Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw zum unbefugten Zugang zu personenbezogenen Daten führt, und zwar unabhängig davon, ob dies unbeabsichtigt oder unrechtmäßig ist. Diese Verletzung kann zu einer Meldung bei der Datenschutzbehörde und/oder zu einer Benachrichtigung von betroffenen Personen führen.
Im Englischen wird von einem breach gesprochen, also einem Bruch oder einer Verletzung der Sicherheit. Vergleichbar mit einem Riss in einem Siegel, das den Inhalt oder hier die Daten, nicht mehr schützt. Es muss also zu einem Vorfall kommen. Dieser Vorfall führt dazu, dass die Kontrolle über die Daten nicht mehr vorliegt. Wir wissen also nicht, was mit den Daten geschieht, wer sie hat, wofür sie verwendet werden.
data breach bedeutet ein Bruch oder eine Verletzung der Sicherheit
Tatsächlich ist die Verletzung der Sicherheit nicht definiert, wir wissen aber wann eine solche nicht vorliegt. Das Vorliegen von Integrität und Vertraulichkeit setzt voraus, dass Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleisten. Es werden technische und organisatorische Maßnahmen ergriffen, um eine unrechtmäßige Verarbeitung, unbeabsichtigten Verlust oder Zerstörung oder Beschädigung zu vermeiden. Konkretes Beispiel? Sichere Passwörter, regelmäßige Sicherheitsupdates, Schulungen der Mitarbeiter, Zwei oder Mehrfaktor-Authentifizierung, etc. Es gibt viele Maßnahmen, die ein Unternehmen setzen kann und dennoch kann es zu einem Kontrollverlust kommen. Es ist eine Art von Sicherheitsvorfall, der zeigt, ob die Datenschutzorganisation funktioniert. Denn das Team hat nur 72 Stunden Zeit diesen Vorfall zu prüfen und an die Datenschutzbehörde zu melden.
Im Jahr 2024 wurden 1216 Sicherheitsverletzungen gemeldet. Hinzu kamen noch 39 grenzüberschreitende Sicherheitsverletzungen. Eine große Zahl davon stand im Zusammenhang mit Ransomware und dem Ziel der Verschlüsselung von Daten. Der Angreifer bot dabei an gegen geldwerte Gegenleistung die Daten wieder zu entschlüsseln, ohne dass eine Übertragung oder ein Datenabfluss stattfindet. Häufig kam es auch zur Übertragung von Schadsoftware uf das System von Unternehmen durch das Öffnen von E-Mail-Anlagen. Als sofortige Maßnahme empfiehlt sich hier das Herunterfahren des kompromittierten Servers, das Löschen der Schadsoftware, das Ändern der Passwörter, Hinzuziehung von IT-Spezialisten sowie die genaue Analyse, um einen derartigen Vorfall zukünftigen zu vermeiden.