Das Datenschutzgesetz schreibt vor, dass im Falle von Datenmissbrauch alle Betroffenen informiert werden müssen.
Mit der Novelle 2010 zum Datenschutzgesetz führte Österreich als zweites EU-Land eine Pflicht zur Meldung bei Schäden aufgrund von Hacker-Angriffen ein. Das Gesetz schreibt Unternehmen und öffentlichen Stellen vor, dass sie bei „systematischer und schwerwiegender unrechtmäßiger Verwendung von Daten, bei der den Betroffenen Schaden droht“ die Betroffenen informieren müssen.
USB-Stick verloren
Das bedeutet, dass ein Unternehmen bei Datenklau ihre Kunden informieren müssen. Auch wenn zB ein USB-Stick verloren geht und der Finder das Unternehmen zu erpressen versucht, muss dies einem möglicherweise geschädigten Kunden, Lieferanten etc. mitgeteilt werden.
Wie der Betroffene zu informieren ist, lässt das Gesetz offen. Wenn es möglich ist, sind die Betroffenen direkt mittels Anruf, Brief oder Email zu informieren. Ist das nicht möglich, kann man zB auch über ein Inserat informieren. In den USA sind sogar Fernsehspots vorgesehen.
Da diese Bestimmung einen großen Imageverlust bringen kann, besteht keine Meldepflicht bei geringfügigem Schaden. Was mit „geringfügig“ gemeint ist, lässt der Gesetzgeber offen und ist wohl im Einzelfall zu prüfen.
Tipp: Lassen Sie es gar nicht so weit kommen und bereiten Sie sich für den Ernstfall vor. Vor allem in datensensiblen Branchen (Arzt, Unternehmens- oder Steuerberatung, …) ist eine regelmäßige Kontrolle der IT-Sicherheit – auch durch einen unabhängigen Dritten – dringend anzuraten. Lassen Sie sich bei Datenmissbrauch von einem Datenschutz-Experten (Rechtsanwalt, Wirtschaftskammer) beraten.