9. Weekly Update zur EU-DSGVO: Questions and Answers Part II PDF Drucken E-Mail
Fachbereich Recht - Private Law
Zivilrecht
Geschrieben von: Franz J. Heidinger / Nikolaus Henn   
Montag, 11. Juni 2018

Q: Wen muss ich benachrichtigen, wenn personenbezogene Daten unbefugt nach außen gedrungen sind (zB. durch einen Hackerangriff)?

 

 

A: Die EU-DSGVO regelt die Benachrichtigungspflichten im Falle einer „Verletzung des Schutzes personenbezogener Daten“ grundlegend neu. Von einem solchen Ereignis, wofür auch oft der englische Begriff data breach verwendet wird, spricht man, wenn eine Sicherheitsverletzung

- zur Vernichtung

- zum Verlust,

- zur Veränderung,

- oder – besonders wichtig – zum unbefugten Zugang bzw. Offenlegung führt.

 

Je nach Natur der betroffenen Daten können der betroffenen Person, unterschiedlichste Arten von Schäden an ihren Rechten und Freiheiten entstehen, so zB. Identitätsdiebstahl über Weiterleitung von Betriebsgeheimnissen bis zur öffentlichen Bloßstellung. Ist das Risiko eines solchen Schadens zu erwarten, hat man die zuständige Datenschutzbehörde binnen 72 Stunden ab Kenntnis vom data breach zu informieren. Die Benachrichtigung muss diesen präzise und detailliert beschreiben sowie potentielle Folgen und Gegenmaßnahmen beinhalten. Eine etwaige Verzögerung der Meldung ist entsprechend zu begründen.

Wenn das Risiko eines Schadens nicht nur zu erwarten ist, sondern sogar mit hoher Wahrscheinlichkeit eintreten wird, muss zusätzlich in angemessener Frist Meldung an die betroffene Person selbst gemacht werden. Ein hohes Risiko ist gemäß EU-DSGVO jedoch nicht zu erwarten, wenn ausreichende Sicherheitsmaßnahmen eingesetzt worden sind (zB. geeignete technische Zugangsbeschränkungen zu persönlichen Daten) oder wenn das Risiko durch nachträgliche Gegenmaßnahmen nicht mehr als hoch anzusehen ist. Wäre eine individuelle Benachrichtigung allerdings besonders Aufwendig, kann diese entfallen. Es muss jedoch durch öffentliche Bekanntmachung oder eine vergleichbare Maßnahme sichergestellt werden, dass die betroffene Person vom data breach erfährt.