Interne Meldung bei Datenschutz-Vorfällen

Interne Meldung bei Datenschutz-Vorfällen

13.09.2021

Liebe Kolleginnen und Kollegen,

Datenschutz- und Informationssicherheits-Vorfälle/Data-Breaches passieren sehr schnell. Wenn etwas passiert, machen Sie bitte umgehend eine interne Meldung (innerhalb von 1 Stunde).

Dies ist erforderlich, da bei schwerwiegenden Verstößen innerhalb von 72 Stunden eine Meldung an die Datenschutzbehörde erfolgen muss – selbst an Wochenenden, Feiertagen etc. – Datenschutz gilt immer. Diese Meldung an die Behörde erfolgt durch den Datenschutzbeauftragten. Reden Sie daher bitte niemals direkt mit der Datenschutzbehörde! Nur bei sehr schwerwiegenden Verstößen müssen wir auch die betroffene Person kontaktieren.


Was sind derartige Datenschutz-Vorfälle, bei denen eine interne Meldung erfolgen muss?

  • Sie haben Ihren Firmen-Laptop, einen USB-Stick mit Firmendaten, Ihr Firmenhandy oder Unterlagen verloren.
  • Es ist die falsche Person bei meinVAV eingetragen und diese hat Zugriff auf die Daten einer anderen Person.
  • Sie haben eine E-Mail oder einen Brief an die falsche Person verschickt.
  • Sie haben eine E-Mail erhalten, die einen Vorfall andeutet? Z.B. Kundendaten oder Zugangsdaten wurden veröffentlicht.
  • Es wurde eingebrochen oder etwas gestohlen?
  • Hacking, Spionage, Sabotage von IT-Systemen
  • Im System wurden Daten falsch zugeordnet? Z.B. Schadenakt wurde beim falschen Kunden zugeordnet.
  • Vernichtung von alten Unterlagen mit personenbezogenen Daten im Altpapier (statt in den silbernen Containern).
  • Daten versehentlich gelöscht.


Was sind derartige Informationssicherheits-Vorfälle, bei denen eine interne Meldung erfolgen muss?

  • Sicherheitsvorfälle bei Vertriebspartnern - bei diesen sind insbesondere Auswirkungen auf die VAV durch z.B. E-Mails, Schnittstellen und Zugangsdaten zu IT-Systemen zu prüfen.
  • Auftreten von Schadsoftware z. B.:
    • Kryptotrojaner
    • Kryptominer
  • kriminelle Handlungen z. B.:
    • SPAM-Versand durch VAV
    • „CEO-Fraud“
    • APT
    • De-Facing/Übernahme Website
    • Übernahme Twitter/Facebook/Youtube/Vimeo/google+-Account
    • Akten und sonstige Speichermedien gestohlen
    • Sabotage / Innentäter (Diskreditierung (falsche Spuren))
    • Erpressung von Personen aufgrund gestohlener Daten
    • Einbruch in Gebäude/Räumlichkeiten der VAV
  • Technologien mit schweren Sicherheitslücken (z. B. Spectre/Meltdown)
  • Gebrochene Krytoverfahren
  • Überschwemmungen, Feuer, oder sonstige Umwelteinflüsse, insbesondere in den Archivräumen oder Serverräumen
  • Verlust zentraler Schlüssel

Im Zweifelsfall geben Sie bitte lieber eine interne Meldung ab oder rufen Sie kurz an.

Denn eine Meldung an die Datenschutzbehörde ist nicht so schlimm, wie von der Datenschutzbehörde aufgrund eines nicht gemeldeten Vorfalls kontaktiert zu werden.


Melden Sie bitte den Datenschutz-Vorfall an die erste verfügbare Person (sonstige Termine haben in dieser heiklen Situation immer Nachrang):

  1. Datenschutz- und Informationssicherheitsbeauftragter - Mag. (FH) Thomas Pinka - DW: 519 | +43 664.811 53 82
  2. Leitung Compliance & Recht - Nedim Hasakovic - DW: 347
  3. Leitung IT, BO & FM - Gerhard Steinwendter - DW: 245
  4. Leitung der Fachabteilung(en), in der der Datenverlust eventuell aufgetreten ist
  5. Sonstige fachlich qualifizierte Person (insbesondere Datenschutzexperten)
  6. Wenn voraussichtlich keine der vorher genannten Personen innerhalb von 24 Stunden erreicht werden können (z.B. aufgrund Wochenende), ist der Vorstandsvorsitzende oder ein anderes Vorstandsmitglied unverzüglich über den Datenverlust zu informieren.


Melden Sie bitte den Informationssicherheits-Vorfall an die erste verfügbare Person:

  1. Bestellter Informationssicherheitsbeauftragter – Mag. (FH) Thomas Pinka – DW: 519 | +43 664.811 53 82
  2. Bestellter Datenschutzbeauftragter – Mag. (FH) Thomas Pinka – DW: 519 | +43 664.811 53 82
  3. Ressortleiter IT/BO/FM - Gerhard Steinwendter - DW: 245
  4. Gruppenleiter IT oder FM  
  5. Mitarbeiter IT oder FM
  6. Sonstige fachlich qualifizierte Person

Wenn Sie die Meldung anonym durchführen wollen, füllen Sie bitte das Meldeformular aus und senden dieses per Hauspost direkt an eine der oben genannten Personen.

Nehmen Sie bitte niemals direkt Kontakt mit der Datenschutzbehörde auf!

Hier finden Sie die aktuelle Richtlinie für Datenverlust/Data Breach.
Hier finden Sie die aktuelle Arbeitsrichtlinie Sicherheitsvorfall.

Bei etwaigen Fragen stehe ich Ihnen gerne zur Verfügung.
Im Zweifelsfall bitte beide Meldeketten in Gang setzen!

Kommen Sie sicher durch den Tag!

Mag. (FH) Thomas Pinka

Zum Newsarchiv