Datenschutz & Compliance

Datenpanne passiert: Schritt für Schritt durch die ersten 72 Stunden

8 Min. Lesezeit
Kurze Antwort

Bei einer meldepflichtigen Datenpanne gilt: sofort dokumentieren, Ausmaß einschätzen, Zugang sperren, Datenschutzbeauftragten informieren, Meldepflicht prüfen und innerhalb von 72 Stunden an die Aufsichtsbehörde melden — vollständig und schriftlich.

72 Stunden klingen lang — sind aber wenig, wenn man nicht vorbereitet ist. Wer jetzt einen Incident-Response-Plan erstellt, hat im Ernstfall einen entscheidenden Vorsprung.
Was jetzt auf keinen Fall tun: Den Vorfall verheimlichen in der Hoffnung, dass niemand davon erfährt. Ohne Dokumentation handeln — jede Maßnahme muss schriftlich festgehalten werden. Vorschnell kommunizieren ohne vollständigen Überblick über das Ausmaß. Und: Die 72-Stunden-Frist beginnt ab dem Zeitpunkt der Kenntnis des Vorfalls, nicht ab dem tatsächlichen Ereignis.

Eine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO liegt vor, wenn personenbezogene Daten durch Verlust, Vernichtung, Veränderung oder unbefugte Offenbarung betroffen sind. Das umfasst Hackerangriffe, aber auch verlorene Laptops, falsch adressierte E-Mails mit Anhängen, versehentlich öffentlich zugängliche Datenbanken oder kompromittierte Zugangsdaten.

Nicht jede Datenpanne ist meldepflichtig. Die DSGVO verlangt eine Meldung, wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Ist das Risiko voraussichtlich nicht hoch, genügt eine interne Dokumentation. Ist das Risiko hoch, müssen zusätzlich die betroffenen Personen direkt informiert werden. Die Einschätzung des Risikos muss dokumentiert und begründet werden — sie ist nicht optional.

  1. Vorfall entdecken und sofort dokumentieren

    Zeitstempel festhalten: Wann wurde der Vorfall entdeckt, von wem, auf welchem Weg? Diese erste Dokumentation ist die Grundlage für alles Weitere. Nichts aus dem Gedächtnis rekonstruieren — sofort aufschreiben, auch wenn der Überblick noch fehlt.

  2. Ausmaß einschätzen

    Welche Daten sind betroffen? Welche Kategorien — einfache Kontaktdaten, Gesundheitsdaten, Finanzdaten, besonders schutzwürdige Daten? Wie viele Personen sind betroffen? Wo liegen die Daten, wo könnten sie hingegangen sein? Diese Einschätzung muss schnell, aber sorgfältig erfolgen.

  3. Sofortmaßnahmen ergreifen

    Zugang zum betroffenen System sperren oder einschränken. Leak stoppen, soweit technisch möglich. Kompromittierte Zugangsdaten sofort ändern. Betroffene Systeme isolieren falls nötig — aber nicht ohne Dokumentation des Zustands vor der Maßnahme. Forensische Spuren sichern.

  4. Datenschutzbeauftragten informieren

    Falls ein DSB bestellt ist, muss dieser unverzüglich einbezogen werden. Der DSB berät bei der Risikobewertung und der Frage der Meldepflicht. Kein DSB vorhanden? Dann liegt die Entscheidung bei der Geschäftsführung — ggf. externen Berater hinzuziehen.

  5. Meldepflicht prüfen

    Besteht ein Risiko für betroffene Personen? Falls ja: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis des Vorfalls. Die Frist ist absolut — eine Meldung nach 72 Stunden ist immer noch besser als keine, muss aber begründet werden.

  6. Meldung vorbereiten und einreichen

    Die Meldung an die Aufsichtsbehörde muss enthalten: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen der Verletzung, ergriffene oder geplante Abhilfemaßnahmen, Kontaktdaten des DSB. Die meisten Aufsichtsbehörden haben Online-Meldeformulare.

  7. Betroffene informieren

    Falls ein hohes Risiko für betroffene Personen besteht, müssen diese direkt informiert werden — in klarer, verständlicher Sprache, ohne Fachjargon. Inhalt: Art des Vorfalls, wahrscheinliche Folgen, ergriffene Maßnahmen, Kontaktmöglichkeit für Rückfragen.

  8. Interne Dokumentation vervollständigen

    Art. 33 Abs. 5 DSGVO verpflichtet zur vollständigen Dokumentation aller Datenpannen — auch der nicht meldepflichtigen. Diese Dokumentation muss Aufsichtsbehörden auf Anfrage vorgelegt werden können und ist Teil des Nachweises datenschutzkonformen Handelns.

  • Art der Verletzung (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Kategorien der betroffenen Daten (Kontaktdaten, Gesundheitsdaten, Finanzdaten etc.)
  • Ungefähre Anzahl betroffener Personen
  • Ungefähre Anzahl betroffener Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Wahrscheinliche Folgen der Datenschutzverletzung
  • Ergriffene oder geplante Maßnahmen zur Behebung und Schadensbegrenzung
  • Zeitpunkt der Entdeckung des Vorfalls
Einen Incident-Response-Plan jetzt erstellen — nicht erst wenn es passiert. Mindestinhalt: Wer wird zuerst informiert (intern)? Wer ist für die Meldung an die Behörde zuständig? Wo ist das Meldeformular der zuständigen Aufsichtsbehörde zu finden? Welche Dokumentationsvorlage wird genutzt? Ein zweiseitiges Dokument, das vorab abgestimmt und abgelegt ist, kann im Ernstfall Stunden sparen — und Fehler verhindern, die unter Stress passieren.

Prävention ist besser als Reaktion. Die häufigsten Ursachen für Datenpannen in KMU sind schwache Zugangsdaten, fehlende Zwei-Faktor-Authentifizierung, unverschlüsselte Geräte und fehlende Berechtigungskonzepte. Technische Maßnahmen wie regelmäßige Backups, Zugriffsprotokollierung und Verschlüsselung reduzieren sowohl die Wahrscheinlichkeit als auch den Schaden eines Vorfalls erheblich.

Organisatorisch hilft ein klares Berechtigungskonzept: Wer hat Zugriff auf welche Daten und warum? Das Prinzip der Datensparsamkeit — so wenige Daten wie nötig, so wenige Zugriffsrechte wie nötig — verkleinert das Risikopotenzial strukturell. Und regelmäßige Schulungen für Mitarbeitende sind nachweislich wirksam: Die häufigste Einstiegsroute für Datenpannen ist nach wie vor der Mensch, nicht die Technik.

Wir helfen Ihnen dabei, einen praxistauglichen Incident-Response-Plan zu erstellen — bevor der Ernstfall eintritt.

Datenschutz-Notfallplan entwickeln

Häufige Fragen

Ab wann beginnt die 72-Stunden-Frist für die Meldung?
Die Frist beginnt ab dem Zeitpunkt der Kenntnis des Vorfalls — nicht ab dem tatsächlichen Ereignis. Wenn der Vorfall am Montag stattfand, aber erst am Mittwoch entdeckt wurde, beginnt die 72-Stunden-Frist am Mittwoch.
Was passiert, wenn ich die 72-Stunden-Frist verpasse?
Eine verspätete Meldung ist immer noch besser als keine. Sie muss aber begründet werden. Aufsichtsbehörden bewerten die Umstände: Ein kleines Unternehmen ohne DSB, das nach 90 Stunden meldet und die Verzögerung begründet, wird anders bewertet als ein Unternehmen, das gar nicht meldet.
Muss ich jede Datenpanne melden?
Nein. Meldepflichtig sind nur Vorfälle, bei denen ein Risiko für betroffene Personen besteht. Intern dokumentiert werden muss jedoch jede Datenpanne — auch nicht meldepflichtige. Diese Dokumentation muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.
An welche Behörde melde ich eine Datenpanne?
An die Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Alle deutschen Landesbehörden haben Online-Meldeformulare. Bei grenzüberschreitenden Vorfällen mit Betroffenen in mehreren EU-Ländern gelten zusätzliche Regelungen.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Datenpanne melden: Meldepflicht, Fristen und was im Ernstfall zu tun ist
8 Min. Lesezeit
Datenschutz & Compliance
Datenpanne: Was Unternehmen in den ersten 72 Stunden tun muessen
6 Min. Lesezeit
Datenschutz & Compliance
DSGVO-Abmahnung erhalten: Was jetzt sofort zu tun ist
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen