Data Breach Meldung

Allgemeines
Gemäß Art. 33 DSGVO sind Verantwortliche verpflichtet, eine Verletzung des Schutzes personenbezogener Daten (auch "Data Breach" genannt) unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden. Eine Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Datenschutzbehörde stellt für die Meldung ein Onlineformular zur Verfügung. Alternativ kann auch ein entsprechendes PDF-Formular verwendet werden.

Online Formular - Data Breach »
PDF Formular - Data Breach »

Eine Meldung kann auch per E-Mail an dsb@dsb.gv.at oder per Brief an die „Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien“ erfolgen.

Wird eine solche Data-Breach-Meldung bei der Datenschutzbehörde eingebracht, so wird im Verfahren von der Datenschutzbehörde geprüft, ob die:der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat die:der Verantwortliche gemäß Art. 34 DSGVO neben der Meldung an die Aufsichtsbehörde unverzüglich die betroffenen Personen von der Verletzung zu benachrichtigen.

Hat die:der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.

Was ist eine Verletzung des Schutzes personenbezogener Daten?

Eine „Verletzung des Schutzes personenbezogener Daten“ ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dabei spielt keine Rolle, ob dies unbeabsichtigt bzw. vorwerfbar/schuldhaft passiert.

Wann besteht eine Meldepflicht an die Datenschutzbehörde und welche Fristen sind einzuhalten?

Eine Meldung an die Aufsichtsbehörde hat immer dann zu erfolgen, wenn eine Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung hat unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen.

Welchen gesetzlichen Mindestinhalt muss eine Meldung enthalten?

Eine Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens folgende Informationen enthalten:

  1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

  2. Den Namen und die Kontaktdaten der:des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen

  3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

  4. Eine Beschreibung der von der;dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wann müssen Betroffene informiert werden?

Die:Der Verantwortliche hat die betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Die Beurteilung der Schwere des Risikos muss bei einem Datenschutzvorfall jeweils konkret geprüft werden und obliegt der:dem Verantwortlichen selbst.

Hat die:der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.

Wie läuft das Data Breach Verfahren vor der Datenschutzbehörde ab und was passiert nach einer Meldung?

Nach einer Meldung wird seitens der Datenschutzbehörde überprüft, ob diese den gesetzlichen Mindestanforderungen entspricht und die:der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.

Sollte dies nicht der Fall sein, wird die:der Verantwortliche seitens der Datenschutzbehörde zu einer ergänzenden Meldung aufgefordert, ansonsten wird das Verfahren formlos eingestellt.

Wie und wo kann man eine Data Breach Meldung einbringen?

Die Datenschutzbehörde stellt für die Meldung ein Onlineformular zur Verfügung. Alternativ kann auch ein entsprechendes PDF-Formular verwendet werden.

Online Formular - Data Breach »
PDF Formular - Data Breach »

Eine Meldung kann auch per E-Mail an dsb@dsb.gv.at oder per Brief an die „Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien“ erfolgen.

Was ist, wenn innerhalb der ersten 72 Stunden noch nicht alle Informationen über den Vorfall vorliegen?

Bei größeren Vorfällen, wie z.B. Ransomware-Attacken, kann es dazu kommen, dass innerhalb der ersten 72 Stunden noch nicht alle Informationen vorliegen. In so einem Fall ist es möglich, dass die:der Verantwortliche schrittweise in mehreren Meldungen an die Datenschutzbehörde die Informationen bereitstellt. Es darf jedoch zu keiner unangemessenen weiteren Verzögerung durch die:den Verantwortlichen kommen.

Was passiert bei einem Verstoß gegen die Melde- und Benachrichtigungspflichten?

Verstößt ein:e Verantwortliche:r gegen die Ihr:ihm obliegenden Melde-und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO, kann dies letztlich auch die Verhängung von Geldbußen zur Folge haben. Ob und in welcher Höhe eine solche verhängt wird, richtet sich nach den Umständen im Einzelfall. Die Höhe der Geldbuße kann bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.

Wo erhalte ich weiterführende Informationen zu diesem Thema?

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Meldepflicht betreffend Verletzungen des Schutzes personenbezogener Daten erlassen, an denen sich Verantwortliche orientieren können.

Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016-679 »

Guidelines 9/2022 on personal data breach notification under GDPR Guidelines 9/2022 on personal data breach notification under GDPR »

Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten »

Top