Was ist eine Datenpanne?

 

 

Eine Datenpanne / ein Datenschutzvorfall liegt vor, wenn unberechtigte Personen Zugriff auf (personenbezogene) Daten haben. Das kann auch die ungewollte Löschung von Daten einschließen.

Gemäß Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“

„[…] eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Dies meint eine Verletzung der Sicherheit der Datenverarbeitung i.S.v. Art. 32 EU-DSGVO sowohl in Form externer Angriffe als auch in Form eines Fehlverhaltens von Mitarbeitern.

 

Beispiele für meldepflichtige Datenschutzpannen sind

Wenn Unbefugte auf;

  • besondere Arten personenbezogener Daten (Gesundheitsdaten)
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen
  • Daten zu Bank-oder Kreditkartenkonten
  • Internetzugangsdaten wie E-Mail Adressen, sofern sie als Benutzername verwendet werden
  • Passwörter

Zugriff bekommen haben,  oder die Löschung durch eine nicht autorisierte Person, die Unmöglichkeit der Wiederherstellung eines Backups, das Abhandenkommen eines Schlüssels zur Entschlüsselung, ein Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung), ein Befall durch Ransomwareoder der Verlust eines mobilen, unverschlüsselten Datenträgers erfolgte. Vom Verantwortlichen fordert die Datenschutzgrundverordnung in Erwägungsgrund 87, dass er feststellen muss, ob eine Datenpanne aufgetreten ist und dass er die Aufsichtsbehörde und die betroffene Person umgehend darüber unterrichtet.