Datenschutz & Compliance

Datenpanne melden: Meldepflicht, Fristen und was im Ernstfall zu tun ist

8 Min. Lesezeit
Kurze Antwort

Bei einer Datenpanne mit Risiko für Betroffene muss die Aufsichtsbehörde innerhalb von 72 Stunden nach Art. 33 DSGVO informiert werden – in schweren Fällen zusätzlich die Betroffenen selbst nach Art. 34 DSGVO.

72 Stunden – das ist das Zeitfenster, das Art. 33 DSGVO für die Meldung einer Datenpanne an die Aufsichtsbehörde gibt. Wer zu spät meldet, riskiert ein eigenständiges Bußgeld – zusätzlich zu dem für die Panne selbst.

Was ist eine Datenpanne im Sinne der DSGVO?

Die DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten (sogenannter Data Breach) als jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Das klingt komplex, lässt sich aber in drei Kernszenarien herunterbrechen: Vertraulichkeitsverletzung (unbefugter Zugriff), Integritätsverletzung (unberechtigte Veränderung) und Verfügbarkeitsverletzung (Datenverlust oder Nichtzugänglichkeit).

Wichtig: Eine Datenpanne erfordert keine böse Absicht. Auch versehentliche Vorfälle fallen darunter – etwa wenn ein Mitarbeiter eine E-Mail mit personenbezogenen Anhängen an den falschen Empfänger sendet, ein Laptop mit Kundendaten verloren geht oder ein Backup versehentlich gelöscht wird. Entscheidend ist nicht die Absicht, sondern die Tatsache, dass personenbezogene Daten kompromittiert wurden oder werden konnten.

Häufige Datenpannen-Szenarien in der Praxis: gehackte E-Mail-Accounts (Phishing), Ransomware-Angriffe auf Server, verlorene oder gestohlene Notebooks und Smartphones, fehlerhafte Massenmail-Versendung mit sichtbaren Empfängern (CC statt BCC), versehentlich öffentlich zugängliche Cloud-Ordner sowie der Versand von Dokumenten mit Personendaten an den falschen Empfänger. Für jedes dieser Szenarien sollte ein Unternehmen vorbereitet sein, bevor es passiert.

Typische Datenpannen-Szenarien im Mittelstand

  • Gehackter E-Mail-Account: Angreifer lesen Postfach mit Kundendaten mit oder versenden Spam im Namen des Unternehmens.
  • Ransomware-Angriff: Alle Daten auf dem Server werden verschlüsselt, Zugriff nur gegen Lösegeldzahlung – Verfügbarkeitsverletzung.
  • Verlorenes Notebook: Unverschlüsseltes Gerät mit Kundenlisten, Angeboten oder internen Dokumenten fällt in fremde Hände.
  • Falsche E-Mail-Empfänger: Kundenliste, Rechnung oder Vertrag geht an die falsche Adresse – Vertraulichkeitsverletzung.
  • Offener Cloud-Ordner: Freigegebener Link zu Dropbox oder OneDrive ist öffentlich indexierbar und enthält personenbezogene Dokumente.
  • Fehlkonfigurierter Server: Datenbank ohne Authentifizierung oder Backup-Verzeichnis öffentlich erreichbar.
  • Interner Datenmissbrauch: Mitarbeiter exportiert Kundendaten unbefugt vor dem Ausscheiden aus dem Unternehmen.

Meldepflicht nach Art. 33 DSGVO: Wann muss gemeldet werden?

Nicht jede Datenpanne löst automatisch eine Meldepflicht aus. Art. 33 DSGVO knüpft die Meldepflicht an eine Risikoeinschätzung: Besteht voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen, muss die zuständige Datenschutzbehörde informiert werden. Ist das Risiko unwahrscheinlich – etwa weil die betroffenen Daten vollständig verschlüsselt waren und der Schlüssel nicht kompromittiert wurde – entfällt die Meldepflicht, aber die interne Dokumentationspflicht bleibt bestehen.

Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden der Panne erfolgen. Maßgeblich ist der Zeitpunkt, zu dem das Unternehmen von der Panne erfahren hat – nicht der Zeitpunkt des Vorfalls selbst. Wenn eine vollständige Meldung innerhalb von 72 Stunden nicht möglich ist, kann zunächst eine vorläufige Meldung erfolgen, die nachträglich ergänzt wird. Das muss dann aber ausdrücklich so kommuniziert werden.

In Deutschland sind die Landesdatenschutzbehörden zuständig – zum Beispiel die LfDI (Landesbeauftragter für den Datenschutz und die Informationsfreiheit) in NRW oder die Bayerische Datenschutzbehörde (BayLDA). Welche Behörde zuständig ist, richtet sich nach dem Sitz des Unternehmens. Die meisten Behörden stellen Online-Formulare für die Meldung bereit; eine strukturierte Meldung per E-Mail ist aber ebenfalls zulässig.

Die 72-Stunden-Frist gilt ab Bekanntwerden – nicht ab dem Zeitpunkt des Vorfalls. Wenn ein Mitarbeiter am Montag von einer Panne aus dem Freitag erfährt, läuft die Frist ab Montag. Stellen Sie sicher, dass interne Meldewege klar definiert sind, damit keine Zeit verloren geht.

Schritt-für-Schritt: Reaktionsplan im Ernstfall

  1. Sofortmaßnahmen (erste Stunden)

    Den Vorfall sofort intern eskalieren und dokumentieren: Was ist passiert, wann wurde es bemerkt, welche Daten und wie viele Personen sind betroffen? Systeme sichern (keine Löschung von Logs), betroffene Zugänge sperren oder Systeme isolieren, IT-Forensik oder externen Datenschutzberater hinzuziehen.

  2. Risikobewertung (erste 24 Stunden)

    Einschätzen, ob ein Risiko für Betroffene besteht: Welche Datenkategorien sind betroffen (besonders sensibel wie Gesundheitsdaten?), wie viele Personen, wie wahrscheinlich ist ein Missbrauch? Das Ergebnis bestimmt, ob eine Behördenmeldung und eine Betroffenen-Benachrichtigung erforderlich sind.

  3. Behördenmeldung (bis 72 Stunden)

    Die zuständige Datenschutzaufsichtsbehörde informieren. Notwendige Angaben: Art der Verletzung, betroffene Datenkategorien und Personenzahl, Name des Datenschutzbeauftragten, wahrscheinliche Folgen, ergriffene und geplante Abhilfemaßnahmen. Eine vorläufige Meldung ist besser als gar keine.

  4. Betroffenen-Benachrichtigung (bei hohem Risiko)

    Wenn ein hohes Risiko für die Betroffenen besteht, müssen diese unverzüglich nach Art. 34 DSGVO informiert werden – in klarer, verständlicher Sprache, mit konkreten Handlungsempfehlungen. Kein Juristendeutsch, keine Verharmlosung.

  5. Nachbereitung und Dokumentation

    Vollständige interne Dokumentation des Vorfalls im Verzeichnis der Datenpannen (Pflicht nach Art. 33 Abs. 5 DSGVO). Root-Cause-Analyse: Wie konnte es passieren? Welche TOMs müssen verbessert werden? Ergebnisse in die nächste TOM-Überprüfung einfließen lassen.

Was gehört in die Meldung an die Aufsichtsbehörde?

Art. 33 Abs. 3 DSGVO definiert, was eine vollständige Meldung enthalten muss. In der Praxis sollte die Meldung folgende Punkte umfassen: eine Beschreibung der Art der Datenpanne (Was ist passiert?), die ungefähre Zahl der betroffenen Personen und Datensätze, die Kategorien der betroffenen Daten (z. B. Namen, Adressen, Bankdaten, Gesundheitsdaten), den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen der Panne sowie die ergriffenen oder geplanten Maßnahmen zur Behebung und künftigen Vermeidung.

Viele Behörden stellen strukturierte Online-Formulare bereit – in NRW etwa das Meldeportal der LfDI. Auch eine formlose E-Mail ist zulässig, sollte aber alle oben genannten Punkte abdecken. Bei einer vorläufigen Meldung ist explizit darauf hinzuweisen, dass weitere Informationen folgen, und ein Zeitrahmen dafür anzugeben.

Die interne Dokumentationspflicht geht über die Behördenmeldung hinaus: Auch wenn keine Meldepflicht besteht (weil das Risiko als gering eingestuft wurde), muss der Vorfall intern dokumentiert werden – einschließlich der Begründung, warum keine Meldung erfolgte. Diese Dokumentation kann bei späteren Behördenprüfungen verlangt werden und ist Bestandteil des Nachweises über die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Erstellen Sie heute einen einseitigen Incident-Response-Plan mit drei Feldern: Wer ist intern zu informieren (Eskalationskette), welche Behörde ist zuständig (Link zum Meldeportal), und wer ist externer Ansprechpartner (DSB, IT-Forensik). Dieser Plan kann im Ernstfall Stunden sparen – und Bußgelder verhindern.

Bußgeldrisiko und wie man sich vorbereitet

Verstöße gegen die Meldepflicht können nach Art. 83 Abs. 4 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. In der Praxis sind die Bußgelder für mittelständische Unternehmen meist im fünf- bis sechsstelligen Bereich, wenn keine schwerwiegenden Datenverluste oder vorsätzliches Handeln vorliegen. Erschwerend wirkt sich jedoch aus, wenn die Meldung verschleppt wird oder gar nicht erfolgt.

Einen wirksamen Schutz bietet ein schriftlich dokumentierter Incident-Response-Plan. Er muss nicht komplex sein – eine klar strukturierte einseitige Übersicht mit Eskalationsketten, zuständiger Behörde, internem DSB und externem IT-Notfallkontakt reicht als Grundlage. Regelmäßige Schulungen, damit alle Mitarbeiter wissen, wie sie eine verdächtige Situation intern melden, sind genauso wichtig wie die technischen TOMs.

Wer einen externen Datenschutzbeauftragten bestellt hat, sollte sicherstellen, dass dieser im Ernstfall erreichbar ist und in den Meldeprozess eingebunden wird. Der DSB kennt die formalen Anforderungen und kann die Meldung an die Behörde formulieren und koordinieren – das spart Zeit und minimiert das Bußgeldrisiko durch fehlerhafte oder unvollständige Meldungen.

Zusammenfassung
  • Eine Datenpanne muss bei Risiko für Betroffene innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden – unabhängig davon, ob tatsächlich Schaden eingetreten ist.
  • Bei hohem Risiko für die Betroffenen ist zusätzlich eine direkte Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich.
  • Ein dokumentierter Incident-Response-Plan und klare interne Meldewege sind die beste Vorbereitung – und können im Ernstfall Bußgelder verhindern oder erheblich reduzieren.

Datenpannen-Reaktionsplan erstellen lassen

Sie möchten für den Ernstfall gerüstet sein? Wir helfen Ihnen dabei, einen praxistauglichen Incident-Response-Plan zu entwickeln, Meldewege zu definieren und Ihre Dokumentationspflichten zu erfüllen.

Beratung anfragen

Häufige Fragen

Wann liegt eine Datenpanne nach DSGVO vor?
Eine Datenpanne liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unbefugt vernichtet, verloren, verändert oder offengelegt werden. Das umfasst Hacking-Angriffe ebenso wie versehentliche Fehlsendungen oder den Verlust eines unverschlüsselten Laptops.
Muss jede Datenpanne gemeldet werden?
Nein. Meldepflichtig sind nur Pannen, bei denen voraussichtlich ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. War z. B. die Datei vollständig verschlüsselt und der Schlüssel nicht kompromittiert, entfällt die Meldepflicht – aber die interne Dokumentation bleibt Pflicht.
Was passiert, wenn ich eine Datenpanne nicht melde?
Wer eine meldepflichtige Datenpanne nicht oder zu spät meldet, riskiert nach Art. 83 Abs. 4 DSGVO Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. In der Praxis liegen die Bußgelder für KMU meist im fünf- bis sechsstelligen Bereich.
An wen muss ich eine Datenpanne melden?
In Deutschland ist die zuständige Landesdatenschutzbehörde des Unternehmenssitzes zuständig – z. B. die LfDI NRW für Unternehmen in Nordrhein-Westfalen. Die meisten Behörden bieten ein Online-Meldeformular an; eine strukturierte E-Mail ist ebenfalls zulässig.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Betroffenenanfrage korrekt beantworten: Fristen und Inhalt
6 Min. Lesezeit
Datenschutz & Compliance
Datenpanne passiert: Schritt für Schritt durch die ersten 72 Stunden
8 Min. Lesezeit
Datenschutz & Compliance
Datenpanne: Was Unternehmen in den ersten 72 Stunden tun muessen
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen