Datenpanne in Unternehmen: Wie Sie mit DSGVO-konformen Maßnahmen Ihre Daten schützen

02.09.2024 von Marc Thamm

Datenpannen in Unternehmen können in verschiedenen Formen auftreten. Sie können eine externe Bedrohung oder durch eigene Mitarbeiter verschuldet sein. Manchmal sind auch technische oder organisatorische Mängel schuld. Auch wenn die meisten Datenpannen in Unternehmen unabsichtlich herbeigeführt werden, haben sie oft schwerwiegende Konsequenzen. 

Wir zeigen Ihnen in einer Schritt-für Schritt-Anleitung, wie Sie eine Datenpanne im Unternehmen richtig melden und wie Sie sich präventiv und effektiv schützen können. 

Person sitzt vor einem aufgeklapptem Laptop und tippt mit beiden Händen auf der Tastatur. Ein rotes Warnzeichen erscheint.

Was ist eine Datenpanne laut DSGVO?

Die europäische Union hat im Jahr 2016 die Datenschutz-Grundverordnung (DSGVO) verabschiedet, in der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Ziel ist die Gewährleistung des freien Datenverkehrs innerhalb des europäischen Binnenmarktes sowie der Schutz personenbezogener Daten. Um beurteilen zu können, ob eine Datenpanne gemäß DSGVO vorliegt, hilft ein Blick in Paragraph 4. Dort wird eine Verletzung personenbezogener Daten definiert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ 

Eine Datenpanne gemäß DSGVO ist demnach ein Vorfall, der ein Risiko für die Betroffenen darstellt und bei dem personenbezogene Daten: 

  • verloren gehen (absichtlich oder unabsichtlich), 
  • unbefugt offengelegt werden, 
  • zugänglich gemacht werden, 
  • vernichtet werden oder 
  • verändert werden. 

Allgemein üblich (und im nachfolgenden Text) wird von Datenpannen in Unternehmen gesprochen, wenn ein Vorfall den Datenschutz betreffend gemeint ist. Zur Präzisierung hier die exakte Abgrenzung der Begriffe Datenpanne, Datenschutzverstoß und Datenschutzverletzung: 

DatenschutzverstoßDatenpanneDatenschutzverletzung
Allgemeiner Begriff, der jeden Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) umfasst.Die Sicherheit von Informationen wird beeinträchtigt. Es liegt eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten vor.Spezifische Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO).

Maßgeschneiderte Versicherung bei Datenpannen

Sichern Sie jetzt Datenpannen in Ihrem Unternehmen optimal ab! Mit der maßgeschneiderten Hiscox Versicherung profitieren Sie und Ihr Unternehmen nicht erst im Schadenfall – sondern bereits ab dem ersten Tag!

Welche Arten von Datenpannen in Unternehmen gibt es und was sind die Ursachen?

Grundsätzlich lassen sich Datenpannen in Unternehmen in drei Kategorien unterteilen: 

1. Datenpannen in Unternehmen durch externe Bedrohungen:  

Externe Bedrohungen sind eine der Hauptursachen für Datenpannen in Unternehmen. Hierbei verschaffen sich Kriminellen durch verschiedene Methoden Zugang zum IT-System von Unternehmen. Phishing ist dabei eine der häufigsten Ursachen, die für eine folgenschwere Datenpanne im Unternehmen verantwortlich ist. Dabei senden Cyberkriminelle E-Mails oder Nachrichten an Unternehmens-Mitarbeiter, um diese zu verleiten, sensible Informationen preiszugeben oder schädliche Links zu öffnen. 

Mit Hilfe von Malware (Schadsoftware wie Viren, Trojaner und Ransomware) können Systeme infiziert werden, Daten gestohlen bzw. verschlüsselt werden - ein häufiger Grund für Datenpannen in Unternehmen. 

Das Ziel von Denial-of-Service (DoS) Angriffen ist es, die Server eines Unternehmens mit einer Flut von Anfragen zu überlasten. Dies soll zu Ausfällen und Unterbrechungen führen. 

Durch das Abfangen der Kommunikation zwischen zwei Parteien sollen Daten gestohlen oder manipuliert werden. Diese Datenpanne in Unternehmen nennt man Man-in-the-Middle (MitM) Angriff

Das Ausnutzen von unbekannten Schwachstellen in der Software, bevor diese durch Updates behoben werden können, wird als Zero-Day-Exploits bezeichnet. 

2. Datenpannen in Unternehmen durch interne Bedrohungen: 

Manchmal kommt die Ursache für eine Datenpanne im Unternehmen nicht von außerhalb, sondern aus den eigenen Strukturen heraus. Unabsichtliche oder fahrlässige Mitarbeiterfehler wie das Versenden von E-Mails an falsche Empfänger oder das Hochladen sensibler Daten auf unsichere Plattformen können zu einer gravierenden Datenpanne im Unternehmen werden. 

Mitarbeiter, die absichtlich Daten stehlen oder sabotieren können gefährlich werden. Diese böswilligen Insider handeln oft aus Rache oder haben finanzielle Motive. 

Auch Partner oder Dienstleister, die Zugang zu internen Unternehmensdaten haben, können die Sicherheit personenbezogener Daten versehentlich oder absichtlich gefährden.

3. Datenpannen in Unternehmen durch technische Schwachstellen: 

Systemtechnisch können veraltete Zugriffsrechte eine Datenpanne in Unternehmen auslösen. Beispielsweise durch ehemalige Mitarbeiter oder Partner, die weiterhin Zugang zu sensiblen Daten haben, weil ihre Zugriffsrechte nicht rechtzeitig entzogen wurden. 

Eine veraltete oder fehl-konfigurierte Software kann Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können, um personenbezogene sensible Daten zu stehlen. Ungepatchte Systeme (d.h. ohne neueste Sicherheits-Updates) sind dabei besonders anfällig. 

Eine mangelnde Verschlüsselung oder zu schwache Passwörter können ebenfalls das Tor zu einer folgenschweren Datenpanne in Unternehmen öffnen. 

 

Gut zu wissen

  • Faktor Mensch!

    Eine Studie des Sicherheitsunternehmen Tessian zusammen mit Jeff Hancock (Professor an der Stanford University) hat herausgefunden, dass 88% der Datenschutzverletzungen auf Fehler der Beschäftigten zurückgehen.

Warum sind Datenpannen in Unternehmen so gefährlich?

1. Finanzielle Schäden durch Datenpannen in Unternehmen

Wenn Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, drohen ihnen hohen Bußgelder. Für Verstöße können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens erhoben werden. Die Höhe des Bußgeldes hängt einerseits von der Schwere des Deliktes ab, andererseits, ob die Tat vorsätzlich oder fahrlässig begangen wurde. Sollte das Unternehmen Maßnahmen zur Minderung des Schadens ergriffen haben, kann sich dies strafmildernd auswirken. 

Des Weiteren können Schadensersatzforderungen von Personen, die durch Datenpannen in Unternehmen betroffen sind, erhebliche Kosten verursachen. Auch den Verlust von Einnahmen können Datenpannen in Unternehmen auslösen.

Datenpanne in Unternehmen aus der Praxis: Finanzieller Schaden

Eine Online-Plattform, die exklusive Oldtimer-Reisen organisiert, wird gehackt. Durch einen individuellen Fehler des verantwortlichen Mitarbeiters gelangen sensible Kundendaten an eine bekannte kriminelle Cyber-Gruppe. Diese veröffentlicht die Daten medienwirksam im Internet. Das Unternehmen wird von Kunden der Plattform wegen der Verletzung von Persönlichkeitsrechten auf Schadenersatz verklagt.

2. Reputationsschäden durch Datenpannen in Unternehmen 

Durch Datenpannen in Unternehmen kann das Vertrauen der Kunden und Geschäftspartner beschädigt werden. Sollte eine Datenpanne in einem Unternehmen den IT-Betrieb lahmlegen und eine Betriebsunterbrechung auslösen, hat dies nicht nur finanzielle Konsequenzen, sondern kann auch ein generelles negatives Image und eine nachhaltige Beschädigung des Rufes bewirken. Besonders in dem Fall, wenn ein Verlust von sensiblen personenbezogenen Daten erfolgt ist und dies öffentlich bekannt wird.

Datenpanne in Unternehmen aus der Praxis: Reputationsschaden 

Um seine Klienten über rechtliche Neuerungen zu informieren, verschickt eine auf Strafverteidigung spezialisierte Anwaltskanzlei eine Rundmail. Jedoch sind versehentlich die Adressen aller Empfänger für die jeweils anderen sichtbar (Verteiler in CC und nicht in BCC). Hierdurch erhalten Unbefugte den Zugriff auf die E-Mail-Adressen und somit auf persönlichen Daten. Die Anwaltskanzlei erleidet einen immensen Reputationsschaden.

3. Rechtliche Konsequenzen durch Datenpannen in Unternehmen  

Bei einer Datenpanne in Unternehmen haftet das Unternehmen als Verantwortlicher. Als Unternehmensteile gelten alle agierenden Personen wie Vorstand, Geschäftsführer, Mitarbeiter, Leiharbeitnehmer etc.. Ihre Tätigkeiten werden dem Unternehmen als Verantwortlichem zugerechnet. Dies wirkt sich nicht nur auf mögliche Schadensersatzforderungen (gemäß Art. 82 DSGVO) aus, sondern gilt auch für etwaige verhängte Geldbußen (gemäß Art. 83 DSGVO). 

Grundsätzlich ausgeschlossen ist eine Haftung des Managements und der Mitarbeiter jedoch nicht. Sollten die gesetzlichen oder unternehmensspezifischen Rechtspflichten verletzt werden, kann eine persönliche Schadenersatzpflicht entstehen.

Datenpanne in Unternehmen aus der Praxis: rechtliche Konsequenz

Eine öffentliche Bildungseinrichtung zeigt auf ihrem YouTube-Kanal minderjährige Schülerinnen und Schüler ohne datenschutzrechtliche Rechtsgrundlage. Die zuständige Datenschutzbehörde wird von Eltern auf den Vorfall aufmerksam gemacht und verlangt das Ergreifen geeigneter Maßnahmen. Die Bildungseinrichtung kommt dieser Aufforderung jedoch nicht fristgerecht nach. Infolgedessen wird ein Bußgeld erhoben. 

Was muss ein Unternehmen bei einer Datenpanne tun?

Vorweg: Nicht jede Datenpanne in Unternehmen ist DSGVO-relevant. Daher ist es wichtig, das individuelle Risiko durch den Schadenfall zu ermitteln. Zuerst ist dabei die Frage zu klären, ob ein Risiko besteht, dass durch die Datenpanne Persönlichkeitsrechte Dritter verletzt wurden. Im Zweifel kann schon in diesem Schritt der Datenschutzbeauftragte hinzugezogen werden. Grundsätzlich sollte eine Meldung bei Datenpannen in Unternehmen eher niederschwellig erfolgen. Als Faustregel gilt folgende Risiko-Einteilung:

Risiko für die persönlichen Rechte und Freiheiten des Betroffenen  Meldepflicht an Aufsichtsbehörde notwendig?  Meldepflicht an Betroffene notwendig?  
Niedrig Nein Nein 
Mittel Ja Nein 
Hoch Ja Ja 

Wann und wie müssen Sie eine Datenpanne im Unternehmen melden? Eine Schritt-für Schritt-Anleitung

Bei einer Datenpanne im Unternehmen nach DSGVO sind ausschließlich die Firmen-Verantwortlichen für das Melden an die Aufsichtsbehörde zuständig. Erst danach kann ein externer Datenschutzbeauftragter die Kommunikation mit den Behörden übernehmen und vom Vorfall betroffene Personen informieren. Folgende Schritte sollten die Verantwortlichen in der Firma dann durchführen: 

  • Schritt 1: Analysieren Sie die Situation. Wie oben beschrieben, führen Sie eine Risikobewertung durch. Ziehen Sie gegebenenfalls den Datenschutzbeauftragten zur Beratung hinzu. 
  • Schritt 2: Wenn möglich ergreifen Sie Sofortmaßnahmen, um die Datenpanne zu beseitigen oder die Beeinträchtigungen fremder Persönlichkeitsrechte zu verhindern. 
  • Schritt 3: Schalten Sie spätestens jetzt Ihren internen oder externen Datenschutzbeauftragten ein. Beginnen Sie, die Datenschutzpanne in Ihrem Unternehmen für die spätere Aufarbeitung zu dokumentieren. 
  • Schritt 4: Spätestens 72 Stunden nachdem die Datenpanne im Unternehmen Ihnen bekannt geworden ist, müssen Sie den Vorfall gemeldet haben. Bei der Meldung können interne oder externe Datenschutzbeauftragte unterstützen. Klären Sie, welche Landesbehörde für Datenschutz Sie zuständig ist. 

Hier finden Sie die Kontakte zu allen deutschen Landesbehörden für Datenschutz.

  • Schritt 5: Analysieren Sie im Nachgang die Datenpanne im Unternehmen. Rekapitulieren Sie Gründe und Ursachen des Vorfalls, am besten in enger Abstimmung mit Ihrem Datenschutzbeauftragten. Sollten sich dabei weitere wichtige Erkenntnisse über die Datenpanne im Unternehmen ergeben, können sie diese der zuständigen Behörde jederzeit nachmelden. 
  • Schritt 6: Leiten Sie aus Ihrer erfolgten Ursachenanalyse konkrete Maßnahmen ab, um ähnliche Vorfälle in Zukunft zu vermeiden. Sie können im Rahmen eines Lessons-Learned-Prozesses die einzelnen zu verbessernden Punkte durchgehen und jeweils Verantwortliche benennen, die die Umsetzung der Maßnahmen überwachen. Ihr Ziel sollte sein, datenschutzkonforme Arbeitsabläufe, Verfahren und Prozesse zu entwickeln und diese regelmäßig zu überprüfen. 

Schon gewusst?

  • Datenschutz und Informationsfreiheit ist föderal strukturiert

    Die Aufsichtslandschaft über Datenschutz und Informationsfreiheit ist in Deutschland föderal strukturiert. Neben der Aufsicht über die Landes- und Kommunalbehörden wird auch der nicht-öffentliche Bereich grundsätzlich von den Landesdatenschutzbehörden betreut. (Quelle: Bundesbeauftragter für Datenschutz und Informationssicherheit).

Was passiert, wenn man eine Datenpanne im Unternehmen nicht meldet?

Eine Datenpanne im Unternahmen, die nach erfolgter Analyse meldepflichtig ist, sollte unbedingt den zuständigen Behörden angezeigt werden. Dabei schützt Unkenntnis der Datenschutzbestimmungen oder eine unwissentlich nicht erfolgte Meldung nicht vor den Folgen: 

Es können ein gravierender Imageverlust und finanzielle Schäden auf das Unternehmen zukommen. Lässt sich nachweisen, dass Verantwortliche eine Datenpanne im Unternehmen wissentlich nicht gemeldet haben, können zudem empfindliche Bußgelder verhängt werden. Daher lohnt es sich zumeist, mit einem erfahrenen externen Datenschutzbeauftragten zusammenzuarbeiten, um das richtige Verhalten bei einer Datenpanne im Unternehmen zu gewährleisten. 

Wie können Sie eine Datenpanne im Unternehmen vermeiden?

Datenpannen in Unternehmen lassen sich nicht zu 100 % ausschließen. Es gibt jedoch eine Reihe von Maßnahmen, mit denen Sie präventiv Ihr Unternehmen vor solchen Fehlern schützen können. 

  • Technische Maßnahmen: Mit Hilfe von Firewalls, aktuellen Systemen zur Daten-Verschlüsselung und regelmäßigen Software-Updates lassen sich Datenpannen in Unternehmen vorbeugen. Sollte Ihr Unternehmen nicht über eine eigene IT-Abteilung verfügen, lagern Sie diese Kompetenz aus. 
  • Organisatorische Maßnahmen: Es bietet sich an, interne oder externe Schulungen für Mitarbeiter zu den aktuellen Datenschutzmaßnahmen abzuhalten. Diese Prozesse sollten regelmäßig eingeübt und erneuert werden. Auch Zugangskontrollen zu sensiblen Firmenbereichen (beispielsweise Rechenzentrum oder IT-Zugänge) können helfen, Datenpannen in Unternehmen zu vermeiden. 
  • Notfallpläne und Reaktionsstrategien: Im Falle einer Datenpanne im Unternehmen kann es entscheidend sein, schnell und planmäßig zu reagieren. Hierfür bietet sich Ihnen beispielsweise ein sogenannter „Incident Response Plan“ an. Damit wird ein Dokument bezeichnet, das bei einem Zwischenfall die Prozeduren, Schritte und Verantwortungsbereiche festlegt. Diese Reaktionsstrategien sollten regelmäßig überprüft und aktualisiert werden, auch anhand der jeweils gültigen rechtlichen Vorgaben. 

Schon gewusst?

  • Teure Datenschutzverletzungen

    Datenpannen in Unternehmen zu vermeiden, lohnt sich: Im Jahr 2023 wurde ein Rekordhoch an Geldstrafen für Datenschutzverletzungen erreicht. Insgesamt vier Milliarden Euro an Geldbußen wurden wegen Verstößen gegen die DSGVO verhängt. Prominente Sünder mit DSGVO-Verstößen waren unter anderem Tech-Giganten wie Meta, Amazon und Google.

Fazit: Wie können Sie sich gegen die Folgen von Datenpannen in Unternehmen absichern?

In den vorherigen Kapiteln haben wir Ihnen in einer Schritt-für-Schritt Anleitung gezeigt, wie Sie bei einer akuten Datenpanne im Unternehmen reagieren können. Auch Präventiv-Maßnahmen und Notfallpläne haben wir Ihnen präsentiert, damit es möglichst erst gar nicht zu einem größeren Vorfall kommen kann. 

Sollte dennoch eine Datenpanne im Unternehmen passieren, ist es entscheidend, eine Versicherung abgeschlossen zu haben, die die finanziellen Konsequenzen zielgenau und nachhaltig absichert. Achten Sie darauf, dass:

  • Datenschutzverstöße
  • Verletzungen von Geheimhaltungspflichten, und 
  • Rechtskosten im Rahmen der Abwehrdeckung

mitversichert sind.

Die auf dieser Website enthaltenen Angaben basieren auf Marktrecherchen und wurden sorgfältig ausgearbeitet. Sie stellen keine Rechtsberatung dar und können eine solche nicht ersetzen, sondern dienen lediglich der allgemeinen Information. Es besteht keine Gewähr auf Richtigkeit, Vollständigkeit und Aktualität. Bei enthaltenen Links handelt es sich stets um dynamische Verweisungen, deren Inhalte wir nicht ständig prüfen können. Wir übernehmen daher keine Haftung. Stand: September 2024

Marc Thamm, UProduct Head Technology & General Liability bei Hiscox

Autor: Marc Thamm, Product Head Technology & General Liability

ist seit 1992 in der Versicherungsbranche – seit 2004 mit Fokus auf IT-Risiken – tätig. Er arbeitet seit 2013 bei Hiscox. Als Product Head Technology & General Liability bei Hiscox entwickelt er Versicherungslösungen für die IT-, Media- und weitere Branchen der Digitalwirtschaft. -Im Bereich Business Tipps & Insights schreibt er unter anderem über das spannende Thema Projekt-Risiken.

Weitere Business Tipps & Insights Artikel

Über uns – was Hiscox ausmacht

  • Tradition und Innovation

    Wir blicken auf über 100 Jahre Erfahrung bei der Absicherung von Spezialrisiken zurück und sind von Anfang an Innovator mit vielfach ausgezeichneten Versicherungslösungen.

  • Top-Service im Schadenfall

    Unsere Kunden empfehlen unseren schnellen und professionellen Schadenservice mit 4,7 von 5 Sternen weiter (lt. Umfrage 2023) – das ist uns Lob und Ansporn gleichermaßen.

    Mehr über Hiscox erfahren

  • Mehr als nur Versicherung

    Unsere Prävention und Leistung bereits ab Tag 1 – profitieren Sie von unserem exklusiven Support, z.B. mit E-Learning, Checklisten, Vorlagen in unserer exklusiven Wissensplattform.