Informationsverpflichtung bei Datenmissbrauch Data Breach Notification Duty

Die DSGVO sieht die Verpflichtung der oder des Verantwortlichen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde vor (Artikel 33).

Dies ist möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde durchzuführen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Wenn dem Auftragsverarbeiter ein data breach bekannt wird, muss er das dem Verantwortlichen unverzüglich melden, damit dieser seinen Meldepflichten nachkommen kann. Auch die betroffenen Personen müssen informiert werden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen entstanden ist, außer:

  • der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, damit die Daten unzugänglich werden (z.B. Verschlüsselung),
  • der Verantwortliche hat generell sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, die Benachrichtigung aller einzelnen Personen wäre mit einem unverhältnismäßigen Aufwand verbunden. Achtung: In diesem Fall muss aber stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen um die Betroffenen zu informieren.

Datenmissbrauch kann zum Beispiel aufgrund folgender Ereignisse eintreten:

  • Unbefugter Zugriff auf Daten, zum Beispiel durch Außentäter (Hacking-Angriff) oder nicht berechtigte Mitarbeiterinnen und Mitarbeiter
  • Diebstahl von IT-Komponenten und Datenträgern (PCs, Notebooks, USB-Sticks, Papierdokumente, Ausdrucke etc.)
  • Verlust von IT-Komponenten und Datenträgern (Notebooks, USB-Sticks, Smartphones etc.)

Weitere Informationen

Letzte Aktualisierung: 6. Oktober 2020

Für den Inhalt verantwortlich: Wirtschaftskammer Österreich, Bundessparte Information und Consulting