LOGO IVVA Interessensverband
Login
FACHINFOS FÜR
MITGLIEDER

Mag. Novotny: Wann ist Datenpanne zu melden? Hohe Strafen! (NL 29/23)

Foto Mag. Novotny_Stephan Huger

Vorige Woche berichteten wir darüber, dass ein bekanntes Umfrage-Institut ein „Strategie-Papier“ nicht nur an die beabsichtigen Empfänger, sondern irrtümlich an 800 Personen aus einem „Public-Health-Verteiler“ gesandt hatte.
Wir fragten daher Mag. Novotny, ob das eine Datenpanne sei („JA“) und erhielten von ihm eine Reihe von „Datenpannen-Szenarien“, um ein Gefühl zu erhalten, was eine Datenpanne ist und was nicht. Und begannen die Frage zu klären, was bei einer Datenpanne zu tun ist. Zum Nachlesen von Teil 1 dieses Beitrags klicken Sie hier…

Um Ihr Problembewusstsein zu erhöhen: Es drohen hohe Strafen, wenn eine Datenpanne passiert und Sie nicht gemeldet haben, obwohl die Pflicht dazu bestanden hätte!

Heute beantworten wir mit RA Mag. Stephan Novotny die nächsten Fragen wie:

  • Muss ich immer die Behörde informieren? Wenn Ja, wie schnell?
  • Wie wäge ich ab?
  • Was tun bei einer Datenpanne?
  • Wie melden Sie die Datenpanne? Telefonat? E-Mail? Oder?
  • Was genau ist zu melden?
  • Wie hoch hat die Behörde schon bestraft?
  • Wann muss ich die Betroffenen informieren?
  • Haben Sie einen „Prozess“, damit diese Tätigkeiten rasch und richtig erfolgen?
  • Folgen einer Datenpanne, die durch falsche Bekanntgabe vom Kunden ausgelöst wurde.

Hier folgt nun der Beitrag, den wir mit RA Mag. Stephan Novotny erarbeitet haben.

C) Wann Meldung an Datenschutzbehörde, wann nicht?

Hier kann ich Ihnen als Jurist nicht mit einer 100 % Sicherheit antworten, denn das kommt immer auf den Einzelfall an. Konkret muss man sich genau ansehen, was passiert ist und welche Folgen das für die betroffenen Personen haben kann.

Zentrale Frage: Kann durch die Panne ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) bestehen?

Hier ein paar Extrem-Beispiele, die zeigen sollen, was ich meine:
Durch ein offen versandtes E-Mail wurde einer großen Zahl von Empfängern bekannt, dass man Corona oder Aids oder eine sonstige geächtete Krankheit habe. Ich nehme an, Sie können sich vorstellen, dass das die Betroffenen nicht haben wollen, weil das negative Folgen für sie haben könnte (etwa Job-Verlust).
Ebenso würde niemand wollen, dass seine Adresse, seine Kontodaten, Steuergeheimnisse, usw. im Internet kursieren. Ein weiteres klares Beispiel ist, wenn ein unverschlüsselter USB-Stick mit allen möglichen Firmendaten verloren ging.
Auch das Veröffentlichen von Zahlungsschwierigkeiten („Sie haben auf alle unsere Mahnungen nicht reagiert, wir reichen nun einen Konkurs-Antrag ein“) könnte Rufschädigung sein. Das sind wohl Fälle, wo jeder sagt, ja das ist eine schwere Datenpanne, die wir der Datenschutzbehörde melden müssen.

Es gibt aber viele andere Fälle, wo die negativen Folgen der Datenpanne für die Betroffenen wohl nicht existent oder ganz gering sind. Aber hier kann man auch einem Fehlurteil aufsitzen.
Daher mein Tipp: Bei der Abschätzung, welche Konsequenzen eine Datenpanne hat und was man nun tun solle, sollte man auf jeden Fall den Datenschutzverantwortlichen des Hauses oder juristischen Rat einholen.

Wenn Sie unsicher sind: Wahrscheinlich fährt man gut mit der Strategie: Besser zu oft melden, als gar nicht melden. Wie gesagt, wenn Sie nachträglich von einem Betroffenen bei der Datenschutzbehörde angezeigt werden, kann es für Sie ungemütlich werden und mit Milde der Behörde ist wohl auch nicht mehr zu rechnen.

TIPP: Wenn Sie nicht melden müssen, legen Sie trotzdem einen firmeninternen Aktenvermerk an, beschreiben Sie darin, was genau passiert ist (etwa: E-Mail ging an 222 Empfänger öffentlich sichtbar, aber ohne „gefährlichen Inhalt“ hinaus) und was Sie getan haben, dass dies möglichst nicht mehr passieren sollte (Schulung des Verursachers oder der ganzen Abteilung, plus internem Mail mit anonymer Schilderung des Falles an den gesamten Firmen-Verteiler, um das Problembewusstsein im ganzen Unternehmen zu steigern, etc.).


D) WIE SCHNELL melden?

Wenn Sie eine Meldung an die Datenschutzbehörde abgeben müssen, beachten Sie, dass Sie dies binnen 72 Stunden tun müssen. Egal, ob da ein Wochenende dazwischen liegt oder der Datenschutzverantwortliche auf Urlaub und der Anwalt nicht erreichbar ist.
Auch da beschreiben Sie, was passiert ist und welche Maßnahmen Sie bereits gesetzt haben.

HOHE STRAFEN bei Nichtmelden!
Meine Kollegin Mag.a Birgit von Maurnböck hat in einem Newsletter ein Urteil der polnischen Datenschutzbehörde zitiert, die 5.498 Euro verhängte. Nicht weil die Datenpanne passiert sei, sondern weil „die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift
an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war“.


E) Wie melden Sie die Datenpanne? Telefonat? E-Mail? Oder?

Über den Link „www.dsb.gv.at“ kommen Sie zur Website der österreichischen Datenschutzbehörde.
Über den Menü-Punkt „Download“ kommen Sie zu einem Formular, das für die Meldung von Datenpannen vorgesehen ist.

 

 

 

 

 

 

 

Einfach runterscrollen bis zum Punkt „Meldungen von Verletzungen des Schutzes personenbezogener Daten“. Das Formular ist von Ihrem Datenschutzbeauftragten / Datenschutzkoordinator / Rechtsanwalt auszufüllen und innerhalb von 72 Stunden abzuschicken. Kein Wochenende, kein Urlaub verlängert diese Frist.

Was genau ist zu melden?

Das Formular fragt zunächst die Kontaktdaten von Verantwortlichen / Datenschutzbeauftragten ab.
Dann müssen Sie die Datenschutzverletzung beschreiben, die Kategorien der betroffenen Personen angeben (etwa Kunden, Mitarbeiter, Patienten, Kinder), die ungefähre Anzahl der betroffenen Personen sowie welche Art von Daten verloren ging (Gesundheits-, Bankdaten, politische Meinung…). Wann ist der Vorfall („Verletzung“) passiert und wann wurde er bekannt?
Sowie Beschreibung der wahrscheinlichen Folgen der Panne („Bloßstellung, Diskriminierung, finanzieller Verlust, Haftung gegenüber Kunden, Identitätsdiebstahl“)
Dann müssen Sie beschreiben, was Sie getan haben „zur Behebung der Verletzung des Schutzes“ und zur „Abmilderung der möglichen Auswirkungen“.

Tipp: Prozess einführen: Vorsicht ist besser als Nachsicht

Wenn Sie sich durchlesen, was Sie alles der Behörde binnen 72 Stunden melden müssen – womöglich noch über das Wochenende und während eines Hacker-Angriffs – dann scheint klar zu sein, dass man nicht erst dann mit Krisen-Management beginnen kann.

Sondern es muss schon vorher ein Krisenplan bestehen, der angibt, wer wie die Datenpanne firmenintern wem meldet und was dann passieren muss. Also: Klare Regelung des Vorgehens bei Datenpannen! Keinesfalls sollte derjenige, der die Panne entdeckt, sofort die Behörde kontaktieren.
Sondern zuerst firmenintern zum Datenschutzverantwortlichen bzw. Geschäftsführung gehen.

Die für Datenschutz verantwortlichen Personen sollten eine Checkliste, z.B. mit allen wichtigen Kontaktpersonen (Rechtsabteilung, externe Juristen, EDV-Experten, etc.) haben. Auch die Kontaktdaten einer Cyber-Versicherung können hilfreich sein, wenn die Datenpanne mit einem Hackerangriff einhergeht.

Wichtig ist natürlich auch, dass das Verarbeitungsverzeichnis korrekt ausgefüllt wurde und aktuell ist. Nur so können Sie binnen weniger Stunden bekannt geben, welche Datenkategorien von der Datenpanne betroffen sind und dies im Formular der Datenschutzbehörde bekannt geben.

Und wenn alle Informationen grob gesichtet wurden, sollten Geschäftsführung und alle für den Datenschutz zuständigen Personen über die weiteren Schritte entscheiden, also ob man die Panne firmenintern lösen und die Behördenmeldung allein abgeben kann, oder ob man externe Unterstützung beizieht.

 

Nächste Woche sehen wir uns die folgenden Punkte näher an:

– Strafen, wenn Datenpanne nicht gemeldet wurde.
– Folgen einer Datenpanne, die durch falsche Bekanntgabe vom Kunden ausgelöst wurde.
Tipps für die tägliche Praxis, um Datenpannen weitestgehend vermeiden zu können.

 

Quellen und Weiterlese-Links

https://kurier.at/politik/inland/spoe-strategiepapier-sora-babler-finanzminister-gerhard-zeiler/402608909

https://kurier.at/politik/inland/spoe-leak-orf-sora-institut/402609512
https://ivva.at/grosse-gefahr-datenschutzpanne-wegen-vieler-empfaenger-unter-an-oder-cc-anstelle-bcc-nl-33-20/
https://datenschutzbeauftragter-dsgvo.com/dsgvo-meldepflicht-vorgehen-2/
IVVA Webseite, Newsletter Meineberater.at

 

Beste Grüße vom IVVA Team und Mag. Novotny.

Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung. Für IVVA-Mitglieder sogar zum Spezialpreis.

 

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Landesgerichtsstraße 16/12

kanzlei@ra-novotny.at

https://www.ra-novotny.at

 

Ich möchte künftig topaktuell informiert werden. Senden Sie mir Ihre kostenlosen IVVA-News zu.

Die IVVA AGENTURPARTNER INFORMIEREN

Ein Klick auf das Logo leitet Sie zur lokalen Info-Seite der Agenturpartner weiter.
Und wenn Sie dort auf das Logo des Unternehmens klicken, kommen Sie zu der externen Firmen-Webseite mit mehr Informationen!

© 2025 IVVA

Interessenverband der österreichischen Versicherungsagenten | 1150 Wien, Wurmsergasse 7 | Tel: +43 664 208 2133 bzw. +43 676 545 789 1
Impressum | Kontaktformular | Datenschutzerklärung | Cookie Policy

ELEMENTORPRO WEBSEITE VON WEBONLY

MITGLIEDER LOGIN

Für unsere Mitglieder
Fachinformationen für unsere Mitglieder. Einloggen rechts oben (User-Symbol)