Data Breaches in Österreich & die Reaktion der DSB

Auf dieser Seite finden Sie Beispiele für Datenschutzverletzungen, die in Österreich passiert sind, und auch die Reaktion der DSB auf die Meldung der Data Breaches.

 

Wir wollen versuchen, durch diese Beispiele den Verantwortlichen ein "Gefühl" zu vermitteln, wann

 

  • ein Data Breach nur zu dokumentieren ist, da er kein Risiko für die betroffenen Personen darstellt (Art 33 Abs 5 DSGVO) 
  • der Datenschutzbehörde (unverzüglich, möglichst binnen 72 h) zu melden ist, da ein Risiko für die betroffenen Personen gegeben ist (Art 33 DSGVO)

  • auch die betroffenen Personen zu informieren sind, da ein hohes Risiko für diese verwirklicht werden könnte (Art 34 DSGVO).

Bei einem Verantwortlichen kam es zu einem Hack einer E-Mail-Adresse.

 

Der "Hacker" versendete mehrere hundert E-Mails als Phishing-E-Mails an das Adressbuch des Account-Inhabers.

 

Das Phishing-E-Mail war derart dilettantisch, dass jedem/r Empfänger/in klar sein musste, dass das E-Mail nicht vom Versender ist. 

kein Risiko -> keine Meldung an die DSB, jedoch Dokumentation durch den Verantwortlichen (Art 33 Abs 5 DSGVO).


Eine Bank versendet Depotauszüge per Post. Eine Kundin erhält diesen in einem nicht verklebten Kuvert Von der der möglichen "Offenlegung" sind daher Adressdaten und Bankdaten betroffen.

 

Die Meldung an die DSB wurde erstattet, und umgehend kam die Information, dass der Verantwortliche alle notwendigen Maßnahmen getätigt hatte, um das Risiko zu minimieren.

 

Der letzte Absatz der Entscheidung der DSB lautet wie folgt:


E-Mail-Account eines Mitarbeiters des Verantwortlichen wird gehackt, und es werden mehrere hundert E-Mails versendet. Ziel dieses Phishing-E-Mails war es, die Empfänger zu einer "Registrierung" zu bewegen, und damit deren Usernamen und Passwort zu erfahren, und dann mißbräuchlich zu verwenden. 

 

Der Verantwortliche hat den Vorfall gem Art 33 DSGVO gemeldet, und davor die E-Mail-Empfänger informiert, dass es sich um ein Phishing-E-Mail gehandelt hat. Die Behörde hat das Verfahren eingestellt, jedoch mitgeteilt, dass uU eine Datenschutzprüfung erfolgen wird.

 

Ein Mitarbeiter eines Verantwortlichen verliert ein Mobiltelefon mit beruflichen Daten (E-Mails, Kontaktdaten).

 

Leider dauerte es von Juli bis Mitte September, bis der Mitarbeiter dies meldete. Erst Mitte September konnten daher die Daten auf dem Mobiltelefon gelöscht werden (über das Mobile Device Management).

 

Maßnahmen: Es wurden alle Mitarbeiter*Innen noch einmal darauf hingewiesen, dass derartige Vorfälle intern zu melden sind. Auch wurde eine Meldung bei der DSB gem. Art 33 DSGVO abgesetzt. 

In einem Verfahren, in dem der DSB mitgeteilt wurde, dass bei betroffenen Personen Kontonummern und Ausweise an unbefugte Personen per Email übermittelt wurden, wurde ein Auftrag erteilt, diese betroffenen Personen zu informieren. 


In einem Verfahren (Bescheid veröffentlicht), wurde einem Verantwortlichen, der ein Suchtmittelbuch verloren hatte, aufgetragen, die 150 Personen zu informieren: