Data Breach Teil 3 von 4: Wann muss ein Data Breach gemeldet werden und wann müssen die Betroffenen informiert werden?

 

Meldung an die Datenschutzbehörde

Art 33 Abs 1 verpflichtet den Verantwortlichen im Falle einer Verletzung des Schutzes personenbezogener Daten grds. zur unverzüglichen Meldung an die Aufsichtsbehörde.

Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1)   Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

[…]

Gem § 18 DSG ist die österreichische Datenschutzbehörde die nationale Aufsichtsbehörde iSd Art 51 DSGVO an die der Verantwortliche eine Meldung der Datenschutzverletzung einzubringen hat.

Bei grenzüberschreitender[1] Verarbeitung personenbezogener Daten ist gem Art 33 Abs 1 iVm. Art 55 und Art 56 Abs 1 und 6 die federführende Aufsichtsbehörde[2] zu informieren.

Ausnahme der Meldung

Besteht durch die Datenschutzverletzung kein Risiko für die Rechte und Freiheiten von natürlichen Personen, so ist eine Meldung gem Art 33 Abs 1 nicht erforderlich. Eine Ausnahme von der Verpflichtung zur Meldung besteht nur dann, wenn der Verantwortliche iSd Rechenschaftsplicht (Art 5 Abs 2) nachweisen kann, dass die Verletzung voraussichtlich zu keinem Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen führt.

Die Ausnahme greift nur dann, wenn keine oder nur vernachlässigbar geringe Risiken für betroffene Personen bestehen.[3]

Ob die Datenschutzverletzung ein Risiko für die Betroffenen darstellt, ist immer im Einzelfall zu prüfen. Der Verantwortliche hat in jedem Fall eine Prognoseentscheidung zu treffen. Details siehe in Furtlehner, Data Breach | Erkennen – Melden – Dokumentieren ab Seite 54.

Kommt der Verantwortliche zum Ergebnis, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist dies entsprechend zu dokumentieren, um auch der Aufsichtsbehörde im Bedarfsfall nachweisen zu können, warum der Vorfall nicht gemeldet wurde.

Beispiele für grds.[4] nicht meldepflichtige Datenschutzverletzungen:

  • unerlaubte Offenlegung der Daten, wenn diese bereits öffentlich verfügbar sind,
  • E-Mail an einen falschen Empfänger, wenn dieser zusichert, dass er die Mail löscht und die Daten nicht weiter verarbeitet und der Verantwortliche darauf vertrauen kann (Bspl.: E-Mail anstatt an Lieferant A irrtümlich an Lieferant B gesandt)
  • Verlust/Diebstahl eines verschlüsselten USB-Sticks
  • Mitarbeiter lässt Ausdrucke im Stockwerksdrucker liegen und Kollegen von anderen Abteilungen können personenbezogene Daten einsehen (vgl Verpflichtung zum Datengeheimnis gem § 6 DSG)

Im Zweifel sollte die Datenschutzverletzung sicherheitshalber der Aufsichtsbehörde gemeldet werden.

Benachrichtigung der Betroffenen

Gem Art 34 ist der Verantwortliche verpflichtet, die betroffenen Personen über die Datenschutzverletzung zu benachrichtigen, sofern voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.

Der Schwellenwert für die Benachrichtigung der Betroffenen ist also höher als jener für die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde. Es muss nicht bei allen Data Breach-Vorfällen, die der Behörde gemeldet werden auch automatisch eine Benachrichtigung an die Betroffenen erfolgen. Ausschlaggebend ist das Ergebnis der vom Verantwortlichen durchzuführenden Risikobewertung.

Artikel 34
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

 […]

Die Verpflichtung besteht somit nur, wenn voraussichtlich ein hohes Risiko besteht.

Die Information hat grds. an die Betroffenen direkt zuzugehen, es sei denn, die Benachrichtigung ist mit einem unverhältnismäßigem Aufwand verbunden.[5] In diesem Fall reicht auch eine öffentliche Bekanntmachung aus.

Beispiele für eine transparente Benachrichtigung können sein:

  • E-Mail oder SMS an die Betroffenen
  • Briefe an die Betroffenen
  • bei vielen Betroffenen (vgl Abs 3 lit c) evtl. auch Veröffentlichung in Printmedien oder Benachrichtigung über Website, DIV-Layer oder Werbebanner

Es sollte jedoch vermieden werden einen durch die Datenschutz-verletzung kompromittierten Kanal zu verwenden, da dieser Kanal ggf auch von Angreifern verwendet werden könnte.[6]

Ausnahmen

Art 34 Abs 3 regelt abschließend drei Fallkonstellationen, nach denen die Berichtspflicht entfällt.

Artikel 34
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

[…]

(3)   Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

          a)     der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

          b)     der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

          c)      dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

[…]

Lesen Sie im letzten Teil 4/4 ob tatsächliche jeder Data Breach dokumentiert werden muss und welchen Inhalt diese Dokumentation aufweisen sollte.


[1] Art 4 Z 23 DSGVO.

[2] Zur Bestimmung der federführenden Aufsichtsbehörde siehe Art 56 sowie Artikel-29-Datenschutzgruppe, Leitlinien zur Bestimmung der federführenden Aufsichtsbehörde vom 31.10.2017 (WP244 rev.01), abrufbar unter http://ec.europa.eu/newsroom/ article29/item-detail.cfm?item_id=611235 (abgefragt am 9.7.2019).

[3] Vgl Martini in Paal/Pauly, DS-GVO/BDSG2 Art 33 Rz 22.

[4] Es sind immer die jeweiligen Umstände des Einzelfalls zu berücksichtigen.

[5] Art 43 Abs 3 lit c DSGVO.

[6] Vgl König/Schaupp in Knyrim, DatKomm Art 34 DSGVO Rz 14 (Stand 1.10.2018, rdb.at).