Gesetz-RatgeberEine Datenpanne kann jedes Unternehmen treffen – vom Hackerangriff bis zum versehentlich falsch adressierten E-Mail-Verteiler. Entscheidend ist die richtige und fristgerechte Reaktion. Dieser Ratgeber erklärt, wann eine Meldepflicht besteht, welche Fristen gelten und wie Sie Bußgelder vermeiden.
Auf einen Blick
Was ist eine Datenpanne?
Art. 4 Nr. 12 DSGVO definiert eine Datenpanne (offiziell: „Verletzung des Schutzes personenbezogener Daten“) als eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Dies umfasst drei Schutzgüter: Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
| Art der Panne | Beispiel | Schwere |
|---|---|---|
| Hackerangriff | Unbefugter Zugriff auf Kundendatenbank durch Ausnutzung einer Sicherheitslücke | Hoch – in der Regel meldepflichtig |
| E-Mail-Fehlversand | Personaldaten werden an falschen Empfänger gesendet | Mittel – abhängig von Datenart und Empfänger |
| Geräteverlust | Unverschlüsselter Laptop mit Kundendaten wird gestohlen | Hoch – in der Regel meldepflichtig |
| Offene Verteilerliste | E-Mail mit CC statt BCC an 200 Kunden – E-Mail-Adressen sichtbar | Gering bis mittel – Einzelfallprüfung |
| Ransomware | Verschlüsselung aller Daten durch Schadsoftware, vorübergehende Unzugänglichkeit | Hoch – auch ohne Datenabfluss meldepflichtig |
In der Praxis sind Datenpannen weitaus häufiger als viele Unternehmen annehmen. Neben spektakulären Hackerangriffen sind es oft alltägliche Fehler, die eine Meldepflicht auslösen: ein offener E-Mail-Verteiler (CC statt BCC), ein verlorener USB-Stick mit Personalakten oder ein fehlkonfigurierter Cloud-Speicher. Auch Ransomware-Angriffe, bei denen Daten verschlüsselt und damit vorübergehend unzugänglich werden, stellen eine Datenpanne dar.
Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO)
Nach Art. 33 DSGVO muss der Verantwortliche eine Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Die Frist beginnt mit der Kenntniserlangung – also dem Zeitpunkt, zu dem der Verantwortliche mit hinreichender Sicherheit davon ausgehen kann, dass eine Datenschutzverletzung eingetreten ist. Eine verspätete Meldung muss begründet werden.
- Datenpanne erkennen und intern dokumentieren (Zeitpunkt, Art, Umfang)
- Risikoabwägung durchführen: Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen?
- Bei Risiko: Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden vorbereiten
- Meldung einreichen (viele Aufsichtsbehörden bieten Online-Meldeformulare an)
- Fehlende Informationen nachreichen, sobald sie verfügbar sind
- Prüfen, ob zusätzlich eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist
Die Meldung muss mindestens folgende Angaben enthalten: eine Beschreibung der Art der Datenschutzverletzung, die Kategorien und die ungäfähre Anzahl der betroffenen Personen, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen. Kann nicht alles innerhalb von 72 Stunden ermittelt werden, dürfen Informationen schrittweise nachgereicht werden.
Benachrichtigung der Betroffenen (Art. 34 DSGVO)
Neben der Meldung an die Aufsichtsbehörde kann auch eine Benachrichtigung der betroffenen Personen erforderlich sein. Art. 34 DSGVO sieht diese Pflicht vor, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Die Schwelle liegt also höher als bei der Behördenmeldung.
| Pflicht | Schwelle | Form | Frist |
|---|---|---|---|
| Meldung an Aufsichtsbehörde (Art. 33) | Risiko für Rechte und Freiheiten | Schriftlich (meist Online-Formular) | 72 Stunden nach Kenntniserlangung |
| Benachrichtigung Betroffene (Art. 34) | Hohes Risiko für Rechte und Freiheiten | Direkt, klare Sprache, individuell | Unverzüglich, keine feste Stundenfrist |
| Interne Dokumentation (Art. 33 Abs. 5) | Jede Datenpanne – auch ohne Risiko | Internes Verzeichnis | Fortlaufend |
Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens die Art der Verletzung, die möglichen Folgen sowie die ergriffenen Maßnahmen beschreiben. Es gibt drei Ausnahmen von der Benachrichtigungspflicht: wenn die Daten durch Verschlüsselung oder ähnliche Maßnahmen geschützt waren, wenn nachträgliche Maßnahmen das hohe Risiko beseitigt haben, oder wenn die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde – in diesem Fall ist eine öffentliche Bekanntmachung zulässig.
Das könnte Sie auch interessieren
DSGVO-Auskunftsrecht: So fordern Sie Ihre Daten an (Art. 15 DSGVO)Auskunftsrecht nach Art. 15 DSGVO: So fordern Sie Ihre Daten an. Fristen, Musterformulierungen und Ihre Rechte.
Risikoabwägung: Wann muss gemeldet werden?
Die zentrale Frage bei jeder Datenpanne lautet: Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen? Die DSGVO unterscheidet drei Risikostufen: kein Risiko (nur interne Dokumentation), Risiko (Meldung an Behörde) und hohes Risiko (zusätzlich Benachrichtigung der Betroffenen). Die Bewertung hängt von mehreren Faktoren ab.
| Risikostufe | Pflicht gegenüber Behörde | Pflicht gegenüber Betroffenen | Beispiel |
|---|---|---|---|
| Kein Risiko | Keine Meldung (nur Dokumentation) | Keine Benachrichtigung | Verschlüsselter Laptop gestohlen, Daten nicht abrufbar |
| Risiko | Meldung innerhalb 72 Stunden | Keine Benachrichtigung | E-Mail mit Kundenliste an falschen Geschäftspartner |
| Hohes Risiko | Meldung innerhalb 72 Stunden | Unverzügliche Benachrichtigung | Unverschlüsselter Laptop mit Gesundheitsdaten gestohlen |
Zu berücksichtigen sind insbesondere: die Art der betroffenen Daten (Gesundheitsdaten wiegen schwerer als Kontaktdaten), die Anzahl der betroffenen Personen, ob die Daten verschlüsselt waren, die Wahrscheinlichkeit eines Missbrauchs sowie die möglichen Folgen für die Betroffenen (Identitätsdiebstahl, finanzielle Schäden, Diskriminierung). Im Zweifel empfiehlt die Datenschutzkonferenz (DSK) eher zu melden als nicht zu melden.
Interne Dokumentationspflicht
Art. 33 Abs. 5 DSGVO verpflichtet den Verantwortlichen, alle Datenschutzverletzungen zu dokumentieren – unabhängig davon, ob sie meldepflichtig sind oder nicht. Diese Dokumentation muss die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen. Die Aufsichtsbehörde kann jederzeit Einsicht in dieses Verzeichnis verlangen.
- Datum und Uhrzeit der Entdeckung sowie der Meldung
- Art der betroffenen personenbezogenen Daten (Kategorien)
- Ungefähre Anzahl der betroffenen Personen und Datensätze
- Beschreibung des Vorfalls und der wahrscheinlichen Ursache
- Ergriffene Sofortmaßnahmen und geplante Abhilfemaßnahmen
- Ergebnis der Risikoabwägung (kein Risiko / Risiko / hohes Risiko)
- Dokumentation, ob Meldung an Behörde und/oder Benachrichtigung der Betroffenen erfolgt ist
In der Praxis empfiehlt es sich, ein standardisiertes Datenpannen-Verzeichnis zu führen, das mindestens folgende Angaben enthält: Datum und Uhrzeit der Entdeckung, Art der betroffenen Daten, Anzahl der betroffenen Personen, Beschreibung des Vorfalls, ergriffene Sofortmaßnahmen, Ergebnis der Risikoabwägung, und ob eine Meldung an Behörde oder Betroffene erfolgt ist. Dieses Verzeichnis dient auch als Nachweis der Compliance bei behördlichen Prüfungen.
Bußgelder und Haftung
Die DSGVO sieht für Verstöße gegen die Meldepflichten empfindliche Sanktionen vor. Nach Art. 83 Abs. 4 DSGVO können Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Dies gilt sowohl für die unterlassene Meldung an die Aufsichtsbehörde als auch für die unterlassene Benachrichtigung der Betroffenen.
| Verstoß | Bußgeldrahmen | Beispiel aus der Praxis |
|---|---|---|
| Unterlassene Meldung an Aufsichtsbehörde | Bis 10 Mio. € oder 2 % Umsatz | Krankenhaus meldet Datenpanne nicht – 150.000 € Bußgeld |
| Verspätete Meldung (über 72 Std.) | Bis 10 Mio. € oder 2 % Umsatz | Online-Shop meldet Hack erst nach 3 Wochen – Bußgeld + Auflagen |
| Unterlassene Benachrichtigung Betroffener | Bis 10 Mio. € oder 2 % Umsatz | Gesundheitsdaten betroffen, Betroffene nicht informiert |
| Fehlende interne Dokumentation | Bis 10 Mio. € oder 2 % Umsatz | Kein Datenpannen-Verzeichnis bei behördlicher Prüfung |
Neben den Bußgeldern drohen Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO. Die Beweislast liegt dabei beim Verantwortlichen: Er muss nachweisen, dass er für den Schaden nicht verantwortlich ist. In der Praxis zeigt sich, dass Aufsichtsbehörden die unterlassene oder verspätete Meldung oft schwerer bewerten als die Datenpanne selbst – denn die Meldepflicht dient dem Schutz der Betroffenen, die nur bei Kenntnis Gegenmaßnahmen ergreifen können.
Prävention: Datenpannen vermeiden
Der beste Umgang mit Datenpannen ist ihre Vermeidung. Technische und organisatorische Maßnahmen (TOMs) bilden das Rückgrat jeder Präventionsstrategie. Dazu gehören Verschlüsselung ruhender und übertragener Daten, regelmäßige Sicherheitsupdates, Zugangskontrollen nach dem Need-to-know-Prinzip sowie regelmäßige Mitarbeiterschulungen zum sicheren Umgang mit personenbezogenen Daten.
Besonders wichtig ist die Erstellung eines Datenpannen-Notfallplans. Dieser sollte klare Zuständigkeiten definieren, Kommunikationswege festlegen und Vorlagen für die Meldung an die Aufsichtsbehörde enthalten. Bei Verarbeitungstätigkeiten mit hohem Risiko – etwa bei der Verarbeitung von Gesundheitsdaten oder bei umfangreicher Videoüberwachung – ist zudem eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Regelmäßige Datenschutz-Audits helfen, Schwachstellen frühzeitig zu erkennen und zu beheben.
Fazit: Schnelle Reaktion ist entscheidend
Datenpannen passieren – entscheidend ist die richtige Reaktion. Die 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde ist streng, aber: Eine verspätete Meldung wiegt schwerer als eine unvollständige. Dokumentieren Sie jede Panne intern, etablieren Sie einen Notfallplan und schulen Sie Ihre Mitarbeiter regelmäßig. So minimieren Sie sowohl das Risiko einer Datenpanne als auch die Folgen, wenn es doch passiert.
Häufige Fragen
Weiterführende Ratgeber
Über die Redaktion
Redaktion Gesetz-Ratgeber
Redaktionsteam
Das Redaktionsteam von Gesetz-Ratgeber recherchiert aktuelle Rechtsthemen und bereitet sie verständlich auf. Jeder Artikel durchläuft einen mehrstufigen Qualitätsprozess: Recherche der aktuellen Rechtslage, Abgleich mit Gesetzestexten und Rechtsprechung, verständliche Aufbereitung und abschließende Prüfung. Wir arbeiten unabhängig und finanzieren uns ausschließlich über Werbung und Gastbeiträge – unsere redaktionellen Inhalte sind davon nicht beeinflusst.
Rechtlicher Hinweis: Dieser Ratgeber dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Trotz sorgfältiger Recherche übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen Rechtsanwalt. Ausführlicher Hinweis: Disclaimer.