Definition Datenschutzverletzung

Was ist eine Datenschutzverletzung?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art.
Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art. (Bild: Pixabay / CC0)

Datendiebstahl, Datenklau, Datenmanipulation, Verschlüsselung von Daten durch Ransomware oder Datenverlust, alle diese Vorfälle werden datenschutzrechtlich als Datenschutzverletzung eingestuft. Meldungen über Datenschutzverletzungen häufen sich und viele Studien untersuchen die Konsequenzen eines Datenverlusts. Doch was genau versteht man eigentlich unter einer Datenschutzverletzung?

Die Datenschutz-Grundverordnung (DSGVO) definiert eine Datenschutzverletzung so: Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Im Gegensatz zu den IT-Sicherheitsvorfällen geht es bei Datenschutzverletzungen offensichtlich immer um Vorfälle, die Daten betreffen. Was genau den Vorfall oder die Panne ausmacht, ist dagegen nicht ersichtlich. Deshalb besteht die Gefahr, dass der Begriff Datenschutzverletzung falsch oder zumindest ungenau interpretiert wird. Ist aber der Begriff Datenschutzverletzung zu schwammig, können die Maßnahmen zur Vermeidung von Datenschutzverletzungen nicht zielsicher genug formuliert und umgesetzt werden. Mehr Klarheit über das Wesen einer Datenschutzverletzung ist deshalb wichtig.

Anstatt von einer Datenschutzverletzung zu sprechen, benutzt das Bundesdatenschutzgesetz (BDSG) von „unrechtmäßiger Kenntniserlangung von Daten“. Unter den klassischen Schutzzielen ist somit die Vertraulichkeit betroffen, nicht aber notwendigerweise die Integrität oder die Verfügbarkeit von Daten. Die DSGVO jedoch hat ein weiteres Verständnis von dem, was als „Datenschutzverletzung“ bezeichnet werden könnte.

In den Erwägungsgründen, die zur DSGVO gehören, findet man die Aussage: „Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist.“ Fehlt also insbesondere eine der geforderten Maßnahmen für die Sicherheit der Verarbeitung (nach Artikel 32 DSGVO), kann von einer Verletzung des Schutzes personenbezogener Daten und damit von einer Datenschutzverletzung ausgegangen werden. Eine Datenschutzverletzung liegt auch dann vor, wenn die Integrität und Verfügbarkeit der Daten betroffen ist, und auch dann, wenn die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung nicht gewährleistet ist.

Bedeutung und Empfehlung für Unternehmen

Die Bedeutung von Datenschutzverletzungen wird in Studien meist durch die Angabe eines finanziellen Schadens unterstrichen: Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Ein einziger Vorfall schlägt im Schnitt mit bis zu vier Millionen US-Dollar zu, so die Studie „2016 Cost of Data Breach Study“ des Ponemon-Instituts. Ebenso wird auf die große Zahl betroffener Daten hingewiesen: Mehr als eine halbe Milliarde Datensätze mit persönlichen Informationen wurden laut dem 2016 Internet Security Threat Report gestohlen oder gingen verloren. Mehr Unternehmen als je zuvor melden nicht das ganze Ausmaß ihrer Datenschutzverletzungen.

n den offiziellen Erläuterungen zur DSGVO findet man weitere Folgen von Datenschutzverletzungen für Betroffene, die sich Unternehmen vor Augen führen sollten, wenn es um den Aufwand für den Datenschutz geht: Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Wie vielfältig Datenschutzverletzungen sind und wie konkrete Beispiele aussehen, sieht man unter anderem in den Tätigkeitsberichten der Aufsichtsbehörden für den Datenschutz (ZAfTDa) oder in der Übersicht des Projektes Datenschutz.

Unternehmen sollten die umfassende Bedeutung von Datenschutzverletzungen und die Bandbreite der möglichen Folgen in den Blick nehmen, um die Maßnahmen zur Vermeidung von Datenschutzverletzungen richtig zu wählen und zu priorisieren.

Für die Unternehmen selbst bleibt festzuhalten, dass es mit der DSGVO verschärfte Meldepflichten für Datenschutzverletzungen und deutlich höhere Sanktionen gibt. Ebenso zeigen Umfragen, dass Kunden es durchaus übel nehmen, wenn es zu einer Datenschutzverletzung kommt. Deshalb sollten Unternehmen Datenschutzverletzungen nicht schwammig sehen, sondern ein klares Konzept zur Prävention haben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Private IoT-Geräte im Unternehmen

Bring Your Own Device 2.0

Private IoT-Geräte im Unternehmen

Das Internet der Dinge verändert Privat- und Berufsleben. Dazu gehört auch, dass Mitarbeiter immer häufiger persönliche IoT-Geräte an ihren Arbeitsplatz mitbringen. Diese stellen jedoch ein mögliches Sicherheitsrisiko dar, auf das Security-Verantwortliche reagieren müssen. lesen

Active Directory Management mit dem „Red Forest“

Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten. lesen

Die 5 größten DSGVO-Fehltritte und höchsten Strafen

Ein Jahr Datenschutz-Grundverordnung

Die 5 größten DSGVO-Fehltritte und höchsten Strafen

Am 25. Mai 2018 trat mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) das bisher umfangreichste Datenschutzgesetz weltweit in Kraft. Nun fragen wir uns: Was hat sich seither getan? Hat uns die befürchtete Abmahnwelle überrollt? Oder haben wir es hier mit viel Lärm um nichts zu tun? lesen

Ein Jahr DSGVO: Viel Lärm um nichts?

Kommentar Matthias Kess, CTO Cryptshare AG

Ein Jahr DSGVO: Viel Lärm um nichts?

Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Matthias Kess, CTO Cryptshare AG meint, dass es durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DSGVO werde tatsächlich „gelebt“ und habe zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. lesen

Sichere Technologien für smarte Städte

Security by Design

Sichere Technologien für smarte Städte

Die Migration in die Städte setzt sich weltweit fort. Die damit verbunden Herausforderungen lassen sich nur beherrschen, indem man Städte intelligent macht - etwa durch die rasche Weiterentwicklung vernetzter Geräte und entsprechender Software. Der Fokus muss dabei auf dem Thema Sicherheit liegen, auf sicheren Netzwerken und IoT-Devices. lesen

IoT und Datenschutz – diese Besonderheiten sind zu beachten

Datenschutz im Internet der Dinge, Teil 1

IoT und Datenschutz – diese Besonderheiten sind zu beachten

Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen wissen, um eine Datenschutzfolgenabschätzung (DSFA) nach Datenschutz-Grundverordnung (DSGVO) erstellen zu können. lesen

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

Bessere Priorisierung im Datenschutz

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

Die Zahl der Baustellen im Datenschutz wird nicht weniger, scheint es. Die Datenschutz­folgen eines harten Brexit sind nur ein Beispiel. Umso wichtiger ist es, die richtigen Prioritäten im Datenschutz zu setzen. Das beste Instrument dafür ist die Datenschutz-Folgen­abschätzung, für die es ein auch kostenloses Tool und zahlreiche Hilfestellungen gibt. lesen

Datenschutz, Sicherheit und Identitätsdiebstahl

Kevin Mitnick über moderne Cyberkriminalität

Datenschutz, Sicherheit und Identitätsdiebstahl

Der Schutz vor den neuesten Betrügereien scheint eine einfache Aufgabe zu sein, aber da sich Cyberkriminelle vom typischen Betrug der „alten Schule“ ab- und moderner Online-Cyberkriminalität zuwenden, sind ihre Taktiken nicht mehr so einfach zu erkennen. Dabei bergen die Strategien große Gefahren und zahlreiche Möglichkeiten eines Identitätsdiebstahls. lesen

8 Irrtümer über Unternehmensdaten

Fakten für den CISO

8 Irrtümer über Unternehmensdaten

CIOs und CISOs sollen in der Lage sein, Risiken für die IT-Systeme ihres Unternehmens zu benennen und zu bewerten. Oft fehlt aber ein Dialog zwischen Führungskräften und IT-Verantwortlichen. Das führt zu Wissenslücken, die dem Führungsteam einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens vermittelt. Hier sind die acht verbreitetsten Irrtümer, mit denen CIOs und CISOs häufig konfrontiert sind. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44428722 / Definitionen)