Der Verantwortliche meldete eine Ransomware-Attacke vom 06.03.2020 als Datenschutzverletzung iSd Art 33 DSGVO erst am 24.4.2023, sohin mehr als 1 Monat später, und offensichtlich nur, um eine Versicherungsabwicklung zu ermöglichen.
Auf Aufforderungen der Datenschutzbehörde, weitere konkrete Angaben zu machen, reagierte der Verantwortliche unzureichend, und gab keine weiteren Informationen zu den betroffenen Personen, den Datenkategorien, den getroffenen Maßnahmen und zur Risikoeinschätzung bekannt.
Die DSB forderte den Verantwortlichen unter Hinweis auf ein drohendes Verwaltungsstrafverfahren zur Mitarbeit auf, und der Verantwortliche reagierte nur mit einer Leer-Meldung.
Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein, und stellte fest, dass
1. der Verantwortliche gegen die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 und 3 DSGVO verstoßen hat, indem er der Datenschutzbehörde am 24.04.2023 per E-Mail eine Sicherheitsverletzung, die seit 06.03.2023 (18:30 Uhr) bekannt war, verspätet meldete und darüber hinaus die Informationen zur Sicherheitsverletzung im Rahmen der Meldung auf allgemein gehaltene Angaben beschränkte, da er mit der Meldung lediglich seine Versicherung zufriedenstellen wollte, um den behaupteten Schaden ersetzt zu bekommen.
2. der Beschuldigte in seiner Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO im Zeitraum vom 24.04.2023 bis zumindest 05.06.2023 gegen die Pflicht zur Zusammenarbeit mit der Datenschutzbehörde (als zuständige Aufsichtsbehörde) gemäß Art. 31 DSGVO verstoßen, indem er Aufforderungen zur Stellungnahme im Rahmen des Sicherheitsverletzungs-Verfahrens nicht entsprach.
Die DSB verhängte gegen den Verantwortlichen eine Geldstrafe von EUR 5.900,--
Den Volltext der Entscheidung der DSB vom 12.12.2023 (2020-0-063.142) inkl der bemerkenswerten Stellungnahmen des Verantwortlichen finden Sie bei unserem Kooperationspartner Gesetzefinden.at
Kommentar schreiben