Datenpannen bewältigen: So gehen Sie bei Schutzverletzun ... / 1.1 Arten von Schutzverletzungen

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten:

• Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiderbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt.

  Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet.

• Verlust (Data Loss): Gemeint ist das unvorhergesehene Verlorengehen von Daten, gleich ob temporär oder dauerhaft, etwa durch einen Serverabsturz oder Viren.

  Beispiel: Ransomware hat personenbezogene Daten verschlüsselt.

• Veränderung (Data Alternation): Hierbei handelt es sich um unbeabsichtigtes oder unrechtmäßiges inhaltliches Umgestalten von Daten, wodurch diese einen neuen Informationsgehalt erhalten.

  Beispiel: Finanzdaten werden unbeabsichtigt und zum Nachteil von Kunden verändert.

• Unbefugte Offenlegung/Weitergabe (Unauthorised Data Disclosure): Hier erhält ein Dritter Daten, ohne dass die Weitergabe durch Einwilligung oder Rechtsvorschrift gedeckt ist.

  Beispiel: Personenbezogene Daten von Kunden eines Unternehmens werden im Internet veröffentlicht oder zum Kauf angeboten; Datendiebstahl

• Unbefugter Zugang (Unauthorised Data Access): Darunter fällt der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Zu einem unbefugten Zugang in diesem Sinne kann es auch durch fehlende oder fehlerhafte Berechtigungskonzepte kommen, da tatsächliche Kenntnisnahme der Daten nicht erforderlich ist.

  Beispiel: Personenbezogene Daten sind nicht gegen den Zugang von unbefugten Personen (z. B. Kunden) gesichert.

Diese Verletzungsarten weisen einen engen Zusammenhang mit den bekannten IT-Sicherheitszielen Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability) und Integrität (Integrity) auf und können als Orientierung für Verletzungsszenarien herangezogen werden.