Unter „Data Breach“ versteht die DSGVO eine Verletzung der Datensicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt (siehe Art. 4 Z 12 DSGVO „Verletzung des Schutzes personenbezogener Daten“). Eine solche Verletzung kann unbeabsichtigt, zB durch den Ausfall von technischen Geräten oder auch unrechtmäßig, beispielsweise durch sogenannte „Hacker-Angriffe“, erfolgen.

Das Aufkommen einer derartigen Verletzung ist in der heutigen Zeit nicht ungewöhnlich, weshalb insbesondere in Unternehmen geregelt sein sollte, wie im Falle eines „Data Breach“ vorzugehen ist.

Kommt es zu einem „Data Breach“ sind neben technischen und organisatorischen Maßnahmen, um die Datensicherheit wiederherzustellen oder auch zur Schadensermittlung (auf welche Daten wurde unberechtigt zugegriffen, durch wen etc.), auch Meldeverpflichtungen gemäß DSGVO zu berücksichtigen.

An die Datenschutzbehörde hat eine Meldung des „Data Breach“ binnen 72 Stunden, ab Kenntnis der Verletzung der Datensicherheit, zu erfolgen (Art. 33 DSGVO). Hierfür stellt die Datenschutzbehörde auch ein Formular auf ihrer Website zur Verfügung. Demnach hat die Meldung bereits folgende Informationen zu enthalten:

• eine Beschreibung des Vorfalls
• Namen und Kontaktdaten der Ansprechperson im Unternehmen (wenn vorhanden, des Datenschutzbeauftragten)
• eine Beschreibung der wahrscheinlichen Folgen des „Data Breach“ (zB was kann ein Dritter mit den gestohlenen Daten tun, welche Leistungen kann das Unternehmen aufgrund des Datenverlustes nicht mehr erbringen)
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen um die Verletzung zu beheben bzw die Auswirkungen zu mildern

Sollten einige Informationen nicht bereits bei Meldung bekannt sein, so sind diese unverzüglich nachzureichen, sobald sie vorliegen.

Diese Meldung kann unterbleiben, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt – sprich zB nur auf pseudonymisierte Daten zugegriffen wurde und so durch den Dritten kein konkreter Personenbezug hergestellt werden kann.

In jedem Fall ist dieser Vorfall im Unternehmen zu dokumentieren!

Hat der „Data Breach“ voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so sind auch die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO). Es sind dies jene Personen, deren Daten zerstört, verloren, offengelegt oder gestohlen wurden. Eine explizite Frist schreibt die DSGVO nicht vor, allerdings spricht diese von „unverzüglich“ und hat die Benachrichtigung in klarer und einfacher Sprache zu erfolgen.

Von einer Meldung an die betroffenen Personen kann abgesehen werden, wenn:

• bereits vor dem „Data Breach“ geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die personenbezogenen Daten für unberechtigte Personen unzugänglich gemacht werden, sprich diese verschlüsselt oder pseudonymisiert sind
• nach dem „Data Breach“ Maßnahmen gesetzt wurden, durch die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen nach aller Wahrscheinlichkeit nicht mehr besteht (zB sofortige Sperre und Austausch von Karten)
• die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre.

Im letzten Fall, sprich wenn der Aufwand zu groß wäre, hat allerdings eine öffentliche Bekanntmachung, zB auf der Website zu erfolgen, damit die betroffenen Personen vergleichbar wirksam informiert werden.

Ist eine derartige Benachrichtigung nicht umgehend erfolgt, kann die Datenschutzbehörde aufgrund ihrer Meldung, eine derartige Informationsweitergabe anordnen.

Neben diesen Melde- und Informationspflichten sind, wie bereits erwähnt, auch entsprechende Maßnahmen zu setzen, um die gegenständliche Verletzung so gut wie möglich zu beseitigen bzw eine neuerliche zu verhindern.

K. Beyer

B. Spanberger