Meldepflicht bei Datenverlust ab 1. September

Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, §42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies kann schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen.

Studien zufolge lassen sich bis zu 78 Prozent aller Fälle von Datenverlust den eigenen Mitarbeitern zuschreiben (US-Studie von Arcsight und Ponemon Institute, Juli 2008): Dabei gehen nicht nur oft Notebooks, PDAs, Smartphones oder USB-Sticks versehentlich verloren. Es kommt auch immer wieder vor, dass Mitarbeiter unabsichtlich oder sogar vorsätzlich vertrauliche Daten per E-Mail aus dem Unternehmen "schleusen".

Im August 2008 war beispielsweise der Verbraucherzentrale Schleswig-Holstein eine CD mit 17.000 Datensätzen zugespielt worden, die offenbar von der Süddeutschen Klassenlotterie (SKL) stammten. Auch die Zusammenarbeit mit externen Geschäftspartnern oder Dienstleistern birgt IT- und Datensicherheitsrisiken: So wurde etwa im März 2009 bekannt, dass Kabel Deutschland Hundertausende von Kundendaten an verschiedene Call-Center weitergegeben hatte. Die Daten wurden in unverschlüsselten Excel-Dateien verschickt und von einigen Call-Centern wiederum an Subunternehmen weitergeleitet.