Datenpannen

Eine Datenpanne ist aus Datenschutzsicht und im Kontext der Datenschutzgrundverordnung (DSGVO) eine

Verletzung des Schutzes personenbezogener Daten

Verletzung bedeutet, dass der notwendige Schutz der Daten nicht sichergestellt werden konnte.

Allgemeine Schutzziele, Schutzbedarf, oder die Schutzbedarfsanforderungen von personenbezogenen Daten sind:

Neben dem Begriff Datenpanne spricht man auch von Datenschutzvorfällen, Datendiebstählen, Datenklau, Datenabflüssen oder Datenlecks. Für Ihr Verständnis wichtig ist: all das sind letztlich Verletzungen des Schutzes personenbezogener Daten.

Wann Datenpannen Sicherheitsvorfälle sind

Manchmal sind Datenpannen auch Sicherheitsvorfälle. Nämlich immer dann, wenn ein unerwünschtes Ereignis mit Auswirkungen auf die Informationssicherheit und / oder den Schutz von personenbezogenen Daten eintritt, und im Weiteren große Schäden nach sich ziehen kann.

Datenpannen sind also ein Teil von Sicherheitsvorfällen. Sie beziehen sich aber „nur“ auf personenbezogene Daten.

Was ist eine Datenpanne und was nicht?

Datenpannen können durch unbeabsichtigte, oder unrechtmäßige Vernichtung von personenbezogenen Daten entstehen. Es liegt immer dann eine Datenpanne vor, wenn die personenbezogenen Daten nicht mehr vorhanden sind, bzw. die Verfügbarkeit nicht mehr sichergestellt ist. (Die Daten sind weg, verschwunden, nicht mehr auffindbar, es kann nicht mehr auf sie zugegriffen werden, usw.)

Dabei spielt es keine Rolle, ob der Verlust absichtlich, oder unbeabsichtigt eingetreten ist. Darunter fällt also beispielsweise auch eine unrechtmäßige Löschung…

Wenn „Leute, die bestimmte personenbezogene Daten nichts angehen“ Kenntnis erhalten, liegt eine unbefugte Offenlegung vor (vgl. unbefugte Kenntnisnahme). Vielleicht war der Grund auch ein unbefugter Zugang?

Daraus könnte dann auch ein Problem mit der Richtigkeit der Daten entstehen. Sobald jemand die Möglichkeit hatte personenbezogene Daten zu manipulieren, und Sie den Ursprung nicht (mehr) nachvollziehen können, ist die Integrität der Daten gefährdet.

Am besten lässt sich die Datenpanne mit ein paar Beispielen verdeutlichen:

  • Entsorgung alter Rechner und Datenträger im Hausmüll / Verkauf auf dem Flohmarkt;
  • Schreddern von Akten, trotz bestehender Aufbewahrungspflicht;
  • unwiederbringliches Löschen von weiterhin benötigten Dateien;
  • Festplattencrash ohne Sicherung / Backup;
  • Ransomwareangriffe / Verschlüsselungstrojaner in der Infrastruktur (kein Zugriff mehr möglich);
  • Akten, Laptop, Smartphone o.ä. gehen verloren oder werden gestohlen (auch Einbruch);
  • E-Mail-Versand an den falschen Empfänger(-kreis);
  • Daten sind öffentlich abrufbar, verfügbar und/oder zugänglich;
  • Zugriff auf den Unternehmensserver, einzelne Dateien und/oder Datenbanken usw.;
  • Hacker dringen in das IT-System ein und machen kopien;
  • Zugangsdaten sind im Internet auffindbar

Wie dargestellt liegt dabei je nach Vorfall eine Beeinträchtigung der Verfügbarkeit, Vertraulichkeit und / oder der Integrität von personenbezogenen Daten (pbD) vor.

Risiko von Datenpannen

Als Faustformel gilt: Je mehr personenbezogene Daten (pbD) in Bewegung sind, desto höher ist die Wahrscheinlichkeit einer Datenpanne.

Gleiches gilt auch für die Zugriffe…

Wann ist eine Datenpanne meldepflichtig?

Entsteht durch einen Datenschutzvorfall, also durch die Verletzung des Schutzes personenbezogener Daten, voraussichtlich ein Risiko, oder sogar ein voraussichtlich hohes Risiko für Betroffene, sieht die DSGVO eine Meldung vor.

Die Meldepflicht besteht gegenüber der jeweils zuständigen Aufsichtsbehörde für Datenschutz. Details zur Meldung von Datenpannen regelt Art. 33 DSGVO.

Bei dem erwähnten hohen Risiko für Betroffene müssen diese sogar benachrichtigt werden. Es besteht also auch eine Benachrichtigungspflicht nach Art. 34 DSGVO.

Zur Veranschaulichung einige Beispiele für Risiken und hohe Risiken:

Risiken physischer Art
  • Gesundheitsgefährdung
 Risiken materieller Art
  • finanzielle Verluste
  • erhebliche wirtschaftliche Nachteile
  • erhebliche gesellschaftliche Nachteile
Risiken immaterieller Art
  • Verlust der Kontrolle über (die eigenen) personenbezogenen Daten
  • Einschränkung der Rechte
  • Diskriminierung
  • Identitätsdiebstahl und/oder -betrug
  • Rufschädigung

Zu beachten ist, das nicht alle Datenpannen der Meldepflicht unterliegen.Nur die mit voraussichtlichen Risiken oder hohen Risiken zu melden.

Wie wird das Risiko einer Datenpanne bestimmt?

Um das Risikos eines Datenschutzvorfalls zu bestimmen führen Sie am Besten eine Risikobewertung durch. Entscheidend bei der Bewertung ist, ob eines oder mehrere der genannten Risiken drohen könnten.

Datenpannen vorbeugen

Damit es erst gar nicht zu einem Datenschutzvorfall kommt, treffen Sie geeignete Maßnahmen zur Vorbeugung. Diese könenn entweder technisch, oder organisatorisch sein. Sie minimieren Risiken und vermeiden Melde- und Benachrichtigungspflichten.

Maßnahmen zur Vorbeugung von Datenpannen:

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Exchange Server kritische SicherheitslückenIT-Security Exchange-ServerDSGVO im Praxistest