Die Stadt Wien meldete der Datenschutzbehörde einen Data Breach. Wohl versehentlich wurde von einer Mitarbeiterin ein Foto veröffentlicht, auf dem (wohl als Beiwerk) Gesundheitsdaten einer Patientin zu sehen waren.

Die DSB trug nach drei Monaten bescheidmäßig auf, die Patientin gemäß Art 34 DSGVO zu benachrichtigen. Dies binnen zwei Wochen, was in diesem Einzelfall mit der „unverzüglichen Benachrichtigung“ gleichzusetzen war.

Für den Data Breach und die Benachrichtigung nehmen wir mit:

➡️ Die Pflicht zur Data Breach Meldung trifft nur den Verantwortlichen.
➡️ Der Verlust der Verfügungsmacht oder ein unberechtigter Zugriff durch Dritte, entbinden den Verantwortlichen nicht von der Pflicht.
➡️ Die Benachrichtigung der betroffenen Person kann und muss nachgeholt werden.