LOGO IVVA Interessensverband
Login
FACHINFOS FÜR
MITGLIEDER

Mag. Novotny: Institut versendet Mail an 800 Personen. Datenpanne, was nun? (NL 28/23)

Foto Mag. Novotny_Stephan Huger

Ist das eine Datenpanne und wie ist dann zu reagieren?

In den letzten Tagen konnte man aus den Medien (u.a. ZIB 2 am 27.9. bzw. Kurier) erfahren, dass ein bekanntes Umfrage-Institut ein „Strategie-Papier“ nicht nur an die beabsichtigen Empfänger, sondern irrtümlich an 800 Personen aus einem „Public-Health-Verteiler“ gesandt hatte.

Dieses Hoppala hatte für das Institut sofort wirtschaftliche Folgen, weil der ORF eine weitere Zusammenarbeit rund um die Wahlberichterstattung (Wahlforschung, Hochrechnungen, Analysen) mit sofortiger Wirkung beendete.

Achtung: Ein Mail ist rasch versandt
Obiges Hoppala wollen wir zum Anlass nehmen, um Sie wieder an Datenpannen, deren Folgen und dem korrekten Verhalten laut DSGVO erinnern.

Denn wahrscheinlich ist es jedem schon passiert: Durch die automatische Funktion in Outlook – man tippt die ersten Buchstaben der Mail-Adresse ein und Outlook nimmt „die wahrscheinlichste“ Adresse, man schaut nicht ganz genau und drückt senden – landet die Mail schon im falschen Postkasten.

Und neben diesem wohl häufig passierenden Fall – ein mail geht irrtümlich an den falschen Empfänger hinaus – wollen wir uns auch noch 2 Fälle näher ansehen, die wohl auch häufiger vorkommen, als es laut Gesetzgeber sein sollte:

  • Ein Mail an offen sichtbare Mail-Adressen via cc: anstelle bcc:
  • Folgen einer Datenpanne, die durch falsche Bekanntgabe vom Kunden ausgelöst wurde.

Somit beantworten wir heute mit RA Mag. Stephan Novotny Fragen wie:

  • Wann liegt eine Datenpanne vor? Reicht schon eines der oben skizzierten E-mails?
  • Oder muss es sich um wichtigen Inhalt/Anhang handeln, um aktiv werden zu müssen?
  • Muss ich immer die Behörde informieren? Wenn Ja, wie schnell?
  • Wie wäge ich ab?
  • Was tun bei einer Datenpanne?
  • Wie melden Sie die Datenpanne? Telefonat? E-Mail? Oder?
  • Was genau ist zu melden?
  • Wie hoch hat die Behörde schon bestraft?
  • Wann muss ich die Betroffenen informieren?
  • Haben Sie einen „Prozess“, damit diese Tätigkeiten rasch und richtig erfolgen?
  • Folgen einer Datenpanne, die durch falsche Bekanntgabe vom Kunden ausgelöst wurde.

Hier folgt nun der Beitrag, den wir mit RA Mag. Stephan Novotny erarbeitet haben.

A) Beispiele für konkrete „Mail-Datenpannen“-Szenarien:

a) Mail geht ungewollt an den / die falschen Teilnehmer hinaus

b) Mail geht an falsche Teilnehmer hinaus, die sich noch dazu via an: bzw. cc: sehen

Grundsätzlich handelt es sich hier in jedem Fall um eine Datenpanne, die näher angesehen werden muss, um zu entscheiden, ob eine Meldung bei der Datenschutzbehörde durchzuführen ist.

Um uns ins Thema einzustimmen und ein Gefühl für die Praxis zu bekommen, hier ein paar Annahmen und Überlegungen. Die detaillierten Rechtsüberlegungen folgen unten anbei.

Nehmen wir an, dass bei Fall a) ein Mail mit keinem „relevanten Inhalt“ versandt wurde. Also ein Mail mit – sagen wir mal – „Urlaubsgrüßen“ ging an Günter Wagner. Aber nicht an den Günter Wagner, der bei Firma A arbeitet, sondern bei Firma B (also nur die E-Mail-Adressen im Outlook falsch gewählt wurden). Also liegt eine Datenpanne vor, aber keine meldepflichtige (Details unten anbei). In diesem Fall bitten Sie den falschen Empfänger die Mail sofort zu löschen.

Hat man aber in dem Mail „relevanten Inhalt“ an den falschen Empfänger versandt, dann wird es ernst. Vielleicht war eine Kundendatei dabei? Oder der Mail-Inhalt hat personenbezogene Daten oder sogar sensible Daten enthalten („hier Ihre Aids-Test-Auswertung“) oder oder oder.
Ergebnis: Datenpanne, Meldepflicht bei Behörde, Information an die Betroffenen. Warum? (Details unten).

Und auch im Fall, dass man ein Mail an VIELE Empfänger „offen“ versendet, liegt eine „ernste Datenpanne“ vor, weil alle Empfänger die E-Mail-Adressen der anderen sehen können. Und das sind personenbezogene Daten, die man damit veröffentlicht hat.
Einschätzung: Datenpanne, Meldepflicht an Behörde, Information an die Betroffenen.
Und zwar unabhängig vom Inhalt der E-Mail. Das Versenden an An: bzw. cc: reicht aus.

Wir erinnern uns: Hierzu gab es während Corona eine „staatliche Datenpanne“, als ein Grazer Club – wo eine Corona-infizierte Person an einer Party teilnahm – seine Gäste vor einer möglichen Ansteckung warnen wollte. Also schrieb damals das Gesundheitsamt alle Teilnehmer per E-Mail an. Man möge sich in Quarantäne begeben und einen Corona-Test machen. Weil man wahrscheinlich rasch sein wollte, kopierte man aber irrtümlich die E-Mail-Adressen für alle sichtbar unter AN: anstelle unter BCC:

Oft gestellte Frage: WANN liegt eine DATENPANNE vor?
War der Inhalt im geschilderten Fall eins („Urlaubswünsche“) belanglos, ist der Inhalt im zweiten Fall sehr bedenklich (egal ob Aids-Test oder Kunden-Datei).

Im Falle der oben beschriebenen „staatlichen Datenpanne“ treffen 2 Gründe für eine schwere Datenpanne zu: Einerseits teilte man hunderten Personen öffentlich sichtbar mit, dass der Verdacht einer Corona-Erkrankung bestehe. Also geht es hier um Gesundheitsdaten und diese zählen zu den sensiblen, d.h. besonders schützenswerten personenbezogenen Daten.
Und man verteilte – ohne Zustimmung – die E-mai-Adressen (auch personenbezogene Daten) an hunderte andere Personen.


B) Häufige Frage: WAS TUN bei einer Datenpanne?

So klar es ist, dass in allen oben zitierten Fällen jeweils eine Datenpanne vorliegt, so schwierig ist die Beantwortung und Einschätzung, in welchem Falle man was tun muss.

Konkret geht es um die Frage:
– muss man die Datenschutzbehörde davon informieren?
– muss man die betroffenen Personen von der Panne informieren oder nicht?

Damokles-Schwert: Gibt man KEINE Meldung ab und diese wäre aber nötig gewesen und ein Betroffener beschwert sich nachträglich, dann kann das teuer werden, denn die Betroffenen können Schadenersatz Weiters droht, dass die Datenschutzbehörde das Unternehmen ganz besonders genau prüfen wird. Und ebenso droht ein Image-Verlust oder sogar Shit-Storm, den dieses Unternehmen erleiden würde, weil man ganz offensichtlich nicht auf Kundendaten aufgepasst hat, wie es das Gesetz vorschreibt.

Eingebürgert hat sich die Praxis, dass nach einer Datenpanne, die sich auf das Versenden von E-mails mit personenbezogenen Daten Dritter bezieht, eine E-Mail an Einzelpersonen nachgesendet wird, in der man um das Löschung der ursprünglichen E-Mail ersucht. Allenfalls wird auch um eine Bestätigung der Löschung ersucht. Das ist als Erst-Maßnahme sicher empfehlenswert, aber die gesetzlichen Regelungen zum Datenschutz kann diese Praxis nicht aushebeln.

Nächste Woche sehen wir uns die folgenden Punkte näher an:

Wann Meldung an Datenschutzbehörde, wann nicht?
Wie schnell muss man melden?
Wie melden Sie die Datenpanne? Telefonat? E-Mail? Oder?
Was genau ist zu melden?
– Wann und wie sind die Betroffenen von der Datenpanne zu informieren?
– Folgen einer Datenpanne, die durch falsche Bekanntgabe vom Kunden ausgelöst wurde.

 

Quellen und Weiterlese-Links

https://kurier.at/politik/inland/spoe-strategiepapier-sora-babler-finanzminister-gerhard-zeiler/402608909

https://kurier.at/politik/inland/spoe-leak-orf-sora-institut/402609512
https://ivva.at/grosse-gefahr-datenschutzpanne-wegen-vieler-empfaenger-unter-an-oder-cc-anstelle-bcc-nl-33-20/
https://datenschutzbeauftragter-dsgvo.com/dsgvo-meldepflicht-vorgehen-2/
IVVA Webseite, Newsletter Meineberater.at

 

Beste Grüße vom IVVA Team und Mag. Novotny.

Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung. Für IVVA-Mitglieder sogar zum Spezialpreis.

 

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Landesgerichtsstraße 16/12

kanzlei@ra-novotny.at

https://www.ra-novotny.at

 

Ich möchte künftig topaktuell informiert werden. Senden Sie mir Ihre kostenlosen IVVA-News zu.

Die IVVA AGENTURPARTNER INFORMIEREN

Ein Klick auf das Logo leitet Sie zur lokalen Info-Seite der Agenturpartner weiter.
Und wenn Sie dort auf das Logo des Unternehmens klicken, kommen Sie zu der externen Firmen-Webseite mit mehr Informationen!

© 2025 IVVA

Interessenverband der österreichischen Versicherungsagenten | 1150 Wien, Wurmsergasse 7 | Tel: +43 664 208 2133 bzw. +43 676 545 789 1
Impressum | Kontaktformular | Datenschutzerklärung | Cookie Policy

ELEMENTORPRO WEBSEITE VON WEBONLY

MITGLIEDER LOGIN

Für unsere Mitglieder
Fachinformationen für unsere Mitglieder. Einloggen rechts oben (User-Symbol)