Rote Sanduhr
Erich von Maurnböck

Erich von Maurnböck

Data Breach Notification – Meldung?

Ist Ihnen oder in Ihrem Unternehmen schon einmal eine Datenpanne passiert? Wenn ja, dann wissen Sie bestimmt, dass Sie nur sehr wenig Zeit haben, um die richtigen Schritte fristgerecht einzuleiten! Ein wichtiger Punkt hierzu ist die Meldung bei der Behörde.

Darauf, wann es sich genau um eine Datenpanne handelt und was alles getan werden muss, sobald eine solche bekannt wird, sind wir letzte Woche detailliert eingegangen – lesen Sie hier gerne noch einmal nach.

Der Begriff „Data Breach Notification“ klingt zwar sehr cool, bedeutet aber in Wahrheit nichts anderes als die Meldung einer Datenpanne bei der Datenschutzbehörde. ACHTUNG: Diese muss innerhalb von 72 Stunden nach internem Bemerken des Datenschutzvorfalles erfolgen – und zwar dann, wenn ein Risiko für die Gesundheit, den Ruf oder das “Vermögen” der betroffenen Personen besteht. Wird eine solche Meldung gar nicht oder zu spät eingeleitet, muss ein Unternehmen mit hohen Strafen rechnen!

Nun werden wir genauer darauf eingehen, wie eine solche Behördenmeldung aussieht bzw. was sie beinhalten muss:

  • Zu Beginn muss die Art der Datenverletzung detailliert beschrieben werden. Dabei muss angegeben, welche Datenkategorien betroffen sind. Außerdem muss sowohl genannt werden, wie viele Personen ungefähr betroffen sind, als auch die Anzahl der personenbezogenen Datensätze.
    Beispiel: Verlust eines unverschlüsselten USB-Sticks durch den Geschäftsführer im Zug. Darauf gespeichert: Stammdaten (Namen, Adressen, Bankdaten, Kontaktdaten, Geburtsdatum) von 200 Mitarbeitern, insgesamt 1.000 Datensätze.
  • Weiters muss angeführt werden, welche Folgen die Panne wahrscheinlich für die Betroffenen mit sich bringt.
    Beispiel: Auf dem USB-Stick befanden sich die Stammdaten der Mitarbeiter; der Einschätzung nach besteht ein hohes Risiko für Betroffene, da private Adressen und Bankverbindungen in den Stammdaten verarbeitet waren.
  • Besonders wichtig ist auch, dass die Kontaktdaten eines Ansprechpartners angeführt werden. Dabei kann es sich um den Datenschutzbeauftragten – sofern vorhanden – , um den intern zuständigen Datenschutzkoordinator, oder auch um den Geschäftsführer handeln.
  • Die Datenschutzbehörde verlangt in der Meldung zusätzlich eine genau Beschreibung der Maßnahmen, die betrieblich umgesetzt werden, um das Risiko unmittelbar einzudämmen und künftig einen Vorfall dieser Art zu verhindern.
    Beispiel:
    Unmittelbare Maßnahmen: Mitarbeiter wurden über die Datenpanne informiert. Lost&Found des Bahnbetreibers wurde um Mithilfe gebeten.
    Geplante Maßnahmen: Neuerliche Schulung aller Mitarbeiter zur Zugriffskontrolle (Verschlüsselung von externen Datenträgern)

Unser Praxistipp: Halten Sie sich genau an die Inhaltspunkte, die wir oben aufgelistet haben. Die Datenschutzbehörde ist eine echte Straf-Behörde, und die Schonzeit ist vorbei. Stellen Sie sich vor, Ihre Daten wurden “verloren” – da möchten Sie auch geschützt werden, nicht wahr?
Sollten Sie vor der Aufgabe stehen, eine Data Breach Notification durchführen zu müssen, kontaktieren Sie uns jederzeit gerne und wir kümmern uns darum, Sie sicher und fristgerecht durch die Datenpanne zu geleiten.

Share on linkedin
Share on xing
Share on facebook
Share on twitter
Share on pinterest
Share on email

Weitere Beiträge

Und gleich abonnieren

Link zur Datenschutzerklärung.

Dieses Formular verwendet reCAPTCHA. Hier finden Sie die Google Datenschutzerklärung und auch die Nutzungsbedingungen.