th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram
Mein WKO
  1. Home
  3. Wirtschaftsrecht und Gewerberecht
  4. Datenpanne (Data Breach) im Betrieb – was ist zu tun?

Datenpanne (Data Breach) im Betrieb – was ist zu tun?

Unternehmer haben in ihrem Betrieb technische und organisatorische Maßnahmen zu ergreifen, um ein Sicherheitsniveau für Datenverarbeitungen zu gewährleisten, das dem jeweiligen Risiko angemessen ist. Dennoch kann es vorkommen, dass dieser Schutz überwunden und damit verletzt wird. Es wird dann von einer sogenannten „Datenpanne“ oder „Data Breach“ gesprochen. Beispiele für Vorliegen einer Datenpanne sind der Verlust eines (Firmen-)Mobiltelefons, der Diebstahl eines Laptops, die Übermittlung eines Briefes an einen unbefugten Empfänger aufgrund fälschlicher Kuvertierung oder ein Hackerangriff.

Melde- und Benachrichtigungspflichten

Für den Fall einer solchen Verletzung des Schutzes personenbezogener Daten sieht die Datenschutzgrundverordnung folgende Melde- und Benachrichtigungspflichten vor:

  1. Meldung an die zuständige Aufsichtsbehörde (das ist in Österreich die Datenschutzbehörde), wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
  2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Risikoeinschätzung

Zunächst muss der für die Datenverarbeitung Verantwortliche einschätzen, welche Folgen die Datenpanne für die betroffenen Personen potenziell haben könnte. So fallen zB darunter physische, materielle oder immaterielle Schäden einer Datenpanne für betroffene Personen, die etwa in einer Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, Rufschädigung, dem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile resultieren können. Besteht aufgrund der Datenpanne voraussichtlich ein Risiko, so hat unverzüglich, möglichst jedoch binnen 72 Stunden, eine Meldung an die Aufsichtsbehörde zu erfolgen. Es ist ratsam, im Zweifel die Datenpanne zu melden.

Die Meldung hat zumindest folgende Informationen zu enthalten:

  • eine Beschreibung der Datenpanne inklusive Angabe der betroffenen Personen und Datenarten,
  • Kontaktdaten für Rückfragen der Datenschutzbehörde,
  • eine Beschreibung der wahrscheinlichen Folgen der Datenpanne,
  • eine Beschreibung der Gegenmaßnahmen zur Behebung bzw. zur Abmilderung der Auswirkungen.

Hinweis: Die Datenschutzbehörde stellt auf ihrer Webseite www.dsb.gv.at unter Download > Dokumente ein Formular für die Meldung von Verletzungen des Schutzes personenbezogener Daten zur Verfügung.

Ist von einem voraussichtlich hohen Risiko auszugehen, müssen zusätzlich die betroffenen Personen unverzüglich (gegebenenfalls über öffentliche Mitteilung) benachrichtigt werden - zB wenn den Betroffenen materielle oder immaterielle Schäden aus dem Datenschutzverstoß drohen, wie etwa Bloßstellung, Identitätsdiebstahl, Betrug, finanzielle Schäden oder Reputationsschäden.


Dokumentationspflicht

Jeder Vorfall einer Datenpanne, die Auswirkungen dieser sowie die durch den Verantwortlichen ergriffenen Maßnahmen müssen überdies dokumentiert werden. Dies dient auch dem Selbstschutz, da so die Abhilfemaßnahmen nachgewiesen werden können.

Rechtsfolgen bei Verstößen

Bei Verstößen gegen diese Melde- und Benachrichtigungspflicht drohen Geldbußen von bis zu EUR 10 Millionen oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Darüber hinaus können den Betroffenen im Falle einer nicht rechtzeitig oder angemessen erfolgten Meldung oder Benachrichtigung materielle und immaterielle Schäden entstehen, welche wiederum Anspruchsgrundlage für ein mögliches Schadenersatzverfahren sein können.

Nach einer Datenpanne empfiehlt es sich, genau die Ursachen zu analysieren und Maßnahmen zur Verhinderung weiterer Datenpannen zu treffen bzw. Verbesserungen vorzunehmen.

Detaillierte Informationen finden Sie im Infoblatt „EU-Datenschutz-Grundverordnung (DSGVO): Meldung von Datenschutzverletzungen (Data Breach Notification)“.

Stand: