Sonntag, März 23, 2025
Data Breach – der Notfall im Datenschutz
Katharina Bisset, Rechtsanwältin und Co-Founder von Nerds of Law (Bild: Wolfgang Lehner)

Was ist ein Datenvorfall oder Data Breach? Welche Meldepflichten oder rechtliche Folgen daraus entstehen können, beantwortet in einem Kommentar Rechtsanwältin Katharina Bisset.

Ein Datenvorfall liegt vor, wenn es ein Risiko für die (datenschutzrechtlichen) Rechte von Betroffenen gibt.
Was bedeutet das? Daten werden von Unberechtigten erhalten, Daten werden gelöscht.

Es kann aber auch der Verlust der Verfügbarkeit ein Datenvorfall sein. Klassische Beispiele können Ransomware-Attacken, Cyberangriffe, bei denen Daten abgegriffen werden, Verlust oder Diebstahl von unverschlüsselten Datenträgern sein, aber auch, wenn ein Newsletter mit sensiblen Inhalten an Empfänger in »An:« gesendet wird statt in »BCC:«.

Wer muss einen Datenvorfall melden?

Der datenschutzrechtlich Verantwortliche ist verpflichtet, Datenvorfälle zu melden. Bedient man sich Dienstleistern (Auftragsverarbeitern) und geschieht der Datenvorfall dort, muss der Dienstleister den Verantwortlichen Informieren.

Was muss an wen gemeldet werden?

Es gibt mehrere Meldepflichten – einerseits an die Datenschutzbehörde, andererseits an die Betroffenen, und falls man diese nicht herausfinden kann, kann man die Informationen über den Datenvorfall auch publizieren.

Die Meldung an die Datenschutzbehörde muss bei einem Datenvorfall immer gemacht werden, und dies binnen 72 Stunden ab Kenntnis des Datenvorfalls. Dadurch kann es gerade an Wochenenden zu einem großen Zeitdruck kommen.

An Betroffene muss man den Datenvorfall zusätzlich zur Datenschutzbehörde nur melden, wenn es zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen kommt. Wenn ein Datenvorfall überhaupt kein Risiko für Betroffene darstellt, und es keine Meldeverpflichtung gibt, muss dieser trotzdem dokumentiert werden.

Die Meldung muss unter anderem folgende Punkte beinhalten – ein Formular gibt es auch auf der Webseite der Datenschutzbehörde:

- Was ist passiert?
- Wer ist betroffen und wie hoch ist ungefähr die Anzahl der Betroffenen?
- Welche Datenkategorien sind betroffen?
- Wann war der Vorfall und wann wurde dieser bekannt?
- Was sind die wahrscheinlichen Folgen?
- Welche Maßnahmen wurden getroffen?

Was sind die Konsequenzen? 

Bei Nicht- oder Spätmeldung eines Datenvorfalls kann es zu Strafen kommen. Darüber hinaus kann es auch zu einem amtswegigen Audit durch die Datenschutzbehörde kommen, insbesondere in Fällen, wenn der Datenvorfall ein Zeichen für größere strukturelle Probleme ist.

Im Idealfall stellt die Datenschutzbehörde das Verfahren ein, insbesondere wenn sie der Meinung ist, es liege kein Datenvorfall vor, oder die Auswirkungen vom Verantwortlichen angemessen behandelt und minimiert wurden.

Wie beugt man dem Datenvorfall vor?

Die wichtigsten Vorbeugemaßnahmen sind natürlich technischer Natur. Sichere Systeme, verschlüsselte Inhalte und geschulte Mitarbeiter*innen sind hier zentral. Es gibt aber auch einen starken rechtlich-organisatorischen Aspekt.

Mitarbeiter*innen muss bewusst sein, dass alle Vorfälle gemeldet werden. Hierfür müssen Prozesse und allenfalls Notfallsnummern respektive E-Mail-Adressen im Unternehmen eingerichtet werden, um die Situation möglichst schnell beurteilen zu können.

Beispielsweise können technische Vorfälle an die IT gemeldet werden – es muss aber dort klar sein, ob etwas ein Datenvorfall sein kann, und wen man fragt. Gibt es Datenschutzbeauftragte, sind diese die zentrale Kommunikationsstelle.

Je nach Größe des Unternehmens und des Vorfalls, kann der Datenvorfall-Notfallsplan bis hin zu einer Strategie für die Krisenkommunikation gehen.

Die wichtigsten Punkte sind jedenfalls, dass die verantwortlichen Mitarbeiter*innen wissen, an wen sie sich wenden können – sowohl intern als auch extern. Weiters muss eine Analyse, ob ein Datenvorfall vorliegt, so schnell wie möglich geschehen.

Und nicht zu vergessen: festgelegte Abläufe und Kommunikationsprozesse für den Datenvorfall. 

Meistgelesene BLOGS

Nicole Mayer
25. November 2024
Globalisierung, Digitalisierung, New Work, Kriege: Die Kette der Herausforderungen, die Unternehmen zu stemmen haben, reißt nicht ab. Um in diesen unsicheren Zeiten nicht nur zu überleben, sondern sog...
Andreas Pfeiler
19. Dezember 2024
Unlängst mit der Frage »Was sind die Gründe für die sinkende Produktivität in der Baustoffindustrie?« konfrontiert, begab sich der Autor dieser Zeilen auf die Suche nach Antworten. Und wurde rasch fün...
AWS (Amazon Web Services)
05. Dezember 2024
Vor zehn Jahren eröffnete mit der AWS Europa (Frankfurt) Region die erste AWS-Region in Deutschland, die es Unternehmen aus dem DACH-Raum ermöglicht, ihre Rechenleistung und Speicher flexibel und kost...
Firmen | News
05. Dezember 2024
In der heutigen digitalen Welt eröffnen sich vielfältige Möglichkeiten, finanzielle Angelegenheiten effizient zu gestalten und dabei gleichzeitig Kosten zu sparen. Moderne Online-Tools unterstützen ni...
AWS (Amazon Web Services)
11. Dezember 2024
Amazon hat sein europäisches Reverse-Logistics-Programm durch re:Cycle Reverse Logistics erweitert. re:Cycle Reverse Logistics betreibt Einrichtungen in Dublin, die Geräte aus AWS-Rechenzentren testen...
Alfons A. Flatscher
29. November 2024
Mit dem Wahlsieg von Donald Trump kündigt sich ein Paradigmenwechsel in der amerikanischen Energiepolitik an. Während die letzten Jahre geprägt waren von ambitionierten Zielen zur Reduktion der CO₂-Em...
Firmen | News
16. Dezember 2024
Kryptowährungen und Investieren erscheinen oft exklusiv und komplex, doch innovative Technologien machen sie zunehmend einfacher und für alle zugänglich. Mit einer niedrigen Einstiegsschwelle von 50 €...
AWS (Amazon Web Services)
18. Dezember 2024
Amazon Web Services (AWS) stellt 100 Millionen Dollar für benachteiligte Schüler:innen zur Verfügung, um ihnen Kenntnisse in den Bereichen KI, Cloud Computing und Alphabetisierung zu vermitteln. In de...

Log in or Sign up