Definition Datenschutzverletzung

Was ist eine Datenschutzverletzung?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art.
Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art. (Bild: Pixabay / CC0)

Datendiebstahl, Datenklau, Datenmanipulation, Verschlüsselung von Daten durch Ransomware oder Datenverlust, alle diese Vorfälle werden datenschutzrechtlich als Datenschutzverletzung eingestuft. Meldungen über Datenschutzverletzungen häufen sich und viele Studien untersuchen die Konsequenzen eines Datenverlusts. Doch was genau versteht man eigentlich unter einer Datenschutzverletzung?

Die Datenschutz-Grundverordnung (DSGVO) definiert eine Datenschutzverletzung so: Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Im Gegensatz zu den IT-Sicherheitsvorfällen geht es bei Datenschutzverletzungen offensichtlich immer um Vorfälle, die Daten betreffen. Was genau den Vorfall oder die Panne ausmacht, ist dagegen nicht ersichtlich. Deshalb besteht die Gefahr, dass der Begriff Datenschutzverletzung falsch oder zumindest ungenau interpretiert wird. Ist aber der Begriff Datenschutzverletzung zu schwammig, können die Maßnahmen zur Vermeidung von Datenschutzverletzungen nicht zielsicher genug formuliert und umgesetzt werden. Mehr Klarheit über das Wesen einer Datenschutzverletzung ist deshalb wichtig.

Anstatt von einer Datenschutzverletzung zu sprechen, benutzt das Bundesdatenschutzgesetz (BDSG) von „unrechtmäßiger Kenntniserlangung von Daten“. Unter den klassischen Schutzzielen ist somit die Vertraulichkeit betroffen, nicht aber notwendigerweise die Integrität oder die Verfügbarkeit von Daten. Die DSGVO jedoch hat ein weiteres Verständnis von dem, was als „Datenschutzverletzung“ bezeichnet werden könnte.

In den Erwägungsgründen, die zur DSGVO gehören, findet man die Aussage: „Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist.“ Fehlt also insbesondere eine der geforderten Maßnahmen für die Sicherheit der Verarbeitung (nach Artikel 32 DSGVO), kann von einer Verletzung des Schutzes personenbezogener Daten und damit von einer Datenschutzverletzung ausgegangen werden. Eine Datenschutzverletzung liegt auch dann vor, wenn die Integrität und Verfügbarkeit der Daten betroffen ist, und auch dann, wenn die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung nicht gewährleistet ist.

Bedeutung und Empfehlung für Unternehmen

Die Bedeutung von Datenschutzverletzungen wird in Studien meist durch die Angabe eines finanziellen Schadens unterstrichen: Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Ein einziger Vorfall schlägt im Schnitt mit bis zu vier Millionen US-Dollar zu, so die Studie „2016 Cost of Data Breach Study“ des Ponemon-Instituts. Ebenso wird auf die große Zahl betroffener Daten hingewiesen: Mehr als eine halbe Milliarde Datensätze mit persönlichen Informationen wurden laut dem 2016 Internet Security Threat Report gestohlen oder gingen verloren. Mehr Unternehmen als je zuvor melden nicht das ganze Ausmaß ihrer Datenschutzverletzungen.

n den offiziellen Erläuterungen zur DSGVO findet man weitere Folgen von Datenschutzverletzungen für Betroffene, die sich Unternehmen vor Augen führen sollten, wenn es um den Aufwand für den Datenschutz geht: Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Wie vielfältig Datenschutzverletzungen sind und wie konkrete Beispiele aussehen, sieht man unter anderem in den Tätigkeitsberichten der Aufsichtsbehörden für den Datenschutz (ZAfTDa) oder in der Übersicht des Projektes Datenschutz.

Unternehmen sollten die umfassende Bedeutung von Datenschutzverletzungen und die Bandbreite der möglichen Folgen in den Blick nehmen, um die Maßnahmen zur Vermeidung von Datenschutzverletzungen richtig zu wählen und zu priorisieren.

Für die Unternehmen selbst bleibt festzuhalten, dass es mit der DSGVO verschärfte Meldepflichten für Datenschutzverletzungen und deutlich höhere Sanktionen gibt. Ebenso zeigen Umfragen, dass Kunden es durchaus übel nehmen, wenn es zu einer Datenschutzverletzung kommt. Deshalb sollten Unternehmen Datenschutzverletzungen nicht schwammig sehen, sondern ein klares Konzept zur Prävention haben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So zahlt man die höchst­mögliche DSGVO-Strafe

Achtung Satire!

So zahlt man die höchst­mögliche DSGVO-Strafe

Die Datenschutz-Grundverordnung (DSGVO) gilt seit sieben Monaten EU-weit. Für Aufmerksamkeit sorgten die teils drastischen Strafen, die bei Datenschutz­verstößen drohen. Dennoch wissen viele Unternehmen noch immer nicht so recht, wie sie mit dem Thema umgehen sollen. Unser (nicht ganz ernst gemeinter) Tipp: Befolgen Sie diese simplen Schritte und Sie erreichen garantiert in kürzester Zeit die maximal mögliche Geldstrafe. lesen

Nach sechs Monaten DSGVO

EU-Datenschutz-Grundverordnung

Nach sechs Monaten DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) ist inzwischen etwas mehr als sechs Monate alt. Nach einer aktuellen Umfrage sehen 84 Prozent der befragten Unternehmen sich in Einklang mit den Anforderungen der DSGVO während demgegenüber 36 Prozent der befragten Verbraucher erhebliche Zweifel an der Compliance von Unternehmen haben. lesen

Wer Daten nicht schützt, den verlassen die Kunden!

Ping Identity Verbraucherumfrage 2018

Wer Daten nicht schützt, den verlassen die Kunden!

Die Hälfte aller deutschen Verbraucher würden nach einer Datenschutzverletzung die Online-Interaktion mit einer Marke einstellen; 42 Prozent würde einen Online-Service, der kürzlich gehackt wurde, nicht nutzen. Das zeigen die Ergebnisse einer globalen Verbraucherumfrage des IAM-Anbieters Ping Identity. lesen

Überlebensfaktor IT-Security

Security-Trends

Überlebensfaktor IT-Security

Zur Verhütung von Katastrophen wird IT-Security immer wichtiger. Der Grund ist die zunehmende Vernetzung und die rasant wachsende Zahl der Dinge, die ans Internet angeschlossen werden. Dem Channel kommt eine Schlüsselposition beim Schutz der neu eingebundenen Systeme zu. lesen

Was die IT-Security von Halloween lernen kann

Trick or treat

Was die IT-Security von Halloween lernen kann

Der Brauch des Halloween ist inzwischen auch in Europa angekommen. Wenn beim Trick or Treat Kinder bei ihren Nachbarn vorbei schauen gibt fast jeder lieber Süßigkeiten, statt das Risiko einzugehen, die Streiche der kleinen Vampire, Mumien und Werwölfe abzube­kom­men. Dabei können Sicherheits­experten von Halloween und „Trick or treat“ sogar etwas lernen. lesen

Neun konkrete Schritte gegen Datenschutzverletzungen

Compliance-Verstöße vermeiden

Neun konkrete Schritte gegen Datenschutzverletzungen

Immer wieder werden große Datenschutz­verletzungen, wie die bei Target, JPMorgan Chase und Equifax bekannt. Die Zahl der nicht bekannt gewordenen Cyber-Angriffe ist sicher deutlich höher. Die EU-Datenschutz-Grund­verordnung (DSGVO) und andere Richtlinien haben die Datensicherheit bei vielen Unternehmen ganz nach oben auf die Agenda gesetzt. lesen

Investitionen in die IT-Sicherheit argumentieren

Security ROI

Investitionen in die IT-Sicherheit argumentieren

In vielen Unternehmen sind Fakten und Zahlen die bestimmenden Faktoren für Entscheidung­en über Investitionen und Einsparungen. Aber wie argumentiert man als Security-Verantwort­lich­er bei Vorgesetzten mit Risiken, die noch gar nicht eingetreten sind und welche Herangehensweise ist überhaupt die richtige? Die gute Nachricht: Sicherheits­risiken sind real und messbar und es gibt für jeden Typ „Chef“ auch einen passenden Gesprächsansatz. lesen

DSGVO und effektive Compliance-Berichterstattung

Datenschutz-Grundverordnung und Drittanbieter

DSGVO und effektive Compliance-Berichterstattung

Im Mai 2018 wurde die Datenschutz-Grundverordnung der EU verbindlich und noch immer haben viele Unternehmen ihre DSGVO-Vorbereitungen nicht abgeschlossen. Dabei müssen Verantwortliche für die DSGVO und die Compliance-Maßnahmen im Unternehmen eigentlich kontinuierlich sicherstellen, dass die Bestimmungen eingehalten werden. lesen

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Aktuelles zur DSGVO im September

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Wirtschaftsverbände und Aufsichtsbehörden haben eine Zwischenbilanz zur Umsetzung der Datenschutz-Grundverordnung gezogen. Auch wenn noch einiges an Unklarheit herrscht, es geht voran mit der DSGVO. Wichtig ist es jedoch, sich richtig zu informieren. Dazu gehört es auch zu wissen, wie man auf eine mögliche Datenpanne oder Abmahnung reagieren sollte. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44428722 / Definitionen)