Ao Zaa Studio - stock.adobe.com
Warum auch das Fehlen von Datenpannen ein Problem ist
Wenn Unternehmen einer Datenschutzaufsicht melden, bei ihnen gäbe es keine Datenpannen, wertet das die Aufsichtsbehörde nicht unbedingt positiv. Das zeigt ein Beispiel aus NRW.
Immer mehr Bürgerinnen und Bürger suchen Schutz beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Ihre Beschwerden wegen Verletzungen ihres Datenschutz-Grundrechts sind im vergangenen Jahr von 3.839 auf 6.070, also um 58 Prozent angestiegen, meldete die Aufsichtsbehörde. In bestimmten Bereichen nahmen die Fallzahlen noch stärker zu: Sie stiegen in den Sachgebieten Auskunfteien von 503 auf 1613 (um 221 Prozent), gegenüber Videobeobachtung von 295 auf 539 (um 83 Prozent) und im Bereich des Beschäftigtendatenschutzes von 287 auf 525 (ebenfalls um 83 Prozent).
„Die gestiegenen Fallzahlen zeigen,“ so der HBDI Prof. Dr. Alexander Roßnagel, „dass mit der Digitalisierung der Datenschutz in der Wahrnehmung von Bürgerinnen und Bürgern immer mehr an Bedeutung gewinnt: Betroffene legen mehr Wert auf ihre Persönlichkeitsrechte und fordern Unterstützung und Schutz durch die Datenschutzaufsicht“.
Von einer solchen Entwicklung berichtet nicht nur die Datenschutzaufsicht von Hessen. Einen neuen Höchststand registrierte Dr. Juliane Hundert, die Sächsische Datenschutz- und Transparenzbeauftragte, zum Beispiel bei den Meldungen von Datenpannen: 2025 gingen davon 1.058 bei ihr ein, fünf Prozent mehr als im vorherigen Jahr. Zu den häufigsten Datenpannen gehörten der Fehlversand und der Verlust auf dem Postweg, der offene E-Mail-Verteiler, Hacking und Schadcode sowie Einbruch und Diebstahl.
Auch aus Schleswig-Holstein ist zu erfahren: Nachdem im Jahr 2024 im Durchschnitt schon mehr als 50 Meldungen zu Datenschutzverletzungen pro Monat im ULD eingetroffen waren, stieg diese Zahl im Jahr 2025 auf durchschnittlich 65 Meldungen pro Monat. Insgesamt waren 775 Datenpannenmeldungen zu bearbeiten. Im Vergleich zum Vorjahr stellt dies eine Steigerung um fast 30 Prozent dar. Die Fälle der Verletzung des Schutzes personenbezogener Daten reichen von Fehldrucken oder –kuvertierungen über Software mit unerwarteter Datenverarbeitung bis zu kriminellen Cyberangriffen.
Da sollte es doch erfreuen, wenn eine Aufsichtsbehörde von bestimmten Organisationen mitgeteilt bekommt, dass es gar keine Datenpannen gegeben hätte. Tut es aber nicht.
Überprüfung des Managements von Datenpannen
Ein Beispiel aus der Praxis: Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) hat 33 Kliniken zu ihren Fallzahlen und zum Datenpannenmanagement befragt. Das Ergebnis: Neben einer positiven Entwicklung fallen auch mögliche Defizite auf. So gaben zwölf der untersuchten Einrichtungen an, dass bei ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde. Das aber ist äußerst unwahrscheinlich, so die Aufsichtsbehörde.
„Kein Umgang mit Daten ist dauerhaft völlig fehlerlos und unangreifbar“, so die Landesbeauftragte Bettina Gayk. „Deshalb deuten solche Angaben darauf hin, dass etwaige Vorfälle womöglich nicht intern weitergegeben und ordnungsgemäß dokumentiert wurden.“
Die Datenschutzaufsicht macht klar: Selbst unter höchsten Sicherheitsstandards kommt es im Einzelfall immer wieder dazu, dass personenbezogene Daten ungewollt vernichtet, verloren, verändert, unbefugt zugänglich gemacht oder offengelegt werden. Auch Universitätskliniken und Krankenhäuser sind davor nicht gefeit.
Um hier eventuelle Lücken im Umgang mit solchen Fällen aufzuspüren, hatte die LDI NRW 23 Krankenhäuser der Landschaftsverbände Westfalen-Lippe und Rheinland sowie die zehn NRW-Unikliniken um Auskunft gebeten. Dass Kliniken für die Prüfung ausgewählt wurden, hatte vor allem auch damit zu tun, dass diese besonders sensible Gesundheitsdaten verarbeiten und sich Datenverluste deshalb besonders schwerwiegend auswirken können, so die Datenschutzaufsicht.
Keine einzige Datenpanne?
Überraschenderweise gaben allerdings zwölf Kliniken an, dass dort über zwei Jahre hinweg keine einzige Datenpanne bekannt wurde. Dabei sind über diesen langen Zeitraum menschliche und technische Fehler praktisch kaum auszuschließen, meint die Aufsicht. „Wir nehmen deshalb an, dass etwaige Datenpannen direkt mit den betroffenen Personen geklärt wurden und daher oder aus Unkenntnis der Beschäftigten nicht über die internen Meldeprozesse weitergegeben wurden“, betonte Landesbeauftragte Gayk.
Das aber ist zwingend erforderlich. Denn im Fall einer Datenpanne müssen der LDI NRW als Aufsichtsbehörde zwar nur solche Vorfälle gemeldet werden, für die ein mehr als geringes Risiko für die betroffenen Personen festgestellt wurde. Die nicht gemeldeten Datenpannen müssen aber intern in jedem Fall dokumentiert werden. Das soll der Klinik notwendige Reaktionen auf Datenpanne ermöglichen und dient auch der Überprüfbarkeit der Panne im Fall einer Beschwerde oder einer Prüfung durch LDI NRW.
Um diese Abläufe künftig zu verbessern, rät Gayk den Klinikverantwortlichen, ihre Beschäftigte regelmäßig zu schulen, wann ein meldepflichtiger Sachverhalt vorliegt und wie die internen Meldewege aussehen. Denn die Erfassung und interne Dokumentation von Datenpannen (auch von denen mit geringem Risiko) hat zugleich den Zweck zu prüfen, ob in bestimmten Bereichen ungewöhnliche Häufungen auftreten und daher Nachbesserungsbedarf beim Pannenmanagement besteht, erklärt die LDI NRW.
Es zeigt sich: Genau wie bei den Schulungen zur Datenschutz- und IT-Sicherheits-Awareness den Beschäftigten erklärt wird, sie sollen zum Beispiel den versehentlichen Klick auf einen verseuchten Link nicht verschweigen, sondern aktiv melden, müssen sich auch die verantwortlichen Stellen in den Unternehmen und Organisationen entsprechend verhalten.
Die so oft als Teil der IT-Sicherheitskultur genannte positive Fehlerkultur muss auch Teil des Managements von Datenpannen sein. Datenschutzaufsichtsbehörden wollen korrekte Lagebilder und nicht geschönte. Aus Sorge vor möglichen Sanktionen sollten Datenschutzverletzungen nicht verschwiegen werden, denn wenn etwas passiert, und es wurde nicht dokumentiert und bei entsprechendem Risiko der Aufsicht gemeldet, dann gibt es mit hoher Wahrscheinlichkeit genau das, was die Unternehmen fürchten: eine Sanktion durch die Aufsichtsbehörde.
