Definition Datenschutzverletzung

Was ist eine Datenschutzverletzung?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art.
Was genau versteht man eigentlich unter einer Datenschutzverletzung? Das richtige Verständnis ist wichtig für die Prävention von Datenverlusten jeder Art. (Bild: Pixabay / CC0)

Datendiebstahl, Datenklau, Datenmanipulation, Verschlüsselung von Daten durch Ransomware oder Datenverlust, alle diese Vorfälle werden datenschutzrechtlich als Datenschutzverletzung eingestuft. Meldungen über Datenschutzverletzungen häufen sich und viele Studien untersuchen die Konsequenzen eines Datenverlusts. Doch was genau versteht man eigentlich unter einer Datenschutzverletzung?

Die Datenschutz-Grundverordnung (DSGVO) definiert eine Datenschutzverletzung so: Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Im Gegensatz zu den IT-Sicherheitsvorfällen geht es bei Datenschutzverletzungen offensichtlich immer um Vorfälle, die Daten betreffen. Was genau den Vorfall oder die Panne ausmacht, ist dagegen nicht ersichtlich. Deshalb besteht die Gefahr, dass der Begriff Datenschutzverletzung falsch oder zumindest ungenau interpretiert wird. Ist aber der Begriff Datenschutzverletzung zu schwammig, können die Maßnahmen zur Vermeidung von Datenschutzverletzungen nicht zielsicher genug formuliert und umgesetzt werden. Mehr Klarheit über das Wesen einer Datenschutzverletzung ist deshalb wichtig.

Anstatt von einer Datenschutzverletzung zu sprechen, benutzt das Bundesdatenschutzgesetz (BDSG) von „unrechtmäßiger Kenntniserlangung von Daten“. Unter den klassischen Schutzzielen ist somit die Vertraulichkeit betroffen, nicht aber notwendigerweise die Integrität oder die Verfügbarkeit von Daten. Die DSGVO jedoch hat ein weiteres Verständnis von dem, was als „Datenschutzverletzung“ bezeichnet werden könnte.

In den Erwägungsgründen, die zur DSGVO gehören, findet man die Aussage: „Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist.“ Fehlt also insbesondere eine der geforderten Maßnahmen für die Sicherheit der Verarbeitung (nach Artikel 32 DSGVO), kann von einer Verletzung des Schutzes personenbezogener Daten und damit von einer Datenschutzverletzung ausgegangen werden. Eine Datenschutzverletzung liegt auch dann vor, wenn die Integrität und Verfügbarkeit der Daten betroffen ist, und auch dann, wenn die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung nicht gewährleistet ist.

Bedeutung und Empfehlung für Unternehmen

Die Bedeutung von Datenschutzverletzungen wird in Studien meist durch die Angabe eines finanziellen Schadens unterstrichen: Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Ein einziger Vorfall schlägt im Schnitt mit bis zu vier Millionen US-Dollar zu, so die Studie „2016 Cost of Data Breach Study“ des Ponemon-Instituts. Ebenso wird auf die große Zahl betroffener Daten hingewiesen: Mehr als eine halbe Milliarde Datensätze mit persönlichen Informationen wurden laut dem 2016 Internet Security Threat Report gestohlen oder gingen verloren. Mehr Unternehmen als je zuvor melden nicht das ganze Ausmaß ihrer Datenschutzverletzungen.

n den offiziellen Erläuterungen zur DSGVO findet man weitere Folgen von Datenschutzverletzungen für Betroffene, die sich Unternehmen vor Augen führen sollten, wenn es um den Aufwand für den Datenschutz geht: Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Wie vielfältig Datenschutzverletzungen sind und wie konkrete Beispiele aussehen, sieht man unter anderem in den Tätigkeitsberichten der Aufsichtsbehörden für den Datenschutz (ZAfTDa) oder in der Übersicht des Projektes Datenschutz.

Unternehmen sollten die umfassende Bedeutung von Datenschutzverletzungen und die Bandbreite der möglichen Folgen in den Blick nehmen, um die Maßnahmen zur Vermeidung von Datenschutzverletzungen richtig zu wählen und zu priorisieren.

Für die Unternehmen selbst bleibt festzuhalten, dass es mit der DSGVO verschärfte Meldepflichten für Datenschutzverletzungen und deutlich höhere Sanktionen gibt. Ebenso zeigen Umfragen, dass Kunden es durchaus übel nehmen, wenn es zu einer Datenschutzverletzung kommt. Deshalb sollten Unternehmen Datenschutzverletzungen nicht schwammig sehen, sondern ein klares Konzept zur Prävention haben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Telefonnummern von 420 Millionen Facebook-Nutzern im Netz entdeckt

Datenschutzverletzung mit Facebook-Userdaten

Telefonnummern von 420 Millionen Facebook-Nutzern im Netz entdeckt

Facebook hatte bereits im vergangenen Jahr eingeräumt, dass die Funktion zur Freunde-Suche nach Telefonnummer zum Datenabgriff missbraucht wurde. Jetzt ist im Internet eine Datenbank mit Einträgen zu hunderten Millionen Nutzern entdeckt worden. lesen

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

Online-Beratung als Entlastung des DSB

Beratung für Datenschutzbeauftragte

Online-Beratung als Entlastung des DSB

Datenschutzbeauftragter (DSB) im Unternehmen ist eine gefragte Anlaufstelle, wenn es um Fragen zur Datenschutz-Grund­verordnung (DSGVO) geht. Doch jeder DSB hat nur begrenzt Zeit zur Verfügung. Eine Aufsichtsbehörde führt nun eine Online-Beratung ein, um den vielen Anfragen besser begegnen zu können. Grund genug, diese Möglichkeit auch für betriebliche Datenschutz­beauftragte zu überlegen. lesen

Weiterentwicklung des BSI-Standards 200-4

Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle. lesen

Kein Ruhetag für Cybersecurity-Fachkräfte

IT-Security Best Practice

Kein Ruhetag für Cybersecurity-Fachkräfte

Datenlecks, Datendiebstahl, Cyberangriffe. Erst vor Kurzem, Anfang 2019, machte ein weitreichender Angriff auf sensible Daten von deutschen Politikern und Prominenten Schlagzeilen. Die bloße Bandbreite und Häufigkeit dieser Angriffe ist Beweis genug, dass ungeachtet der Größe oder Art eines Unternehmens alle Akteure anfällig sind und Opfer eines Angriffs werden könnten. lesen

Die häufigsten Datenschutzverletzungen

Unternehmen, Behörden und Gesundheitswesen

Die häufigsten Datenschutzverletzungen

Seit Anfang 2019 sind rund 1.000 Meldungen über Datenpannen beim baden-württembergischen Datenschutzbeauftragten eingegangen. Die Themen reichen von Vorfällen mit Verschlüsselungstrojanern (Ransomware) bis hin zum Fehlversand von Arztberichten. Als Folge mussten teils saftige Bußgelder bezahlt werden. lesen

Die DSGVO ist keine Aufgabe zum „einfach abhaken“

Kommentar zur DSGVO und deren Durchsetzung

Die DSGVO ist keine Aufgabe zum „einfach abhaken“

Die Geldbuße von 183 Millionen Pfund für British Airways bestätigt, dass die Datenschutz-Grundverordnung (DSGVO) ein sehr ernstzunehmender Rechtsakt ist und nicht so zahnlos wie dies anfangs befürchtet wurde. Die DSGVO stellt die Herausforderungen und die Planungen im Bereich der Cybersicherheit in einen völlig neuen Kontext. lesen

IT-Sicherheit muss bei M&A höchste Priorität haben

Deal Breaker Cybersicherheit

IT-Sicherheit muss bei M&A höchste Priorität haben

Jeder IT-Administrator kennt bestimmt ein Device, das sich einfach nicht ins IT-Manage­ment-System integrieren lassen will oder einfach nicht funktioniert. Das Gute ist, dass man den Typ zumindest kennt. Was aber, wenn man statt einer Device-Gruppe plötzlich ein unbekanntes Abteilungs- oder Firmen­netzwerk managen soll? Genau das wird durch Firmenzukäufe aber immer alltäglicher. lesen

Private IoT-Geräte im Unternehmen

Bring Your Own Device 2.0

Private IoT-Geräte im Unternehmen

Das Internet der Dinge verändert Privat- und Berufsleben. Dazu gehört auch, dass Mitarbeiter immer häufiger persönliche IoT-Geräte an ihren Arbeitsplatz mitbringen. Diese stellen jedoch ein mögliches Sicherheitsrisiko dar, auf das Security-Verantwortliche reagieren müssen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44428722 / Definitionen)