Spätestens ab dem Zeitpunkt der Verständigung von einem Data Breach per E-Mail hat die betroffene Person ein ausreichendes Problembewusstsein entwickelt und muss von einer persönlichen Betroffenheit ausgehen.

BVwG 11.03.2025, W211 2293097-1. Die betroffene Person sieht sich in ihrem Recht auf Geheimhaltung und die Pflicht zur Benachrichtigung verletzt und erhob 2021 Beschwerde an die Aufsichtsbehörde. Durch einen Hackerangriff im Jahr 2019 sei ihre E-Mailadresse unbefugt zugänglich geworden. Die Verantwortliche argumentiert, alle erforderlichen technischen und organisatorischen Maßnahmen gesetzt zu haben. Nach dem Hackerangriff sei die Aufsichtsbehörde fristgerecht informiert worden. Die Öffentlichkeit habe durch eine öffentliche Bekanntmachung auf der Webseite und Medienberichte davon Kenntnis erlangt. Ferner seien alle Nutzer per E-Mail zur Passwortänderung aufgefordert worden. Dementsprechend sei das Beschwerderecht präkludiert.

Öffentliche Bekanntmachung reicht nicht.

Die öffentliche Bekanntmachung eines Data Breach über die eigene Webseite reicht allein nicht aus, um die betroffene Person in Kenntnis des Vorfalles zu versetzen.

Zeitpunkt der Kenntnis vom Data Breach.

Spätestens aufgrund einer persönlichen Verständigung über einen Data Breach per E-Mail muss die betroffene Person einen begründeten Verdacht entwickeln, betroffen zu sein.