Blog

Waitz Haselbruner Rechtsanwälte • Rechtsanwälte Linz – Salzkammergut   →  News   →  Allgemein   →  Data Breach: Waitz Rechtsanwälte gewinnt Verfahren vor Datenschutzbehörde
Hohe Geldstrafen und erheblicher Reputationsverlust für betroffenes Unternehmen abgewehrt
Posted on

Data Breach: Waitz Rechtsanwälte gewinnt Verfahren vor Datenschutzbehörde
Hohe Geldstrafen und erheblicher Reputationsverlust für betroffenes Unternehmen abgewehrt

1. Ausgangslage / Sachverhalt

Unser Datenschutzexperte und Partner Mag. Stefan Paschinger hat mit seinem Team einen Mandanten erfolgreich in einem äußerst heiklen Datenschutzfall vor der österreichischen Datenschutzbehörde vertreten.

Der Fall betraf eine schwerwiegende Datenpanne („Data Breach“) im Unternehmen unseres Klienten im Zusammenhang mit einer „Ransomeware“-Attacke, bei der sensible personenbezogene Daten unseres Mandanten potentiell kompromittiert und in weiterer Folge das gesamte IT-System trotz vollständiger und dem Stand der Technik entsprechender Sicherungsmaßnahmen zur Gänze verschlüsselt wurde.

Als „Ransomware“ wird eine Art von Schadsoftware bezeichnet, die den Zugriff des Computerinhabers auf Daten oder das ganze Computersystem verhindern kann. Dabei werden Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung bzw Freigabe der Daten Lösegeld zu fordern.

„Wir müssen leider feststellen, dass derartige kriminelle Cyber-Attacken auf Unternehmen in der Praxis leider stark zunehmen. Am wichtigsten ist es, auf derartige Vorfälle unverzüglich zu reagieren und die gebotenen Maßnahmen sowohl aus technischer, organisatorischer als auch rechtlicher Sicht sofort einzuleiten“, erläutert Stefan Paschinger.

Die (unter anderem einschlägige) Datenschutz-Grundverordnung („DSGVO“) sieht eine Melde- und Benachrichtigungspflicht im Falle einer Verletzung des Schutzes personenbezogener Daten vor (sogenannte “Data Breach Notification”).

Die DSGVO normiert, dass eine Data Breach Notification unverzüglich und möglichst binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt wurde, an die Datenschutzbehörde zu erfolgen hat.

Diese Melde- und Benachrichtigungspflicht besteht in zwei Varianten: Art. 33 DSGVO regelt die Meldung an die Datenschutzbehörde, während Art. 34 DSGVO die Benachrichtigung der betroffenen Person regelt. In beiden Fällen müssen konkrete Anforderungen an den Mindestinhalt der Meldung bzw. der Benachrichtigung erfüllt werden.

Bevor eine Data Breach Notification erstattet werden kann, sind – aus rechtlicher Sicht – vielfältige und auf den Einzelfall abgestimmte Maßnahmen zu setzen, zudem ist der Angriff zu analysieren und die daraus resultierenden Risiken sind zu prüfen.

Die datenschutzrechtlichen Herausforderungen, die aus einem Data Breach resultieren können, sind dabei nicht zu unterschätzen.

Im vorliegenden Fall waren potentiell besonders sensible Daten betroffen, wodurch die Angelegenheit an zusätzlicher Herausforderung gewann und dadurch die (rechtliche) Aufarbeitung noch heikler gestaltete.

Dabei mussten die einschlägigen Rechtsgrundlagen penibel beachtet werden, denn bei Verstößen gegen die Melde- und Benachrichtigungspflicht drohen gemäß Art 83 Abs 4 lit a DSGVO Bußgelder bis zu EUR 10 Mio. (!) oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Sowohl aus wirtschaftlichen Überlegungen als auch aus Reputationsgründen hätte  in der vorliegenden Konstellation neben den allfälligen möglichen Bußgeldern eine Benachrichtigung der betroffenen Personen den „worst case“ für unseren Mandanten bedeutet, den es zu verhindern galt.

Im Rahmen unserer rechtlichen Leistungen konnten wir erreichen, dass die Datenschutzbehörde das Verfahren – ohne Verhängung von Zwangsmaßnahmen (wie Geldbußen oder Benachrichtigungspflichten) – mit Bescheid eingestellt hat.

Unsere Leistungen umfassten dabei insbesondere:

  • Rasche Reaktion und Meldung: Wir halfen unserem Mandanten, den Vorfall unverzüglich zu analysieren und gemäß den geltenden Datenschutzbestimmungen bei der Datenschutzbehörde zu melden.
  • Kooperation mit den Behörden: Wir fungierten als Bindeglied zwischen unserem Mandanten und der Datenschutzbehörde, um sicherzustellen, dass alle erforderlichen Informationen bereitgestellt wurden.
  • Risikobewertung und Analyse: Wir halfen unserem Mandanten dabei, die potenziellen Risiken und Schäden zu bewerten und Maßnahmen zur Schadensbegrenzung zu ergreifen.
  • Rechtsvertretung: Unser Datenschutzteam rund um unseren Partner Mag. Stefan Paschinger vertrat unseren Klienten erfolgreich vor der Datenschutzbehörde.
  • Ansprechpartner: bei allen datenschutzrechtlichen Belangen waren wir für unseren Mandanten die erste Anlaufstelle und konnten mögliche Fallstricke bereits vor dem Entstehen antizipieren und aktiv verhindern.

Das Ergebnis unserer Beratung und Vertretung war ein erfolgreicher Abschluss des Falls, bei dem unser Mandant sowohl vor rechtlichen Konsequenzen als auch vor Reputationsschäden geschützt wurde.

2. Fazit

Bei Datenschutzverletzungen und insbesondere bei Datenpannen ist schnelles und kompetentes Handeln von entscheidender Bedeutung.

Unsere Kanzlei verfügt über umfangreiches Fachwissen bei der Vertretung von Mandanten in Datenschutzfällen, insbesondere in sensiblen Situationen wie der geschilderten.

Unser Team berät Sie gerne in allen Datenschutzangelegenheiten. Ihre Ansprechpartner finden Sie hier.

Disclaimer: Dieser Beitrag dient lediglich zur allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für die Richtigkeit, Aktualität und Vollständigkeit wird von Waitz Haselbruner Rechtsanwälte GmbH keine Haftung übernommen.

Datenschutz
Impressum | Datenschutzvereinbarungen
Wir, Waitz Haselbruner Rechtsanwälte GmbH (Firmensitz: Österreich), verarbeiten zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in unserer Datenschutzerklärung.
Datenschutz
Impressum | Datenschutzvereinbarungen
Wir, Waitz Haselbruner Rechtsanwälte GmbH (Firmensitz: Österreich), verarbeiten zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in unserer Datenschutzerklärung.