Meldepflicht Datenschutzverletzungen elektronische Kommunikation

Gemäß § 95a des Telekommunikations­gesetzes 2003 (TKG 2003) und Artikel 2 Abs. 1 der Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Daten­schutz­richtlinie für elektronische Kommunikation) haben Betreiber öffentlich zugänglicher Kommunikations­dienste (das sind im wesentlichen Tele­kommunikations­unternehmen und Internet-Service-Provider) alle Verletzungen des Schutzes personenbezogener Daten der zuständigen nationalen Behörde zu melden.

Zuständige Behörde in Österreich ist die Datenschutz­behörde (DSB). Zusätzlich kann bei Verletzungen der Netzsicherheit eine Meldung an die Regulierungs­behörde (Rundfunk und Telekom Regulierungs-GmbH - RTR-GmbH) geboten sein (§ 16a TKG 2003).

Bitte beachten: neben Meldungen an die Behörden sind auch Betroffene (Teilnehmer/Kunden und sonstige) ohne unangemessene Verzögerung zu informieren, wenn deren Privatsphäre durch die Datenschutz­verletzung beeinträchtigt wird.

Die DSB stellt ab. 2. Januar 2014 hier für Meldungen ein sicheres elektronisches Mittel (Formular auf einem Server des Dienstleisters Bundes­rechenzentrum Ges.m.b.H.) zur Verfügung. Die entsprechende (HTTPS-) Verbindung ist verschlüsselt. Zum Ausfüllen und Absenden ist eine Identifizierung und Authentifizierung nach den Regeln des österreichischen E‑Government-Gesetzes erforderlich (Bürgerkarte). Nach dem Absenden der Meldung erhalten sie eine PDF-Kopie der Meldung und eine ID-Nummer als Nachweis der Erfüllung der Meldepflicht.

Der Inhalt des Formulars entspricht Anhang I der Verordnung (EU) 611/2013.

Bitte beachten: gesetzlich sind zwei Benachrichtigungen der DSB vorgesehen:

  • Die Erstbenachrichtigung, die grundsätzlich 24 Stunden nach Feststellung der Verletzung erfolgen muss;
  • Die Zweitbenachrichtigung, die spätestens drei Tage nach der Erstbenachrichtigung erfolgen und weitere Angaben enthalten muss.

Im elektronischen Formular erscheint, je nach Auswahl der Art der Benachrichtigung, eine größere oder kleinere Zahl von zwingend auszufüllenden Feldern auf.

Nach Eingang der Meldung entscheidet die DSB über mögliche Maßnahmen, etwa die Einleitung eines entsprechenden Prüfverfahrens.

Bitte beachten: dieses Formular ist für meldepflichtige Unternehmen der Kommunikations­branche bestimmt. Es ist kein Formular für Beschwerden nach § 31 DSG 2000 oder Eingaben an die DSB nach § 30 DSG 2000.