Siehe auch: Datenschutz Missbrauch
Eine Datenpanne tritt auf, wenn unbefugte Personen Zugriff auf Daten erhalten und dieser zu Verstößen gegen den Datenschutz und die Datensicherheit führt. Dies kann dazu führen, dass Betriebsgeheimnisse oder personenbezogene Daten in die Hände Unbefugter gelangen. Eine Datenpanne kann auch das ungewollte Löschen von Daten, also deren Verlust, umfassen. Die Art und Weise wie Datenpannen auftreten können ist vielfältig. Daten können verloren gehen, gestohlen werden oder unsachgemäß entsorgt werden, sei es in physischer Form wie verlorene Datenträger oder Akten oder in digitaler Form wie durch Eindringen in Server oder versehentliche Veröffentlichung von Daten. Diese Sicherheitslücken haben oft schwerwiegende Folgen für Unternehmen, einschließlich wirtschaftliche Schäden und Imageschäden. Bei personenbezogenen Daten können Datenschutzverletzungen für die betroffenen Personen erhebliche finanzielle und persönliche Schäden verursachen, einschließlich Identitätsdiebstahl. Die genaue Anzahl von Datenpannen ist schwer abzuschätzen, da es sowohl kleine als auch große Vorfälle gibt und viele Unternehmen versuchen solche Vorfälle geheim zu halten. Unternehmen sind auch nicht dazu verpflichtet, jede Datenpanne den Aufsichtsbehörden zu melden, sondern nur dann, wenn sie ein Risiko für die betroffenen Personen darstellt.
Gemäß Artikel 4 Nr. 12 der Datenschutz-Grundverordnung (DSGVO) liegt eine Datenschutzverletzung vor, wenn personenbezogene Daten verloren gehen, vernichtet, verändert oder unbefugt offengelegt werden. Seit der Einführung der DSGVO gibt es strengere Meldepflichten für Datenpannen. Die Artikel 33 und 34 regeln diese Meldepflichten. Jede Datenpanne, die voraussichtlich ein Risiko für die betroffenen Personen darstellt, muss innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. In Fällen, in denen ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, müssen diese Personen ebenfalls benachrichtigt werden, es sei denn, es gelten bestimmte Ausnahmen gemäß Artikel 34 Absatz 3 der DSGVO.