Definition Datenschutzverletzung

Was ist eine Datenschutzverletzung?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art.
Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art. (Bild: Pixabay / CC0)

Datendiebstahl, Datenklau, Datenmanipulation, Verschlüsselung von Daten durch Ransomware oder Datenverlust, alle diese Vorfälle werden datenschutzrechtlich als Datenschutzverletzung eingestuft. Meldungen über Datenschutzverletzungen häufen sich und viele Studien untersuchen die Konsequenzen eines Datenverlusts. Doch was genau versteht man eigentlich unter einer Datenschutzverletzung?

Die Datenschutz-Grundverordnung (DSGVO) definiert eine Datenschutzverletzung so: Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Im Gegensatz zu den IT-Sicherheitsvorfällen geht es bei Datenschutzverletzungen offensichtlich immer um Vorfälle, die Daten betreffen. Was genau den Vorfall oder die Panne ausmacht, ist dagegen nicht ersichtlich. Deshalb besteht die Gefahr, dass der Begriff Datenschutzverletzung falsch oder zumindest ungenau interpretiert wird. Ist aber der Begriff Datenschutzverletzung zu schwammig, können die Maßnahmen zur Vermeidung von Datenschutzverletzungen nicht zielsicher genug formuliert und umgesetzt werden. Mehr Klarheit über das Wesen einer Datenschutzverletzung ist deshalb wichtig.

Anstatt von einer Datenschutzverletzung zu sprechen, benutzt das Bundesdatenschutzgesetz (BDSG) von „unrechtmäßiger Kenntniserlangung von Daten“. Unter den klassischen Schutzzielen ist somit die Vertraulichkeit betroffen, nicht aber notwendigerweise die Integrität oder die Verfügbarkeit von Daten. Die DSGVO jedoch hat ein weiteres Verständnis von dem, was als „Datenschutzverletzung“ bezeichnet werden könnte.

In den Erwägungsgründen, die zur DSGVO gehören, findet man die Aussage: „Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist.“ Fehlt also insbesondere eine der geforderten Maßnahmen für die Sicherheit der Verarbeitung (nach Artikel 32 DSGVO), kann von einer Verletzung des Schutzes personenbezogener Daten und damit von einer Datenschutzverletzung ausgegangen werden. Eine Datenschutzverletzung liegt auch dann vor, wenn die Integrität und Verfügbarkeit der Daten betroffen ist, und auch dann, wenn die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung nicht gewährleistet ist.

Bedeutung und Empfehlung für Unternehmen

Die Bedeutung von Datenschutzverletzungen wird in Studien meist durch die Angabe eines finanziellen Schadens unterstrichen: Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Ein einziger Vorfall schlägt im Schnitt mit bis zu vier Millionen US-Dollar zu, so die Studie „2016 Cost of Data Breach Study“ des Ponemon-Instituts. Ebenso wird auf die große Zahl betroffener Daten hingewiesen: Mehr als eine halbe Milliarde Datensätze mit persönlichen Informationen wurden laut dem 2016 Internet Security Threat Report gestohlen oder gingen verloren. Mehr Unternehmen als je zuvor melden nicht das ganze Ausmaß ihrer Datenschutzverletzungen.

n den offiziellen Erläuterungen zur DSGVO findet man weitere Folgen von Datenschutzverletzungen für Betroffene, die sich Unternehmen vor Augen führen sollten, wenn es um den Aufwand für den Datenschutz geht: Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Wie vielfältig Datenschutzverletzungen sind und wie konkrete Beispiele aussehen, sieht man unter anderem in den Tätigkeitsberichten der Aufsichtsbehörden für den Datenschutz (ZAfTDa) oder in der Übersicht des Projektes Datenschutz.

Unternehmen sollten die umfassende Bedeutung von Datenschutzverletzungen und die Bandbreite der möglichen Folgen in den Blick nehmen, um die Maßnahmen zur Vermeidung von Datenschutzverletzungen richtig zu wählen und zu priorisieren.

Für die Unternehmen selbst bleibt festzuhalten, dass es mit der DSGVO verschärfte Meldepflichten für Datenschutzverletzungen und deutlich höhere Sanktionen gibt. Ebenso zeigen Umfragen, dass Kunden es durchaus übel nehmen, wenn es zu einer Datenschutzverletzung kommt. Deshalb sollten Unternehmen Datenschutzverletzungen nicht schwammig sehen, sondern ein klares Konzept zur Prävention haben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sichere Technologien für smarte Städte

Security by Design

Sichere Technologien für smarte Städte

Die Migration in die Städte setzt sich weltweit fort. Die damit verbunden Herausforderungen lassen sich nur beherrschen, indem man Städte intelligent macht - etwa durch die rasche Weiterentwicklung vernetzter Geräte und entsprechender Software. Der Fokus muss dabei auf dem Thema Sicherheit liegen, auf sicheren Netzwerken und IoT-Devices. lesen

IoT und Datenschutz – diese Besonderheiten sind zu beachten

Datenschutz im Internet der Dinge, Teil 1

IoT und Datenschutz – diese Besonderheiten sind zu beachten

Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen wissen, um eine Datenschutzfolgenabschätzung (DSFA) nach Datenschutz-Grundverordnung (DSGVO) erstellen zu können. lesen

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

Bessere Priorisierung im Datenschutz

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

Die Zahl der Baustellen im Datenschutz wird nicht weniger, scheint es. Die Datenschutz­folgen eines harten Brexit sind nur ein Beispiel. Umso wichtiger ist es, die richtigen Prioritäten im Datenschutz zu setzen. Das beste Instrument dafür ist die Datenschutz-Folgen­abschätzung, für die es ein auch kostenloses Tool und zahlreiche Hilfestellungen gibt. lesen

Datenschutz, Sicherheit und Identitätsdiebstahl

Kevin Mitnick über moderne Cyberkriminalität

Datenschutz, Sicherheit und Identitätsdiebstahl

Der Schutz vor den neuesten Betrügereien scheint eine einfache Aufgabe zu sein, aber da sich Cyberkriminelle vom typischen Betrug der „alten Schule“ ab- und moderner Online-Cyberkriminalität zuwenden, sind ihre Taktiken nicht mehr so einfach zu erkennen. Dabei bergen die Strategien große Gefahren und zahlreiche Möglichkeiten eines Identitätsdiebstahls. lesen

8 Irrtümer über Unternehmensdaten

Fakten für den CISO

8 Irrtümer über Unternehmensdaten

CIOs und CISOs sollen in der Lage sein, Risiken für die IT-Systeme ihres Unternehmens zu benennen und zu bewerten. Oft fehlt aber ein Dialog zwischen Führungskräften und IT-Verantwortlichen. Das führt zu Wissenslücken, die dem Führungsteam einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens vermittelt. Hier sind die acht verbreitetsten Irrtümer, mit denen CIOs und CISOs häufig konfrontiert sind. lesen

Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden

Tipps zur Datenschutz-Grundverordnung

Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden

Die Aufsichtsbehörden für den Datenschutz sind nicht nur die Prüfer und Beschwerdestellen, sie unterstützen Unternehmen ganz konkret bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR). Neben Orientierungshilfen und Anwendungshinweisen bieten sie Online-Services und praktische Werkzeuge für den Datenschutz in den Unternehmen. lesen

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Trust-Ratings in der Security

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern. lesen

Digitale Transformation ein Risiko für sensible Daten

Thales Global Threat Report

Digitale Transformation ein Risiko für sensible Daten

Unternehmen kämpfen mit komplexen Cloud-Umgebungen, während die für die digitale Transformation notwendigen Technologien mit den Sicherheitsanforderungen nicht Schritt halten. Das belegen die Ergebnisse des 2019 Thales Data Threat Report. lesen

So zahlt man die höchst­mögliche DSGVO-Strafe

Achtung Satire!

So zahlt man die höchst­mögliche DSGVO-Strafe

Die Datenschutz-Grundverordnung (DSGVO) gilt seit sieben Monaten EU-weit. Für Aufmerksamkeit sorgten die teils drastischen Strafen, die bei Datenschutz­verstößen drohen. Dennoch wissen viele Unternehmen noch immer nicht so recht, wie sie mit dem Thema umgehen sollen. Unser (nicht ganz ernst gemeinter) Tipp: Befolgen Sie diese simplen Schritte und Sie erreichen garantiert in kürzester Zeit die maximal mögliche Geldstrafe. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44428722 / Definitionen)