Es ist uns allen noch gut in Erinnerung, als im April 2011 die Meldung verbreitet wurde, dass das Sony PlayStation Netzwerk gehackt worden ist. Die Hacker legten damals das Netzwerk lahm und stahlen Kreditkartendaten der Nutzer. Damit drängte sich aber auch die Frage auf, welche Informationspflichten einen österreichischen Datenverarbeiter in einem derartigen Ernstfall treffen würden. In Österreich statuiert seit der Novelle zum Datenschutzgesetz 2000 (DSG) im Jahr 2010 § 24 Abs 2a eine „Informationsverpflichtung“ des Auftraggebers (die „Data Breach Notification Duty“ wie diese im US-amerikanischen Rechtsraum genannt wird). Der Auftraggeber muss danach dem Betroffenen – nicht aber der Datenschutzkommission – unverzüglich nach Erlangung der Kenntnis von einer Datenverwendung (nicht bereits der Zugangsverschaffung) Mitteilung machen, wenn Daten aus einer Datenanwendung – zB Rechnungswesen oder Personalverwaltung – systematisch und schwerwiegend unrechtmäßig verwendet wurden. [...]
1. Kriterien der Data Breach Notification Duty
Die Pflicht zur Data Breach Notification besteht aber nicht bei jedem nicht planmäßigen Datenzugriff, sondern nur bei Erfüllung bestimmter Kriterien, die im Folgenden überblicksartig dargestellt werden sollen.
Ø “Datenverwendung“ ist im Sinne des DSG zu verstehen, weshalb Ermitteln, Erfassen, Speichern, Vervielfältigen, Abfragen, Ausgeben, Benützen, Sperren, Löschen, Vernichten, Überlassen an einen Dienstleister oder Übermitteln an Dritte rechtlich relevante Vorgänge sind. Die Daten müssen daher nicht im landläufigen Sinn verwendet werden, sondern es genügt, dass die Daten zB abgefragt werden.[1] Ferner muss der Angriff nicht von einem unredlichen Dritten ausgehen, sondern wäre bereits ein technisches Gebrechen eine „Verwendung“.[2]
Ø „Systematisch“ wird von der Literatur[3] so verstanden, dass die Datenverwendung mehr als zufällig zu sein hat und daher mit einer Absicht des Datenverwenders einhergehen muss. Es ist in diesem Sinn jedenfalls eine systematische Verwendung, wenn ein Hacker sich zu einem EDV-System Zugang verschafft und beispielsweise Personaldaten kopiert.
Ø „Schwerwiegend“ soll unter Berücksichtigung von Art und Umfang der betroffenen Daten und dem potentiell drohenden Vermögensschaden beurteilt werden.[4] Ein schwerwiegender Angriff wird vor allem dann anzunehmen sein, wenn er eine größere Zahl von Personen betrifft, wenn es sich um einem intensiven Angriff in geschützte Bereiche handelt oder bei wiederholten Verstößen.[5]
Ø „Unrechtmäßig“ ist jede Verwendung von Daten entgegen den Bestimmungen des DSG. Auch bereits eine etwa unabsichtlich fehlerhafte Übermittlung von Daten ist unrechtmäßig im Sinne des Gesetzes. Hingegen ist zB das bloß fahrlässige Verlieren von Daten kein „Verwenden“ im Sinne des DSG, und löst daher keine Informationsverpflichtung aus.[6]
Ø Die Informationsverpflichtung besteht nur, wenn dem Betroffenen ein nicht nur geringfügiger Schaden droht; der Schaden muss daher noch nicht eingetreten sein. Wie hoch ein geringfügiger Schaden sein darf, kann allerdings nur für den Einzelfall verlässlich beurteilt werden.
2. Benachrichtigung des Betroffenen
Das DSG regelt nicht, welchen Inhalt ein solches Informationsschreiben an den Betroffenen haben müsste. Empfohlen wird in der Literatur[7] folgender Mindestinhalt:
Ø Darlegung des Vorfalles: Aufzählung der betroffenen personenbezogenen Daten; Datum der Sicherheitsverletzung; Angaben darüber, von wem welche rechtswidrige Nutzung ausgeht.
Ø Beschreibung der bereits seitens des Auftraggebers gesetzten Maßnahmen.
Ø Empfehlung für Maßnahmen, die der Betroffene zur Minderung möglicher nachteiliger Folgen selbst vornehmen kann.
Ø Kontaktstelle, bei der weitere Informationen erhältlich sind (zB telefonische Beratung).
Auf welchem Weg die Benachrichtigung des Betroffenen zu erfolgen hat, ist gesetzlich auch nicht geregelt. Die Art der Information muss jedenfalls geeignet sein, das primäre Ziel des Gesetzes, nämlich dem Betroffenen zu ermöglichen, Sicherheitsmaßnahmen rechtzeitig zu treffen, zu erreichen. Es ist daher grundsätzlich sowohl die Information durch Email, ein herkömmliches Schreiben, ein Inserat oder einen Hinweis auf der Website möglich. Letztlich hängt es von den Umständen des Einzelfalls ab, welche Art der Information zu bevorzugen ist. Primär sollte die Information des Betroffenen aber wohl persönlich erfolgen. Eine adäquate mediale Information käme allerdings etwa dann in Frage, wenn weder E-Mail Adresse noch Anschrift der Betroffenen bekannt sind.[8] Zu bedenken ist bei der Auswahl der Art der Information auch, dass die Erfüllung der Informationsverpflichtung gegebenenfalls nachgewiesen werden können muss.
3. Schlusswort
In Hinblick auf die Pflicht zur zeitgerechten Information der Betroffenen tut ein Unternehmen gut daran, sich bereits vor dem Eintritt eines Sicherheitsvorfalls zu überlegen, wie Risiken bzw gröbere Schäden vermieden werden können und wie im Ernstfall, Fehler und Störungen rasch beseitigt werden können, was regelmäßig in einem sogenannten Notfallplan geschieht. Ein Schritt in einem solchen hypothetischen Prozessablauf zur Deeskalation sollte jedenfalls die Information der Betroffenen und die Kommunikation mit Medien und der Öffentlichkeit sein.
Be the first to comment