Magazin
Datenpannen im Unternehmen

Datenpannen im Unternehmen

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Seit dem Inkrafttreten der DSGVO und der Erweiterung der Meldepflichten bei Datenschutzvorfällen wurden bereits europaweit hunderte von Datenpannen an die nationalen Aufsichtsbehörden gemeldet. Eines der wohl spektakulärsten Fälle ist sicherlich, das von der französischen Aufsichtsbehörde verhängte Bußgeld in Höhe von 50 Mio. Euro gegen Google. Datenschutzpannen treffen jedoch nicht nur die großen Konzerne und "global player" sondern auch immer öfter kleinere Unternehmen.
Datenpannen im Unternehmen
Die wichtigsten Erkenntnisse
  • Zahlreiche Datenpannen trotz DSGVO, betroffen sind große und kleine Unternehmen.
  • Datenschutzpannen umfassen unbefugten Zugriff, Verlust, Vernichtung und Offenlegung von Daten.
  • Strafen bis zu 20 Mio. Euro oder 4% des Jahresumsatzes bei Datenschutzverstößen.
  • Ursachen: Bedienfehler, Datenverlust, falsche Entsorgung, Cyberangriffe, Missbrauch von Zugriffsrechten.
  • Sensibilisierung der Mitarbeiter und präventive Maßnahmen sind entscheidend für Datenschutz.

Was ist eine Datenschutzpanne?

Eine Datenpanne liegt vor, wenn eine oder mehrere unberechtigte Personen Zugriff auf personenbezogene Daten haben. Das wird auch als Datenschutzverletzung bezeichnet. Doch wann liegt eine Verletzung des Schutzes von personenbezogenen Daten nach Art. 4 Nr. 12 DSGVO vor und was ist darunter zu verstehen? Kurz gesagt, geht es um die Verletzung der Datensicherheit. Diese liegt vor, wenn es sich um die Vernichtung, den Verlust, die Veränderung oder die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten handelt. Dabei spielt es keine Rolle, ob die Verletzung des Schutzes personenbezogener Daten unbeabsichtigt oder unrechtmäßig erfolgt ist.

Nach der DSGVO sind bei Datenschutzpannen Strafen von bis zu 20 Mio. Euro möglich oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Wie hoch das Bußgeld im Einzelfall ausfällt, hängt von den Landesbeauftragten der jeweiligen Datenschutzbehörden ab.

Arten von Datenpannen

Datenschutzvorfälle treten in vielen Bereichen eines Unternehmens auf, wie die Beispiele belegen. Ursachen sind mangelnde oder fehlende Datenschutzkonzepte, technische Fehler, Angriffe auf IT-Systeme und häufig die Mitarbeitenden selbst.

Bedienfehler: Fehler bei der Nutzung von Software führen dazu, dass sensible Daten unbeabsichtigt offengelegt werden.

Verlust von Datenträgern: Verlorene oder vergessene Festplatten, USB-Sticks oder andere Datenträger können von Dritten ausgelesen werden, wenn sie nicht verschlüsselt sind.

Falsche Entsorgung: Papierdokumente oder digitale Datenträger werden nicht ordnungsgemäß vernichtet und gelangen so ungeschützt in den normalen Abfall.

Unbefugte Informationsweitergabe: Externe Personen erhalten durch unzureichende Überprüfung vertrauliche Daten.

Cyberangriffe: Hacker verschaffen sich unerlaubt Zugriff auf IT-Systeme, um Daten zu stehlen oder zu manipulieren.

Missbrauch von Zugriffsrechten: Mitarbeiter oder Beamte nutzen ihre Zugriffsrechte, um Daten für persönliche Zwecke zu missbrauchen.

Unbeabsichtigter Datenverlust: Daten werden durch Fehler in der Softwarekonfiguration oder durch Unachtsamkeit versehentlich gelöscht.

Unbedachte Veröffentlichung: Daten werden versehentlich auf einer Website veröffentlicht oder durch Aushänge auf öffentlichen Tafeln zugänglich gemacht.

Warum sind Datenschutzvorfälle so brisant?

Personenbezogene Daten sind die Königsklasse der schützenswerten Daten – die DSGVO soll den Schutz von personenbezogenen Daten gewährleisten. Wenn etwa Passwörter und Pins für Kreditkartenzugänge bekannt werden, ist nicht nur die Privatsphäre betroffener Kunden gefährdet, es handelt sich um einen regelrechten Datenschutz-GAU.

In unserer heutigen Informationsgesellschaft kommt man an entsprechenden Daten, die Zugänge und Verfügungen schützen, nicht vorbei. Dementsprechend begehrt sind gerade solche Daten bei Kriminellen und Hackern, denn sie sind bares Geld wert, weil sie entsprechenden Manipulationen Tür und Tor öffnen.

Prävention von Datenschutzpannen im Unternehmen

Auch bei größten Anstrengungen lässt sich manche Datenpanne nicht vollständig verhindern. Jedoch kann das Unternehmen größeren Schaden im Bereich der rechtlichen Sanktionen und weitere kostenträchtige Folgen vermeiden, wenn es entsprechende Routinen angepasst an die gesetzlichen Vorgaben der EU-Datenschutzgrundverordnung geschaffen hat.

Folgende Fragen sollten sich Unternehmen dabei stellen:

  • Datenpannen haben ein breites Feld - vom Fehlversenden einer E-Mail über den in der U-Bahn vergessenen Firmenlaptop bis hin zu Hackerangriffen. Haben Sie einen Überblick über die Bandbreite von Datenschutzverletzungen?
  • Wissen alle Mitarbeiter über Datenpannen und deren Vermeidung Bescheid?
  • Gibt es einen Reaktionsplan für den Ernstfall, sollte eine Datenpanne eintreten?
  • Wissen Sie, bei welcher Stelle über einen Datenschutz-Vorfall Meldung gemacht werden muss?

Die Überprüfung der unternehmensinternen Routinen bietet eine gute Gelegenheit, die bisherige Organisationsstruktur in diesem Bereich auf den Prüfstand zu stellen und zu verbessern. Dabei können externe Experten helfen.

Der Imageschaden im Datenschutz – auch kleinere Datenpannen zählen

In Zeiten, in den Betriebsgeheimnisse und sensible Unternehmensdaten von mannigfachen Angriffen sowohl von außen als auch von innen bedroht sind, erkennen viele Geschäftsführer bzw. Verantwortliche die Bedeutung eines entsprechenden Datenschutzkonzeptes.

Cyberkriminalität, Hacker-Angriffe und böswillige Aktivitäten von Mitarbeitern führen zu Datenverlusten- bzw. pannen und kosten die Unternehmen jedes Jahr Milliarden. Insoweit sucht man sich zunehmend auf der B2B-Ebene Partner aus, die sich durch eine erhöhte Sensibilität in Bezug auf das Thema Datenschutz auszeichnen und sich nachweisbar datenschutzkonform verhalten. Dabei zählt vor allem das entsprechende Auftreten im betrieblichen Alltag.

Auch kleinere Nachlässigkeiten und das Fehlen ausgearbeiteter Datenschutzkonzepte im Unternehmen beschädigen mittelfristig den unternehmerischen Ruf. Selbst, wenn es also nicht zum "Supergau" im Datenschutz kommt, können sich Unternehmen prinzipiell Fahrlässigkeit im Bereich Datenschutz nicht mehr leisten.

Auch in Bezug auf den Endkunden ist das Bewusstsein für datenschutzrechtliche Anforderungen gewachsen. Gerade, wenn ein Unternehmen im Onlinebereich tätig ist, wird der informierte Verbraucher seinen Vertragspartner auch nach datenschutzrechtlichen Gesichtspunkten auswählen. Folglich ist die Erstellung eines sog. "Notfallplans" bzw. von Datensicherheitsmaßnahmen unumgänglich.

Mitarbeiter für Datenschutzvorfälle sensibilisieren

Bei allen Informationen und Bemühungen sowie verstärkten Sanktionsmöglichkeiten der Aufsichtsbehörden wird das Thema Datenpannen in vielen Unternehmen immer noch rein formal und nicht bewusst umgesetzt. Hier muss ein Umdenken erfolgen.

Ein erfolgreiches Datenschutzkonzept muss zum einen technisch installiert werden, zum anderen müssen auch die Mitarbeiter für die entsprechenden Anforderungen aus dem Datenschutz sensibilisiert werden. Mit den Mitarbeitern steht und fällt der Datenschutz im Unternehmen. Denn die Mitarbeiter stellen das größte Risiko für Datenschutzpannen dar.

In diesem Zusammenhang sollten die Mitarbeiter den Sinn und Zweck datenschutzrechtlicher Regelungen verstehen können, diese also nicht nur als komplizierte und hinderliche Maßnahmen im betrieblichen Alltag begreifen. Verantwortliche müssen mit gutem Beispiel vorangehen und Datenschutz positiv an die Belegschaft vermitteln. Zudem sollten die Mitarbeiter einen Reaktionsplan erhalten, wie bei einem Datenschutzvorfall Meldung zu machen ist. Das bietet bei Datenpannen schnelle Hilfe.

Datenschutzpannen im Unternehmen: So verhalten Sie sich richtig

Auch wenn sich ein Unternehmen grundsätzlich datenschutzkonform verhält und entsprechende Konzepte entwickelt hat, lassen sich Datenpannen vielfach nicht völlig vermeiden. Wer hier als Unternehmen einen Imageschaden vermeiden will, muss vor allem entsprechende Routinen für den Umgang mit Datenvorfällen entwickeln.

Die Neuregelungen in der EU-Datenschutzgrundverordnung geben entsprechende Wege und Hilfen bei Datenpannen vor. Zukünftig sind die Melde- und Informationspflichten gegenüber Behörden und Betroffenen noch einmal schärfer umrissen als unter dem alten BDSG. Für die Unternehmen heißt das, dass Protokolle und Routinen für den Fall einer Datenschutzpanne schon im Vorfeld installiert sein müssen. Dabei ist auch eine entsprechende Dokumentation unverzichtbar.

Nur ein Unternehmen, dass im Fall einer Datenpanne schnell und professionell im Rahmen der gesetzlichen Vorschriften reagieren kann und seinen Informationspflichten wie auch den Schadensverhütungspflichten gegenüber den Betroffenen nachkommt, wird zukünftig im Datenschutz gegenüber Mitbewerbern bestehen. Es geht also nicht nur um die Verhütung von Datenschutzpannen, sondern auch um deren Management. Letzteres wird in der Öffentlichkeit zunehmend wahrgenommen und bewertet.

Vorbeugung von Datenpannen als Wettbewerbsfaktor

Letztendlich ist Datenschutzkonformität bereits heute ein Erfolgsfaktor in Unternehmen. Ein Unternehmen, das sich bewusst und engagiert mit Datenpannen auseinandersetzt, schützt nicht nur die personenbezogenen Daten Dritter. Vielmehr schützt es sich selbst vor vermeidbaren Angriffen auf betriebsinterne Daten. Insoweit kommen unter diesem Gesichtspunkt in den Datenschutz getätigte Investitionen in vielfacher Hinsicht positiv zum Unternehmen zurück. Datenschutz sollte nicht mehr als lästige Pflicht, sondern als etwas begriffen werden, das den Unternehmenserfolg nachhaltig unterstützt. Hier kann von Gesetzes wegen nur bedingt Überzeugungsarbeit geleistet werden. Notwendig sind eine datenschutzkonforme Unternehmenskultur und ein datenschutzkonformes Denken, im Management sowie bei den Mitarbeitern. Es gibt Faktoren auf dem Markt, welche man als Unternehmen nicht beeinflussen kann. Wir sind jedoch der Auffassung, dass mithilfe eines guten Datenschutzkonzepts das Risiko einer Datenpanne sehr gering, wenn nicht sogar vermeidbar ist.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutzverletzung
Datenschutz im Unternehmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Datenträger und CDs entsorgen: So geht’s
26
.
01
.
2021
Datenträger und CDs entsorgen: So geht’s
Die Corona-Krise entfaltet das digitale Potential vieler Unternehmen. Alles geht auf einmal online – zurück bleiben überflüssige Datenträger. Wohin damit?
Datenschutz beim Passwort: Wie sicher sind die Alternativen?
24
.
09
.
2024
Datenschutz beim Passwort: Wie sicher sind die Alternativen?
In der zunehmend digitalisierten Welt sind Passwörter die vorderste Verteidigungslinie für unsere persönlichen Daten. Doch wie sicher sind diese traditionellen Passwörter wirklich? Angesichts der ständigen Weiterentwicklung von Technologien und der wachsenden Bedrohungen durch Cyberkriminalität ist es unerlässlich, verschiedene Authentifizierungsmethoden zu evaluieren und zu verstehen.
Datenübermittlung im Konzern: Gibt es ein Konzernprivileg nach DSGVO?
10
.
05
.
2021
Datenübermittlung im Konzern: Gibt es ein Konzernprivileg nach DSGVO?
Die Datenübermittlung stellt Konzerne vor große Herausforderungen. Gibt es ein Konzernprivileg nach DSGVO? Lesen Sie, welche Regelungen im Bezug auf den Konzerndatenschutz gelten.
Datenschutz Siegel
14
.
10
.
2024
Datenschutz Siegel
Professionelle Datenschutzmaßnahmen werden in Unternehmen nicht nur aufgrund neuer gesetzlicher Regelungen immer wichtiger. Datenschutz, der konform mit den aktuellsten gesetzlichen Vorgaben wie der EU-Datenschutzgrundverordnung ist, wird zunehmend zu einem bedeutenden Wettbewerbsvorteil sowohl im B2B-Bereich als auch gegenüber dem Endkunden. Wie allerdings kommuniziert ein Unternehmen im Idealfall, dass es den Datenschutz ernst nimmt? Sie suchen sich einen externen Datenschutzbeauftragten und erfüllen die Dokumentationspflichten nach DSGVO. Nach außen hin können Unternehmen diese Maßnahmen mit dem Datenschutz-Siegel kommunizieren.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!