Icon eines geöffneten Vorhängeschlosses vor einem Foto von Serverracks in einem Serverraum.
Security

Datenpanne: Was tun? Hilfreiche Tipps im Fall der Fälle

Datenpannen gehören immer noch zu den unterschätzten Gefahren für Unternehmen. Ob durch Datendiebstahl oder den falschen Umgang mit vertraulichen Daten: Ein Datenleck kann teuer werden und den Ruf Ihrer Firma zerstören. Wenn dann noch ein Verstoß gegen die gesetzliche Meldepflicht hinzukommt, werden im schlimmsten Fall Geldbußen in Millionenhöhe fällig. Wissen Sie genau, was Sie im Fall einer Datenpanne alles tun müssen?

Verstöße gegen die Gesetze zum Thema Datenschutz sind kein Kavaliersdelikt. Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und dem überarbeiteten Bundesdatenschutzgesetz hat der Gesetzgeber bestehende Regelungen noch einmal deutlich verschärft. Allein 2023 verhängten die europäischen Datenschutzbehörden deshalb Bußgelder in einer Gesamthöhe von mehr als 2 Milliarden Euro gegen Unternehmen aus dem In- und Ausland.

Cyberkriminalität und Datendiebstahl können jedes Unternehmen treffen. Besonders häufig im Fadenkreuz von Kriminellen sind der Gesundheitssektor, aber auch das Finanzwesen, Technologiefirmen, Dienstleister und die Industrie. Dabei stecken nicht immer Kriminelle hinter dem Datenverlust. Häufig sind es die eigenen Mitarbeiter:innen, die mit sensiblen Personendaten fahrlässig umgehen, sie unbewusst an Dritte weitergeben oder in anderer Form gegen den Datenschutz verstoßen.

Dies alles kann teure Folgen haben. So schlägt jede Datenpanne im Schnitt mit mehr als 4 Millionen Euro an Folgekosten zu Buche. Das sind Beträge, die insbesondere kleine und mittelständische Unternehmen schnell in die Insolvenz führen können. Erfahren Sie hier, wie Sie im Falle einer Datenpanne schnell und umsichtig reagieren.

Inhaltsverzeichnis

Was ist eine Datenpanne?

Der Begriff Datenpanne bezeichnet ein Ereignis, bei dem Dritte unberechtigt Zugriff auf vertrauliche Daten erhalten. Eine Datenpanne liegt aber auch dann vor, wenn Daten für andere zugänglich sind, diese Personen jedoch (noch) nicht in den Besitz der Daten gelangt sind. Andere Bezeichnungen für eine Datenpanne sind Datenleck oder Datenschutzverletzung.  
Eine Datenpanne kann aktiv herbeigeführt werden: etwa durch einen Datendiebstahl oder wenn Mitarbeiter:innen beispielsweise Opfer von Spear Phishing werden und Daten wie Unternehmenspasswörter herausgeben.  
Eine Datenpanne kann aber auch durch Unterlassung oder durch Fahrlässigkeit entstehen, etwa durch das Nichtverschlüsseln persönlicher Daten beim E-Mail-Versand in ein unsicheres DSGVO-Drittland (Art. 44-50 DSGVO). Alle Formen von Datenpannen können im Einzelfall meldepflichtig und mit einer erheblichen Geldbuße belegt sein. 
Meldepflicht auch ohne Datenverlust

Meldepflichtig im Sinne der DSGVO ist bereits die grundsätzliche Verletzung des Schutzes persönlicher Daten – unabhängig von der Frage, ob hierbei auch tatsächlich Dritte in den Besitz dieser Daten gelangt sind (Art. 33 DSGVO).

Das Datenschutzrecht unterscheidet dabei grundsätzlich zwischen schützenswerten personenbezogenen Daten und allen anderen Datenarten. Zwar können auch nicht personenbezogene Daten einen gesetzlichen Schutzstatus genießen, beispielsweise durch das Patent-, Marken- oder Urheberrecht. Sie sind aber nicht Gegenstand der DSGVO, die sich allein mit der Sicherheit persönlicher Daten von lebenden, natürlichen Personen befasst. 
Der Gesetzgeber sieht Unternehmen ebenso wie Privatpersonen und Behörden in der besonderen Pflicht, diese persönlichen Daten jederzeit ausreichend zu schützen. So heißt es in Artikel 5 der DSGVO ausdrücklich: „Personenbezogene Daten müssen …in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet …“.  Unternehmen, die persönliche Daten verarbeiten (was letztlich jedes Unternehmen betrifft, das Kundendaten erfasst oder Mitarbeiter:innen beschäftigt) müssen sich daher fortlaufend über die aktuellen technischen Standards für den Datenschutz informieren. Außerdem müssen sie ihre Daten mittels anerkannt sicherer Verfahren schützen sowie persönliche Informationen gegebenenfalls verschlüsseln.  
Datenschutzverstoß und Datenschutzverletzung

Der Gesetzgeber unterscheidet zwischen der tatsächlichen Datenschutzverletzung, etwa dem Verlust persönlicher Daten und dem weitergehenden Datenschutzverstoß, also dem Verstoß gegen die Inhalte der DSGVO. Ein solcher Datenschutzverstoß liegt bereits vor, wenn Daten nicht ausreichend verschlüsselt werden oder gegen Meldepflichten verstoßen wurde.

Was viele nicht wissen: Auch der technische Verlust („dataloss“) von Personendaten ist eine meldepflichtige Datenpanne im Sinne der DSGVO. Beispiele hierfür sind etwa die ungewollte Löschung einer Datenbank oder ein Systemausfall ohne Wiederherstellungsmöglichkeit beispielsweise mittels Cloud-Back-up.
Denn persönliche Daten sind ausdrücklich auch zu schützen „vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“(Art. 5 DSGVO). In der Praxis zieht eine solcher meldepflichtiger technischer Datenverlust in der Regel keine Bußgelder nach sich; sofern sicher ausgeschlossen werden kann, dass Daten in den Besitz Dritter gelangt sind. Im Wiederholungsfall können Behörden dies aber als Indiz für einen generell unprofessionellen Umgang mit Daten ansehen und bei zukünftigen Datenschutzverstößen entsprechend berücksichtigen.  

Unterschätzte Dunkelziffer

Datenpannen und Datendiebstähle sind viel häufiger, als dies gemeinhin angenommen wird. Fast jedes Unternehmen ist schon einmal von einer Datenpanne betroffen gewesen oder wird dies in absehbarer Zeit sein. Expert:innen schätzen, dass weltweit jährlich rund eine halbe Milliarde Menschen mit Datenschutzverstößen zu tun haben – viele ohne ihr Wissen.
Vor Inkrafttreten der DSGVO waren viele Datenpannen noch nicht meldepflichtig. Seitdem hat sich das Bewusstsein für und der Umgang mit Datenpannen verbessert. Zudem drohen inzwischen ernsthafte juristische und finanzielle Konsequenzen, wenn ein Unternehmen oder Organisationen die Bestimmungen der DSGVO und Maßnahmen zur Data Loss Prevention nicht ernst nehmen, also dem Schutz vor Verlust personenbezogener Daten.
Aber auch der Verlust nicht personenbezogener Daten kann für Unternehmen erhebliche Schäden mit sich bringen. Beispiele dafür sind etwa Industriespionage oder die Weitergabe von Informationen aus laufenden Geschäftsverhandlungen.

Beispiele für Datenpannen

Übliche Datenpannen sind unter anderem: 
  • die unverschlüsselte Weiterleitung von Daten in E-Mails oder anderen Systemen, etwa im Customer-Relationship-Management (CRM) 
  • die bewusste oder versehentliche Veröffentlichung personenbezogener Daten 
  • der Datenverlust durch ein entwendetes oder verlorenes Speichermedium, wie Speicherkarten, USB-Sticks, Festplatten 
  • die missbräuchliche Verwendung von Zugriffsrechten 
  • der unberechtigte Zugang zu Unternehmensdaten für Dritte 
  • der Zugriff auf Daten durch Cyberkriminelle, etwa mittels Schadsoftware oder Phishing-Angriff 
  • die nicht fachgerechte Löschung, beziehungsweise Entsorgung von Speichermedien mit darauf gespeicherten persönlichen Daten
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Wie schnell müssen Sie Datenpannen melden?

Wenn es in Ihrem Unternehmen zu einer Datenpanne gekommen ist, bei der möglicherweise personenbezogene Daten in die Hände von Dritten gelangt sind, müssen Sie dies gemäß DSGVO melden. Die Verordnung schreibt eine möglichst zeitnahe Meldung vor. Spätestens nach 72 Stunden sollte diese der zuständigen Aufsichtsbehörde vorliegen. Nur in begründeten Ausnahmefällen wird die Frist verlängert. 
Für die Meldung einer Datenpanne in Unternehmen und Organisationen haben die meisten Landesbehörden für Datenschutz entsprechende Online-Formulare eingerichtet. Dort müssen Sie neben dem Namen Ihres Unternehmens und den Namen von Ansprechpartner:innen in Ihrem Haus vor allem die Art und den Zeitpunkt der Datenpanne melden. Auch die Anzahl der Personen, die möglicherweise von der Datenschutzverletzung betroffen sind,sowie Gegenmaßnahmen, die Sie gegebenenfalls bereits ergriffen haben, schlüsseln Sie hier auf. 
Beim Absenden des Formulars erhalten Sie in der Regel ein Aktenzeichen, unter dem Sie später noch ergänzende Angaben machen können. 
Wichtig zu wissen: Bei besonders gravierenden Datenschutzverstößen müssen Sie auch die betroffenen Personen selbst über die Datenpanne informieren. Die DSGVO sieht dies zum Beispiel in jenen Fällen vor, in denen Cyberkriminelle Zugriff auf Namen, Passwörter oder andere wichtige Daten von Kund:innener halten haben.     Dabei müssen Sie den Betroffenen die Kontaktdaten der zuständigen Person für Datenschutz in Ihrem Unternehmen nennen. Außerdem sollten Sie dabei die möglichen Folgen des Cybersecurity-Vorfalls erläutern, etwa den möglichen Missbrauch von Kreditkartendaten oder E-Mail-Passwörtern. Außerdem sollten Sieden Betroffenen nahelegen, bestimmte Maßnahmen zu ergreifen – zum Beispiel unverzüglich alle Passwörter zu ändern. 
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Was passiert, wenn ein Unternehmen eine Datenpanne nicht meldet?

Die oben genannten Maßnahmen zur Meldung einer Datenpanne sind zwingend vorgeschrieben. Beim Versäumnis einer Meldung droht Unternehmen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes. Die Höhe richtet sich nach der Schwere, der Art und der Dauer des Vorfalls sowie dem Grad an Fahrlässigkeit oder gegebenenfalls Vorsatz vonseiten des verursachenden Unternehmens (DSGVO, Art. 83, Nr. 4).
Darüber hinaus haftet Ihr Unternehmen für alle weiteren materiellen und immateriellen Schäden, die den Betroffenen entstehen. Auch hier können hohe Beträge anfallen, wenn beispielsweise ein Vermögensschaden durch gestohlene Kontodaten entstanden ist. 
Eine Frau sitzt zusammen mit anderen Personen an einem Tisch in einem belebten Café und bezahlt beim Kellner per Karte
Heute gibt es fast kein Geschäftsmodell mehr, das ohne persönliche Daten funktioniert. Doch was tun Sie, wenn sensible Daten Ihrer Kund:innen in falsche Hände gelangt sind und das Ansehen Ihres Unternehmens Schaden nimmt?
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

So gehen sie vor, wenn ein Schaden eingetreten ist

Im Schadensfall ist schnelles Handeln gefragt und auch gesetzlich vorgeschrieben. Diese Maßnahmen sollten Sie sofort ergreifen, sobald Sie in Ihrem Unternehmen eine Datenpanne festgestellt haben: 
  • Analyse: Welche Systeme sind genau betroffen? Sind durch die Datenpanne die Persönlichkeitsrechte Dritter verletzt worden? Welche Schäden sind den Betroffenen möglicherweise schon entstanden? Können Sie diese Fragen nicht genau beantworten, ziehen Sie am besten externe Datenschutzexpert:innen hinzu.
  • Gegenmaßnahmen: Unmittelbar folgend auf die Analyse sollten Sie dringend Schritte unternehmen, um das Datenleck zu schließen und mögliche Rechtsverletzungen zu beenden. Damit können unterschiedliche Maßnahmen einhergehen, die Ihre IT-Verantwortlichen koordinieren sollten: mit den von den Maßnahmen betroffenen Mitarbeiter:innen sowie im Zweifelsfall mit Dienstleistern wie etwa Ihren Internet-Providern und Cloud-Hosting-Anbietern.
  • Meldepflicht überprüfen: Klären Sie mit externen Datenschutzbeauftragten, ob aufgrund der Datenpanne eine Meldepflicht vorliegt, weil etwa Persönlichkeitsrechte verletzt wurden.
  • Meldung: Falls dies der Fall ist, melden Sie die Panne innerhalb von 72 Stunden der zuständigen Datenschutzbehörde Ihres Bundeslandes. Mehr zum Ablauf einer Meldung haben Sie bereits weiter oben erfahren.
  • Evaluation: Wenn die Sofortmaßnahmen abgeschlossen sind, sollten Sie die Vorkommnisse intern aufarbeiten. Beziehen Sie sämtliche interne Verantwortliche und Betroffene sowie idealerweise auch externe Datenschutzexpert:innen in diesen Prozess ein. Analysieren Sie, aus welchem Grund es zu einer Datenpanne kommen konnte.
  • Konsequenzen: Je nach Ausgang der Evaluation sollten Sie sicherstellen, dass sich künftig keine derartigen Vorfälle wiederholen. Die Gründe für die Datenpanne können viele Ursachen haben und entsprechend unterschiedliche Konsequenzen nach sich ziehen. Mithilfe einer externen Beratung könnten Sie beispielsweise die Datensicherheit in Ihrem Unternehmensnetzwerk verbessern, etwa durch Zwei-Faktor-Authentifizierung (2FA) und ein Zero-Trust-Konzept. Lagen der Datenpanne menschliche Fehler zugrunde, empfehlen sich Sicherheitsschulungen für Ihre Belegschaft. Auch das Hinzuziehen von zusätzlicher Datenschutz- und Security-Expert:innen in Ihre täglichen Geschäftsprozesse kann nützlich sein; falls Sie festgestellt haben, dass es Ihrem Unternehmen daran mangelt. Diese simulieren zum Beispiel im sogenannten Threat Modeling, welche Gefahren Ihrer IT-Architektur drohen. Generell sind aber sämtliche dieser Maßnahmen empfehlenswert, um Datenpannen möglichst komplett zu verhindern.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Was tun, wenn Passwörter gestohlen wurden?

Ihre Systeme wurden gehackt und Passwörter Ihrer Kund:innen wurden gestohlen? Dann sollten Sie diese Schritte befolgen: 
  • Analyse: Ermitteln Sie den Umfang des Passwortdiebstahls. Sind alle Ihre Kund:innen betroffen oder nur ein Teil? Was können die Diebe mit den Passwörtern anstellen? Gab es damit bereits verdächtige Zugriffe auf Ihre Systeme? 
  • Schadensbegrenzung: Deaktivieren Sie die betroffenen Passwörter und Zugänge. Richten Sie Ihre Systeme so ein, dass betroffene Kund:innen bei der nächsten Anmeldung zwingend ein neues Passwort vergeben müssen. Weisen Sie bei der Anmeldung außerdem auf die Datenpanne hin. Ändern Sie auch Ihre eigenen Passwörter ab und die Ihrer Mitarbeiter:innen für den Fall, dass diese Daten ebenfalls gestohlen wurden. 
  • Meldepflicht prüfen: Klären Sie auch in diesem Fall wieder ab, ob aufgrund der Datenpanne eine Meldepflicht vorliegt, weil möglicherweise Persönlichkeitsrechte verletzt wurden. 
  • Meldung:Liegt ein meldepflichtiger Verstoß vor, so müssen Sie auch diesen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde Ihres Bundeslandes anzeigen. 
  • Information: Informieren Sie alle Ihre betroffenen Kund:innen. Cyberkriminelle probieren gestohlene Passwörter oft auch bei anderen Plattformen aus, da viele Nutzer:innen dieselben Benutzernamen und Passwörter mehrfach verwenden. Empfehlen Sie Ihren betroffenen Kund:innen daher, die gestohlenen Passwörter generell nicht mehr zu nutzen und auch überall dort abzuändern, wo sie sie gegebenenfalls noch verwenden. 
  • Evaluation und Konsequenzen:Verfahren Sie wie im Fall „So gehen sie vor, wenn ein Schaden eingetreten ist“ (siehe oben).
Ein Eingabefeld für ein Passwort mit zwei Schloss-Symbolen vor einem Hintergrund aus Nullen und Einsen.
Der Diebstahl von Passwörtern gehört zu den gefährlichsten Datenpannen – Kriminelle können sich mit den gestohlenen Daten Ihrer Kund:innen bei Ihnen anmelden und Ihren Webshop leerkaufen oder die Passwörter im Darknet veräußern.

DSGVO: Welche Konsequenzen drohen?

Datenpannen können für Unternehmen schwerwiegende Konsequenzen haben. Die verpflichtende Meldung an die Datenschutzbehörden bedeutet bereits, dass ein Unternehmen oder eine Organisation DSGVO-relevante Versäumnisse einräumt, die automatisch auch juristische Auswirkungen haben. Welche dies konkret sind, hängt vom Einzelfall ab, bei dem unterschiedliche Faktoren eine Rolle spielen. Mögliche Bußgelder können von folgenden Faktoren abhängen: 
  • Handelt es sich um eine fahrlässige oder bewusste Datenschutzverletzung? 
  • Welchen Umfang hat die Datenpanne? 
  • Welche Folgen hat die Datenpanne für die Betroffenen? 
  • Wie schnell und wie detailliert hat der Verursacher, also das Unternehmen oder die Organisation, mit den Datenschutzbehörden kooperiert? 
Bußgelder für geringfügige Verstöße liegen meist im vier- bis fünfstelligen Euro-Bereich. Sie können aber auch deutlich höher ausfallen. Das kann für kleine und mittlere Unternehmen schnell existenzbedrohend werden. Die Folgen einer Datenpanne können aber auch für größere Firmen gravierend sein. 
Zum einen kommen mögliche Regressforderungen der Geschädigten auf die Verursacher von Datenpannen zu, da diese in der Regel vollumfänglich haften. In der DSGVO (Art. 82) heißt es hierzu: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.” In manchen Fällen greift zwar die Betriebshaftpflichtversicherung Ihres Unternehmens – ist die Ursache der Datenpanne allerdings grobe Fahrlässigkeit oder gar Vorsatz, wird Ihre Assekuranz die Zahlung in der Regel verweigern und Sie müssen die Kosten allein tragen.
Daneben spielen aber auch weiche Faktoren eine Rolle, die sich nur schwer beziffern lassen. Zum Beispiel kann der Ruf Ihres Unternehmens oder der mit Ihnen assoziierten Marken Schaden nehmen. Ein Vertrauensverlust seitens Ihrer Kund:innen und Geschäftspartner:innen kann zu erheblichen Umsatzeinbußen und sogar zu einer langfristigen Schädigung des gesamten Unternehmens führen. 
Sollte es in Ihrem Unternehmen tatsächlich zu einer Datenpanne kommen, gehen Sie im Idealfall stets transparent gegenüber Behörden, Geschädigten und Kund:innen damit um. Jeglicher Versuch, eine Datenpanne zu verschleiern, wird Ihnen langfristig mehr schaden als der offene Umgang damit. 
Sie möchten sich vorab besser gegen Datenpannen schützen und Ihre Risiken minimieren? In einem umfangreichen Ratgeber haben wir Ihnen gemeinsam mit der Expertin Sarah Elßer von Tech Well Told zusammengestellt, wie Sie die Cyber-Sicherheit in Ihrem Unternehmen signifikant erhöhen. 
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Bekannte Datenpannen – Beispiele

Es gab bis heute zahlreiche bekannt gewordene Verstöße gegen Datensicherheit. Dazu gehören auch groß angelegte Datendiebstähle. Einige Fälle sind besonders spektakulär:

Collection #1

Es ist der bisher größte bekannt gewordene Datensatz mit gestohlenen Nutzerdaten: Im Jahr 2019 fanden Security-Expert:innen im Darknet eine riesige Datenbank mit den E-Mail-Adressen und Passwörtern von über 750 Millionen Personen. Cyberkriminelle hatten die Daten aus mehr als 2000 Datendiebstählen zusammengetragen und sie als „Collection #1” (auf englisch: Sammlung Nummer 1) zum Kauf angeboten.

Verifications.io

Ebenfalls 2019 fanden Ermittler eine weitere käufliche Datenbank mit rund 800 Millionen personenbezogenen Einzelinformationen, darunter E-Mail-Adressen in Verbindung mit den Namen, Postadressen und Kreditkartendaten zahlreicher natürlicher Personen. Die Daten stammten ursprünglich von der Firma Verifications.io, deren Geschäftsmodell es ist, E-Mail-Adressen im Internet zu verifizieren. Diese Dienstleistung wird häufig von Spam-Versendern genutzt, die damit ihre Datenbestände optimieren.

Facebook

Der Social-Media-Dienst Facebook musste gleich mehrfach hohe Bußgelder wegen nachgewiesener Datenschutzverstöße zahlen. Zuletzt hatte die Konzernmutter Meta ein Rekordbußgeld von 1,2 Milliarden Euro zu entrichten, weil das Unternehmen Nutzerdaten europäischer Kund:innen in die USA weitergeleitet hatte. Damit summieren sich die insgesamt von Meta überwiesenen Bußgelder allein in der EU bereits auf mehr als 2,5 Milliarden Euro.

Sony Playstation Network

Auch wenn er nicht zu den größten Datenpannen der Geschichte gehörte, so ist der sogenannte Playstation-Hack doch ein Fall mit großer Außenwirkung. Im Jahr 2011 drangen Cyberkriminelle in das Playstation Network des Unterhaltungsgeräteherstellers Sony ein und erbeuteten 77 Millionen unverschlüsselte Benutzerdatensätze sowie schwach verschlüsselte Kreditkartendaten. Das Unternehmen musste daraufhin sein Netzwerk temporär abschalten und hohe Geldbußen zahlen. Allein der Schaden durch das Abschalten des Netzwerks summierte sich nach Schätzungen auf über 170 Millionen US-Dollar – zusätzlich zu den verhängten Geldbußen und dem enormen Reputationsverlust.

Datenpanne: Das Wichtigste in Kürze

  • Datenpannen verursachen in vielen Wirtschaftsbereichen große Schäden. Pro Vorfall entstehen im Durchschnitt rund fünf Millionen Euro Schaden, was für viele Unternehmen existenzbedrohend sein kann. 
  • Nach der Datenschutz-Grundverordnung (DSGVO) liegt dann eine Datenpanne vor, wenn die Sicherheit von personenbezogenen Daten verletzt wurde;egal ob Ihr Unternehmen diese übermittelt, gespeichert oder auf andere Weise verarbeitet hat. 
  • Beispiele für Datenpannen sind die unverschlüsselte Übermittlung von Kundendaten über das Internet, die Veröffentlichung von personenbezogenen Daten sowie der Verlust von Speichermedien mit entsprechendem Inhalt. 
  • Datenpannen im Sinne der DSGVO sind grundsätzlich meldepflichtig. Zuständig ist die Datenschutzbehörde des Bundeslands, in dem ein betroffenes Unternehmen ansässig ist. 
  • Die Meldung einer Datenpanne muss innerhalb von 72 Stunden nach der Entdeckung erfolgen. Sie ist online möglich und kann danach jederzeit ergänzt werden. 
  • Datenpannen können schwerwiegende rechtliche und finanzielle Folgen für Unternehmen nach sich ziehen. Diese reichen von Bußgeldern über die Haftung gegenüber geschädigten Personen bis hin zur Gefährdung des gesamten Unternehmens durch einen Vertrauensverlust der Kund:innen. 
  • Bei der Entdeckung einer Datenpanne sollten Sie externe Datenschutzexpert:innen hinzuziehen. Diese helfen Ihnen beim richtigen Umgang mit dem Vorfall, der Schadensanalyse sowie bei der Prävention, um die Wahrscheinlichkeit künftiger Datenpannen zu reduzieren. 
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort