Viele Unternehmer treffen erst Vorkehrungen, wenn der Data Breach bereits passiert ist. Dabei sollte bereits, bevor eine Datenschutzverletzung im Raum steht, ein entsprechendes Konzept in der Schublade sein. Denn nun ist schnelles Handeln gefragt. Im Regelfall hat man ab Kenntnis vom Data Breach nur noch 72 Stunden Zeit, um zu entscheiden, ob die Datenschutzverletzung der Datenschutzbehörde gemeldet werden muss oder nicht und um eine allfällige Meldung vorzubereiten.
Was ist ein Data Breach?
Die DSGVO spricht von "Verletzungen des Schutzes personenbezogener Daten". Eine Verletzung des Schutzes personenbezogener Daten ist immer dann gegeben, wenn es zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten gekommen ist (Art 4 Z 12 DSGVO). Hierbei kommt es nicht darauf an, ob die Datenschutzverletzung beabsichtigt war oder unrechtmäßig herbeigeführt wurde. Die versehentliche Löschung von Dateien durch einen Mitarbeiter ist also ebenso als Datenschutzverletzung anzusehen, wie ein Hackerangriff, bei dem sich ein Hacker unrechtmäßig Zugriff auf personenbezogene Daten des Unternehmens verschafft.
Enges Zeitfenster von 72 Stunden
Ist es zu einer Verletzungen des Schutzes personenbezogener Daten gekommen, ist diese Verletzung binnen 72 Stunden vom Verantwortlichen an die Datenschutzbehörde zu melden. Eine Meldung ist nur dann entbehrlich, wenn nur ein geringes Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt. Dieses Risiko muss richtig eingeschätzt werden. Die ENISA (European Union Agency for Cybersecurity) hat hierzu Leitlinien entwickelt. Der Europäische Datenschutzausschuss (EDSA) bzw sein Vorgängergremium sieht dieses schematische Scoring allerdings kritisch. Er hat auch Leitlinien entwickelt, wie ein Data Breach einzuschätzen ist. Sieht man sich selbst außerstande das Risiko einzuschätzen, wird man im Zweifel also melden müssen.
Hat man das Risiko eingeschätzt und kommt zum Ergebnis, dass mehr als nur ein geringes Risiko vorliegt, wäre die Meldung entsprechend vorzubereiten. Hier wäre zu empfehlen, sich an das Formular der Datenschutzbehörde zu halten. Sollte man nach 72 Stunden noch nicht über alle Informationen zur Datenschutzverletzung haben, müssen diese Informationen umgehend nachgereicht werden. Hierauf ist im Rahmen der Meldung auch hinzuweisen. Im Rahmen der Meldung sind neben einer detaillierten Beschreibung des Vorgangs auch die Abhilfemaßnahmen entscheidend. Im Idealfall ist das Thema mit Abgabe der Meldung und mit Ergreifen der Abhilfemaßnahmen abgeschlossen.
Dokumentation bei Nicht-Meldung
Sofern man sich aus Risikogesichtspunkten gegen eine Meldung entscheidet, wäre die Datenpanne trotzdem detailliert zu dokumentieren, damit Nachfragen der Behörde beantwortet werden können. Es kann nämlich durchaus sein, dass der Behörde im Zuge einer Beschwerde in einer anderen Sache, zufällig die Umstände des Data Breaches bekannt werden. Dann muss die Nicht-Meldung erklärt werden.
Fristberechnung beim Data Breach
Die Dokumentation und/oder Meldung eines Datenschutzvorfalls kann erhebliche Ressourcen im Unternehmen binden. Oft nutzen gerade Hacker im Unternehmen schwach besetzte Zeiten (etwa längere Blöcke von Feiertagen oder Urlaubszeiten) aus, um in den Besitz von personenbezogenen Daten zu gelangen. Grundsätzlich sind beim Fristenlauf auch Feiertage oder Wochenenden mitzuzählen. Zur Berechnung der Frist gilt nicht das nationale Recht, sondern die EU-FristenVO. Dies würde bedeuten, dass die Frist mindestens zwei Arbeitstage umfassen muss (Art 3 Abs 5 EU-FristenVO). Dies wird aber von Datenschutzbehörden teilweise anders gesehen, da der Wortlaut der Verordnung nicht ganz eindeutig ist. Aus Österreich gibt es hierzu keine endgültige Aussage. Im Zweifel sollte man daher eher die 72 Stunden einhalten. Es empfiehlt sich, externe Hilfe bei einer Datenpanne beizuziehen, wenn die Frist ansonsten nicht eingehalten werden kann oder für die rechtliche Einschätzung des Vorfalls im Unternehmen die entsprechende Expertise nicht bereitsteht.
Sie haben weitere Fragen im Datenschutzrecht?
Sie benötigen Hilfe bei einer Datenschutzverletzung oder möchten sich in anderen Bereichen des Datenschutzrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.
Comments are closed!