Dr. Theresia Leitinger, M.A.I.S.
April 2024
Datenschutzverletzung – Was ist zu tun?
Ob ein an unrechtmäßige Empfänger versendetes E-Mail, ein verlorener ungesicherter USB-Stick oder ein Hackerangriff – werden Verantwortliche mit sog. Data Breaches konfrontiert, ist es wichtig zunächst einmal die Risiken kritisch zu hinterfragen. Mit den folgenden Fragen sollen Verantwortliche einen kurzen Leitfaden an die Hand bekommen, auf welche Kriterien es bei Data Breaches ankommt, wann diese meldepflichtig sind und wie erste Abhilfe geschaffen werden kann.
Sind personenbezogene Daten involviert?
Die erste Frage, die sich Verantwortliche zu stellen haben ist, ob Daten von natürlichen Personen betroffen sind, das heißt ob diese in unbefugte Hände geraten können. Dies wird meist der Fall sein, somit handelt es sich um eine Datenschutzverletzung (Data Breach), die nach der DSGVO immer dann vorliegt, wenn „ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“
Führt der Data Breach voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen?
Ein Risiko liegt immer dann vor, wenn ein physischer, materieller oder immaterieller Schaden für natürliche Personen drohen kann. Weitere Kriterien sind einer Einzelfallbeurteilung zu unterziehen. Ist ein solches Risiko nicht ausgeschlossen, ist binnen 72 Stunden eine Meldung an die Datenschutzbehörde (DSB) erforderlich. Wird eine solche Meldung nicht erstattet, drohen empfindliche Geldbußen.
Kommt man zum Schluss, dass ein solches Risiko nicht vorliegt, ist der Data Breach dennoch intern zu dokumentieren.
Führt der Data Breach voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen?
Liegt darüber hinaus ein „hohes“ Risiko vor – etwa, weil sensible Daten involviert sind oder eine große Menge an Daten offengelegt wurden – ist auch die betroffene Person, deren Daten vom Data Breach betroffen sind, zu informieren. Eine solche Meldung kann in gewissen Fällen zwar unterbleiben, jedenfalls ist das Risiko einzelfallbezogen zu beurteilen.
Welche technischen und organisatorischen Maßnahmen kann ich setzen?
Verantwortliche sind zu allererst dazu angehalten, drohenden Schaden von den Betroffenen abzuwenden. Das bedeutet, sie haben umgehend nach Kenntnis über einen Data Breach risikominimierende Maßnahmen zu treffen. Solche Maßnahmen wären beispielsweise Widerruf eines fehlerhaft gesendeten Emails, Schulung der MitarbeiterInnen, etc. Einzelfallbezogen kann auch eine Änderung der Zugangsberechtigung, oder sogar eine komplette Überarbeitung des Datensicherheitskonzeptes erforderlich sein.
Im Fall von strafrechtlich relevanten Vorfällen ist zudem immer eine Anzeige bei der Polizei bzw das Einbringen einer Sachverhaltsdarstellung an die Staatsanwaltschaft anzuraten.
