Data Breaches in Österreich & die Reaktion der DSB

Bei einem Verantwortlichen kam es zu einem Hack einer E-Mail-Adresse.

Der "Hacker" versendete mehrere hundert E-Mails als Phishing-E-Mails an das Adressbuch des Account-Inhabers.

Das Phishing-E-Mail war derart dilettantisch, dass jedem/r Empfänger/in klar sein musste, dass das E-Mail nicht vom Versender ist. 

kein Risiko -> keine Meldung an die DSB, jedoch Dokumentation durch den Verantwortlichen (Art 33 Abs 5 DSGVO).

Eine Bank versendet Depotauszüge per Post. Eine Kundin erhält diesen in einem nicht verklebten Kuvert Von der der möglichen "Offenlegung" sind daher Adressdaten und Bankdaten betroffen.

Die Meldung an die DSB wurde erstattet, und umgehend kam die Information, dass der Verantwortliche alle notwendigen Maßnahmen getätigt hatte, um das Risiko zu minimieren.

Der letzte Absatz der Entscheidung der DSB lautet wie folgt:

E-Mail-Account eines Mitarbeiters des Verantwortlichen wird gehackt, und es werden mehrere hundert E-Mails versendet. Ziel dieses Phishing-E-Mails war es, die Empfänger zu einer "Registrierung" zu bewegen, und damit deren Usernamen und Passwort zu erfahren, und dann mißbräuchlich zu verwenden. 

Der Verantwortliche hat den Vorfall gem Art 33 DSGVO gemeldet, und davor die E-Mail-Empfänger informiert, dass es sich um ein Phishing-E-Mail gehandelt hat. Die Behörde hat das Verfahren eingestellt, jedoch mitgeteilt, dass uU eine Datenschutzprüfung erfolgen wird.

Ein Mitarbeiter eines Verantwortlichen verliert ein Mobiltelefon mit beruflichen Daten (E-Mails, Kontaktdaten).

Leider dauerte es von Juli bis Mitte September, bis der Mitarbeiter dies meldete. Erst Mitte September konnten daher die Daten auf dem Mobiltelefon gelöscht werden (über das Mobile Device Management).

Maßnahmen: Es wurden alle Mitarbeiter*Innen noch einmal darauf hingewiesen, dass derartige Vorfälle intern zu melden sind. Auch wurde eine Meldung bei der DSB gem. Art 33 DSGVO abgesetzt.