Remove ads
Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten Aus Wikipedia, der freien Enzyklopädie
Eine Datenpanne oder ein Datenleck ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten (Datenverlust) ein.[1]
Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:[2]
Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten). Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter, sondern werden von diesen veröffentlicht.
Der US-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:
Bis 2018 enthielt das Bundesdatenschutzgesetz in § 42a eine indirekt Definition der Datenpanne durch die Informationspflicht. Demnach lag eine Datenpanne nur vor, wenn
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 ist die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO definiert, als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom Image abzuwenden.
Durch das Telekom-Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet, die nationalen Regulierungsbehörden über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.[4]
Seit dem 25. Mai 2018 gibt es eine Meldepflicht für Datenpannen gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten.
Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen vor, sofern personenbezogene Daten betroffen sind.[5] Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig.[6] Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen.[7] In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden.[7][8] Behörden sind bisher von der Informationspflicht ausgenommen.
Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete IT-Sicherheitsmaßnahmen vorzubeugen.[9]
Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen.[10] In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, zeitnah (in der Regel innerhalb von 72 Stunden[11]) an die zuständige Aufsichtsbehörde zu melden.
Auch das österreichische Datenschutzgesetz 2000 sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“.[12] Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.[13]
In den Vereinigten Staaten müssen die Betroffenen in allen Bundesstaaten, außer Alabama, Kentucky, New Mexico und South Dakota, über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.[14]
Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese herangetragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von Serverlogs, Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten Meldeweg geben.[2][15] Um die Gefahr von Datenpannen zu verringern, empfiehlt es sich, komplexe Passwörter zu wählen, Sicherheitsupdates regelmäßig zu installieren und die Zwei-Faktor-Authentifizierung, sofern vorhanden, zu aktivieren.
Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem Whistleblowing wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.
Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie,[9] in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.[5][9]
Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von Identitätsdiebstahl. Die Daten werden dafür gegebenenfalls von Kriminellen durch Phishing angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.
Eine Studie der Technischen Universität München (TUM) aus 2022 zeigt am Beispiel von börsennotierten US-Firmen, dass viele Unternehmen gezielt planten, wann sie den Verlust sensibler Kundendaten veröffentlichen. So meldeten börsennotierten US-Firmen Datenlecks bevorzugt an Tagen, an denen andere Nachrichten die Schlagzeilen in den Medien dominierten. Damit vermieden sie stärkere Kursverluste am Aktienmarkt, riskierten aber größere Schäden.[16]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.