Datenschutzverletzung Meldepflicht Österreich

Die Datenschutzverletzung Meldepflicht ist ein nach DSGVO Art. 33 (EU-Verordnung 2016/679); DSG §22 (BGBl I Nr. 165/1999 idgF) geregeltes Rechtsdokument in Österreich.

Eine Datenschutzverletzung (Data Breach) im Sinne der DSGVO und des DSG Österreich liegt vor, wenn personenbezogene Daten durch eine Sicherheitsverletzung unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, unbefugt offengelegt oder zugänglich gemacht wurden. Typische Ereignisse umfassen: Hackerangriffe auf Unternehmenssysteme, Verlust oder Diebstahl von Laptops oder Smartphones mit unverschlüsselten Daten, versehentlicher E-Mail-Versand an falsche Empfänger, Ransomware-Angriffe mit Datenverschlüsselung, unberechtigter Datenbankzugriff durch Mitarbeiter.

Die Datenschutzbehörde (DSB) in Wien ist die österreichische Aufsichtsbehörde nach Art. 51 DSGVO. Sie ist beim Bundesministerium für Justiz (BMJ) angesiedelt und unter dsb.gv.at erreichbar. Die Meldung nach Art. 33 DSGVO erfolgt in Österreich elektronisch über das Online-Meldungsformular der DSB unter dsb.gv.at/meldung oder schriftlich per Post an die DSB, Barichgasse 40–42, 1030 Wien.

Der Verantwortliche trägt die Beweislast (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht) dafür, dass er die 72-Stunden-Frist eingehalten hat oder — bei einer späteren Meldung — dass ein begründeter Ausnahmefall vorliegt. Jede gemeldete und jede nicht gemeldete Datenschutzverletzung ist nach Art. 33 Abs. 5 DSGVO zu dokumentieren (Verzeichnis der Verletzungen, § im DSG).

Von der Meldepflicht an die Datenschutzbehörde ist die Benachrichtigungspflicht gegenüber den betroffenen Personen nach Art. 34 DSGVO zu unterscheiden: Ist die Verletzung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden, müssen diese unverzüglich informiert werden. Das „hohe Risiko“ liegt z.B. bei Offenlegung von Gesundheitsdaten, Bankdaten oder Daten, die Identitätsdiebstahl ermöglichen, nahezu immer vor.

Die DSB kann bei Verstößen gegen die Meldepflicht nach Art. 83 Abs. 4 DSGVO Bußgelder bis zu €10.000.000,00 oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängen, je nachdem, welcher Betrag höher ist. Bei schwerwiegenden Verstößen — etwa gezielter Vertuschung einer Datenschutzverletzung — sind Bußgelder bis zu €20.000.000,00 oder 4 % des Jahresumsatzes möglich. Das DSG Österreich sieht ergänzend Verwaltungsstrafen vor, die von der DSB verhängt werden.

Auftragsverarbeiter (Processor) nach Art. 4 Nr. 8 DSGVO — also externe Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (z.B. Cloud-Anbieter, IT-Dienstleister) — müssen Datenschutzverletzungen nach Art. 33 Abs. 2 DSGVO unverzüglich (ohne unnötige Verzögerung) an den Verantwortlichen melden. Der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO muss diese Meldepflicht des Auftragsverarbeiters ausdrücklich regeln.

Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde (DSB) Österreich ist nach Art. 33 DSGVO erforderlich, sobald ein Verantwortlicher Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen führt.

Nach einem Cyberangriff (Ransomware, Hacking, Phishing): Sobald festgestellt wird, dass bei einem Cyberangriff personenbezogene Daten von Kunden, Mitarbeitern oder Patienten kompromittiert wurden — also gestohlen, verschlüsselt oder unbefugt zugänglich gemacht wurden — beginnt die 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO zu laufen. In Österreich sind Cyberangriffe auf Unternehmen laut Berichten des Computer Emergency Response Teams (CERT.at) die häufigste Ursache für meldepflichtige Datenschutzverletzungen.

Nach dem Verlust oder Diebstahl von Datenträgern: Ein verlorener oder gestohlener Laptop, eine verlorene USB-Festplatte, ein gestohlenes Smartphone mit unverschlüsselten Kundendaten — all das begründet eine Meldepflicht nach Art. 33 DSGVO, sofern keine ausreichende Verschlüsselung vorhanden war. Ist der Datenspeicher mit AES-256 oder äquivalent verschlüsselt und der Schlüssel nicht kompromittiert, entfällt die Meldepflicht nach Erwägungsgrund 49 DSGVO.

Nach versehentlichem Versand sensibler Daten: Eine irrtümlich an den falschen Empfänger gesendete E-Mail mit personenbezogenen Daten von Kunden, Patienten oder Mitarbeitern stellt eine Datenschutzverletzung dar und löst die Meldefrist nach Art. 33 DSGVO aus, sofern die Daten für den Empfänger erkennbar waren. Die DSB Österreich hat in Entscheidungen festgestellt, dass auch singuläre versehentliche E-Mails meldepflichtig sein können.

Bei unberechtigtem Datenbankzugriff: Greift ein Mitarbeiter ohne Berechtigung auf Kundendaten, Personaldaten oder Patientendaten zu — auch wenn die Daten nicht nach außen gelangt sind — handelt es sich um eine interne Datenschutzverletzung (Vertraulichkeitsverletzung), die unter bestimmten Umständen meldepflichtig ist. Die Datenschutzbehörde (DSB) bewertet solche Fälle einzelfallbezogen anhand der Sensitivität der betroffenen Daten (Art. 9 DSGVO — besondere Kategorien).

Nach Softwarefehlern oder Fehlkonfigurationen: Wenn eine fehlerhafte Software-Konfiguration (z.B. falsch konfigurierter Cloud-Bucket, ungesichertes API) zum öffentlichen Zugriff auf eigentlich nicht-öffentliche personenbezogene Daten führt, entsteht eine Meldepflicht nach Art. 33 DSGVO. Der Österreichische Datenschutzrat (ÖDSR) empfiehlt regelmäßige Penetrationstests und Sicherheitsaudits zur Prävention solcher Konfigurationsfehler.

Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde (DSB) Österreich nach Art. 33 DSGVO und §22 DSG muss bestimmte Pflichtinhalte umfassen. Das forms-legal.com Meldeformular Datenschutzverletzung Österreich strukturiert alle gesetzlich vorgeschriebenen Angaben vollständig und DSGVO-konform.

Angaben zum Verantwortlichen: Vollständiger Name und Kontaktdaten des Verantwortlichen (Controller) im Sinne von Art. 4 Nr. 7 DSGVO, einschließlich Firmenbuchnummer (FN-Nummer) und UID-Nummer (ATU-Nummer) des Unternehmens laut Finanzamt Österreich, Anschrift des Unternehmenssitzes und Name des Datenschutzbeauftragten (DSB-Kontaktstelle) nach Art. 37 DSGVO, sofern einer bestellt wurde (Pflicht für öffentliche Stellen und bestimmte private Unternehmen nach Art. 37 Abs. 1 DSGVO).

Beschreibung der Datenschutzverletzung: Präzise Beschreibung der Art der Verletzung (Vertraulichkeitsverletzung, Integritätsverletzung oder Verfügbarkeitsverletzung), des Ereigniszeitpunkts, des Entdeckungszeitpunkts und — soweit bekannt — des Ursächlichkeitszusammenhangs (z.B. Ransomware-Angriff, Fehlkonfiguration, menschliches Versagen). Gemäß Art. 33 Abs. 3 lit. a DSGVO ist die Kategorien und ungefähre Anzahl der betroffenen Personen sowie die Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze zu nennen.

Kategorien der betroffenen Daten: Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, Daten über Straftaten) erfordern besondere Aufmerksamkeit, da bei deren Verletzung in der Regel ein hohes Risiko vorliegt und sowohl die DSB-Meldepflicht nach Art. 33 DSGVO als auch die Betroffenen-Benachrichtigungspflicht nach Art. 34 DSGVO ausgelöst wird. Die Datenschutzbehörde (DSB) hat in ihrer Entscheidungspraxis bestätigt, dass Gesundheitsdaten, Finanzdaten, Standortdaten und Daten schutzbedürftiger Personen (Kinder, kranke Personen) stets als risikobehaftet zu betrachten sind.

Maßnahmen zur Eindämmung und Behebung: Beschreibung der bereits ergriffenen und geplanten technischen und organisatorischen Maßnahmen (TOMs) zur Eindämmung der Verletzung, Wiederherstellung der Datensicherheit nach Art. 32 DSGVO und §54 DSG sowie Prävention zukünftiger Vorfälle. Dazu gehören: Passwort-Resets, Systemabschaltung, Forensik-Analyse, Benachrichtigung der Strafverfolgungsbehörden (z.B. Bundesamt für Verfassungsschutz und Terrorismusbekämpfung, BVT, oder Bundeskriminalamt, BK) bei Cyberangriffen, Zusammenarbeit mit CERT.at.

Risikobeurteilung und Schwere der Verletzung: Art. 33 Abs. 3 lit. d DSGVO verlangt eine Beschreibung der wahrscheinlichen Folgen der Verletzung. Maßgeblich sind: Anzahl der betroffenen Personen, Sensitivität der betroffenen Daten, Wahrscheinlichkeit der missbräuchlichen Nutzung der Daten, angewendete Sicherheitsmaßnahmen (z.B. Verschlüsselung, Pseudonymisierung). Eine strukturierte Risikobeurteilung nach dem DSB-Leitfaden erleichtert die Entscheidung, ob Meldepflicht und Benachrichtigungspflicht nach Art. 34 DSGVO bestehen.

Datenschutzbeauftragter (DSB-Kontakt): Sofern ein Datenschutzbeauftragter (DSB — nicht zu verwechseln mit der Datenschutzbehörde als Aufsichtsbehörde) nach Art. 37 DSGVO bestellt wurde, sind dessen Name und Kontaktdaten in der Meldung anzugeben. Öffentliche Stellen und Unternehmen, die in großem Umfang besondere Kategorien von Daten verarbeiten (Krankhäuser, Versicherungen, Finanzdienstleister), sind zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Frist für die Nachmeldung: Sind im Zeitpunkt der Erstmeldung noch nicht alle Informationen verfügbar (z.B. weil die Forensik noch läuft), ist die Erstmeldung rechtzeitig innerhalb von 72 Stunden zu erstatten und nachträglich zu vervollständigen (Art. 33 Abs. 4 DSGVO — stufenweise Meldung). Die DSB akzeptiert stufenweise Meldungen, sofern die Verzögerung begründet ist und laufend Fortschritte gemeldet werden.

Die Meldung einer Datenschutzverletzung an die österreichische Datenschutzbehörde (DSB) erfolgt in klar geregelten Schritten. Handeln Sie sofort, denn die 72-Stunden-Frist nach Art. 33 DSGVO beginnt ab dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung Kenntnis erlangt.

Schritt 1: Verletzung identifizieren und sofortigen Handlungsbedarf klären. Stellen Sie zunächst fest, ob tatsächlich eine Verletzung des Schutzes personenbezogener Daten vorliegt (Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang nach Art. 4 Nr. 12 DSGVO). Prüfen Sie, ob eine Meldepflicht besteht: Ist die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen (z.B. weil die Daten vollständig verschlüsselt waren), entfällt die Meldepflicht — aber die Verletzung muss intern nach Art. 33 Abs. 5 DSGVO dokumentiert werden.

Schritt 2: Interne Dokumentation starten. Beginnen Sie sofort mit der lückenlosen Dokumentation aller Fakten im Verletzungsprotokoll: Zeitstempel der Entdeckung, beteiligte Personen, erste Erkenntnisse über den Umfang der Verletzung, ergriffene Sofortmaßnahmen. Diese Dokumentation bildet die Grundlage der DSB-Meldung und dient als Nachweis der DSGVO-konformen Reaktion (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).

Schritt 3: Meldung an die DSB vorbereiten. Füllen Sie das vorliegende Formular vollständig aus. Tragen Sie ein: Name und Kontakt des Verantwortlichen (Firmenname, FN-Nummer, UID-Nummer ATU-Format, Anschrift, E-Mail); Name und Kontakt des Datenschutzbeauftragten (sofern bestellt); genaue Beschreibung der Verletzung (Datum, Uhrzeit, Art, Ursache); Kategorien der betroffenen Daten; ungefähre Anzahl der betroffenen Personen; bereits ergriffene Maßnahmen; Einschätzung des Risikos.

Schritt 4: Meldung einreichen. Melden Sie die Datenschutzverletzung bevorzugt elektronisch über das Meldeformular der Datenschutzbehörde (DSB) unter dsb.gv.at/meldung. Alternativ: schriftlich per Post oder E-Mail an [email protected], Barichgasse 40–42, 1030 Wien. Bewahren Sie einen Nachweis der fristgerechten Einreichung (Eingangsbestätigung) auf. Bei Fristüberschreitung begründen Sie die verspätete Meldung sachlich und vollständig.

Schritt 5: Betroffene Personen benachrichtigen. Prüfen Sie, ob auch eine direkte Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich ist — insbesondere wenn ein hohes Risiko für die Persönlichkeitsrechte der Betroffenen besteht (z.B. Identitätsdiebstahl, diskriminierende Offenlegung, finanzielle Schäden). Die Benachrichtigung muss in klarer, verständlicher Sprache erfolgen und mindestens die Art der Verletzung, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen und die ergriffenen Abhilfemaßnahmen enthalten.

Schritt 6: Nachverfolgung und Abschlussdokumentation. Nach der DSB-Meldung: verfolgen Sie die Korrespondenz mit der DSB aktiv; ergänzen Sie die Meldung, sobald neue Informationen vorliegen (Art. 33 Abs. 4 DSGVO); dokumentieren Sie alle getroffenen Verbesserungsmaßnahmen im internen Verletzungsprotokoll; prüfen Sie, ob Strafanzeige bei Bundeskriminalamt (BK) oder CERT.at sinnvoll ist (bei vorsätzlichen Cyberangriffen).

Die Datenschutzverletzung-Meldepflicht in Österreich ergibt sich aus einem Zusammenspiel europäischer und nationaler Rechtsvorschriften, die für alle österreichischen Verantwortlichen verbindlich gelten.

DSGVO Art. 33 (EU-Verordnung 2016/679): Die Grundnorm der Meldepflicht ist Art. 33 DSGVO, der unmittelbar in ganz Österreich gilt. Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, Datenschutzverletzungen, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, innerhalb von 72 Stunden nach Kenntnisnahme an die Datenschutzbehörde (DSB) zu melden. Art. 33 Abs. 5 DSGVO: Alle Verletzungen — auch die nicht meldepflichtigen — sind intern zu dokumentieren. Art. 34 DSGVO: Bei hohem Risiko für die betroffenen Personen ist diese direkt zu benachrichtigen.

DSG §22 (Datenschutzgesetz, BGBl I Nr. 165/1999 idgF der DSGVO-Anpassung 2018): Das österreichische DSG konkretisiert die DSGVO-Vorgaben und regelt die Zuständigkeit der Datenschutzbehörde (DSB) als österreichische Aufsichtsbehörde nach Art. 51 DSGVO. §22 DSG bestätigt die Bußgeldkompetenz der DSB und legt das österreichische Verwaltungsstrafverfahren für Verstöße gegen die DSGVO fest. Die DSB kann Bescheide und Straferkenntnisse erlassen, die beim Bundesverwaltungsgericht (BVwG) und in weiterer Folge beim Verwaltungsgerichtshof (VwGH) bekämpft werden können.

Art. 83 DSGVO — Bußgeldsystem: Bei Verstoß gegen die Meldepflicht nach Art. 33 DSGVO kann die DSB Geldbußen bis zu €10.000.000,00 oder 2 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 4 DSGVO). Bei schwerwiegenderen Verstößen — z.B. systematischer Vertuschung oder Missachtung grundlegender Datenschutzpflichten — gelten Bußgeldrahmen bis zu €20.000.000,00 oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO).

Sektorspezifische Sonderregeln: Im Gesundheitsbereich gilt ergänzend das Gesundheitstelematikgesetz (GTelG, BGBl I Nr. 179/2004 idgF), das spezifische Datenschutzvorgaben für Gesundheitsdaten enthält. Für Finanzdienstleister gelten zusätzlich die Vorgaben der Finanzmarktaufsicht (FMA) nach BWG (Bankwesengesetz, BGBl Nr. 532/1993) und WAG 2018 (Wertpapieraufsichtsgesetz, BGBl I Nr. 60/2018). Telekommunikationsanbieter unterliegen dem TKG (Telekommunikationsgesetz 2021, BGBl I Nr. 190/2021) mit eigenständigen Datenschutzpflichten nach §98 TKG.

Bei der Datenschutzverletzung-Meldung an die Datenschutzbehörde (DSB) Österreich werden regelmäßig Fehler gemacht, die zu Bußgeldern, Reputationsschäden oder der Verschlechterung der Rechtsposition gegenüber der DSB führen.

Versäumte 72-Stunden-Frist: Der häufigste und schwerwiegendste Fehler ist das Verstreichen der 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO. Die Frist beginnt mit der Kenntnisnahme des Verantwortlichen — nicht mit der vollständigen Aufklärung des Vorfalls. Unternehmen ohne einen klaren internen Meldeweg (Incident-Response-Plan) erkennen Datenschutzverletzungen oft erst Tage nach dem Ereignis. Empfehlung: Einen internen Meldepfad einrichten, auf dem alle Mitarbeiter Datenschutzvorfälle sofort an die Datenschutzverantwortlichen (DSB-Kontaktstelle) melden müssen.

Fehlende interne Dokumentation: Nach Art. 33 Abs. 5 DSGVO sind auch nicht meldepflichtige Verletzungen intern zu dokumentieren. Viele österreichische Unternehmen vernachlässigen diese Pflicht. Bei einer DSB-Prüfung (Amtswegsprüfung nach §30 DSG) fehlt dann der Nachweis, dass das Unternehmen Datenschutzverletzungen ordnungsgemäß bewertet und nicht gemeldet hat, weil kein meldungspflichtiges Risiko bestand.

Unvollständige oder fehlerhafte Risikobeurteilung: Ob eine Verletzung meldepflichtig ist, hängt davon ab, ob sie „voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen“ darstellt. Viele Verantwortliche unterschätzen dieses Risiko und melden nicht — oder überschätzen es und lösen unnötige Meldekaskaden aus. Die DSB stellt auf ihrer Website (dsb.gv.at) Leitfäden und Entscheidungstools zur Risikobewertung bereit.

Unterlassene Betroffenen-Benachrichtigung: Bei einem hohen Risiko nach Art. 34 DSGVO muss auch die betroffene Person direkt informiert werden. Viele Verantwortliche melden pflichtgemäß an die DSB, vergessen aber die direkte Benachrichtigung der Betroffenen — was zu gesonderten Bußgeldern führen kann. Die DSB Österreich hat in mehreren Entscheidungen (z.B. DSB D155.027/0009-DSB/2019) klargestellt, dass die Benachrichtigungspflicht nach Art. 34 DSGVO parallel zur DSB-Meldepflicht besteht.

Nicht auffindbarer Auftragsverarbeitungsvertrag: Ist die Datenschutzverletzung bei einem Auftragsverarbeiter (Cloud-Anbieter, IT-Dienstleister) eingetreten, muss dieser unverzüglich melden (Art. 33 Abs. 2 DSGVO). Viele österreichische Unternehmen haben keinen vollständigen AV-Vertrag nach Art. 28 DSGVO und können daher die Meldepflicht und Meldefristen des Auftragsverarbeiters nicht rechtlich durchsetzen.