Datenschutzverletzung zu spät gemeldet – Entscheidung der österreichischen Datenschutzbehörde

Datenschutzverletzungen können in jedem Unternehmen auftreten. Wichtig ist dann, schnell und richtig zu handeln. Eine Entscheidung der österreichischen Datenschutzbehörde zeigt deutlich, wie ernst die Meldepflicht bei Datenschutzverletzungen genommen werden muss.

Im Mittelpunkt stand die Frage: Was passiert, wenn ein Unternehmen eine Datenpanne nicht rechtzeitig meldet?

Was war passiert?

In dem Fall wurde bekannt, dass auf einem Server eines Unternehmens personenbezogene Daten ungeschützt zugänglich waren. Externe Personen konnten auf diese Daten zugreifen und sie herunterladen. Das Unternehmen wurde auf die Sicherheitslücke hingewiesen und schloss diese auch.

Allerdings meldete das Unternehmen den Vorfall nicht selbstständig innerhalb der vorgeschriebenen Frist an die Datenschutzbehörde. Erst nachdem die Behörde aktiv nachfragte, erfolgte eine offizielle Meldung.

Das Problem: Die Datenschutz-Grundverordnung schreibt eine klare Frist vor.

Welche Meldepflicht gilt bei einer Datenschutzverletzung?

Nach der Datenschutz-Grundverordnung muss eine Datenschutzverletzung grundsätzlich innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden.

Eine Meldepflicht besteht dann, wenn die Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen darstellen kann. Dazu zählen zum Beispiel:

  • unbefugter Zugriff auf personenbezogene Daten
  • Veröffentlichung sensibler Informationen
  • Verlust oder Diebstahl von Datenträgern
  • Hackerangriffe

Die Meldung muss enthalten:

  • eine Beschreibung des Vorfalls
  • die betroffenen Datenarten
  • mögliche Risiken für Betroffene
  • bereits ergriffene Maßnahmen

Warum ist die 72-Stunden-Frist so wichtig?

Die Frist dient dem Schutz der Betroffenen. Wenn die Behörde früh informiert wird, kann sie:

  • Risiken bewerten
  • Empfehlungen geben
  • weitere Schäden verhindern
  • prüfen, ob Betroffene informiert werden müssen

Eine verspätete Meldung kann dazu führen, dass Schutzmaßnahmen zu spät ergriffen werden.

Wie bewertete die Behörde das Verhalten?

Die Datenschutzbehörde stellte fest, dass das Unternehmen die Meldepflicht verletzt hatte. Es hätte die Sicherheitsverletzung selbstständig und rechtzeitig melden müssen – auch wenn externe Personen bereits informiert hatten.

Ein wichtiger Punkt:
Ein Hinweis durch Dritte ersetzt nicht die eigene Meldepflicht des Unternehmens.

Die Behörde leitete ein Verfahren ein und prüfte den Fall genauer. Das Unternehmen musste Stellung nehmen und die fehlenden Informationen nachreichen.

Welche Lehren ergeben sich daraus?

Die Entscheidung zeigt klar:

1. Meldepflichten sind ernst zu nehmen

Unternehmen dürfen nicht abwarten oder hoffen, dass sich ein Vorfall „von selbst erledigt".

2. Interne Prozesse sind entscheidend

Es muss klar geregelt sein:

  • Wer erkennt Datenschutzverletzungen?
  • Wer entscheidet über eine Meldung?
  • Wer informiert die Behörde?
  • Wer dokumentiert den Vorfall?

3. Mitarbeitende müssen geschult sein

Hinweise auf Sicherheitsprobleme dürfen nicht ignoriert oder als unwichtig eingestuft werden.

4. Dokumentation ist Pflicht

Jeder Vorfall – auch wenn keine Meldepflicht besteht – sollte dokumentiert werden.

Warum betrifft das auch deutsche Unternehmen?

Die Regeln zur Meldung von Datenschutzverletzungen gelten in der gesamten Europäischen Union. Auch deutsche Unternehmen müssen die 72-Stunden-Frist beachten. Verstöße können zu:

  • Bußgeldern
  • Prüfverfahren
  • Reputationsschäden
  • Vertrauensverlust

führen.

Die Entscheidung der österreichischen Datenschutzbehörde macht deutlich:

Eine Datenschutzverletzung muss rechtzeitig gemeldet werden – unabhängig davon, wer sie entdeckt hat.

Unternehmen sollten klare Notfallpläne, Meldeprozesse und Verantwortlichkeiten definieren. Nur so lassen sich rechtliche Risiken minimieren und Betroffene wirksam schützen.

Datenschutz bedeutet Verantwortung – besonders im Ernstfall einer Datenpanne.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 

Quelle: GDPR hub


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Passwortsicherheit im Alltag – viele Menschen habe...
Externe Terminverwaltung in der Arztpraxis – Chanc...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.