Datenpanne (DSGVO)

Eine Datenpanne nach Artikel 4 Nr. 12 DSGVO ist weit mehr als nur ein erfolgreicher Hackerangriff oder ein gezielter Datendiebstahl. Der Begriff umfasst jede Verletzung der Datensicherheit, die dazu führt, dass personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet werden, verloren gehen, verändert werden oder unbefugten Dritten zugänglich gemacht werden. Entscheidend ist dabei nicht die Absicht, sondern das Ergebnis: Sobald die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten wie Namen, E-Mail-Adressen oder Bankverbindungen beeinträchtigt ist, liegt rechtlich eine Datenpanne vor. Das Spektrum reicht vom falsch adressierten Serienbrief bis hin zum Ransomware-Angriff auf die gesamte IT-Infrastruktur.

Für deutsche Unternehmen ist die Einstufung eines Vorfalls als Datenpanne mit strengen rechtlichen Verpflichtungen verbunden, deren Missachtung drastische Konsequenzen haben kann. Gemäß Artikel 33 DSGVO muss eine Datenpanne innerhalb von maximal 72 Stunden nach Bekanntwerden an die zuständige Landesdatenschutzbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Im deutschen Mittelstand sind die Reputationsschäden oft schwerwiegender als die Bußgelder der Behörden. B2B-Kunden fordern heute regelmäßig Nachweise über ein funktionierendes Incident-Management, und eine verschleppte oder dilettantisch kommunizierte Datenpanne kann zum sofortigen Ausschluss aus Lieferantenverzeichnissen führen.

Ein praxisnahes Beispiel aus dem deutschen Unternehmenskontext ist der Fehlversand einer unverschlüsselten Excel-Liste durch den Vertrieb eines Maschinenbauers. Enthält diese Datei Klarnamen, private Mobilnummern und Bestellhistorien von Kunden und gelangt durch einen Tippfehler im E-Mail-Verteiler an einen externen Dienstleister, ist der Tatbestand einer Datenpanne erfüllt. Das Unternehmen muss nun unverzüglich bewerten, wie hoch das Risiko für die Betroffenen ist. Bei einem hohen Risiko müssen nicht nur die Aufsichtsbehörden, sondern auch alle betroffenen Kunden individuell informiert werden. Dieser Prozess bindet massive Ressourcen in der IT und Rechtsabteilung und erfordert eine lückenlose Dokumentation im Verarbeitungsverzeichnis.

Aktuell rücken besonders KI-Anwendungen in den Fokus der Datenschutzbeauftragten. Wenn Mitarbeiter ohne klare Richtlinien sensible Unternehmens- oder Kundendaten in öffentliche Large Language Models einspeisen, um Berichte zu analysieren oder Code zu optimieren, kann dies als unbefugte Offenlegung gegenüber dem KI-Anbieter gewertet werden. IT-Leiter müssen daher technische Leitplanken wie Data Loss Prevention und klare Nutzungsverträge für Enterprise-KI-Lösungen etablieren, um zu verhindern, dass "Shadow AI" zur Quelle systematischer Datenpannen wird. Die regulatorische Aufsicht verschärft sich hier zusehends, da die Kontrolle über den weiteren Verbleib der Daten bei öffentlichen Modellen faktisch verloren geht.