Montag, April 21, 2025
Data Breach – der Notfall im Datenschutz
Katharina Bisset, Rechtsanwältin und Co-Founder von Nerds of Law (Bild: Wolfgang Lehner)

Was ist ein Datenvorfall oder Data Breach? Welche Meldepflichten oder rechtliche Folgen daraus entstehen können, beantwortet in einem Kommentar Rechtsanwältin Katharina Bisset.

Ein Datenvorfall liegt vor, wenn es ein Risiko für die (datenschutzrechtlichen) Rechte von Betroffenen gibt.
Was bedeutet das? Daten werden von Unberechtigten erhalten, Daten werden gelöscht.

Es kann aber auch der Verlust der Verfügbarkeit ein Datenvorfall sein. Klassische Beispiele können Ransomware-Attacken, Cyberangriffe, bei denen Daten abgegriffen werden, Verlust oder Diebstahl von unverschlüsselten Datenträgern sein, aber auch, wenn ein Newsletter mit sensiblen Inhalten an Empfänger in »An:« gesendet wird statt in »BCC:«.

Wer muss einen Datenvorfall melden?

Der datenschutzrechtlich Verantwortliche ist verpflichtet, Datenvorfälle zu melden. Bedient man sich Dienstleistern (Auftragsverarbeitern) und geschieht der Datenvorfall dort, muss der Dienstleister den Verantwortlichen Informieren.

Was muss an wen gemeldet werden?

Es gibt mehrere Meldepflichten – einerseits an die Datenschutzbehörde, andererseits an die Betroffenen, und falls man diese nicht herausfinden kann, kann man die Informationen über den Datenvorfall auch publizieren.

Die Meldung an die Datenschutzbehörde muss bei einem Datenvorfall immer gemacht werden, und dies binnen 72 Stunden ab Kenntnis des Datenvorfalls. Dadurch kann es gerade an Wochenenden zu einem großen Zeitdruck kommen.

An Betroffene muss man den Datenvorfall zusätzlich zur Datenschutzbehörde nur melden, wenn es zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen kommt. Wenn ein Datenvorfall überhaupt kein Risiko für Betroffene darstellt, und es keine Meldeverpflichtung gibt, muss dieser trotzdem dokumentiert werden.

Die Meldung muss unter anderem folgende Punkte beinhalten – ein Formular gibt es auch auf der Webseite der Datenschutzbehörde:

- Was ist passiert?
- Wer ist betroffen und wie hoch ist ungefähr die Anzahl der Betroffenen?
- Welche Datenkategorien sind betroffen?
- Wann war der Vorfall und wann wurde dieser bekannt?
- Was sind die wahrscheinlichen Folgen?
- Welche Maßnahmen wurden getroffen?

Was sind die Konsequenzen? 

Bei Nicht- oder Spätmeldung eines Datenvorfalls kann es zu Strafen kommen. Darüber hinaus kann es auch zu einem amtswegigen Audit durch die Datenschutzbehörde kommen, insbesondere in Fällen, wenn der Datenvorfall ein Zeichen für größere strukturelle Probleme ist.

Im Idealfall stellt die Datenschutzbehörde das Verfahren ein, insbesondere wenn sie der Meinung ist, es liege kein Datenvorfall vor, oder die Auswirkungen vom Verantwortlichen angemessen behandelt und minimiert wurden.

Wie beugt man dem Datenvorfall vor?

Die wichtigsten Vorbeugemaßnahmen sind natürlich technischer Natur. Sichere Systeme, verschlüsselte Inhalte und geschulte Mitarbeiter*innen sind hier zentral. Es gibt aber auch einen starken rechtlich-organisatorischen Aspekt.

Mitarbeiter*innen muss bewusst sein, dass alle Vorfälle gemeldet werden. Hierfür müssen Prozesse und allenfalls Notfallsnummern respektive E-Mail-Adressen im Unternehmen eingerichtet werden, um die Situation möglichst schnell beurteilen zu können.

Beispielsweise können technische Vorfälle an die IT gemeldet werden – es muss aber dort klar sein, ob etwas ein Datenvorfall sein kann, und wen man fragt. Gibt es Datenschutzbeauftragte, sind diese die zentrale Kommunikationsstelle.

Je nach Größe des Unternehmens und des Vorfalls, kann der Datenvorfall-Notfallsplan bis hin zu einer Strategie für die Krisenkommunikation gehen.

Die wichtigsten Punkte sind jedenfalls, dass die verantwortlichen Mitarbeiter*innen wissen, an wen sie sich wenden können – sowohl intern als auch extern. Weiters muss eine Analyse, ob ein Datenvorfall vorliegt, so schnell wie möglich geschehen.

Und nicht zu vergessen: festgelegte Abläufe und Kommunikationsprozesse für den Datenvorfall. 

Meistgelesene BLOGS

Josef Muchitsch
23. Dezember 2024
Die Entscheidung, die KIM-Verordnung auslaufen zu lassen, ist ein wichtiger Erfolg für die Bauwirtschaft und alle Beschäftigten. Ursprünglich eingeführt, um den Immobilienmarkt zu regulieren, hat die ...
AWS (Amazon Web Services)
07. Jänner 2025
Jedes Jahr fordert Krebs weltweit etwa 10 Millionen Menschenleben, und die WHO geht davon aus, dass die weltweiten Krebserkrankungen bis 2040 um 60 Prozent steigen werden. Während die Welt immer noch ...
Nicole Mayer
16. Jänner 2025
Gründe für das neue Excellence Framework EuropeDas aktuelle gesellschaftspolitische und wirtschaftliche Umfeld in Europa stellt Organisationen vor immer größere Herausforderungen. Exzellente Organisat...
AWS (Amazon Web Services)
23. Jänner 2025
Von Maureen Lonergan, VP, Amazon Web Services (AWS) Training and Certification Unternehmen haben bereits viel über generative KI gesprochen und versucht, die Auswirkungen auf das eigene Unternehmen zu...
Firmen | News
27. Jänner 2025
Internationale Geschäftsreisen sind ein essenzieller Bestandteil vieler Unternehmen und erfordern eine präzise Planung, um Zeit- und Ressourcenkosten zu minimieren. Gerade im europäischen Markt, wo di...
Nicole Mayer
29. Jänner 2025
Das Bundesministerium für Arbeit und Wirtschaft (BMAW) und Quality Austria suchen wieder die besten Organisationen in Österreich. Bis 15. März haben Organisationen noch die Möglichkeit, sich online au...
Nicole Mayer
29. Jänner 2025
Wie wird sich der Trainingsbereich weiterentwickeln und welche Trends sind nun wirklich gekommen, um zu bleiben? Was erwartet uns 2025 im Bereich der Aus- und Weiterbildungsangebote, um den anderen im...
Alfons A. Flatscher
30. Jänner 2025
Der mündige Wähler hat Konsequenzen gezogen – und er wird es wieder tun.Die Welt befindet sich im Umbruch. Eine konservative Welle rollt: Donald Trump in den USA, Giorgia Meloni in Italien, Javier Mil...

Log in or Sign up