„Data Breach Notification“ auf Österreichisch „Data Breach Notification“ auf Österreichisch - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.07.2012 Sonja Dürager

„Data Breach Notification“ auf Österreichisch

Es ist uns allen noch gut in Erinnerung, als im April 2011 die Meldung verbreitet wurde, dass das Sony PlayStation Netzwerk gehackt worden ist. Die Hacker legten damals das Netzwerk lahm und stahlen Kreditkartendaten der Nutzer. Damit drängte sich aber auch die Frage auf, welche Informationspflichten einen österreichischen Datenverarbeiter in einem derartigen Ernstfall treffen würden. In Österreich statuiert seit der Novelle zum Datenschutzgesetz 2000 (DSG) im Jahr 2010 § 24 Abs 2a eine „Informationsverpflichtung“ des Auftraggebers (die „Data Breach Notification Duty“ wie diese im US-amerikanischen Rechtsraum genannt wird). Der Auftraggeber muss danach dem Betroffenen – nicht aber der Datenschutzkommission – unverzüglich nach Erlangung der Kenntnis von einer Datenverwendung (nicht bereits der Zugangsverschaffung) Mitteilung machen, wenn Daten aus einer Datenanwendung – zB Rechnungswesen oder Personalverwaltung – systematisch und schwerwiegend unrechtmäßig verwendet wurden.

1. Kriterien der Data Breach Notification Duty

 

Die Pflicht zur Data Breach Notification besteht aber nicht bei jedem nicht planmäßigen Datenzugriff, sondern nur bei Erfüllung bestimmter Kriterien, die im Folgenden überblicksartig dargestellt werden sollen.

 

Ø   “Datenverwendung“ ist im Sinne des DSG zu verstehen, weshalb Ermitteln, Erfassen, Speichern, Vervielfältigen, Abfragen, Ausgeben, Benützen, Sperren, Löschen, Vernichten, Überlassen an einen Dienstleister oder Übermitteln an Dritte rechtlich relevante Vorgänge sind. Die Daten müssen daher nicht im landläufigen Sinn verwendet werden, sondern es genügt, dass die Daten zB abgefragt werden.[1] Ferner muss der Angriff nicht von einem unredlichen Dritten ausgehen, sondern wäre bereits ein technisches Gebrechen eine „Verwendung“.[2]

 

Ø   „Systematisch“ wird von der Literatur[3] so verstanden, dass die Datenverwendung mehr als zufällig zu sein hat und daher mit einer Absicht des Datenverwenders einhergehen muss. Es ist in diesem Sinn jedenfalls eine systematische Verwendung, wenn ein Hacker sich zu einem EDV-System Zugang verschafft und beispielsweise Personaldaten kopiert.

 

Ø   „Schwerwiegend“ soll unter Berücksichtigung von Art und Umfang der betroffenen Daten und dem potentiell drohenden Vermögensschaden beurteilt werden.[4] Ein schwerwiegender Angriff wird vor allem dann anzunehmen sein, wenn er eine größere Zahl von Personen betrifft, wenn es sich um einem intensiven Angriff in geschützte Bereiche handelt oder bei wiederholten Verstößen.[5]

 

Ø   „Unrechtmäßig“ ist jede Verwendung von Daten entgegen den Bestimmungen des DSG. Auch bereits eine etwa unabsichtlich fehlerhafte Übermittlung von Daten ist unrechtmäßig im Sinne des Gesetzes. Hingegen ist zB das bloß fahrlässige Verlieren von Daten kein „Verwenden“ im Sinne des DSG, und löst daher keine Informationsverpflichtung aus.[6]

 

Ø   Die Informationsverpflichtung besteht nur, wenn dem Betroffenen ein nicht nur geringfügiger Schaden droht; der Schaden muss daher noch nicht eingetreten sein. Wie hoch ein geringfügiger Schaden sein darf, kann allerdings nur für den Einzelfall verlässlich beurteilt werden.

 

2. Benachrichtigung des Betroffenen

 

Das DSG regelt nicht, welchen Inhalt ein solches Informationsschreiben an den Betroffenen haben müsste. Empfohlen wird in der Literatur[7] folgender Mindestinhalt:

 

Ø  Darlegung des Vorfalles: Aufzählung der betroffenen personenbezogenen Daten; Datum der Sicherheitsverletzung; Angaben darüber, von wem welche rechtswidrige Nutzung ausgeht.

Ø  Beschreibung der bereits seitens des Auftraggebers gesetzten Maßnahmen.

Ø  Empfehlung für Maßnahmen, die der Betroffene zur Minderung möglicher nachteiliger Folgen selbst vornehmen kann.

Ø  Kontaktstelle, bei der weitere Informationen erhältlich sind (zB telefonische Beratung).

 

Auf welchem Weg die Benachrichtigung des Betroffenen zu erfolgen hat, ist gesetzlich auch nicht geregelt. Die Art der Information muss jedenfalls geeignet sein, das primäre Ziel des Gesetzes, nämlich dem Betroffenen zu ermöglichen, Sicherheitsmaßnahmen rechtzeitig zu treffen, zu erreichen. Es ist daher grundsätzlich sowohl die Information durch Email, ein herkömmliches Schreiben, ein Inserat oder einen Hinweis auf der Website möglich. Letztlich hängt es von den Umständen des Einzelfalls ab, welche Art der Information zu bevorzugen ist. Primär sollte die Information des Betroffenen aber wohl persönlich erfolgen. Eine adäquate mediale Information käme allerdings etwa dann in Frage, wenn weder E-Mail Adresse noch Anschrift der Betroffenen bekannt sind.[8] Zu bedenken ist bei der Auswahl der Art der Information auch, dass die Erfüllung der Informationsverpflichtung gegebenenfalls nachgewiesen werden können muss.

 

3. Schlusswort

 

In Hinblick auf die Pflicht zur zeitgerechten Information der Betroffenen tut ein Unternehmen gut daran, sich bereits vor dem Eintritt eines Sicherheitsvorfalls zu überlegen, wie Risiken bzw gröbere Schäden vermieden werden können und wie im Ernstfall, Fehler und Störungen rasch beseitigt werden können, was regelmäßig in einem sogenannten Notfallplan geschieht. Ein Schritt in einem solchen hypothetischen Prozessablauf zur Deeskalation sollte jedenfalls die Information der Betroffenen und die Kommunikation mit Medien und der Öffentlichkeit sein.



 

[1] vgl Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht² (11. Erg-Lfg. 2010) § 24 Rz 19.

 

 

[2] Vgl Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht § 24 Rz 29.

 

 

[3] vgl Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht § 24 Rz 16.

 

 

[4] Vgl Feiler, Data Breach Notification nach österreichischem Recht, MR 2009,281.

 

 

[5] Knyrim, Die neue Data Breach Notification Duty im DSG, in Jahrbuch Datenschutzrecht (2010) 59.

 

 

[6] Vgl Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht § 24 Rz 18 und 19.

 

 

[7]Vgl Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht § 24 Rz 26. Dieser Inhalt eines Informationsschreibens hat im Wesentlichen auch Eingang in die Richtlinie 2009/136/EG des europäischen Parlaments und des Rates vom 25.11.2009, mit der für Netzanbieter die Informationsverpflichtung  bei Sicherheitsverletzungen im Bereich der elektronischen Kommunikation auf EU-Ebene implementiert wird, gefunden.

 

 

[8] Vgl Feiler, MR 2009,281.

 

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: