Benachrichtigungen gemäß Art 34 EU-DSGVO sind im weiteren Verlauf stufenweise zu ergänzen.
Austria. Bundesverwaltungsgericht. Gegenstand der Entscheidung war eine Sicherheitslücke auf einem Testserver. Dadurch konnte eine sehr hohe Anzahl an personenbezogenen Daten durch einen unberechtigten Eindringling entwendet wurden. Die Daten wurden später im Darknet zum Verkauf angeboten.
Der Vorfall ereignete sich bereits 2020. Die Verantwortliche hatte Datensätze an einen IT-Dienstleister übermittelt, der mit der Erstellung einer CRM-Software beauftragt war und die Datensätze für Tests verwenden sollte. Menschliches Versagens zu verdanken, wurde eine Netzwerkschnittstelle durch einen Mitarbeiter des IT-Dienstleisters nicht wieder geschlossen, wodurch der Eindringling unberechtigten Zugang zu den Datensätzen erhielt. Die Datenbank war weder durch Authentifizierungssysteme noch durch Verschlüsselung geschützt. Die Verantwortliche notifizierte nach Art 33 EU-DSGVO an die Aufsichtsbehörde. Ferner wurde über Mitteilung der Austria Presse Agentur über den Vorfall informiert.
Das aufgrund der Notifizierung eröffnete Prüfverfahren gegen die Verantwortliche wurde von der Aufsichtsbehörde formlos eingestellt. Dennoch erhob im April 2023 eine betroffene Person Beschwerde an die Aufsichtsbehörde in diesem Zusammenhang. Die Verantwortliche habe gegen die Grundsätze der Datenverarbeitung und die Benachrichtigungspflicht nach Art 34 EU-DSGVO verstoßen sowie die betroffene Person in ihrem Recht auf Geheimhaltung nach § 1 AT-DSG 2018 verletzt.
Dem folge die Aufsichtsbehörde nach ausgedehnten Ermittlungen und stellte fest, die Verantwortliche haben gegen Art 32 EU-DSGVO verstoßen, weil die Sicherheitsvorkehrungen für den Testserver nicht dem Stand der Technik entsprachen. Ferner bemängelte die Behörde, dass die Verantwortliche keine ausreichenden Kontrollmechanismen installiert hatte, um die ordnungsgemäße Datenverarbeitung durch den IT-Dienstleister zu überwachen. Dementsprechend verfing auch das Argument der Verantwortlichen nicht, der Vorfall sei auf einen individuellen Fehler eines Mitarbeiters des IT-Dienstleisters zurückzuführen und ihr deshalb nicht vorwerfbar. Zur Benachrichtigung nach Art 34 EU-DSGVO stellte die Aufsichtsbehörde fest, dass eine allgemeine Mitteilung über die Austria Presse Agentur und auf der Webseite nicht geeignet war, den Anforderungen zu entsprechen.
Auch das mit Parteibeschwerde angerufene Bundesverwaltungsgericht bestätigte die Rechtsansicht der Aufsichtsbehörde. Die Verantwortliche habe zwar eine Auftragsverarbeitungsvereinbarung mit dem IT-Dienstleister abgeschlossen, deren Einhaltung jedoch nicht ausreichend kontrolliert. Auch entspräche der Einsatz von Echtdaten für Testzwecke nicht der gängige Praxis, in Testumgebungen nur mit anonymisierten oder simulierten Daten zu arbeiten. Die von der Verantwortlichen unternommenen Maßnahmen zur Information der betroffenen Personen würden letztlich nicht ausreichen, um die Anforderungen der EU-DSGVO zu erfüllen.
Wichtige Aussagen zur Verantwortlicheneigenschaft:
- Die Feststellung, ob eine Person oder Einrichtung als Verantwortlicher einzustufen ist, bedarf der Prüfung, ob diese Person oder Einrichtung allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob diese durch das nationale Recht vorgegeben werden.
- Die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht kann nicht nur explizit, sondern auch implizit erfolgen, sofern sich diese mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt.
Wichtige Aussagen zum Beschwerderecht:
- Art 77 Abs 1 EU-DSGVO stellt seinem Wortlaut nach nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die EU-DSGVO ab.
- Bei einer Beschwerde an die Aufsichtsbehörde ist anhand sämtlicher fallbezogener Umstände zu prüfen, ob (und bejahendenfalls wann) die betroffene Person Kenntnis von dem beschwerenden Ereignis, hatte oder haben musste.
Wichtigste Aussagen zur Benachrichtigungspflicht bei einem Data Breach:
- An der Pflicht zur Benachrichtigung der betroffenen Person ändert die formlose Einstellung des Verfahrens durch die Aufsichtsbehörde, ohne von ihren Befugnissen nach Art 34 Abs 4 EU-DSGVO Gebrauch zu machen, nichts.
- Benachrichtigungen gemäß Art 34 EU-DSGVO sind im weiteren Verlauf stufenweise zu ergänzen.
Und zum Auskunftsrecht: Die Verantwortliche ist verpflichtet, der betroffenen Person mitzuteilen, dass es (hier) bei einem Auftragsverarbeiter zu einem widerrechtlichen Zugriff auf verarbeitete Daten gekommen ist und diese Daten in der Folge laut den Erkenntnissen der Ermittlungsbehörden im Internet zum Kauf angeboten wurden, weshalb mit hoher Wahrscheinlichkeit eine individuelle Betroffenheit des Anfragers gegeben sein wird.