imported>Millbart: Revert auf Version von :Benutzer:Holmium (07:43 Uhr, 26. Januar 2026). Grund: bitte künftig ohne Kanzlei-Spam, siehe WP:Belege

2026-02-25T10:58:46Z

Revert auf Version von Benutzer:Holmium (07:43 Uhr, 26. Januar 2026). Grund: bitte künftig ohne Kanzlei-Spam, siehe WP:Belege

Neue Seite

{{Weiterleitungshinweis|Datenleck|Zum Film aus der Reihe ''Wilsberg'' siehe [[Wilsberg: Datenleck]].}}
Eine '''Datenpanne''' oder ein '''Datenleck''' ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine [[Datenbank|Datensammlung]] erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten ([[Datenverlust]]) ein.<ref>Vgl. {{Internetquelle |url=https://www.gdd.de/aktuelles/startseite/gdd-ratgeber-datenpannen-in-dritter-voellig-ueberarbeiteter-auflage-veroeffentlicht |titel=Datenpannen: Melde- und Benachrichtigungspflichten nach DS-GVO und BDSG (3. Auflage) |hrsg=[[Gesellschaft für Datenschutz und Datensicherheit|DGG]] |abruf=2021-10-05}}</ref>

== Definitionen ==
Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder [[personenbezogene Daten]] Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:<ref name="hrm">{{Internetquelle| url=http://www.hrm.de/hrm/arbeitshilfen/mustertexte/index.html| titel=Richtlinie zum Abfluss von Informationen an Dritte| abruf=2024-08-29| werk=hrm.de| datum=2010-02| archiv-url=http://archive.today/2013.08.18-074520/http://web.archive.org/web/20111011205553/http://www.hrm.de/hrm/arbeitshilfen/mustertexte/index.html | archiv-datum=2011-10-11| offline= }}</ref>
* bewusste oder unbewusste unbefugte [[Datenverarbeitung#Datenverarbeitung als Rechtsbegriff|Verarbeitung von Daten]] (z. B. Datenabfluss),
* unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
* Angriffe auf die [[IT-Infrastruktur]] eines Unternehmens.
Die Daten können dabei im Original abhandenkommen (z. B. indem [[Datenspeicher|Datenträger]] oder Akten verloren, gestohlen oder falsch [[Datenvernichtung|entsorgt]] werden) oder in Form einer Kopie (z. B. durch [[Cracker (Computersicherheit)|Eindringen]] in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von [[Informant]]en). Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter, sondern werden [[Leak|von diesen veröffentlicht]].

Der US-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:
:: ''The term “data breach” means the loss, theft, or other unauthorized access, other than those incidental to the scope of employment, to data containing sensitive personal information, in electronic or printed form, that results in the potential compromise of the confidentiality or integrity of the data.''<ref name="fisma5727">{{Internetquelle | url=https://www.law.cornell.edu/uscode/usc_sec_38_00005727----000-.html | titel=U.S. Code § 5727 (Title 38, Part IV, Chapter 57, Subchapter III) | abruf=2011-10-04 | hrsg=Cornell University | sprache=Englisch | archiv-url= | archiv-datum= }}</ref>
:: ''(Eine Datenpanne bezeichnet den Verlust, Diebstahl oder unberechtigten Zugriff, sofern dieser nicht ein Beschäftigungsverhältnis betrifft, von/auf Daten, welche sensible persönliche Informationen in elektronischer oder gedruckter Form enthalten, insofern dieser die Vertraulichkeit oder Integrität der Daten gefährdet.)''

Bis 2018 enthielt das [[Bundesdatenschutzgesetz]] in § 42a eine indirekt Definition der Datenpanne durch die [[#Rechtliche Bedeutung|Informationspflicht]]. Demnach lag eine Datenpanne nur vor, wenn

:: ''1. besondere Arten personenbezogener Daten ({{§|3|BDSG|dejure|text=§ 3 Absatz 9}} BDSG),''
:: ''2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,''
:: ''3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder''
:: ''4. personenbezogene Daten zu Bank- oder Kreditkartenkonten''
:: ''unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind […]''

Mit dem Inkrafttreten der [[Datenschutz-Grundverordnung]] (DSGVO) 2018 ist die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO definiert, als ''eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden''.

== Rechtliche Bedeutung ==
In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom [[Image]] abzuwenden.

=== Situation in der Europäischen Union ===
Durch das [[Telekom-Paket]] sind [[Telekommunikationsdiensteanbieter]] dazu verpflichtet, die nationalen [[Regulierungsbehörde]]n über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.<ref name="heise-ct2509">{{Internetquelle | url=https://www.heise.de/ct/artikel/Bruessel-schnuert-Telecom-Paket-862132.html | titel=Brüssel schnürt Telecom-Paket | abruf=2011-10-07 | autor=Stefan Krempl | datum=2009 | hrsg=C’t | archiv-url= | archiv-datum= }}</ref>

Seit dem 25. Mai 2018 gibt es eine Meldepflicht für Datenpannen gemäß {{Art.|33|DSGVO|dejure}} der [[Datenschutz-Grundverordnung]] (DSGVO) in allen Mitgliedstaaten.

=== Situation in Deutschland ===
Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für [[Unternehmen#Privatrechtliche Rechtsformen|Privatunternehmen]] und [[Öffentlich-rechtliches Wettbewerbsunternehmen|öffentlich-rechtliche Wettbewerbsunternehmen]] vor, sofern personenbezogene Daten betroffen sind.<ref name="bdsg42a">{{§|42a|BDSG|dejure|text=§ 42a BDSG}}</ref> Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig.<ref name="bdsg43-2">{{§|43|BDSG|dejure|text=§ 43 Absatz 2 BDSG}}</ref> Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen.<ref name="bdsg43-3">{{§|43|BDSG|dejure|text=§ 43 Absatz 3 BDSG}}</ref> In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden.<ref name="bdsg43-3" /><ref name="bdsg44-1">{{§|44|BDSG|dejure|text=§ 44 Absatz 1 BDSG}}</ref> Behörden sind bisher von der Informationspflicht ausgenommen.

Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete [[IT-Sicherheit]]smaßnahmen vorzubeugen.<ref name="ponemon">{{Internetquelle | url=https://www.symantec.com/content/de/de/about/downloads/press/2010_annual_study.pdf | titel=2010 Annual Study: German Cost of a Data Breach | abruf=2011-10-12 | datum=2019 | format=PDF; 2,6 MB | hrsg=Ponemon Institute | sprache=Englisch | archiv-url= | archiv-datum= }}</ref>

Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen.<ref>{{Internetquelle |url=https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf |titel=EU-Datenschutz-Grundverordnung (DS-GVO) |abruf=2019-06-11 |datum=Februar 2011 |format=PDF |hrsg=Bayerisches Landesamt für Datenschutzaufsicht |sprache=de}}</ref> In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, zeitnah (in der Regel innerhalb von 72 Stunden<ref>{{Internetquelle | url=https://www.it-rechtsanwalt.com/datenschutz/dsgvo-meldepflicht-bei-datenpannen-4874.php | titel=DSGVO Meldepflicht bei Datenpannen | abruf=2019-06-11 | autor=Thomas Steinle | datum=2019| format=html | hrsg=it-rechtsanwalt.com | sprache=de| archiv-url= | archiv-datum= }}</ref>) an die zuständige Aufsichtsbehörde zu melden.

=== Situation in Österreich ===
Auch das österreichische [[Datenschutzgesetz 2000]] sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“.<ref name="dsg24-2a">{{§|24|DSG|RIS-B|DokNr=NOR40113712|text=§ 24 Absatz 2a DSG}}</ref> Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.<ref name="dsg52-2">{{§|52|DSG|RIS-B|DokNr=NOR40113745|text=§ 52 Absatz 2 DSG}}</ref>

=== Situation in anderen Ländern ===
In den [[Vereinigte Staaten|Vereinigten Staaten]] müssen die Betroffenen in allen Bundesstaaten, außer [[Alabama]], [[Kentucky]], [[New Mexico]] und [[South Dakota]], über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.<ref name="ncsl">{{Internetquelle | url=https://www.ncsl.org/default.aspx?tabid=13489 | titel=State Security Breach Notification Laws | abruf=2024-08-29 | autor=National Conference of State Legislatures |werk=ncsl.org | sprache=en | archiv-url=http://web.archive.org/web/20130611214652/http://www.ncsl.org/default.aspx?tabid=13489 | archiv-datum=2013-06-11 }}</ref>

== Datenpannen erkennen ==
Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese herangetragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von [[Logdatei|Serverlogs]], Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten [[Meldeweg]] geben.<ref name="hrm" /><ref name="ds-praxis">{{Internetquelle | url=https://www.datenschutz-praxis.de/fachwissen/fachartikel/datenpanne-und-jetzt | titel=Datenverlust vermeiden: Datenpanne – und jetzt? | abruf=2011-10-12 | autor=Oliver Schonschek | werk=Datenschutz PRAXIS | hrsg=WEKA MEDIA | archiv-url=https://web.archive.org/web/20110903002511/http://www.datenschutz-praxis.de/fachwissen/fachartikel/datenpanne-und-jetzt | archiv-datum=2011-09-03 | offline=ja | archiv-bot=2024-11-22 22:36:12 InternetArchiveBot }}</ref>
Um die Gefahr von Datenpannen zu verringern, empfiehlt es sich, komplexe [[Passwort|Passwörter]] zu wählen, Sicherheitsupdates regelmäßig zu installieren und die [[Zwei-Faktor-Authentisierung|Zwei-Faktor-Authentifizierung]], sofern vorhanden, zu aktivieren.

== Folgen ==
[[Datei:Data breach average cost germany.svg|mini|hochkant=0.7|Durchschnittliche Kosten einer Datenpanne in Deutschland (nach Ponemon-Studie<ref name="ponemon" />)]]
Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem [[Whistleblower|Whistleblowing]] wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.

Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie,<ref name="ponemon" /> in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.<ref name="bdsg42a" /><ref name="ponemon" />

Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von [[Identitätsdiebstahl]]. Die Daten werden dafür gegebenenfalls von Kriminellen durch [[Phishing]] angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.

Eine Studie der [[Technische Universität München|Technischen Universität München (TUM)]] aus 2022 zeigt am Beispiel von börsennotierten US-Firmen, dass viele Unternehmen gezielt planten, wann sie den Verlust sensibler Kundendaten veröffentlichen. So meldeten börsennotierten US-Firmen Datenlecks bevorzugt an Tagen, an denen andere Nachrichten die Schlagzeilen in den Medien dominierten. Damit vermieden sie stärkere Kursverluste am [[Aktienmarkt]], riskierten aber größere Schäden.<ref>[https://idw-online.de/de/news805418 idw: Firmen melden Datenlecks an Nachrichten-starken Tagen.] 24. November 2022

Originalpublikation:

[[doi:10.1287/mnsc.2021.4264|Jens Foerderer, Sebastian Schuetz: Data Breach Announcements and Stock Market Reactions: A Matter of Timing? Management Science 2022.]]

[[DOI:10.1287/mnsc.2021.4264]]</ref>

== Siehe auch ==
* [[Data Loss Prevention]]
* [[Liste von Datendiebstählen]]

== Weblinks ==
{{Wiktionary|Datenpanne}}
* [https://www.datenschutz-praxis.de/pleiten-pech-pannen/dsgvo-datenpannen/ Datenpannen-Meldepflicht nach Datenschutz-Grundverordnung]
* [https://leakchecker.uni-bonn.de Leak Checker – Uni Bonn] – Tool zur Überprüfung auf Betroffenheit einer Datenpanne

== Einzelnachweise ==
<references responsive />

{{Rechtshinweis}}

[[Kategorie:IT-Sicherheit]]
[[Kategorie:Datenschutz]]

Datenpanne - Versionsgeschichte

imported>Millbart: Revert auf Version von :Benutzer:Holmium (07:43 Uhr, 26. Januar 2026). Grund: bitte künftig ohne Kanzlei-Spam, siehe WP:Belege