Der Begriff „Datenpanne“ bezeichnet ein Ereignis, bei dem Dritte unberechtigt Zugriff auf vertrauliche Daten erhalten. Eine Datenpanne liegt aber auch dann vor, wenn Daten für andere zugänglich sind, diese Personen jedoch (noch) nicht in den Besitz der Daten gelangt sind. Andere Bezeichnungen für eine Datenpanne sind Datenleck oder Datenschutzverletzung.
Eine Datenpanne kann aktiv herbeigeführt werden: etwa durch einen Datendiebstahl oder wenn Mitarbeiter:innen beispielsweise Opfer von Spear Phishing werden und Daten wie Unternehmenspasswörter herausgeben. Besonders häufig im Fadenkreuz von Kriminellen: der Gesundheitssektor. Aber auch das Finanzwesen, Technologiefirmen, Dienstleister und die Industrie sind gefährdet. Doch nicht immer stecken Kriminelle hinter einem Datenverlust. Häufig sind es die eigenen Mitarbeitenden, die mit sensiblen Personendaten fahrlässig umgehen, sie unbewusst an Dritte weitergeben oder in anderer Form gegen den Datenschutz verstoßen.
So kann eine Datenpanne leicht durch Unterlassung oder durch Fahrlässigkeit entstehen: Etwa wenn Sie oder Ihre Mitarbeitenden persönliche Daten unverschlüsselt per E-Mail in ein unsicheres DSGVO-Drittland (Art. 44–50 DSGVO) versenden.
Alle Formen von Datenpannen können im Einzelfall meldepflichtig und mit einer erheblichen Geldbuße belegt sein. Verstöße gegen den Datenschutz sind kein Kavaliersdelikt. Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und dem überarbeiteten Bundesdatenschutzgesetz (BDSG) hat der Gesetzgeber bestehende Regelungen noch einmal deutlich verschärft.
Allein 2024 verhängten die europäischen Datenschutzbehörden Bußgelder in einer Gesamthöhe von rund 1,2 Milliarden Euro gegen Unternehmen aus dem In- und Ausland.
Meldepflicht auch ohne Datenverlust
Meldepflichtig im Sinne der DSGVO ist bereits die grundsätzliche Verletzung des Schutzes persönlicher Daten – unabhängig von der Frage, ob Dritte tatsächlich in den Besitz dieser Daten gelangt sind (Art. 33 DSGVO).
Das Datenschutzrecht unterscheidet grundsätzlich zwischen schützenswerten personenbezogenen Daten und allen anderen Datenarten. Auch nicht personenbezogene Daten können einen gesetzlichen Schutzstatus genießen, beispielsweise durch das Patent-, Marken- oder Urheberrecht. Sie sind aber nicht Gegenstand der DSGVO, die sich allein mit der Sicherheit persönlicher Daten von lebenden, natürlichen Personen befasst. Der Gesetzgeber sieht Unternehmen ebenso wie Privatpersonen und Behörden in der besonderen Pflicht, diese persönlichen Daten jederzeit ausreichend zu schützen. So heißt es in Artikel 5 der DSGVO ausdrücklich: „Personenbezogene Daten müssen […] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet …“. Unternehmen, die persönliche Daten verarbeiten, müssen sich daher fortlaufend über die aktuellen technischen Standards für den Datenschutz informieren. Außerdem müssen sie ihre Daten mittels anerkannt sicherer Verfahren schützen sowie persönliche Informationen gegebenenfalls verschlüsseln. Das betrifft letztlich jedes Unternehmen, das Daten von Kund:innen erfasst oder Mitarbeiter:innen beschäftigt.
Datenschutzverstoß und Datenschutzverletzung
Der Gesetzgeber unterscheidet zwischen der tatsächlichen Datenschutzverletzung, etwa dem Verlust persönlicher Daten, und dem weitergehenden Datenschutzverstoß, also dem Verstoß gegen die Inhalte der DSGVO. Ein solcher Datenschutzverstoß liegt bereits vor, wenn Unternehmen Daten nicht ausreichend verschlüsseln oder gegen Meldepflichten verstoßen. Was viele nicht wissen: Auch der technische Verlust („Dataloss“) von Personendaten ist eine meldepflichtige Datenpanne im Sinne der DSGVO. Beispiele hierfür sind etwa die ungewollte Löschung einer Datenbank oder ein Systemausfall ohne Wiederherstellungsmöglichkeit beispielsweise mittels Cloud-Back-up. Denn persönliche Daten sind ausdrücklich auch „vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ zu schützen – und zwar „durch geeignete technische und organisatorische Maßnahmen“ (Art. 5 DSGVO).
In der Praxis zieht ein solcher meldepflichtiger technischer Datenverlust in der Regel keine Bußgelder nach sich – sofern sicher ausgeschlossen werden kann, dass Daten in den Besitz Dritter gelangt sind. Im Wiederholungsfall können Behörden dies aber als Indiz für einen generell unprofessionellen Umgang mit Daten einordnen und bei zukünftigen Datenschutzverstößen entsprechend berücksichtigen.
Unterschätzte Dunkelziffer
Datenpannen und Datendiebstähle sind viel häufiger, als viele annehmen. Fast jedes Unternehmen ist schon einmal von einer Datenpanne betroffen gewesen oder wird dies in absehbarer Zeit sein. Expert:innen schätzen, dass weltweit jährlich rund eine halbe Milliarde Menschen mit Datenschutzverstößen zu tun haben – viele ohne ihr Wissen.
Vor Inkrafttreten der DSGVO waren viele Datenpannen noch nicht meldepflichtig. Seitdem hat sich das Bewusstsein für und der Umgang mit Datenpannen verbessert. Zudem drohen inzwischen ernsthafte juristische und finanzielle Konsequenzen, wenn ein Unternehmen oder Organisationen die Bestimmungen der DSGVO und Maßnahmen zur Data Loss Prevention nicht ernst nehmen, also dem Schutz vor Verlust personenbezogener Daten. Aber auch der Verlust nicht personenbezogener Daten kann für Unternehmen erhebliche Schäden mit sich bringen. Beispiele dafür sind Industriespionage und die Weitergabe von Informationen aus laufenden Geschäftsverhandlungen.
Beispiele für Datenpannen
Übliche Datenpannen sind unter anderem:
Die unverschlüsselte Weiterleitung von Daten in E-Mails oder anderen Systemen, etwa im Customer-Relationship-Management (CRM)
Die bewusste oder versehentliche Veröffentlichung personenbezogener Daten
Der Datenverlust durch ein entwendetes oder verlorenes Speichermedium wie Speicherkarten, USB-Sticks, Festplatten
Die missbräuchliche Verwendung von Zugriffsrechten
Der unberechtigte Zugang zu Unternehmensdaten für Dritte
Der Zugriff auf Daten durch Cyberkriminelle, etwa mittels Schadsoftware oder Phishing-Angriff Die nicht fachgerechte Löschung beziehungsweise Entsorgung von Speichermedien mit darauf gespeicherten persönlichen Daten
