Data Breach: Was tun bei einer Datenpanne?

Viele Unternehmen treffen erst Vorkehrungen, wenn der Data Breach bereits passiert ist. Dabei sollte bereits bevor eine Datenschutzverletzung im Raum steht ein entsprechendes Konzept in der Schublade sein, denn schnelles Handeln ist gefragt. Im Regelfall hat man ab Kenntnis vom Data Breach nur noch 72 Stunden Zeit, um zu entscheiden ob die Datenschutzverletzung der Datenschutzbehörde gemeldet werden muss oder nicht und um die allfällige Meldung vorzubereiten.

Was ist ein Data Breach?

Die DSGVO spricht von der “Verletzungen des Schutzes personenbezogener Daten”. Eine Verletzung des Schutzes personenbezogener Daten ist immer dann gegeben, wenn es zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten gekommen ist (Art 4 Z 12 DSGVO). Hierbei kommt es nicht darauf an, ob die Datenschutzverletzung beabsichtigt war oder ob er unrechtmäßig herbeigeführt wurde.

Die versehentliche Löschung von Dateien durch einen Mitarbeiter ist also ebenso als Datenschutzverletzung anzusehen, wie ein Hackerangriff, bei dem sich ein Hacker Zugriff auf personenbezogene Daten des Unternehmens verschafft.

Enges Zeitfenster von 72 Stunden

Ist es zu einer Verletzungen des Schutzes personenbezogener Daten gekommen, ist diese Verletzung binnen 72 Stunden vom Verantwortlichen an die Datenschutzbehörde zu melden. Eine Meldung ist nur dann entbehrlich, wenn nur ein geringes Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt. Dieses Risiko muss richtig eingeschätzt werden. Die ENISA (European Union Agency for Cybersecurity) hat hierzu Leitlinien entwickelt. Der Europäische Datenschutzausschuss (EDSA) bzw sein Vorgängergremium sieht dieses schematische Scoring allerdings kritisch. Er hat auch Leitlinien entwickelt, wie ein Data Breach einzuschätzen ist. Sieht man sich selbst außerstande das Risiko einzuschätzen, wird man im Zweifel also melden müssen.

Hat man das Risiko eingeschätzt und kommt zum Ergebnis, dass mehr als nur ein geringes Risiko vorliegt, wäre die Meldung entsprechend vorzubereiten. Hier wäre zu empfehlen, sich an das Formular der Datenschutzbehörde zu halten. Sollte man nach 72 Stunden noch nicht über alle Informationen zur Datenschutzverletzung haben, müssen diese Informationen umgehend nachgereicht werden. Hierauf ist im Rahmen der Meldung auch hinzuweisen.

Im Rahmen der Meldung sind neben einer detaillierten Beschreibung des Vorgangs auch die Abhilfemaßnahmen entscheidend. Im Idealfall ist das Thema mit Abgabe der Meldung und mit Ergreifen der Abhilfemaßnahmen abgeschlossen.

Dokumentation bei Nicht-Meldung

Sofern man sich aus Risikogesichtspunkten gegen eine Meldung entscheidet, wäre die Datenpanne trotzdem detailliert zu dokumentieren, damit Nachfragen der Behörde beantwortet werden können. Es kann nämlich durchaus sein, dass der Behörde im Zuge einer Beschwerde in einer anderen Sache, zufällig die Umstände des Data Breaches bekannt werden. Dann muss die Nicht-Meldung erklärt werden.

In unserem Blog haben wir noch ein paar Hinweise zur Fristberechnung für euch aufbereitet.

Bewertung dieses Artikels

Teilen   

logo_klein
Ermano Geuer

Dr.

Dr.

Kanzlei-Empfehlung

Videos

Podcast

Einfach in 3 Schritten einen Anwalt finden, der auf Ihr Rechtsproblem spezialisiert ist

Ein zugelassener Anwalt / eine zugelassen Anwältin ist dafür da, über Rechtsfragen zu beraten und Klienten vor Gericht zu vertreten. Es ist seine Aufgabe, Dienstleistungen im Bereich der Rechtsberatung zu erbringen und Klienten vor Gericht zu vertreten. Mit diesem Wissen kennt er alle relevanten Herausforderungen dieses Systems und ist mit allen einschlägigen Rechtsnormen vertraut.

Fachexperten auf Ihrem Gebiet

Anwalts-Empfehlungen gefiltert durch das RechtEasy-Team -Best Choice der Anwälte in Österreich

Chatbox aufmachen

Klicken Sie auf den blauen Button im rechten unteren Eck und wählen aus, dass Sie eine Anwaltsempfehlung benötigen.

Problem schildern

Erklären Sie, welches Anliegen Sie haben. Gehen Sie hier auch gerne ins Detail.

Zurücklehnen

Unser Team beurteilt Ihre Rechtsfrage und vermittelt den richtigen Anwalt/die richtige Anwältin für Sie in Ihrer Region.

Die Vermittlung ist kostenlos. Der jeweilige Anwalt wird Ihnen vorab die genauen Kosten mitteilen, sodass Sie immer die volle Kontrolle haben.

Rechts unten den Chat öffnen, Rechtsfrage stellen und gleich vermitteln lassen.

Jetzt zum Newsletter anmelden!

Auf RechtEasy befinden sich über 7500 Begriffserklärungen und juristische Ratgeber, die von Rechtsanwälten und Juristen verfasst wurden

Filter