Datenschutzvorfall: Handlungsbedarf

Ein von vielen Berufsfotograf:innen genutzter Drittanbieter ist Opfer eines Hackerangriffs geworden. Nach den derzeit vorliegenden Informationen wurde offenbar unbefugt auf die Cloud-Infrastruktur des Anbieters zugegriffen. Für Sie als Fotografin bzw. Fotograf ist wichtig: Wenn Sie über diesen Anbieter personenbezogene Daten Ihrer Kund:innen verarbeitet haben, sind Sie datenschutzrechtlich in der Regel Verantwortliche:r. Der Anbieter ist in diesem Zusammenhang Auftragsverarbeiter. Die Information des Anbieters ersetzt daher nicht Ihre eigene datenschutzrechtliche Prüfung und gegebenenfalls nicht Ihre eigene Meldung an die Datenschutzbehörde bzw. das Ergreifen eigenständiger Maßnahmen.

72‑Stunden‑Frist beachten 

Gemäß Art. 33 DSGVO sind Verantwortliche verpflichtet, eine Verletzung des Schutzes personenbezogener Daten (auch "Data Breach" genannt) unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden. Eine Meldung kann nur dann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Der Vorfall ist sohin jedenfalls vorsorglich und zeitnah an die österreichische Datenschutzbehörde zu melden, sofern nicht sicher ausgeschlossen werden kann, dass Kundendaten betroffen sind. Die Meldung hat wie dargelegt unverzüglich und möglichst binnen 72 Stunden ab Kenntnis des Vorfalls zu erfolgen. Die Meldung kann über das Data-Breach-Formular der Datenschutzbehörde eingebracht werden. Alternativ ist auch eine Meldung per E-Mail an die Datenschutzbehörde möglich.

Meldung trotz unvollständiger Infos 

Wir empfehlen ausdrücklich, die Meldung nicht aufzuschieben, nur weil noch nicht alle Details bekannt sind. In der Meldung kann festgehalten werden, dass sie auf Basis des derzeitigen Informationsstands erfolgt und dass weitere Informationen nachgereicht werden, sobald diese vom Anbieter vorliegen. Auch die E-Mails des Drittanbieters können der Behörde vorgelegt werden.

Eine direkte Benachrichtigung von Kund:innen ist nicht automatisch in jedem Fall und nicht vorschnell an die gesamte Kundendatenbank zu versenden. Betroffene Personen sind dann zu informieren, wenn nach der konkreten Prüfung ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten besteht und wenn festgestellt werden kann, welche Personen tatsächlich betroffen sind oder mit hoher Wahrscheinlichkeit betroffen sein können.

Empfohlene Prüfschritte 

• Prüfung, ob und welche Galerien, Bestellungen oder Kundendaten tatsächlich über die betroffene Plattform verarbeitet wurden
• Dokumentation, welche Kund:innen bzw. Aufträge betroffen sein könnten
• Anforderung weiterer Information vom Anbieter dazu, welche konkreten Datenbestände betroffen sind.
• Information an die einzelnen Kund:innen direkt, wenn der betroffene Personenkreis zuverlässig feststeht oder mit ausreichender Sicherheit eingegrenzt werden kann 
  

Empfohlene Sofortmaßnahmen 

• Ändern Sie unverzüglich Ihr Passwort / Ihre Zugangsdaten beim betroffenen Anbieter
• Ändern Sie auch andere Passwörter, falls Sie dasselbe Passwort mehrfach verwendet haben
• Sichern Sie die Mitteilung des Anbieters und dokumentieren Sie alle weiteren Schritte
• Fordern Sie vom Anbieter laufend Updates zum Umfang des Vorfalls und zu den betroffenen Datenkategorien an