Datenschutz & Compliance

Datenpanne: Was Unternehmen in den ersten 72 Stunden tun muessen

6 Min. Lesezeit
Kurze Antwort

Bei einer meldepflichtigen Datenpanne (Art. 33 DSGVO) muss innerhalb von 72 Stunden Meldung an die zust. Datenschutzbehoerde erfolgen. Nicht jede Panne ist meldepflichtig - nur wenn ein Risiko fuer Betroffene besteht. Entscheidend ist, den Prozess vorher zu kennen, nicht erst wenn es passiert.

Was eine meldepflichtige Datenpanne ist

Eine Datenpanne liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, unbefugt offenbart oder zugänglich gemacht werden. Das umfasst Hacks auf IT-Systeme, gestohlene oder verlorene Laptops und USB-Sticks, versehentlich an falsche Empfänger gesendete E-Mails sowie Ransomware-Angriffe, bei denen Daten verschlüsselt oder abgezogen werden. Auch der unbefugte Zugriff eines ehemaligen Mitarbeiters auf Kundendaten zählt dazu.

Nicht jede Datenpanne muss zwingend gemeldet werden. Die DSGVO verlangt eine Meldung nur dann, wenn ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Diese Risikoabschätzung muss in jedem Fall dokumentiert werden – unabhängig davon, ob am Ende gemeldet wird oder nicht. Fehlt diese Dokumentation, ist das bereits ein eigenständiger Verstoß.

Artikel 33 DSGVO gibt Unternehmen nach Bekanntwerden einer Datenpanne genau 72 Stunden Zeit, die zuständige Aufsichtsbehörde zu informieren. Die Uhr läuft ab dem Moment, in dem eine verantwortliche Person im Unternehmen von dem Vorfall erfährt – nicht erst ab dem technischen Zeitpunkt des Vorfalls. Das ist ein häufig missverstandener Punkt, der Unternehmen teuer zu stehen kommt.

INREMA erlebt in der Praxis regelmäßig, dass mittelständische Unternehmen ohne Notfallplan in eine Datenpanne geraten. Die ersten Stunden vergehen mit internen Abstimmungen, weil niemand weiß, wer was entscheiden darf. Genau dieser Zeitverlust ist das eigentliche Problem – und er ist vollständig vermeidbar.

Schritt fuer Schritt durch die ersten 72 Stunden

  1. Sofort: Vorfall stoppen und dokumentieren

    Den Vorfall soweit möglich stoppen – kompromittierte Accounts sperren, betroffene Systeme vom Netz nehmen, Zugänge deaktivieren. Parallel dazu alles dokumentieren: Wann wurde der Vorfall entdeckt? Von wem? Was ist bekannt? Welche Systeme und Datenkategorien sind betroffen? Diese Erstdokumentation ist Pflichtbestandteil und bildet die Grundlage für alle weiteren Schritte.

  2. Risikoabschätzung durchführen

    Welche Daten sind betroffen – einfache Kontaktdaten oder sensible Kategorien wie Gesundheitsdaten, Finanzdaten, Ausweiskopien? Wie viele Personen sind betroffen? Welche konkreten Folgen könnten eintreten – Identitätsdiebstahl, finanzielle Schäden, Diskriminierung, Rufschädigung? Wenn das Risiko nicht als vernachlässigbar eingestuft werden kann, besteht Meldepflicht. Die Abschätzung muss schriftlich festgehalten werden.

  3. Datenschutzbeauftragten unverzüglich einbinden

    Wenn ein betrieblicher Datenschutzbeauftragter vorhanden ist, muss dieser sofort informiert werden. Er unterstützt bei der Risikobewertung, bei der Entscheidung zur Meldepflicht und bei der korrekten Formulierung der Meldung. Ist kein DSB bestellt, obwohl eine Bestellpflicht besteht, ist das ein eigenständiges Compliance-Problem, das parallel adressiert werden sollte.

  4. Meldung an die zuständige Aufsichtsbehörde

    Innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. In NRW: LDI NRW über das Online-Meldeportal. Die Meldung muss enthalten: Art der Verletzung und wie sie eingetreten ist, Kategorien und ungefähre Anzahl der betroffenen Datensätze und Personen, Kontaktdaten des Datenschutzbeauftragten, wahrscheinliche Folgen der Verletzung sowie bereits ergriffene und geplante Maßnahmen zur Abhilfe.

  5. Betroffene Personen benachrichtigen falls erforderlich

    Wenn ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, schreibt Artikel 34 DSGVO auch deren direkte Benachrichtigung vor – ohne unangemessene Verzögerung. Der Inhalt muss verständlich formuliert sein: Was ist passiert? Welche Daten? Welche Konsequenzen können entstehen? Was können Betroffene tun? Keine Juristensprache, keine Verharmlosung.

  6. Abschluss: Vorfall auswerten und Maßnahmen ableiten

    Nach dem akuten Vorfall kommt die strukturierte Aufarbeitung: Was hat die Datenpanne ermöglicht? Welche technischen oder organisatorischen Maßnahmen hätten sie verhindert? Was wird konkret geändert? Dieser Abschlussbericht gehört ins Verzeichnis der Verarbeitungstätigkeiten und zeigt der Behörde bei einer späteren Prüfung, dass das Unternehmen aus Vorfällen lernt.

Die haeufigsten Fehler bei Datenpannen

Der teuerste Fehler bei Datenpannen ist Zögern. Ein Produktionsunternehmen aus dem Sauerland entdeckte einen Ransomware-Angriff an einem Freitagabend. Die interne Abstimmung, ob überhaupt gemeldet werden muss, dauerte bis Montag. Die 72-Stunden-Frist war längst abgelaufen. Das Bußgeld der Aufsichtsbehörde war höher als die technischen Wiederherstellungskosten. Weitere häufige Fehler: Keine schriftliche Dokumentation der Risikoabschätzung, auch wenn am Ende nicht gemeldet wird. Interne Kommunikation über denselben möglicherweise kompromittierten E-Mail-Account. IT-Dienstleister informiert den Kunden nicht rechtzeitig, obwohl er zuerst von dem Vorfall weiß – was die Fristberechnung kompliziert.

Notfallplan vorher erstellen

Erstellen Sie jetzt – nicht im Ernstfall – einen einseitigen Notfallplan als Druckdokument: Wer wird intern als erstes informiert? Wer ist der Datenschutzbeauftragte mit direkter Telefonnummer? Welche Aufsichtsbehörde ist zuständig, wie lautet die Meldeportal-URL? Wie erreiche ich den IT-Dienstleister außerhalb der Bürozeiten? Wo liegt das Verzeichnis der Verarbeitungstätigkeiten? Dieses Dokument muss gedruckt und griffbereit sein – nicht nur digital, denn bei einem Ransomware-Angriff ist die digitale Ablage möglicherweise nicht erreichbar. Jährliche Aktualisierung einplanen.
Wer im Datenpannen-Fall nicht weiß, was zu tun ist, macht die Sache schlimmer – und zahlt dafür.

Wann ist die Meldepflicht ausgelöst – und wann nicht?

Die Risikoabschätzung ist der Kernpunkt, an dem viele Unternehmen scheitern. DSGVO Artikel 33 gilt nur, wenn voraussichtlich ein Risiko für natürliche Personen entsteht. Klingt einfach – ist in der Praxis aber oft eine Grauzone. Verschlüsselte Daten auf einem verlorenen Laptop ohne Zugriff Dritter: kein Risiko. Eine E-Mail mit Kundendaten an den falschen Verteiler: Risiko, je nach Inhalt und Empfängerkreis.

Sensible Datenkategorien nach Artikel 9 DSGVO – also Gesundheitsdaten, biometrische Daten, religiöse oder politische Überzeugungen, Daten zu Straftaten – erhöhen das Risiko automatisch auf hohes Niveau. Bei diesen Kategorien ist die Meldepflicht fast immer gegeben, und zusätzlich greift Artikel 34 mit der Pflicht zur Benachrichtigung der Betroffenen.

Auch die Anzahl der betroffenen Personen spielt eine Rolle: Ein Vorfall der 500 Kundendatensätze betrifft, ist anders zu bewerten als einer der zehn interne Notizen betrifft. Das bedeutet nicht, dass kleine Vorfälle ignoriert werden dürfen – sie müssen dokumentiert und bewertet werden, auch wenn keine externe Meldung erfolgt.

Eine pragmatische Faustregel aus der Beratungspraxis: Im Zweifelsfall melden. Eine Meldung die sich nachträglich als unnötig herausstellt schadet nicht. Eine unterlassene Meldung die hätte erfolgen müssen kann sehr teuer werden.

Was die Meldung an die Aufsichtsbehörde enthalten muss

  • Art der Verletzung: Wie ist der Vorfall eingetreten – Hack, Verlust, Fehler?
  • Betroffene Datenkategorien: Welche Art von Daten – Kontakt, Gesundheit, Finanzen?
  • Anzahl der Datensätze: Ungefähre Zahl der betroffenen Personen und Datensätze
  • Kontaktdaten DSB: Name und Erreichbarkeit des Datenschutzbeauftragten
  • Wahrscheinliche Folgen: Welche Risiken entstehen für die Betroffenen?
  • Ergriffene Maßnahmen: Was wurde bereits getan, was ist geplant?
  • Zeitpunkt der Entdeckung: Wann wurde der Vorfall intern bekannt?
  • Ggf. Grund für Verzögerung: Falls die 72h-Frist knapp wird, Begründung vorbereiten

Das Wichtigste auf einen Blick

Zusammenfassung
  • 72 Stunden ab Kenntnis – nicht ab Vorfall – für die Meldung an die Aufsichtsbehörde
  • Risikoabschätzung immer dokumentieren, auch wenn keine Meldepflicht besteht
  • Notfallplan vor dem Ernstfall erstellen: DSB, Behörde, IT-Dienstleister, Dokumentation

Datenpannen-Register führen

Die DSGVO verlangt ein internes Register aller Datenpannen – auch der nicht gemeldeten. Führen Sie eine einfache Tabelle: Datum, Art des Vorfalls, Betroffene Daten, Risikoabschätzung, Ergebnis (gemeldet / nicht gemeldet / Begründung), ergriffene Maßnahmen. Dieses Register ist bei jeder Behördenprüfung der erste Beleg dafür, dass Ihr Unternehmen Datenpannen ernst nimmt und systematisch bearbeitet. Es kostet wenig Aufwand und kann viel Ärger verhindern.

Wir helfen Ihnen dabei, einen klaren Prozess fuer den Datenpannen-Fall zu entwickeln - bevor Sie ihn brauchen.

Notfallplan entwickeln lassen

Häufige Fragen

Wann beginnt die 72-Stunden-Frist?
Mit dem Zeitpunkt, zu dem der Verantwortliche Kenntnis von der Datenpanne hat. Das ist nicht zwingend der Zeitpunkt des Vorfalls selbst. Wenn Sie Sonntagnacht erfahren, dass Ihr Server gehackt wurde, beginnt die Frist Sonntagnacht.
Muss ich jede Datenpanne melden?
Nein. Nur wenn die Panne ein Risiko fuer Rechte und Freiheiten natuerlicher Personen darstellt. Ein verschluesseltes Backup das verloren geht, ist oft nicht meldepflichtig. Ein unverschluesselter Laptop mit Kundendaten sehr wohl. Die Risikobewertung muss aber immer dokumentiert werden.
Was kostet eine nicht gemeldete Datenpanne?
Bussgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes - je nachdem was hoeher ist. Dazu kommen zivilrechtliche Schadensersatzansprueche betroffener Personen.
Muss ich Kunden bei jeder Datenpanne informieren?
Nur wenn ein hohes Risiko fuer die betroffenen Personen besteht. Das ist eine hoehere Schwelle als die Meldepflicht gegenueber der Behoerde. Kriterien: Welche Datenkategorien? Wie viele Personen? Welche konkreten Schaeden sind wahrscheinlich?

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Datenpanne melden: Meldepflicht, Fristen und was im Ernstfall zu tun ist
8 Min. Lesezeit
Datenschutz & Compliance
Datenpanne passiert: Schritt für Schritt durch die ersten 72 Stunden
8 Min. Lesezeit
Datenschutz & Compliance
DSGVO-Abmahnung erhalten: Was jetzt sofort zu tun ist
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen