Compliance-Lexikon · Grundbegriff
Data Breach
[ˈdeɪtə briːtʃ] · auch: Datenschutzverletzung, Datenpanne, Sicherheitsverletzung
Ein Data Breach ist eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmaessigen Offenlegung, zum Verlust, zur Vernichtung oder zum unbefugten Zugriff auf schutzwuerdige Daten fuehrt – mit moeglicher Meldepflicht, Bussgeldrisiko und Haftungsfolgen.
Warum Data Breach ein zentraler Compliance-Begriff ist
Data Breaches sind keine seltenen Ausnahmeereignisse – sie sind statistisch unvermeidlich fuer jede Organisation, die genuegend Daten verarbeitet und genuegend komplex ist. Die regulatorische Anforderung ist nicht, Breaches zu verhindern (obwohl das das Ziel bleibt), sondern sie schnell zu erkennen, korrekt zu bewerten und fristgerecht zu melden. Wer diesen Prozess nicht beherrscht, zahlt Bussgeld – nicht nur fuer den Breach selbst, sondern fuer die mangelhafte Reaktion.
Wo Data Breach-Management gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 33-34 | Meldepflicht bei Datenschutzverletzungen: 72 Stunden an die Behoerde, bei hohem Risiko direkte Betroffenenbenachrichtigung. |
| NIS-2 / BSIG | § 30 / § 32 | Meldung erheblicher Sicherheitsvorfaelle: Parallele Meldepflicht mit kuerzerem Fristregime (24 Stunden Erstmeldung). |
| DORA | Art. 19 | Meldung schwerwiegender IKT-Vorfaelle: Dreistufiges Melderegime mit 4-Stunden-Erstmeldung im Finanzsektor. |
| ISO 27001:2022 | A.5.26 / A.5.28 | Reaktion auf Informationssicherheitsvorfaelle: Dokumentierter Prozess fuer Erkennung, Bewertung und Reaktion. |
| BDSG | § 42 | Strafvorschriften: Vorsaetzliche unbefugte Datenweitergabe kann strafbar sein. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein dokumentierter Data-Breach-Response-Prozess
- Internes Breach-Register nicht gefuehrt oder lueckenhaft
- 72-Stunden-Frist (DSGVO) und 24-Stunden-Frist (NIS-2) nicht in Prozessen verankert
- Meldung an Behoerde verspaetet wegen interner Abstimmungsschleifen
Abgrenzung: Security Incident vs. Data Breach
Nicht jeder Sicherheitsvorfall ist ein Data Breach. Ein erfolgreicher Phishing-Angriff, der zur Kompromittierung eines Nutzeraccounts fuehrt, ist ein Security Incident. Er wird zum Data Breach, wenn durch diesen Account personenbezogene oder anderweitig schutzwuerdige Daten kompromittiert wurden. Diese Unterscheidung bestimmt die Meldepflicht. Die Bewertung muss schnell und dokumentiert erfolgen: Welche Daten? Wie viele Personen betroffen? Welches Risiko fuer die Betroffenen?
Die 72-Stunden-Frist in der Praxis
Die DSGVO-Meldefrist von 72 Stunden beginnt, sobald die Organisation von dem Breach Kenntnis erlangt – nicht wenn die Analyse abgeschlossen ist. Eine unvollstaendige Erstmeldung ist explizit zulaessig, wenn fehlende Informationen nachgereicht werden. Wer wartet, bis alles klar ist, riskiert eine verspaetete Meldung. Der Prozess muss daher auf schnelle Erstmeldung ausgelegt sein, nicht auf vollstaendige Analyse. NIS-2 hat die Frist auf 24 Stunden verschaerft – fuer Organisationen unter beiden Regimen gilt das schwaechere Regime als Mindest-, das strengere als Maximum.
Naechste Ebene
Data Breach in der Praxis: Meldeprozess, Fristen und Evidence
Wie der Breach-Response-Prozess aufgebaut wird und was Auditoren und Behoerden pruefen.