www.wikidata.de-de.nina.az

Datenpanne Eine oder ein Datenleck ist ein Vorfall bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten Wird de

Datenpanne

Eine Datenpanne oder ein Datenleck ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten (Datenverlust) ein.

Definitionen Bearbeiten

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:

  • bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss),
  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • Angriffe auf die IT-Infrastruktur eines Unternehmens.

Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten). Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter, sondern werden von diesen veröffentlicht.

Der US-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:

Bis 2018 enthielt das Bundesdatenschutzgesetz in § 42a eine indirekt Definition der Datenpanne durch die Informationspflicht. Demnach lag eine Datenpanne nur vor, wenn

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 ist die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO definiert, als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Rechtliche Bedeutung Bearbeiten

In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom Image abzuwenden.

Situation in der Europäischen Union Bearbeiten

Durch das Telekom-Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet, die nationalen Regulierungsbehörden über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.

Seit dem 25. Mai 2018 gibt es eine Meldepflicht für Datenpannen gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten.

Situation in Deutschland Bearbeiten

Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen vor, sofern personenbezogene Daten betroffen sind. Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig. Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen. In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden. Behörden sind bisher von der Informationspflicht ausgenommen.

Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete IT-Sicherheitsmaßnahmen vorzubeugen.

Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen. In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, zeitnah (in der Regel innerhalb von 72 Stunden) an die zuständige Aufsichtsbehörde zu melden.

Situation in Österreich Bearbeiten

Auch das österreichische Datenschutzgesetz 2000 sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“. Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.

Situation in anderen Ländern Bearbeiten

In den Vereinigten Staaten müssen die Betroffenen in allen Bundesstaaten, außer Alabama, Kentucky, New Mexico und South Dakota, über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.

Datenpannen erkennen Bearbeiten

Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese herangetragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von Serverlogs, Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten Meldeweg geben. Um die Gefahr von Datenpannen zu verringern, empfiehlt es sich, komplexe Passwörter zu wählen, Sicherheitsupdates regelmäßig zu installieren und die Zwei-Faktor-Authentifizierung, sofern vorhanden, zu aktivieren.

Folgen Bearbeiten

Durchschnittliche Kosten einer Datenpanne in Deutschland (nach Ponemon-Studie)

Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem Whistleblowing wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.

Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie, in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.

Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von Identitätsdiebstahl. Die Daten werden dafür gegebenenfalls von Kriminellen durch Phishing angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.

Eine Studie der Technischen Universität München (TUM) aus 2022 zeigt am Beispiel von börsennotierten US-Firmen, dass viele Unternehmen gezielt planten, wann sie den Verlust sensibler Kundendaten veröffentlichen. So meldeten börsennotierten US-Firmen Datenlecks bevorzugt an Tagen, an denen andere Nachrichten die Schlagzeilen in den Medien dominierten. Damit vermieden sie stärkere Kursverluste am Aktienmarkt, riskierten aber größere Schäden.

Siehe auch Bearbeiten

Weblinks Bearbeiten

Wiktionary: Datenpanne – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise Bearbeiten

  1. Vgl. Datenpannen: Melde- und Benachrichtigungspflichten nach DS-GVO und BDSG (3. Auflage). DGG, abgerufen am 5. Oktober 2021.
  2. HRM.de: (Nicht mehr online verfügbar.) In: HRM-Newsletter Personalrecht. Februar 2010, archiviert vom Original am 11. Oktober 2011; abgerufen am 3. Oktober 2011.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.hrm.de
  3. U.S. Code § 5727 (Title 38, Part IV, Chapter 57, Subchapter III). Cornell University, abgerufen am 4. Oktober 2011 (englisch).
  4. Stefan Krempl: Brüssel schnürt Telecom-Paket. C’t, 2009, abgerufen am 7. Oktober 2011.
  5. § 42a BDSG
  6. § 43 Absatz 2 BDSG
  7. § 43 Absatz 3 BDSG
  8. § 44 Absatz 1 BDSG
  9. 2010 Annual Study: German Cost of a Data Breach. (PDF; 2,6 MB) Ponemon Institute, 2019, abgerufen am 12. Oktober 2011 (englisch).
  10. EU-Datenschutz-Grundverordnung (DS-GVO). (PDF) Bayerisches Landesamt für Datenschutzaufsicht, Februar 2011, abgerufen am 11. Juni 2019.
  11. Thomas Steinle: DSGVO Meldepflicht bei Datenpannen. (html) it-rechtsanwalt.com, 2019, abgerufen am 11. Juni 2019.
  12. § 24 Absatz 2a DSG
  13. § 52 Absatz 2 DSG
  14. State Security Breach Notification Laws. In: National Conference of State Legislatures. Abgerufen am 9. Oktober 2011 (englisch).
  15. Oliver Schonschek: Datenverlust vermeiden: Datenpanne – und jetzt? In: Datenschutz PRAXIS. WEKA MEDIA, abgerufen am 12. Oktober 2011.
  16. idw: Firmen melden Datenlecks an Nachrichten-starken Tagen. 24. November 2022 Originalpublikation: Jens Foerderer, Sebastian Schuetz: Data Breach Announcements and Stock Market Reactions: A Matter of Timing? Management Science 2022. DOI:10.1287/mnsc.2021.4264
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Eine Datenpanne oder ein Datenleck ist ein Vorfall bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten Wird der Begriff weit ausgelegt so schliesst er auch das unerwunschte Loschen von Daten Datenverlust ein 1 Inhaltsverzeichnis 1 Definitionen 2 Rechtliche Bedeutung 2 1 Situation in der Europaischen Union 2 2 Situation in Deutschland 2 3 Situation in Osterreich 2 4 Situation in anderen Landern 3 Datenpannen erkennen 4 Folgen 5 Siehe auch 6 Weblinks 7 EinzelnachweiseDefinitionen BearbeitenDatenpannen sind Verstosse gegen die Datensicherheit und den Datenschutz bei denen Staatsgeheimnisse Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermassen bekannt geworden sind Es spielt keine Rolle ob die Daten in analoger oder elektronischer Form vorliegen Darunter fallen 2 bewusste oder unbewusste unbefugte Verarbeitung von Daten z B Datenabfluss unbefugte Aktivitaten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen Angriffe auf die IT Infrastruktur eines Unternehmens Die Daten konnen dabei im Original abhandenkommen z B indem Datentrager oder Akten verloren gestohlen oder falsch entsorgt werden oder in Form einer Kopie z B durch Eindringen in einen Server Verbreitung versehentlich veroffentlichter Daten oder die Arbeit von Informanten Mitunter gelangen die Daten nicht nur in den Besitz einzelner Unberechtigter sondern werden von diesen veroffentlicht Der US amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt The term data breach means the loss theft or other unauthorized access other than those incidental to the scope of employment to data containing sensitive personal information in electronic or printed form that results in the potential compromise of the confidentiality or integrity of the data 3 Eine Datenpanne bezeichnet den Verlust Diebstahl oder unberechtigten Zugriff sofern dieser nicht ein Beschaftigungsverhaltnis betrifft von auf Daten welche sensible personliche Informationen in elektronischer oder gedruckter Form enthalten insofern dieser die Vertraulichkeit oder Integritat der Daten gefahrdet dd Bis 2018 enthielt das Bundesdatenschutzgesetz in 42a eine indirekt Definition der Datenpanne durch die Informationspflicht Demnach lag eine Datenpanne nur vor wenn 1 besondere Arten personenbezogener Daten 3 Absatz 9 BDSG 2 personenbezogene Daten die einem Berufsgeheimnis unterliegen 3 personenbezogene Daten die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder 4 personenbezogene Daten zu Bank oder Kreditkartenkonten unrechtmassig ubermittelt oder auf sonstige Weise Dritten unrechtmassig zur Kenntnis gelangt sind dd Mit dem Inkrafttreten der Datenschutz Grundverordnung DSGVO 2018 ist die Datenpanne als Verletzung des Schutzes personenbezogener Daten in Art 4 Nr 12 DSGVO definiert als eine Verletzung der Sicherheit die ob unbeabsichtigt oder unrechtmassig zur Vernichtung zum Verlust zur Veranderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten fuhrt die ubermittelt gespeichert oder auf sonstige Weise verarbeitet wurden Rechtliche Bedeutung BearbeitenIn einigen Landern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten In diesen Fallen mussen die Betroffenen die Aufsichtsbehorden oder die Offentlichkeit benachrichtigt werden Die Veroffentlichung unterbleibt bei Unternehmen dagegen meist wenn Betriebsgeheimnisse betroffen sind um Schaden vom Image abzuwenden Situation in der Europaischen Union Bearbeiten Durch das Telekom Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet die nationalen Regulierungsbehorden uber Datenpannen zu informieren In schweren Fallen mussen die betroffenen Personen direkt benachrichtigt werden 4 Seit dem 25 Mai 2018 gibt es eine Meldepflicht fur Datenpannen gemass Art 33 der Datenschutz Grundverordnung DSGVO in allen Mitgliedstaaten Situation in Deutschland Bearbeiten Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen fur Privatunternehmen und offentlich rechtliche Wettbewerbsunternehmen vor sofern personenbezogene Daten betroffen sind 5 Unternehmen welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig 6 Dies kann eine Geldbusse bis zu 300 000 Euro nach sich ziehen 7 In besonderen Fallen kann auch eine hohere Geldbusse oder sogar eine Freiheitsstrafe verhangt werden 7 8 Behorden sind bisher von der Informationspflicht ausgenommen Die Einfuhrung der Informationspflicht hat zu einer grosseren Bereitschaft bei Unternehmen gefuhrt Datenpannen durch geeignete IT Sicherheitsmassnahmen vorzubeugen 9 Seit der Umsetzung der DSGVO besteht ferner eine deutlich umfassendere Meldepflicht bei Datenpannen 10 In den Artikeln 33 und 34 wird der Umgang und die Meldepflicht von Datenpannen geregelt Nun ist jede Datenpanne die voraussichtlich zu einem Risiko fur den Betroffenen fuhrt zeitnah in der Regel innerhalb von 72 Stunden 11 an die zustandige Aufsichtsbehorde zu melden Situation in Osterreich Bearbeiten Auch das osterreichische Datenschutzgesetz 2000 sieht eine Informationspflicht vor wenn Daten aus einer Datenanwendung systematisch und schwerwiegend unrechtmassig verwendet wurden und den Betroffenen Schaden droht 12 Bei Zuwiderhandlung kann eine Geldstrafe bis 10 000 Euro folgen 13 Situation in anderen Landern Bearbeiten In den Vereinigten Staaten mussen die Betroffenen in allen Bundesstaaten ausser Alabama Kentucky New Mexico und South Dakota uber eine Datenpanne informiert werden falls es sich um personenbezogene Daten handelt 14 Datenpannen erkennen BearbeitenDatenpannen konnen entweder innerhalb einer Organisation erkannt oder von aussen an diese herangetragen werden Von innen geschieht dies zum Beispiel durch Mitarbeitergesprache Prufungen von Prozessen bei denen sensible Daten verarbeitet werden Auswertung von Serverlogs Beobachtung von Unregelmassigkeiten oder Warnmechanismen bei unerlaubten Zugriffen Von aussen kann die Information durch Dritte durch Medienberichte oder durch eine Anzeige bei der zustandigen Aufsichtsbehorde erfolgen Damit Meldungen von Dritten schnell und zuverlassig bearbeitet werden sollte es einen definierten Meldeweg geben 2 15 Um die Gefahr von Datenpannen zu verringern empfiehlt es sich komplexe Passworter zu wahlen Sicherheitsupdates regelmassig zu installieren und die Zwei Faktor Authentifizierung sofern vorhanden zu aktivieren Folgen Bearbeiten nbsp Durchschnittliche Kosten einer Datenpanne in Deutschland nach Ponemon Studie 9 Datenpannen haben in der Regel negative Folgen Fur die Verursacher und wenn es sich um personenbezogene Daten handelt auch fur die Betroffenen konnen dies wirtschaftliche Nachteile oder Imageschaden sein In wenigen Fallen konnen Datenpannen auch positive Folgen haben zum Beispiel wenn dadurch ahnlich dem Whistleblowing wichtige Informationen aufgedeckt werden welche der Offentlichkeit vorenthalten wurden Die durchschnittlichen Kosten pro Datenpanne steigen laut Ponemon Studie 9 in Deutschland seit 2008 in jedem Jahr an 2010 lagen sie bei 3 4 Millionen Euro Davon entfielen 1 5 Millionen Euro auf den unmittelbaren Geschaftsverlust 0 9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden 0 7 Millionen Euro auf das Aufdecken der Datenpanne und 0 2 Millionen Euro auf die Benachrichtigung von Betroffenen Durch die Einfuhrung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird 5 9 Wenn von einer Datenpanne personenbezogene Daten betroffen sind besteht die Gefahr von Identitatsdiebstahl Die Daten werden dafur gegebenenfalls von Kriminellen durch Phishing angereichert Den Betroffenen konnen dann grosse finanzielle und personliche Schaden entstehen Eine Studie der Technischen Universitat Munchen TUM aus 2022 zeigt am Beispiel von borsennotierten US Firmen dass viele Unternehmen gezielt planten wann sie den Verlust sensibler Kundendaten veroffentlichen So meldeten borsennotierten US Firmen Datenlecks bevorzugt an Tagen an denen andere Nachrichten die Schlagzeilen in den Medien dominierten Damit vermieden sie starkere Kursverluste am Aktienmarkt riskierten aber grossere Schaden 16 Siehe auch BearbeitenData Loss Prevention Liste von DatendiebstahlenWeblinks Bearbeiten nbsp Wiktionary Datenpanne Bedeutungserklarungen Wortherkunft Synonyme Ubersetzungen Datenpannen Meldepflicht nach Datenschutz Grundverordnung Leak Checker Uni Bonn Tool zur Uberprufung auf Betroffenheit einer DatenpanneEinzelnachweise Bearbeiten Vgl Datenpannen Melde und Benachrichtigungspflichten nach DS GVO und BDSG 3 Auflage DGG abgerufen am 5 Oktober 2021 a b HRM de Richtlinie zum Abfluss von Informationen an Dritte Nicht mehr online verfugbar In HRM Newsletter Personalrecht Februar 2010 archiviert vom Original am 11 Oktober 2011 abgerufen am 3 Oktober 2011 nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www hrm de U S Code 5727 Title 38 Part IV Chapter 57 Subchapter III Cornell University abgerufen am 4 Oktober 2011 englisch Stefan Krempl Brussel schnurt Telecom Paket C t 2009 abgerufen am 7 Oktober 2011 a b 42a BDSG 43 Absatz 2 BDSG a b 43 Absatz 3 BDSG 44 Absatz 1 BDSG a b c d 2010 Annual Study German Cost of a Data Breach PDF 2 6 MB Ponemon Institute 2019 abgerufen am 12 Oktober 2011 englisch EU Datenschutz Grundverordnung DS GVO PDF Bayerisches Landesamt fur Datenschutzaufsicht Februar 2011 abgerufen am 11 Juni 2019 Thomas Steinle DSGVO Meldepflicht bei Datenpannen html it rechtsanwalt com 2019 abgerufen am 11 Juni 2019 24 Absatz 2a DSG 52 Absatz 2 DSG State Security Breach Notification Laws In National Conference of State Legislatures Abgerufen am 9 Oktober 2011 englisch Oliver Schonschek Datenverlust vermeiden Datenpanne und jetzt In Datenschutz PRAXIS WEKA MEDIA abgerufen am 12 Oktober 2011 idw Firmen melden Datenlecks an Nachrichten starken Tagen 24 November 2022 Originalpublikation Jens Foerderer Sebastian Schuetz Data Breach Announcements and Stock Market Reactions A Matter of Timing Management Science 2022 DOI 10 1287 mnsc 2021 4264Bitte den Hinweis zu Rechtsthemen beachten Abgerufen von https de wikipedia org w index php title Datenpanne amp oldid 229466354