• Data Breach Notification- Österr. Informationspflicht bei Datenlecks

    by  • 22. Mai 2013 • Datenschutzbeauftragter, Datenschutzmanagement, Definitionen, DSG2000

    All jene, die kein Interesse an Theorie und Gesetz zu Data Breach Notification haben, sollten am Ende der Ausführungen unter „Was ist also zu tun?“ weiterlesen!

    Was ist ein Datenleck?

    Als Datenpanne oder Datenleck (engl. Data Breach) bezeichnet man einen Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten, also den Datenverlust ein.

    Datenpannen sind Verstöße, gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten oder Betriebsgeheimnisse Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss), unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen, Angriffe auf die IT-Infrastruktur eines Unternehmens.

    Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).

    Zahlreiche Organisationen, die in letzter Zeit Opfer eines Hackerangriffs geworden sind, und dabei unzählige Daten ihrer Kunden an Dritte verloren haben,  zeigten wenig Interesse daran, diesen publik werden zu lassen. In vielen Ländern ist dies jedoch mittlerweile schon Pflicht. In einigen mit weniger großen Sanktionen, in anderen mit hohen Strafen verbunden. In Großbritannien wurden mittlerweile einige Unternehmen zu empfindlichen Geldstrafen in Millionenhöhe verurteilt.

    Im DSG 2000 neu aufgenommene Informationspflicht - Data Breach Notification

    Seit Anfang 2010 besteht auch in Österreich eine gesetzliche Informationspflicht, wenn es zu einem Datenmissbrauch durch Dritte kommt. Wie auch andere Stellen des Datenschutzgesetzes ist allerdings auch dieser neu hinzugefügte Passus sehr unscharf und knapp formuliert. Erst die gelebte Judikatur wird später eine klarere Richtung vorgeben, wie man sich als österreichischer Unternehmer zu verhalten hat, wenn nicht eine neue EU-Richtlinie dazwischen kommt, und alles zu Fall bringt …

    Rechtsinformationssystem des Bundeskanzleramtes - Datenschutzgesetz / Data Breach Notification

    Bereits seit einigen Jahren gibt es in den USA eine “Data Breach Notification Duty”. Mit der Datenschutzgesetz-Novelle 2010 wurde durch den neuen S 24 Abs 2a DSG 2000 nun auch in Österreich eine so genannte „Data Breach Notification” eingeführt, die Unternehmen eine Informationspflicht auferlegt, wenn ihnen bekannt wird, dass Daten “systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht”.

    § 24 Abs 2a DSG 2000 lautet wie folgt:

    Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.

    Die Art der “Daten”, um die es sich handeln muss, definiert das Datenschutzgesetz in § 4 Z 1 DSG 2000. Darunter sind alle personenbezogenen Angaben über die Betroffenen zu verstehen, unabhängig davon, in welchem technischen Format diese vorliegen. Vollständig anonymisierte oder nicht personenbezogene Daten fallen nicht darunter. Beim Datenmissbrauch von indirekt personenbezogenen (also verschlüsselten) Daten kommt es darauf an, ob es dem unrechtmäßigen Verwender möglich ist, den Personenbezug wiederherzustellen.

    Nicht der Verlust zählt, sondern die Kenntnis des Missbrauchs durch den Auftraggeber

    Der “Auftraggeber” ist gemäß § 4 Z 4 DSG 2000 jede juristische oder natürliche Person, die die Entscheidung getroffen hat, Daten zu verwenden. Für das Auslösen der Informationspflicht ist die Kenntnis dieses Auftraggebers vom Datenmissbrauch entscheidend. Das Gesetz führt jedoch nicht näher aus, in welcher genauen Form (bspw. eigene Wahrnehmung, Veröffentlichung  durch Dritte, etc.) der Datenmissbrauch bekannt werden muss. Die Art des Bekanntwerdens des Datenmissbrauchs ist damit grundsätzlich gleichgültig.

    Achtung: Es kommt nicht auf die Kenntnis des Verlusts der Daten an, sondern auf die Kenntnis des Auftraggebers vom Datenmissbrauch. Wenn also bspw. einem österreichischen Arzt sämtliche Patientendaten gestohlen werden, dann hat diese solange keine Informationspflicht, bis es ihr zur Kenntnis gelangt, dass die Daten missbräuchlich verwendet werden.

    Was ist systematische und schwerwiegende unrechtmäßige Verwendung?

    Was als systematisch im Sinne des § 24 DSG 2000 zu qualifizieren ist, wurde vom Gesetzgeber nicht festgelegt. Die Verwendung der Daten soll also nicht nur zufällig, sondern nach einem gewissen System erfolgen.

    Ist also dem Arzt eigentlich der nur der PC gestohlen worden, auf dem sich zufälliger Weise alle Patientendaten befunden haben, und werden diese Daten durch den Möbeldieb nicht alle der Reihe nach aufgearbeitet und verwendet, so ist nicht von einer Systematik auszugehen. Geht er jedoch alle Akten durch und erpresst alle Patienten mit einer gewissen Krankheit, so geht er systematisch vor.

    Auch der Begriff schwerwiegend wird im DSG nicht definiert. Es ist daher unklar, welche qualitativen und quantitativen Kriterien eine unrechtmäßige Verwendung erfüllen muss. Es ist zu erwarten, dass vor allem Art und Umfang der betroffenen Daten ausschlaggebend in der Judikatur sein werden.

    Anmerkung: Dies ist ja auch gut so, denn die Rechtsprechung soll ja auch zeitgemäß agieren können. Wurde bspw. durch einen Datenverstoß vor 20 Jahren bekannt, dass eine Person homosexuell ist, so war das sicher schwerwiegend. Heute ist bei diesem Thema die Schwere nicht mehr so gegeben …

    Und wie schon erwähnt, zählt letztendlich die Verwendung. Gemäß des § 4 Z 8-12 DSG 2000 versteht man unter Verwenden das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder Übermitteln von Daten. Das Datenschutzgesetz geht also beim Begriff des Verwendens weit über das umgangssprachliche „Benützen“ hinaus.

    Wenn der Einbrecher nun von den Patientendaten Kenntnis erlangt, indem er den PC einschaltet und den Inhalt der Festplatte überprüft, und diese Festplatte dann jemanden Dritten mit Hinweis auf den Inhaltes überlässt, dann wird der Begriff „verwenden“ schlagend.

    Wie erfolgt die Information der Betroffenen?

    Stellt der Auftraggeber nun fest, dass ihn eine Informationspflicht trifft, so hat er „die Betroffenen in geeigneter Form zu informieren”. Auch die Form der Information wird im Gesetz nicht festgelegt, dem Auftraggeber bleibt die Form freigestellt. Eine Verständigung per E-Mail, Brief, Telefonat bzw. durch Veröffentlichung in Zeitungsinseraten, Webportalen, Sozialen Foren, etc., ist möglich. Eine Benachrichtigung der österreichischen Datenschutzkommission ist auch nicht vorgesehen.

    Ausnahmen von der Informationspflicht

    Gemäß § 24 Abs 2a Satz 2 DSG 2000 ist der Auftraggeber dann von seiner Informationspflicht befreit, wenn “die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert”.  Was als geringfügig anzusehen ist bzw. wann der zu tätigende Aufwand unverhältnismäßig ist, liegt wieder im Ermessen des Auftraggebers. In anderen nationalen Gesetzgebungen sind vor allem die Anzahl der möglicherweise Betroffenen, und die Art des drohenden Schaden, sowie die mögliche Schadenshöhe als relevante Größen angeführt.”

    Rechtsfolgen und Strafmaß

    Bei einem Verstoß gegen die Informationspflicht des § 24 Abs 2a DSG 2000 hat der Auftraggeber gemäß § 52 Abs 2 Z 4 DSG 2000 mit einer Verwaltungsstrafe von bis zu 10.000 Euro zu rechnen.

    Auch die mögliche zivilrechtliche Verantwortlichkeit von Unternehmen bei Verletzung der Informationspflicht sollte nicht übersehen werden: So kann der Betroffene den Ersatz eines Vermögensschadens, der durch die Unterlassung der Information des Datenmissbrauch entsteht, möglicher Weise einklagen.

    Was ist also zu tun?

    Jedes Österreichische Unternehmen sollte im Rahmen seines betrieblichen Datenschutzmanagements ein einfaches Regelwerk aufstellen, wie man, und vor allem wer im Falle eines Datenlecks im betroffenen Unternehmen reagieren soll. Im Rahmen der ohnehin notwendigen Mitarbeiterschulungen betreffend Datenschutz sollten die Mitarbeiter über das festgelegte Regelwerk unterrichtet werden. Derjenige, der die Agenden des Verantwortlichen übertragen bekommt, also im besten Falle der interne oder externe Datenschutzbeauftrage, muss die oben angeführte Erläuterung verstehen, und entsprechende Maßnahmen setzen. Sobald er also von einem Datenmissbrauch erfährt, muss es unverzüglich Maßnahmen zur Verhinderung eines weiteren Missbrauchs ergreifen. Gleichzeitig muss er prüfen, ob die Voraussetzungen für eine Informationspflicht nach § 24 Abs 2a DSG 2000 erfüllt sind. Um in diesem Fall einer verwaltungsstrafrechtlichen und zivilrechtlichen Verantwortlichkeit vorzubeugen, muss er umgehend die Betroffenen informieren .

    Vorbeugend ist noch insbesondere auf §14 Abs 1 DSG 2000 hinzuweisen:

    Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der … sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.

    About

    Datenschutz in den österreichischen Unternehmen ist mir ein Anliegen. Ihnen auch? Kontaktieren Sie mich bei Hinweisen, Fragen und Wünschen!

    http://www.averell-consulting.at/kontakt