Datenpannen im Unternehmen

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Seit dem Inkrafttreten der DSGVO und der Erweiterung der Meldepflichten bei Datenschutzvorfällen wurden bereits europaweit hunderte von Datenpannen an die nationalen Aufsichtsbehörden gemeldet. Eines der wohl spektakulärsten Fälle ist sicherlich, das von der französischen Aufsichtsbehörde verhängte Bußgeld in Höhe von 50 Mio. Euro gegen Google. Datenschutzpannen treffen jedoch nicht nur die großen Konzerne und "global player" sondern auch immer öfter kleinere Unternehmen.
Datenpannen im Unternehmen
Die wichtigsten Erkenntnisse
  • Zahlreiche Datenpannen trotz DSGVO, betroffen sind große und kleine Unternehmen.
  • Datenschutzpannen umfassen unbefugten Zugriff, Verlust, Vernichtung und Offenlegung von Daten.
  • Strafen bis zu 20 Mio. Euro oder 4% des Jahresumsatzes bei Datenschutzverstößen.
  • Ursachen: Bedienfehler, Datenverlust, falsche Entsorgung, Cyberangriffe, Missbrauch von Zugriffsrechten.
  • Sensibilisierung der Mitarbeiter und präventive Maßnahmen sind entscheidend für Datenschutz.

Was ist eine Datenschutzpanne?

Eine Datenpanne liegt vor, wenn eine oder mehrere unberechtigte Personen Zugriff auf personenbezogene Daten haben. Das wird auch als Datenschutzverletzung bezeichnet. Doch wann liegt eine Verletzung des Schutzes von personenbezogenen Daten nach Art. 4 Nr. 12 DSGVO vor und was ist darunter zu verstehen? Kurz gesagt, geht es um die Verletzung der Datensicherheit. Diese liegt vor, wenn es sich um die Vernichtung, den Verlust, die Veränderung oder die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten handelt. Dabei spielt es keine Rolle, ob die Verletzung des Schutzes personenbezogener Daten unbeabsichtigt oder unrechtmäßig erfolgt ist.

Nach der DSGVO sind bei Datenschutzpannen Strafen von bis zu 20 Mio. Euro möglich oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Wie hoch das Bußgeld im Einzelfall ausfällt, hängt von den Landesbeauftragten der jeweiligen Datenschutzbehörden ab.

Arten von Datenpannen

Datenschutzvorfälle treten in vielen Bereichen eines Unternehmens auf, wie die Beispiele belegen. Ursachen sind mangelnde oder fehlende Datenschutzkonzepte, technische Fehler, Angriffe auf IT-Systeme und häufig die Mitarbeitenden selbst.

Bedienfehler: Fehler bei der Nutzung von Software führen dazu, dass sensible Daten unbeabsichtigt offengelegt werden.

Verlust von Datenträgern: Verlorene oder vergessene Festplatten, USB-Sticks oder andere Datenträger können von Dritten ausgelesen werden, wenn sie nicht verschlüsselt sind.

Falsche Entsorgung: Papierdokumente oder digitale Datenträger werden nicht ordnungsgemäß vernichtet und gelangen so ungeschützt in den normalen Abfall.

Unbefugte Informationsweitergabe: Externe Personen erhalten durch unzureichende Überprüfung vertrauliche Daten.

Cyberangriffe: Hacker verschaffen sich unerlaubt Zugriff auf IT-Systeme, um Daten zu stehlen oder zu manipulieren.

Missbrauch von Zugriffsrechten: Mitarbeiter oder Beamte nutzen ihre Zugriffsrechte, um Daten für persönliche Zwecke zu missbrauchen.

Unbeabsichtigter Datenverlust: Daten werden durch Fehler in der Softwarekonfiguration oder durch Unachtsamkeit versehentlich gelöscht.

Unbedachte Veröffentlichung: Daten werden versehentlich auf einer Website veröffentlicht oder durch Aushänge auf öffentlichen Tafeln zugänglich gemacht.

Warum sind Datenschutzvorfälle so brisant?

Personenbezogene Daten sind die Königsklasse der schützenswerten Daten – die DSGVO soll den Schutz von personenbezogenen Daten gewährleisten. Wenn etwa Passwörter und Pins für Kreditkartenzugänge bekannt werden, ist nicht nur die Privatsphäre betroffener Kunden gefährdet, es handelt sich um einen regelrechten Datenschutz-GAU.

In unserer heutigen Informationsgesellschaft kommt man an entsprechenden Daten, die Zugänge und Verfügungen schützen, nicht vorbei. Dementsprechend begehrt sind gerade solche Daten bei Kriminellen und Hackern, denn sie sind bares Geld wert, weil sie entsprechenden Manipulationen Tür und Tor öffnen.

Prävention von Datenschutzpannen im Unternehmen

Auch bei größten Anstrengungen lässt sich manche Datenpanne nicht vollständig verhindern. Jedoch kann das Unternehmen größeren Schaden im Bereich der rechtlichen Sanktionen und weitere kostenträchtige Folgen vermeiden, wenn es entsprechende Routinen angepasst an die gesetzlichen Vorgaben der EU-Datenschutzgrundverordnung geschaffen hat.

Folgende Fragen sollten sich Unternehmen dabei stellen:

  • Datenpannen haben ein breites Feld - vom Fehlversenden einer E-Mail über den in der U-Bahn vergessenen Firmenlaptop bis hin zu Hackerangriffen. Haben Sie einen Überblick über die Bandbreite von Datenschutzverletzungen?
  • Wissen alle Mitarbeiter über Datenpannen und deren Vermeidung Bescheid?
  • Gibt es einen Reaktionsplan für den Ernstfall, sollte eine Datenpanne eintreten?
  • Wissen Sie, bei welcher Stelle über einen Datenschutz-Vorfall Meldung gemacht werden muss?

Die Überprüfung der unternehmensinternen Routinen bietet eine gute Gelegenheit, die bisherige Organisationsstruktur in diesem Bereich auf den Prüfstand zu stellen und zu verbessern. Dabei können externe Experten helfen.

Der Imageschaden im Datenschutz – auch kleinere Datenpannen zählen

In Zeiten, in den Betriebsgeheimnisse und sensible Unternehmensdaten von mannigfachen Angriffen sowohl von außen als auch von innen bedroht sind, erkennen viele Geschäftsführer bzw. Verantwortliche die Bedeutung eines entsprechenden Datenschutzkonzeptes.

Cyberkriminalität, Hacker-Angriffe und böswillige Aktivitäten von Mitarbeitern führen zu Datenverlusten- bzw. pannen und kosten die Unternehmen jedes Jahr Milliarden. Insoweit sucht man sich zunehmend auf der B2B-Ebene Partner aus, die sich durch eine erhöhte Sensibilität in Bezug auf das Thema Datenschutz auszeichnen und sich nachweisbar datenschutzkonform verhalten. Dabei zählt vor allem das entsprechende Auftreten im betrieblichen Alltag.

Auch kleinere Nachlässigkeiten und das Fehlen ausgearbeiteter Datenschutzkonzepte im Unternehmen beschädigen mittelfristig den unternehmerischen Ruf. Selbst, wenn es also nicht zum "Supergau" im Datenschutz kommt, können sich Unternehmen prinzipiell Fahrlässigkeit im Bereich Datenschutz nicht mehr leisten.

Auch in Bezug auf den Endkunden ist das Bewusstsein für datenschutzrechtliche Anforderungen gewachsen. Gerade, wenn ein Unternehmen im Onlinebereich tätig ist, wird der informierte Verbraucher seinen Vertragspartner auch nach datenschutzrechtlichen Gesichtspunkten auswählen. Folglich ist die Erstellung eines sog. "Notfallplans" bzw. von Datensicherheitsmaßnahmen unumgänglich.

Mitarbeiter für Datenschutzvorfälle sensibilisieren

Bei allen Informationen und Bemühungen sowie verstärkten Sanktionsmöglichkeiten der Aufsichtsbehörden wird das Thema Datenpannen in vielen Unternehmen immer noch rein formal und nicht bewusst umgesetzt. Hier muss ein Umdenken erfolgen.

Ein erfolgreiches Datenschutzkonzept muss zum einen technisch installiert werden, zum anderen müssen auch die Mitarbeiter für die entsprechenden Anforderungen aus dem Datenschutz sensibilisiert werden. Mit den Mitarbeitern steht und fällt der Datenschutz im Unternehmen. Denn die Mitarbeiter stellen das größte Risiko für Datenschutzpannen dar.

In diesem Zusammenhang sollten die Mitarbeiter den Sinn und Zweck datenschutzrechtlicher Regelungen verstehen können, diese also nicht nur als komplizierte und hinderliche Maßnahmen im betrieblichen Alltag begreifen. Verantwortliche müssen mit gutem Beispiel vorangehen und Datenschutz positiv an die Belegschaft vermitteln. Zudem sollten die Mitarbeiter einen Reaktionsplan erhalten, wie bei einem Datenschutzvorfall Meldung zu machen ist. Das bietet bei Datenpannen schnelle Hilfe.

Datenschutzpannen im Unternehmen: So verhalten Sie sich richtig

Auch wenn sich ein Unternehmen grundsätzlich datenschutzkonform verhält und entsprechende Konzepte entwickelt hat, lassen sich Datenpannen vielfach nicht völlig vermeiden. Wer hier als Unternehmen einen Imageschaden vermeiden will, muss vor allem entsprechende Routinen für den Umgang mit Datenvorfällen entwickeln.

Die Neuregelungen in der EU-Datenschutzgrundverordnung geben entsprechende Wege und Hilfen bei Datenpannen vor. Zukünftig sind die Melde- und Informationspflichten gegenüber Behörden und Betroffenen noch einmal schärfer umrissen als unter dem alten BDSG. Für die Unternehmen heißt das, dass Protokolle und Routinen für den Fall einer Datenschutzpanne schon im Vorfeld installiert sein müssen. Dabei ist auch eine entsprechende Dokumentation unverzichtbar.

Nur ein Unternehmen, dass im Fall einer Datenpanne schnell und professionell im Rahmen der gesetzlichen Vorschriften reagieren kann und seinen Informationspflichten wie auch den Schadensverhütungspflichten gegenüber den Betroffenen nachkommt, wird zukünftig im Datenschutz gegenüber Mitbewerbern bestehen. Es geht also nicht nur um die Verhütung von Datenschutzpannen, sondern auch um deren Management. Letzteres wird in der Öffentlichkeit zunehmend wahrgenommen und bewertet.

Vorbeugung von Datenpannen als Wettbewerbsfaktor

Letztendlich ist Datenschutzkonformität bereits heute ein Erfolgsfaktor in Unternehmen. Ein Unternehmen, das sich bewusst und engagiert mit Datenpannen auseinandersetzt, schützt nicht nur die personenbezogenen Daten Dritter. Vielmehr schützt es sich selbst vor vermeidbaren Angriffen auf betriebsinterne Daten. Insoweit kommen unter diesem Gesichtspunkt in den Datenschutz getätigte Investitionen in vielfacher Hinsicht positiv zum Unternehmen zurück. Datenschutz sollte nicht mehr als lästige Pflicht, sondern als etwas begriffen werden, das den Unternehmenserfolg nachhaltig unterstützt. Hier kann von Gesetzes wegen nur bedingt Überzeugungsarbeit geleistet werden. Notwendig sind eine datenschutzkonforme Unternehmenskultur und ein datenschutzkonformes Denken, im Management sowie bei den Mitarbeitern. Es gibt Faktoren auf dem Markt, welche man als Unternehmen nicht beeinflussen kann. Wir sind jedoch der Auffassung, dass mithilfe eines guten Datenschutzkonzepts das Risiko einer Datenpanne sehr gering, wenn nicht sogar vermeidbar ist.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!