Data Breach
Letzte Änderung: Uhr
Was ist ein Data Breach?
Datenvorfall – Dritte haben sich Zugriff verschafft
Die DSGVO definiert den Begriff Data Breach (Datenleck) prinzipiell als einen Vorfall im Sinne des Datenschutzes und der Verletzung der Datensicherheit (Beispiele: unbefugte Vernichtung, Veränderung, Offenlegung personenbezogener Daten, Datendiebstahl, Datenpanne, Datenschutzverletzung, Datenleck). Es ist dabei nicht relevant, ob der Vorfall beabsichtigt, unbeabsichtigt, rechtmäßig oder unrechtmäßig erfolgt ist. Es geht hierbei um den Schutz sensibler Daten und sicher zustellen, dass diese nicht widerrechtlich übermittelt, gespeichert oder auf sonstige Weise verarbeitet worden sind.
Wann liegt ein Data Breach (Datenleck) vor?
In der Praxis kann der unbefugte Zugriff auf Daten auf die unterschiedlichsten Arten erfolgen. Schon bei Verlust eines Datenträgers kann man ebenso von einer Data Breach sprechen. Allerdings treten Datenpannen häufig in Verbindung mit Hackerangriffen auf.
Eine Data Breach kann für die betroffene Person physischen, materiellen oder immateriellen Schaden zu Folge haben.
Neben dem Kontrollverlust über personenbezogene Daten, können ebenfalls Identitätsdiebstahl bzw. -betrug, Rufschädigung oder finanzielle Verluste zu den Konsequenzen einer Datenpanne zählen. Alles in Allem bringt eine Data Breach wirtschaftliche sowie gesellschaftliche Nachteile mit sich.
Die nachfolgende Infografik zeigt den Anstieg von Data Breaches in den einzelnen europäischen Ländern. Der hellblaue Balken symbolisiert die gemeldeten Datenpannen im Zeitraum 2018/2019, der dunkelblaue die Datenvorfälle im Zeitraum 2019/2020. Das Diagramm nimmt Bezug auf die Zeitspanne zwischen Mai 2018 und Jänner 2020.
Quelle: statista.com
Wann muss ich einen Data Breach melden?
Quelle: dataprotect.at
Für den Fall eines Datenschutzvorfalls sieht die DSGVO bestimmte Melde- bzw. Benachrichtigungspflichten vor. Demnach sind folgende Schritte vorzunehmen:
Meldung an zuständige Aufsichtsbehörde
Eine Data Breach ist unverzüglich an die zuständige Aufsichtsbehörde zu melden, sofern die Schutzverletzung personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten einer Person führen kann.
Insofern muss die Meldung der Datenschutzverletzung binnen 72 Stunden nach Bekanntwerden erfolgen. Falls diese Frist versäumt wird, ist dies zu begründen. Zudem hat die Meldung folgenden Informationen zu beinhalten:
- Schilderung der Art der Schutzverletzung personenbezogener Daten
- Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung potentieller Folgen der Datenschutzverletzung
- Dokumentierung der vom Verantwortlichen ergriffenen Maßnahmen zur Behebung der Data Breach bzw. der Abmilderung möglicher Auswirkungen
Benachrichtigung betroffener Personen
Außerdem sind die Betroffenen unverzüglich zu benachrichtigen, wenn ein hohes Risiko für ihre persönlichen Rechte sowie Freiheiten aufgrund der Datenpanne vorliegt. Die Benachrichtigung muss folgende Punkte enthalten:
- Beschreibung der Verletzungsart des Schutzes personenbezogener Daten
- Name sowie Kontaktdaten des Datenschutzbeauftragten
- Auflistung eventueller Folgen der Data Breach
- Schilderung der vom Verantwortlichen ergriffenen Maßnahmen zur Behebung bzw. Abmilderung möglicher Konsequenzen der Datenschutzverletzung
Geldstrafen bei Verstoß gegen Melde- und Benachrichtigungspflicht
Bei Nichteinhaltung der DSGVO-Vorgaben drohen Geldbußen von bis zu 10 Millionen Euro. Im Fall eines Unternehmens können bis zu 2 Prozent des weltweit erzielten Jahresumsatzes des vergangenen Jahres als Geldstrafe anfallen.
Quellen: wko.at, dataprotect.at