Informationsverpflichtung bei Datenmissbrauch Data Breach Notification Duty

Eine der wichtigsten Neuerungen der DSG-Novelle 2010 betrifft die in § 24 Abs. 2a festgelegte Informationsverpflichtung über die unrechtmäßige Verwendung von Daten.

Wenn bekannt wird, dass (personenbezogene) Daten „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“, müssen diese Betroffenen unverzüglich in geeigneter Form informiert werden. Das gilt allerdings nicht, wenn nur ein „geringfügiger Schaden“ zu erwarten ist oder „die Information aller Betroffenen [...] einen unverhältnismäßigen Aufwand“ erfordert.

Der Datenmissbrauch kann aufgrund der folgenden Ereignisse eintreten:

  • Unbefugter Zugriff auf Daten, zum Beispiel durch eine Außentäterin bzw. einen Außentäter (Hacking-Angriff) oder eine nicht berechtigte Mitarbeiterin bzw. einen nicht berechtigten Mitarbeiter
  • Diebstahl von IT-Komponenten und Datenträgern (PCs, Notebooks, USB-Sticks, Papierdokumente, Ausdrucke etc.)
  • Verlust von IT-Komponenten und Datenträgern (Notebooks, USB-Sticks, Smartphones etc.)

Zu beachten ist, dass der Schaden nicht bereits eingetreten sein muss. Es genügt die Möglichkeit, dass zukünftig daraus ein Schaden (in finanzieller Hinsicht, in Bezug auf das Ansehen oder hinsichtlich einer körperlichen Gefährdung der Betroffenen) entstehen könnte. Dieser muss allerdings auch schwerwiegend sein, ein voraussichtlich geringfügiger Schaden führt nicht zum Entstehen einer Informationspflicht.

Die Information der Betroffenen kann grundsätzlich in jeder möglichen Form erfolgen:

  • Abgesehen von direkten Kommunikationsformen – zum Beispiel durch Brief- oder E-Mail-Versand – ist auch die Veröffentlichung in Tageszeitungen denkbar.
  • Zu bedenken sind dabei aber die Nachprüfbarkeit der Benachrichtigung (die bei einem eingeschriebenen Brief gegeben ist, nicht aber bei einer E-Mail) und die möglichen negativen Auswirkungen auf den Ruf des Unternehmens, die zum Beispiel bei einer breiten Veröffentlichung in der Zeitung eintreten könnten.

Aufgrund der unklaren Formulierungen der Data Breach Notification Duty ist fallweise abzuwägen, ob und wie der Informationspflicht nachgekommen werden muss. Im Zweifelsfall sollte eine fachkundige Rechtsberatung eingeschaltet werden.

Weitere Informationen

Weitere Informationen unter www.ris.bka.gv.at

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 31.03.2017

Für den Inhalt verantwortlich:
  • Wirtschaftskammer Österreich, Bundessparte Information und Consulting