Das kostet Sie eine Data-Breach-Notification

Ein neuer Beitrag auf www.digitalwave.at von Lukas Feiler

Fallen personenbezogene Daten Unbefugten in die Hände, sind Unternehmen fast immer zu einer „Data-Breach-Notification“ verpflichtet. Die Benachrichtigung der Betroffenen kann aber ganz schön ins Geld gehen.

Industriespionage, finanziell oder politisch motiviertes Hacking oder Sabotage durch abgehende Mitarbeiter: Die Gründe, warum personenbezogene Daten in die Hände Unbefugter fallen können, sind zahlreich. Kommt es zu einer Verletzung der Sicherheit personenbezogener Daten, so kann das Unternehmen sowohl nach dem Datenschutzgesetz als auch aus vertraglichen Gründen zu einer „Data-Breach-Notification“ der Betroffenen verpflichtet sein.

Gesetzliche Pflichten zur Data-Breach-Notification

„Datenschutzrechtliche Auftraggeber“ unterliegen besonderen gesetzlichen Verpflichtungen im Fall eines Datenverlustes. Dazu zählen alle Unternehmen, die entschieden haben, bei ihrer Arbeit Daten zu verwenden. Dabei spielt es keine Rolle, ob sie die Daten selbst verwenden oder durch Dienstleister verarbeiten lassen.

Sollte dem Unternehmen bekannt werden, dass es zu einer unrechtmäßigen Verwendung von Daten gekommen ist, so hat es die Betroffenen unverzüglich und in geeigneter Form über diese Sicherheitsverletzung zu informieren. „Unverzüglich“ bedeutet, dass es zu keinen schuldhaften Verzögerungen kommen darf. Die vom Gesetz geforderte Form der Information kann ein Brief, aber auch die wesentlich günstigere Form E-Mail oder SMS sein. Bezüglich der Informationspflicht bestehen allerdings zwei wesentliche Einschränkungen:

  • Die unrechtmäßige Verwendung muss systematisch und schwerwiegend sein und
  • den Betroffenen muss durch sie ein Schaden drohen.

Diese Informationspflicht dient vor allem dazu, den Betroffenen die Möglichkeit zu bieten, auf die Sicherheitsverletzung entsprechend reagieren zu können. Eine rasche Information gibt z.B. Usern die Möglichkeit, ein mehrfach verwendetes Passwort auf den anderen Websites ändern zu können.

Die Pflicht zur Data-Brach-Notification entfällt also logischerweise, wenn den Betroffenen gar kein Schaden droht, z.B. da die kompromittierten Daten nach dem Stand der Technik verschlüsselt waren.

Die Notifikationspflicht besteht auch in jenen Fällen nicht, in denen die Mitteilung angesichts eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand bedeuten würde.

Vertragliche Pflicht zur Data-Breach-Notifikation

Neben der gesetzlichen Notifikationspflicht trifft ein Unternehmen meist auch eine vertragliche Pflicht zur Data-Breach-Notification der Betroffenen. Davon umfasst sind typischerweise Kunden und Geschäftspartner des Unternehmens.

Da die Frage der Data-Breach-Notification in den seltensten Fällen explizit vertraglich geregelt ist, muss oft eine ergänzende Vertragsauslegung vorgenommen werden: Treten nach Abschluss des Vertrages Konfliktfälle auf, die von den Parteien nicht bedacht und daher auch nicht ausdrücklich geregelt wurden, so ist unter Berücksichtigung der übrigen Vertragsbestimmungen und des von den Parteien verfolgten Zwecks zu fragen, welche Lösung redliche und vernünftige Parteien vereinbart hätten.

Der Abschluss eines Vertrags lässt grundsätzlich nicht nur die Hauptpflichten entstehen, die für einen derartigen Vertrag typisch sind, sondern auch eine Reihe von Nebenpflichten. Zu ihnen zählen insbesondere Schutzpflichten. Was gerne übersehen wird: Diese ergänzende Vertragsauslegung gilt nicht nur für entgeltliche, sondern auch für unentgeltliche Verträge. Auch ein mit Nutzern einer Website geschlossener Vertrag, der lediglich die Nutzungsbedingungen der Website zum Gegenstand hat, kann interpretativ um Schutzpflichten ergänzt werden.

Vertragliche Pflicht greift früher als gesetzliche

Diese Schutzpflichten umfassen typischerweise die Verpflichtung, Schäden an Rechtsgütern des Vertragspartners vorzubeugen, die durch eine Vertragsverletzung entstehen könnten. So hat der OGH entschieden, dass aus der in den AGB eines Elektrizitätsunternehmens festgelegten Verpflichtung zur jederzeitigen und ununterbrochenen Stromlieferung die weitere Verpflichtung folgt, die Abnehmer von einer vorhersehbaren Abschaltung in Kenntnis zu setzen.

Kommt es zu einer Verletzung der Sicherheit personenbezogener Daten des Vertragspartners, so liegt meist eine Verletzung der vertraglichen Pflicht zur Aufrechterhaltung der Datensicherheit vor. Die Schutzpflicht umfasst nun die Aufgabe, den Vertragspartner über die Sicherheitsverletzung zu informieren, sodass dieser entsprechende Maßnahmen zur Abwendung bzw. Minderung etwaiger Schäden treffen kann.

Eine vertragliche Pflicht zur Data-Breach-Notification besteht dann, wenn

  • über den durch die Sicherheitsverletzung bereits eingetretenen Schaden hinaus noch weitere Vermögensschäden drohen und
  • diese Schäden durch den Betroffenen nach entsprechender Information abgewendet oder gemindert werden können (z.B. bei der Verletzung der Vertraulichkeit von Zugangsdaten).

Die gilt auch dann, wenn keine systematische und schwerwiegende unrechtmäßige Datenverwendung vorliegt und daher keine gesetzliche Notifikationspflicht nach dem Datenschutzgesetz besteht.

Kosten einer rechtskonformen Data-Breach-Notification

Die Erfüllung der gesetzlichen oder vertraglichen Pflicht zur Data-Breach-Notification kann mit erheblichen Kosten verbunden sein.

Zwar sieht das Datenschutzgesetz vor, dass die gesetzliche Notifikationspflicht entfällt, wenn die Information der Betroffenen angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.

Den Maßstab darf man dabei aber nicht zu niedrig ansetzen: Selbst wenn der Schaden, der den Betroffenen droht, relativ gering ist, wird in jenen Fällen, in denen das Unternehmen über keine E-Mail-Adressen der Betroffenen verfügt, auch eine briefliche Notifikation grundsätzlich als angemessen zu beurteilen sein. Abhängig von der Anzahl der zu informierenden Betroffenen können alleine die Portokosten sowie der mit der unverzüglichen Versendung der Notifikationen verbundene Verwaltungsaufwand einen erheblichen Schaden für das Unternehmen darstellen.

Conclusio

Wenn Hacker zuschlagen, müssen Unternehmen die Betroffenen unverzüglich informieren, damit diese weitere Schäden von sich abwenden können. Dass diese Data-Breach-Notification teuer werden kann, entbindet Betriebe nur in Ausnahmefällen von ihrer Pflicht.

Whitepaper hunterladen: http://www.digitalwave.at/whitepaper-rechtliche-cyber-risiken-2/
Show your support

Clapping shows how much you appreciated Florian Unterberger’s story.