auch auf der Webseite der Datenschutzbehörde:

- Was ist passiert?
- Wer ist betroffen und wie hoch ist ungefähr die Anzahl der Betroffenen?
- Welche Datenkategorien sind betroffen?
- Wann war der Vorfall und wann wurde dieser bekannt?
- Was sind die wahrscheinlichen Folgen?
- Welche Maßnahmen wurden getroffen?

Was sind die Konsequenzen? 

Bei Nicht- oder Spätmeldung eines Datenvorfalls kann es zu Strafen kommen. Darüber hinaus kann es auch zu einem amtswegigen Audit durch die Datenschutzbehörde kommen, insbesondere in Fällen, wenn der Datenvorfall ein Zeichen für größere strukturelle Probleme ist.

Im Idealfall stellt die Datenschutzbehörde das Verfahren ein, insbesondere wenn sie der Meinung ist, es liege kein Datenvorfall vor, oder die Auswirkungen vom Verantwortlichen angemessen behandelt und minimiert wurden.

Wie beugt man dem Datenvorfall vor?

Die wichtigsten Vorbeugemaßnahmen sind natürlich technischer Natur. Sichere Systeme, verschlüsselte Inhalte und geschulte Mitarbeiter*innen sind hier zentral. Es gibt aber auch einen starken rechtlich-organisatorischen Aspekt.

Mitarbeiter*innen muss bewusst sein, dass alle Vorfälle gemeldet werden. Hierfür müssen Prozesse und allenfalls Notfallsnummern respektive E-Mail-Adressen im Unternehmen eingerichtet werden, um die Situation möglichst schnell beurteilen zu können.

Beispielsweise können technische Vorfälle an die IT gemeldet werden – es muss aber dort klar sein, ob etwas ein Datenvorfall sein kann, und wen man fragt. Gibt es Datenschutzbeauftragte, sind diese die zentrale Kommunikationsstelle.

Je nach Größe des Unternehmens und des Vorfalls, kann der Datenvorfall-Notfallsplan bis hin zu einer Strategie für die Krisenkommunikation gehen.

Die wichtigsten Punkte sind jedenfalls, dass die verantwortlichen Mitarbeiter*innen wissen, an wen sie sich wenden können – sowohl intern als auch extern. Weiters muss eine Analyse, ob ein Datenvorfall vorliegt, so schnell wie möglich geschehen.

Und nicht zu vergessen: festgelegte Abläufe und Kommunikationsprozesse für den Datenvorfall. 

Meistgelesene BLOGS

Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Redaktion
27. August 2024
Die Zertifizierung- und Trainingsinstanz CIS – Certification & Information Security Services GmbH im Bereich Informationssicherheit, Datenschutz, Cloud Computing und mehr, beleuchtet erstmalig die...
Redaktion
04. September 2024
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Alfons A. Flatscher
06. November 2024
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
LANCOM Systems
14. Oktober 2024
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Firmen | News
30. September 2024
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...

Log in or Sign up