Datenpanne / Data Breach

Definition

Eine Datenpanne nach Art. 4 Nr. 12 DSGVO ist jede “Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt”.

Praktisch heißt das: jeder Vorfall, bei dem Daten den geplanten Schutzbereich verlassen oder ungewollt verändert werden. Egal ob technisch (Hacker, Malware) oder menschlich (verschickte Mail, vergessene Laptop, Aktenmüll im Container).

In der Praxis

Typische Datenpannen in KMU:

• Phishing-Mail führt zu kompromittiertem Microsoft 365-Account
• Bewerbungsmail an falsche Adresse versandt
• USB-Stick mit Personaldaten verloren
• Laptop im Zug liegen gelassen
• Akten im Müll statt im Schredder
• E-Mail mit offenem CC an 50 Newsletter-Abonnenten
• Ransomware verschlüsselt Buchhaltungs-Server
• Mitarbeiter postet versehentlich Kundenliste im falschen Slack-Channel

Bei einer Datenpanne gilt nach Art. 33 DSGVO eine 72-Stunden-Meldepflicht an die Aufsicht — sobald der Verantwortliche von der Panne Kenntnis erlangt. Bei hohem Risiko für Betroffene zusätzlich Meldung an die Betroffenen selbst (Art. 34 DSGVO).

Was Sie tun müssen

Sofort-Maßnahmen im Pannenfall:

• Vorfall dokumentieren — was, wann, wer betroffen, welche Daten
• DSB einschalten
• Risiko-Bewertung: gering / mittel / hoch
• Bei mittlerem/hohem Risiko: Meldung an LfDI BW (oder zuständige Aufsicht) innerhalb 72 Stunden
• Bei hohem Risiko zusätzlich: Information der Betroffenen
• Schadensbegrenzung: Passwörter ändern, Zugänge sperren, Backups einspielen
• Ursachenanalyse + Maßnahmen ableiten
• Vorfall ins interne Panne-Register aufnehmen (Pflicht!)

Wer Vorsorge treffen will, etabliert einen schriftlichen Notfallplan und übt ihn — Schulung, Eskalationswege, Kontaktdaten. Bei Kowoll-Mandanten ist die 24h-Erreichbarkeit für Pannen-Eskalation Bestandteil des Festpreis-Pakets. Mehr unter Leistungen und Bußgeld-Risiko.