Datenpannen kommen in Unternehmen häufiger vor, als bekannt ist. In der Vergangenheit blieben viele davon allerdings ohne Reaktion – seitens der Mitarbeiter:innen oder sogar der Unternehmensführung. Das Bewusstsein oder das technische Verständnis dafür fehlte, wann überhaupt eine Datenpanne vorliegt.
Gleichzeitig sah die EU-Datenschutzrichtlinie von 1995 bis in das Jahr 2018 weniger strenge Sanktionen beim laxen Umgangs mit sensiblen Daten vor, wie zum Beispiel mit denen von Kund:innen. Zudem mussten die Mitgliedsstaaten die Richtlinie erst in nationale Gesetze übertragen, was Deutschland im Rahmen des Bundesdatenschutzgesetzes nur unzureichend umsetzte.
Die Einführung der EU-weiten Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ist hingegen EU-weit bindend. Seitdem hat sich das Bewusstsein für und der Umgang mit Datenpannen verbessert. Dies liegt unter anderem daran, dass die Regelungen erheblich schärfer sind, nach denen Unternehmen oder andere Organisationen mit personenbezogenen Daten umgehen dürfen.
Nun drohen ernsthafte juristische und finanzielle Konsequenzen, wenn ein Unternehmen oder eine andere Organisation die Bestimmungen der DSGVO und Maßnahmen zur Data Loss Prevention, also dem Schutz vor Datenverlust, nicht ernst nehmen. Zu diesem Zweck definiert die DSGVO sehr deutlich, wann eine Datenpanne vorliegt. Eine Datenpanne ist eine
„Verletzung des Schutzes personenbezogener Daten“: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Artikel 4, Nummer 12, Datenschutz-Grundverordnung.
Dabei ist allerdings nicht automatisch jede Datenpanne im Sinne der DSGVO relevant. Kommt es zur versehentlichen Weitergabe oder Veröffentlichung von nicht personenbezogenen Daten, bleibt dies in Bezug auf die DSGVO rechtlich ohne Konsequenzen.
Gleichwohl kann es andere finanzielle und juristische Auswirkungen nach sich ziehen, die ebenso geschäftsschädigend sein können. Beispiele dafür sind die versehentliche Veröffentlichung von in der Entwicklung befindlichen Produkten oder die Weitergabe von internen Informationen bei der Zusammenarbeit mit Geschäftspartnern.
Beispiele für Datenpannen
Übliche Datenpannen sind unter anderem:
die unverschlüsselte Weiterleitung von Daten in E-Mails oder anderen Systemen, wie etwa im Customer-Relationship-Management (CRM),
die bewusste oder versehentliche Veröffentlichung personenbezogener Daten,
der Datenverlust durch ein entwendetes oder verlorenes Speichermedium (wie Speicherkarten, USB-Sticks, Festplatten),
die missbräuchliche Verwendung von Zugriffsrechten,
der unberechtigte Zugang zu Unternehmensdaten durch Dritte,
der Zugriff auf Daten durch Cyberkriminelle, wie etwa durch Schadsoftware oder Phishing-Angriffe,
die fehlerhafte Löschung beziehungsweise Entsorgung von Speichermedien.