Nach Art. 34 Abs. 1 DSGVO muss man betroffene Personen nur über einen Datenschutzvorfall informieren, wenn dieser ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Es bedarf demnach einer Prognoseentscheidung, ob ein hohes Risiko für die Betroffenen besteht. Allerdings ist eine Bewertung schwierig, da die DSGVO nicht konkret differenziert, nach welchen Kriterien sich die Einordnung unter „kein Risiko“, „einem durchschnittlichen Risiko“ und „einem hohen Risiko“ bemisst.
Beachten Sie, dass Sie den Datenschutzvorfall bereits bei Bestehen eines normalen Risikos an die Aufsichtsbehörde melden müssen! Die betroffene Person ist allerdings erst darüber zu informieren, wenn dieser Vorfall ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person mit sich trägt. Erforderlich ist in solchen Fällen eine Abwägung zwischen einen Reputationsverlust des Unternehmens und den Betroffenen an einer transparenten Information.
Allerdings kann die Entscheidung der Aufsichtsbehörde nicht ganz nachvollzogen werden, weshalb in diesem Fall die betroffenen Personen nicht informiert werden mussten. Denn immerhin sind Zahlungsinformationen der betroffenen gegenüber Dritter offengelegt worden. Sowie E-Mailadressen mit denen die Hacker Malware oder Phishing-Mails verschicken können. Aus unserer Sicht handelt es sich hierbei um einen Datenschutzvorfall, der eine Meldepflicht sowohl bei der Aufsichtsbehörde als auch bei den betroffenen Personen auslöst.
Dieser Vorfall zeigt auch, wie wichtig die IT-Sicherheit im Unternehmen ist. Mängel in der IT-Sicherheit können zur Offenlegung von Millionen Datensätzen führen.
Unser IT-Security-Team hilft Ihnen, Risiken zu erkennen und abzuwähren – beispielsweise durch den Aufbau eines ISMS. Kontaktieren Sie uns!