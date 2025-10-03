Datenschutzbehörde. Die DSB antwortet wegen Überlastung nicht einmal mehr auf jeden gemeldeten Data Breach. IT-Anwalt Axel Anderl von Dorda hofft auf Abhilfe – die nicht unbedingt etwas kosten müsse.

Österreichs Datenschutzbehörde (DSB) scheint immer mehr überlastet – und jetzt war diese Arbeitsbelastung der DSB sogar Thema im Justizausschuss des Nationalrats: Die DSB ist für die Kontrolle der Einhaltung der Datenschutzregeln nach DSGVO zuständig und hat damit laut den Angaben viel Arbeit, denn von 2017 bis heute habe sich die Zahl der Individualbeschwerden verachtfacht, wie die Behörde den Abgeordneten berichtete. Nun kommen mit dem AI Act und – voraussichtlich – dem EU Data Act noch zusätzliche Aufgabengebiete für die DSB, dabei platzt diese sozusagen schon aus allen Nähten.

Keine Antwort mehr bei Data Breach

Laut Datenschutzbericht 2024 konnte die Datenschutzbehörde den überwiegenden Teil der anhängigen Verfahren im Vorjahr immerhin noch abschließen. So wurden u.a. 2.397 Individualbeschwerden erledigt und es gab 1.066 Anzeigen, von denen 796 erledigt sowie 188 umprotokolliert wurden. Außerdem wurden 1.216 nationale Sicherheitsverletzungen („Data Breaches“) bei der DSB gemeldet, oft im Zusammenhang mit Ransomware.

Allerdings scheint die Behörde angesichts zunehmenden Arbeitsaufwands nicht unbedingt notwendige Tätigkeiten zurückzufahren. „Die Situation bei der DSB hat sich so zugespitzt, dass man inzwischen sogar beim Melden eines Data Breaches an die Behörde keine Rückmeldung mehr bekommt“, warnt Anwalt Axel Anderl, der bei Wirtschaftskanzlei Dorda den Bereich IT/IP/Datenschutz leitet und auch Managing Partner der Kanzlei ist.

Data Breach bedeutet, dass persönliche Daten der Kunden usw. in die Hände von Unbefugten gelangt sind und nun ein Risiko für diese Personen bilden – das kann der sprichwörtliche erfolgreiche Hacker-Angriff auf das Unternehmensnetzwerk sein, oder auch nur ein verlorenes Handy, das aber Kunden-Kontaktdaten enthält. Unternehmen sind gesetzlich verpflichtet, einen solchen Vorfall innerhalb von 72 Stunden an die DSB zu melden.

Das Schweigen der DSB in Reaktion auf einen Data Breach bedeute zwar nicht, dass die Behörde darauf intern nicht reagiert, aber „man bekommt eben kein unmittelbares Feedback mehr, ob die DSB den getroffenen Maßnahmen zustimmt. Ich habe dafür Verständnis, aber die Kommunikation war doch sehr hilfreich – gerade in der Situation eines Data Breaches, die für das betroffene Unternehmen ohnehin schon enorm belastend ist“, so Anderl.

Die DSB soll öfter Nein sagen dürfen

Das Budget der DSB zu erhöhen, sodass die Behörde mehr Datenschützer:innen anheuern kann, ist eine mögliche Reaktion. Neben einer Aufstockung des Personals wäre aber auch anzudenken, der Behörde mehr Spielraum zur Ablehnung oder gesamthaften Erledigung offenbar rechtsmissbräuchlicher Massenanfragen zu geben, schlägt Wirtschaftsanwalt Anderl vor: Diese oft aus datenschutzfernen (zB Herausverlangen von Unterlagen für Zivilprozesse statt datenschutzrechtlicher Kontrolle) oder politischen Gründen (Druckausübung durch Massenanfragen) eingeleiteten Maßnahmen „binden wertvolle Ressourcen“, so Anderl.

Justizministerin Anna Sporrer hat vergangene Woche im Justizausschuss zwar festgehalten, dass derzeit angesichts budgetärer Sparzwänge keine neuen Planstellen bei der DSB geschaffen werden könnten. Allerdings soll der Overflow der DSB in den zuständigen Gremien in der nächsten Zeit erörtert werden. Druck kommt unterdessen von der Opposition (den Grünen) sowie seitens der Organisation noyb von Max Schrems: Laut ihrer Rechnung hat die DSB 2024 in Österreich trotz 3.813 Beschwerden nur 62 Strafen verhängt.

Noch dazu habe die DSB bereits angekündigt, dass sie amtswegige Verfahren nur noch dann einleite, wenn aus einer externen Eingabe „ein hinreichend konkreter Verdacht auf eine schwerwiegende Verletzung der DSGVO bzw. des DSG hervorgeht“. Was in den Augen von noyb bedeutet, dass die DSB Unternehmen von sich aus überhaupt nicht mehr prüfe. Deshalb will noyb eine Beschwerde gegen die Republik Österreich bei der EU-Kommission einreichen.