Data Breach Meldung

Eine „Verletzung des Schutzes personenbezogener Daten“ ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dabei spielt keine Rolle, ob dies unbeabsichtigt bzw. vorwerfbar/schuldhaft passiert.

Eine Meldung an die Aufsichtsbehörde hat immer dann zu erfolgen, wenn eine Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung hat unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen.

Eine Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens folgende Informationen enthalten:

1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze


2. Den Namen und die Kontaktdaten der:des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen


3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten


4. Eine Beschreibung der von der;dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Die:Der Verantwortliche hat die betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Die Beurteilung der Schwere des Risikos muss bei einem Datenschutzvorfall jeweils konkret geprüft werden und obliegt der:dem Verantwortlichen selbst.

Hat die:der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.

Nach einer Meldung wird seitens der Datenschutzbehörde überprüft, ob diese den gesetzlichen Mindestanforderungen entspricht und die:der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.

Sollte dies nicht der Fall sein, wird die:der Verantwortliche seitens der Datenschutzbehörde zu einer ergänzenden Meldung aufgefordert. Nur in diesem Fall erhalten Sie eine Rückmeldung durch die Datenschutzbehörde. Ansonsten wird das Verfahren formlos eingestellt.

Die Datenschutzbehörde stellt für die Meldung ein Onlineformular zur Verfügung. Alternativ kann auch ein entsprechendes PDF-Formular verwendet werden.

Online Formular - Data Breach »
PDF Formular - Data Breach »

Eine Meldung kann auch per E-Mail an dsb@dsb.gv.at oder per Brief an die „Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien“ erfolgen.

Bitte beachten Sie

Wird eine Data Breach-Meldung gemäß Art. 33 DSGVO bei der Datenschutzbehörde eingebracht, besteht diesbezüglich von Ihrer Seite aus kein weiterer Handlungsbedarf, es sei denn, die Datenschutzbehörde kontaktiert Sie in dieser Angelegenheit, um zu prüfen, ob Sie alle geeigneten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt haben.

Bei größeren Vorfällen, wie z.B. Ransomware-Attacken, kann es dazu kommen, dass innerhalb der ersten 72 Stunden noch nicht alle Informationen vorliegen. In so einem Fall ist es möglich, dass die:der Verantwortliche schrittweise in mehreren Meldungen an die Datenschutzbehörde die Informationen bereitstellt. Es darf jedoch zu keiner unangemessenen weiteren Verzögerung durch die:den Verantwortlichen kommen.

Verstößt ein:e Verantwortliche:r gegen die Ihr:ihm obliegenden Melde-und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO, kann dies letztlich auch die Verhängung von Geldbußen zur Folge haben. Ob und in welcher Höhe eine solche verhängt wird, richtet sich nach den Umständen im Einzelfall. Die Höhe der Geldbuße kann bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Meldepflicht betreffend Verletzungen des Schutzes personenbezogener Daten erlassen, an denen sich Verantwortliche orientieren können.

Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016-679 »

Guidelines 9/2022 on personal data breach notification under GDPR Guidelines 9/2022 on personal data breach notification under GDPR »

Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten »