th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Informationsverpflichtung bei Datenmissbrauch

(Data Breach Notification Duty)

Mit der DSG-Novelle 2010 wurde eine besondere Informationsverpflichtung der Auftraggeber im Falle von Datenmissbrauch geschaffen:

Wann und für wen entsteht die Informationspflicht?

Eine Informationspflicht besteht, wenn dem Auftraggeber bekannt wird, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht. 

Die Pflicht zur Information trifft den Auftraggeber (vgl. Merkblatt Datenschutzgesetz 2000 Wichtige Begriffsbestimmungen), nicht den Dienstleister (vgl. Infoblatt Der "Dienstleister“ im Datenschutzrecht). Die Art und Weise, wie dem Auftraggeber der Missbrauch bekannt wurde, spielt keine Rolle (dies kann etwa durch eigene Wahrnehmung, Information durch Dritte oder technische Warnsysteme erfolgen). 

Unter "Daten“ werden entsprechend den Begriffsbestimmungen des Datenschutzgesetzes 2000 sämtliche Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist (vgl. Merkblatt Datenschutzgesetz 2000 Wichtige Begriffsbestimmungen) verstanden. Als "Datenanwendungen“ können neben automationsunterstützt geführten Dateien auch manuelle Dateien (zB Papierkarteien) in Betracht kommen. 

Das "Verwenden“ von Daten ist nach den Begriffsbestimmungen des DSG 2000 jede Art der Handhabung von Daten, etwa das Ermitteln, Erfassen, Speichern, Aufbewahren, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Sperren, Löschen, Vernichten, Überlassen an einen Dienstleister oder Übermitteln an Dritte (vgl. Merkblatt Datenschutzgesetz 2000 Wichtige Begriffsbestimmungen und Infoblatt Zulässigkeit der Datenverwendung). 

Nach den Erläuternden Bemerkungen soll die Informationsverpflichtung der Vermeidung von Vermögensschäden der Betroffenen im Falle der systematischen und schwerwiegenden unrechtmäßigen Verwendung der Daten dienen. 

Wer ist zu informieren?

Zu informieren sind "die Betroffenen“ (vgl. Merkblatt Datenschutzgesetz Datenschutzgesetz 2000 Wichtige Begriffsbestimmungen). Damit soll es diesen ermöglicht werden, korrektive Sicherheitsmaßnahmen zu ergreifen und damit das Risiko von Vermögensschäden möglichst zu bannen bzw. zu minimieren. 

Wie hat die Information zu erfolgen?

Die Information hat "in geeigneter Form“ zu erfolgen. Nach den Erläuterungen bedeutet dies zunächst eine persönliche Information der Betroffenen; in bestimmten Fällen käme etwa auch eine adäquate mediale Information in Frage. Die Benachrichtigung kann daher beispielsweise per E-Mail, Brief oder Zeitungsinserat erfolgen.

Bei der Art der Information sollte auf die Höhe der drohenden Vermögensschäden und die Umstände der Rechtsbeziehung zwischen Auftraggeber und Betroffenen Bedacht genommen werden. 

Ausnahmen von der Informationsverpflichtung

Die Informationsverpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. 

Verwaltungsstrafen

Verletzungen dieser Informationspflicht stellen eine Verwaltungsübertretung dar, die mit Geldstrafe bis zu 10.000 Euro zu ahnden ist.

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.