Zum Inhalt springen

Datenpanne

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 25. Februar 2026 um 10:58 Uhr durch imported>Millbart (Revert auf Version von Benutzer:Holmium (07:43 Uhr, 26. Januar 2026). Grund: bitte künftig ohne Kanzlei-Spam, siehe WP:Belege).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Vorlage:Hinweisbaustein Eine Datenpanne oder ein Datenleck ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten (Datenverlust) ein.<ref>Vgl. Datenpannen: Melde- und Benachrichtigungspflichten nach DS-GVO und BDSG (3. Auflage). DGG, abgerufen am 5. Oktober 2021.</ref>

Definitionen

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:<ref name="hrm">Richtlinie zum Abfluss von Informationen an Dritte. In: hrm.de. Februar 2010, archiviert vom Vorlage:IconExternal am 11. Oktober 2011; abgerufen am 29. August 2024.</ref>

  • bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss),
  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • Angriffe auf die IT-Infrastruktur eines Unternehmens.

Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten). Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter, sondern werden von diesen veröffentlicht.

Der US-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:

The term “data breach” means the loss, theft, or other unauthorized access, other than those incidental to the scope of employment, to data containing sensitive personal information, in electronic or printed form, that results in the potential compromise of the confidentiality or integrity of the data.<ref name="fisma5727">U.S. Code § 5727 (Title 38, Part IV, Chapter 57, Subchapter III). Cornell University, abgerufen am 4. Oktober 2011 (englisch).</ref>
(Eine Datenpanne bezeichnet den Verlust, Diebstahl oder unberechtigten Zugriff, sofern dieser nicht ein Beschäftigungsverhältnis betrifft, von/auf Daten, welche sensible persönliche Informationen in elektronischer oder gedruckter Form enthalten, insofern dieser die Vertraulichkeit oder Integrität der Daten gefährdet.)

Bis 2018 enthielt das Bundesdatenschutzgesetz in § 42a eine indirekt Definition der Datenpanne durch die Informationspflicht. Demnach lag eine Datenpanne nur vor, wenn

1. besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind […]

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 ist die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO definiert, als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Rechtliche Bedeutung

In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom Image abzuwenden.

Situation in der Europäischen Union

Durch das Telekom-Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet, die nationalen Regulierungsbehörden über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.<ref name="heise-ct2509">Stefan Krempl: Brüssel schnürt Telecom-Paket. C’t, 2009, abgerufen am 7. Oktober 2011.</ref>

Seit dem 25. Mai 2018 gibt es eine Meldepflicht für Datenpannen gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten.

Situation in Deutschland

Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen vor, sofern personenbezogene Daten betroffen sind.<ref name="bdsg42a">§ 42a BDSG</ref> Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig.<ref name="bdsg43-2">§ 43 Absatz 2 BDSG</ref> Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen.<ref name="bdsg43-3">§ 43 Absatz 3 BDSG</ref> In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden.<ref name="bdsg43-3" /><ref name="bdsg44-1">§ 44 Absatz 1 BDSG</ref> Behörden sind bisher von der Informationspflicht ausgenommen.

Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete IT-Sicherheitsmaßnahmen vorzubeugen.<ref name="ponemon">2010 Annual Study: German Cost of a Data Breach. (PDF; 2,6 MB) Ponemon Institute, 2019, abgerufen am 12. Oktober 2011 (englisch).</ref>

Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen.<ref>EU-Datenschutz-Grundverordnung (DS-GVO). (PDF) Bayerisches Landesamt für Datenschutzaufsicht, Februar 2011, abgerufen am 11. Juni 2019.</ref> In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, zeitnah (in der Regel innerhalb von 72 Stunden<ref>Thomas Steinle: DSGVO Meldepflicht bei Datenpannen. (html) it-rechtsanwalt.com, 2019, abgerufen am 11. Juni 2019.</ref>) an die zuständige Aufsichtsbehörde zu melden.

Situation in Österreich

Auch das österreichische Datenschutzgesetz 2000 sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“.<ref name="dsg24-2a">§ 24 Absatz 2a DSG</ref> Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.<ref name="dsg52-2">§ 52 Absatz 2 DSG</ref>

Situation in anderen Ländern

In den Vereinigten Staaten müssen die Betroffenen in allen Bundesstaaten, außer Alabama, Kentucky, New Mexico und South Dakota, über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.<ref name="ncsl">National Conference of State Legislatures: State Security Breach Notification Laws. In: ncsl.org. Archiviert vom Vorlage:IconExternal am 11. Juni 2013; abgerufen am 29. August 2024 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>

Datenpannen erkennen

Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese herangetragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von Serverlogs, Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten Meldeweg geben.<ref name="hrm" /><ref name="ds-praxis">Oliver Schonschek: Datenverlust vermeiden: Datenpanne – und jetzt? In: Datenschutz PRAXIS. WEKA MEDIA, archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am 3. September 2011; abgerufen am 12. Oktober 2011.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.datenschutz-praxis.de</ref> Um die Gefahr von Datenpannen zu verringern, empfiehlt es sich, komplexe Passwörter zu wählen, Sicherheitsupdates regelmäßig zu installieren und die Zwei-Faktor-Authentifizierung, sofern vorhanden, zu aktivieren.

Folgen

Datei:Data breach average cost germany.svg
Durchschnittliche Kosten einer Datenpanne in Deutschland (nach Ponemon-Studie<ref name="ponemon" />)

Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem Whistleblowing wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.

Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie,<ref name="ponemon" /> in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.<ref name="bdsg42a" /><ref name="ponemon" />

Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von Identitätsdiebstahl. Die Daten werden dafür gegebenenfalls von Kriminellen durch Phishing angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.

Eine Studie der Technischen Universität München (TUM) aus 2022 zeigt am Beispiel von börsennotierten US-Firmen, dass viele Unternehmen gezielt planten, wann sie den Verlust sensibler Kundendaten veröffentlichen. So meldeten börsennotierten US-Firmen Datenlecks bevorzugt an Tagen, an denen andere Nachrichten die Schlagzeilen in den Medien dominierten. Damit vermieden sie stärkere Kursverluste am Aktienmarkt, riskierten aber größere Schäden.<ref>idw: Firmen melden Datenlecks an Nachrichten-starken Tagen. 24. November 2022

Originalpublikation:

Jens Foerderer, Sebastian Schuetz: Data Breach Announcements and Stock Market Reactions: A Matter of Timing? Management Science 2022.

DOI:10.1287/mnsc.2021.4264</ref>

Siehe auch

Weblinks

Wiktionary: Datenpanne – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

<references responsive />

Vorlage:Hinweisbaustein

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Datenpanne&oldid=2443357