Datenschutzvorfälle – Risiken und Kosten

Artikel von Dr. Datenschutz·24. November 2022

Ein Datenschutzvorfall ist immer ein Sicherheitsvorfall. Ein Sicherheitsvorfall ist jedoch nicht immer ein Datenschutzvorfall! Aber wie genau erfolgt eine Risikobewertung eines etwaigen Datenschutzvorfalls? Und wieviel kann ein Datenschutzvorfall kosten?

Der Inhalt im Überblick

Risikobewertung eines Datenschutzvorfalls
Datenschutzvorfälle können kosten

Risikobewertung eines Datenschutzvorfalls

Für die Frage, ob die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine umfassende Risikobeurteilung erforderlich. Nicht jeder Datenschutzvorfall ist meldepflichtig gem. Art. 33 DSGVO. Ob eine Meldepflicht besteht, erfolgt daher auf der Grundlage einer Risikobewertung.

Das Risiko für die Rechte und Freiheiten natürlicher Personen ergibt sich aus dem Verhältnis von Schwere und Eintrittswahrscheinlichkeit des drohenden Schadensereignisses. Bei der Ermittlung des Risikos müssen Art, Umfang und Umstände der eingetretenen Verletzung in die Risikoprognose einbezogen werden. Demnach gilt: Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit seines Eintritts.

Ankerpunkte für Risikobeurteilung

Ob eine Datenschutzverletzung vorliegt, orientiert sich dabei auch an den drei folgenden Schutzzielen der Informationssicherheit:

Verletzung der Vertraulichkeit, also die unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten.
Verletzung der Integrität, also die unbefugte oder unbeabsichtigte Änderung personenbezogener Daten.
Verletzung der Verfügbarkeit, also der unbefugte oder unbeabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten.

Kriterien für Risikobeurteilung

Kriterien für eine Risikobeurteilung können Art und Umfang des Vorfalls sein, aber auch die Identifizierbarkeit, also wie einfach und wahrscheinlich es ist, dass ein Dritter, der unbefugt Zugriff nimmt, einen Personenbezug herstellen kann.

Spezielle Umstände hinsichtlich der Betroffenen – wie personenbezogene Daten von Kindern – oder hinsichtlich des Verantwortlichen – wie medizinische Einrichtung – treten ebenso in den Kriterienkatalog der Risikobeurteilung.

In diesem Kontext führt der Erwägungsgrund 85 der DSGVO hinsichtlich der zu erwartenden Konsequenzen typische Fallgruppen an:

Verlust der Kontrolle über die eigenen Daten
Identitätsdiebstahl oder -betrug
Finanzielle Verluste
Aufhebung der Pseudonymisierung

Was sagen die Aufsichtsbehörden?

Grundsätzlich ist die zuständige Aufsichtsbehörde zu benachrichtigen, es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dem LDA Bayern zu Folge besteht kein relevantes Risiko, wenn weder die mögliche Schwere des Schadens für den Betroffenen noch die Eintrittswahrscheinlichkeit hoch sind.

„Bei einem geringen Risiko ergeben sich in der DSGVO für den Verantwortlichen gewisse Ausnahmen verschiedener Verpflichtungen, so dass manche Maßnahmen nicht durchgeführt werden müssen.“

Bei einer Datenschutzverletzung ohne Risiko muss die Datenschutzaufsichtsbehörde daher nicht informiert werden. Exemplarisch ist hier der „harmlose“ Fehlversand innerhalb einer Organisation oder der kurzzeitige Ausfall von Zugriffsmöglichkeiten auf Daten durch einen Stromausfall.

Ein hohes Risiko hingegen bedeutet einen potenziellen Schaden, dessen Ausmaß für die Rechte und Freiheiten der betroffenen Personen schwerwiegend und/oder ziemlich wahrscheinlich ist. Exemplarisch ist hier die verlorene Personalakte oder die Feststellung eines unbefugten Zugriffs auf die Personalakte. Aber auch, wenn Hacker Nutzernamen, Passwörter und Kaufhistorie der Kunden erbeuten. In diesen Fällen muss nicht nur eine Meldung an die Aufsichtsbehörde erfolgen, sondern auch der Betroffene benachrichtigt werden.

Datenschutzvorfälle können kosten

Ungeachtet der Frage, ob ein solcher Vorfall gemeldet werden muss und welche Bußgelder auf eine Organisation warten könnten, spielt auch die Frage nach den betrieblichen Kosten eines Datenschutzvorfalls eine große Rolle.

Der Bericht „2022 Cost of Data Breach“ des IBM Security-Ponemon Institute ermittelte, dass die durchschnittlichen Kosten einer Datenschutzverletzung weltweit bei 4,35 Millionen US-Dollar liegen (ein Anstieg von 2,6 % gegenüber 2021).

Dem Bericht zu Folge sind Kompromittierte Zugangsdaten (19 %) nach wie vor die häufigste Ursache für Datenschutzverletzungen, gefolgt von Phishing (16 %), das mit durchschnittlichen Kosten von 4,91 Millionen US-Dollar am teuersten war. Opfer, die sich für die Zahlung des Lösegelds entschieden haben, zahlten im Vergleich zu denjenigen, die sich gegen die Zahlung entschieden, durchschnittlich 610.000 Dollar weniger an Kosten für den Einbruch. Unternehmen, die über einen Notfallplan (IRP) und ein Reaktionsteam verfügten, sparten im Durchschnitt 2,66 Millionen Dollar im Vergleich zu denjenigen, die nicht über einen solchen Plan verfügten. Fast 50 % der Kosten für Sicherheitsverletzungen fielen ein Jahr nach der Verletzung an. Der durchschnittliche Lebenszyklus zur Identifizierung und Eindämmung einer Kompromittierung der Lieferkette hat sich von 277 Tagen auf 303 Tage erhöht. Ein ausgereifter Zero-Trust-Einsatz war mit um 1,5 Millionen Dollar geringeren Kosten verbunden als bei Unternehmen, die Zero Trust noch nicht Phase von Zero Trust.

Präventive Sicherheitsmaßnahmen bezüglich des Schutzes personenbezogener Daten und der Vermeidung von derartigen Vorfällen sind daher nicht nur aus dem Prisma des Datenschutzes, sondern auch aus betriebswirtschaftlichen Gründen unerlässlich.

- Datenpanne
  Wann liegt eine meldepflichtige Datenpanne vor?Fachbeitrag·2. November 2023
- Best of Datenpannen aus dem Alltag des LfDI Rheinland-PfalzNews·14. September 2023
- Meldung von Datenschutzverletzung: EDSA aktualisiert LeitlinienFachbeitrag·13. April 2023
Mehr zum Thema
- Datenschutzvorfall
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
- Fehlversand: Wie umgehen mit aufgezwungenen Daten?Fachbeitrag·22. Januar 2024
Mehr zum Thema
- Notfallplan
  Notfallpläne – Sicherheitsnetz bei Ransomware-AngriffFachbeitrag·12. Januar 2024
- Eventlogs, die im IT-Notfall besser aktiviert sindFachbeitrag·23. Juni 2023
- Ransomware-Angriffe nehmen zu: Auf den Ernstfall vorbereiten!Fachbeitrag·18. November 2022
Mehr zum Thema
- Phishing
  OSINT Footprinting: Deep Dive in den Kopf eines HackersFachbeitrag·9. April 2024
- LfDI Baden-Württemberg veröffentlicht TätigkeitsberichtFachbeitrag·21. Februar 2024
- E-Mail-Analyse als Tool zur Bekämpfung von CybercrimeFachbeitrag·2. Februar 2024
Mehr zum Thema
- Studie
  Motivationen und Hemmnisse beim Einsatz von VerschlüsselungFachbeitrag·3. März 2023
- Haben auch Sie keinen Bock mehr auf die DSGVO?News·30. September 2020
- Max-Planck-Studie: Und täglich grüßt das Datenschutz-ParadoxNews·3. April 2020
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Sehr guter Artikel. Nur dem Einleitungssatz kann ich nicht ganz zustimmen: Ein Datenschutzvorfall muss meiner Meinung nach nicht zwingend ein Sicherheitsvorfall sein. Wenn ein Mitarbeiter im Kundenservice eine Rechnungszweitschrift an einen Kunden verschickt auf dessen Wunsch und dabei manuell einen Tippfehler in der E-Mail-Adresse macht, der dazu führt, dass die Rechnung bei einem unbeteiligten Dritten ankommt, ist das zwar ein Datenschutzvorfall, aber in meinen Augen eben kein Sicherheitsvorfall.

In vielen Konstellationen ist es natürlich beides. Aber eben nicht zwingend in allen.

MacManux am 25. November 2022, 07:46 Uhr

Antworten