Datenpanne
Eine Datenpanne oder ein Datenleck ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten (Datenverlust) ein.[1]
Definitionen
Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:[2]
- bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss),
- unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
- Angriffe auf die IT-Infrastruktur eines Unternehmens.
Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten). Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter, sondern werden von diesen veröffentlicht.
Der US-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:
- The term “data breach” means the loss, theft, or other unauthorized access, other than those incidental to the scope of employment, to data containing sensitive personal information, in electronic or printed form, that results in the potential compromise of the confidentiality or integrity of the data.[3]
- (Eine Datenpanne bezeichnet den Verlust, Diebstahl oder unberechtigten Zugriff, sofern dieser nicht ein Beschäftigungsverhältnis betrifft, von/auf Daten, welche sensible persönliche Informationen in elektronischer oder gedruckter Form enthalten, insofern dieser die Vertraulichkeit oder Integrität der Daten gefährdet.)
Bis 2018 enthielt das Bundesdatenschutzgesetz in § 42a eine indirekt Definition der Datenpanne durch die Informationspflicht. Demnach lag eine Datenpanne nur vor, wenn
- 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG),
- 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
- 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
- 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
- unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind […]
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 ist die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO definiert, als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Rechtliche Bedeutung
In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom Image abzuwenden.
Situation in der Europäischen Union
Durch das Telekom-Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet, die nationalen Regulierungsbehörden über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.[4]
Seit dem 25. Mai 2018 gibt es eine Meldepflicht für Datenpannen gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten.
Situation in Deutschland
Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen vor, sofern personenbezogene Daten betroffen sind.[5] Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig.[6] Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen.[7] In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden.[7][8] Behörden sind bisher von der Informationspflicht ausgenommen.
Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete IT-Sicherheitsmaßnahmen vorzubeugen.[9]
Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen.[10] In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, zeitnah (in der Regel innerhalb von 72 Stunden[11]) an die zuständige Aufsichtsbehörde zu melden.
Situation in Österreich
Auch das österreichische Datenschutzgesetz 2000 sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“.[12] Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.[13]
Situation in anderen Ländern
In den Vereinigten Staaten müssen die Betroffenen in allen Bundesstaaten, außer Alabama, Kentucky, New Mexico und South Dakota, über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.[14]
Datenpannen erkennen
Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese herangetragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von Serverlogs, Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten Meldeweg geben.[2][15] Um die Gefahr von Datenpannen zu verringern, empfiehlt es sich, komplexe Passwörter zu wählen, Sicherheitsupdates regelmäßig zu installieren und die Zwei-Faktor-Authentifizierung, sofern vorhanden, zu aktivieren.
Folgen
Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem Whistleblowing wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.
Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie,[9] in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.[5][9]
Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von Identitätsdiebstahl. Die Daten werden dafür gegebenenfalls von Kriminellen durch Phishing angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.
Eine Studie der Technischen Universität München (TUM) aus 2022 zeigt am Beispiel von börsennotierten US-Firmen, dass viele Unternehmen gezielt planten, wann sie den Verlust sensibler Kundendaten veröffentlichen. So meldeten börsennotierten US-Firmen Datenlecks bevorzugt an Tagen, an denen andere Nachrichten die Schlagzeilen in den Medien dominierten. Damit vermieden sie stärkere Kursverluste am Aktienmarkt, riskierten aber größere Schäden.[16]
Siehe auch
Weblinks
- Datenpannen-Meldepflicht nach Datenschutz-Grundverordnung
- Leak Checker – Uni Bonn – Tool zur Überprüfung auf Betroffenheit einer Datenpanne
Einzelnachweise
- Vgl. Datenpannen: Melde- und Benachrichtigungspflichten nach DS-GVO und BDSG (3. Auflage). DGG, abgerufen am 5. Oktober 2021.
- HRM.de: Richtlinie zum Abfluss von Informationen an Dritte. In: HRM-Newsletter Personalrecht. Februar 2010, archiviert vom (nicht mehr online verfügbar) am 11. Oktober 2011; abgerufen am 3. Oktober 2011. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- U.S. Code § 5727 (Title 38, Part IV, Chapter 57, Subchapter III). Cornell University, abgerufen am 4. Oktober 2011 (englisch).
- Stefan Krempl: Brüssel schnürt Telecom-Paket. C’t, 2009, abgerufen am 7. Oktober 2011.
- § 42a BDSG
- § 43 Absatz 2 BDSG
- § 43 Absatz 3 BDSG
- § 44 Absatz 1 BDSG
- 2010 Annual Study: German Cost of a Data Breach. (PDF; 2,6 MB) Ponemon Institute, 2019, abgerufen am 12. Oktober 2011 (englisch).
- EU-Datenschutz-Grundverordnung (DS-GVO). (PDF) Bayerisches Landesamt für Datenschutzaufsicht, Februar 2011, abgerufen am 11. Juni 2019.
- Thomas Steinle: DSGVO Meldepflicht bei Datenpannen. (html) it-rechtsanwalt.com, 2019, abgerufen am 11. Juni 2019.
- § 24 Absatz 2a DSG
- § 52 Absatz 2 DSG
- State Security Breach Notification Laws. In: National Conference of State Legislatures. Abgerufen am 9. Oktober 2011 (englisch).
- Oliver Schonschek: Datenverlust vermeiden: Datenpanne – und jetzt? In: Datenschutz PRAXIS. WEKA MEDIA, abgerufen am 12. Oktober 2011.
- idw: Firmen melden Datenlecks an Nachrichten-starken Tagen. 24. November 2022 Originalpublikation: Jens Foerderer, Sebastian Schuetz: Data Breach Announcements and Stock Market Reactions: A Matter of Timing? Management Science 2022. DOI:10.1287/mnsc.2021.4264