Auf einen Blick: Bei einer Datenpanne zählt jede Stunde: Die DSGVO schreibt eine Meldung an die Aufsichtsbehörde binnen 72 Stunden vor. Dieser Leitfaden zeigt, was eine Datenpanne ist, wann gemeldet werden muss und wie es geht.
Was ist eine Datenpanne?
Eine Datenpanne (offiziell: „Verletzung des Schutzes personenbezogener Daten” nach Art. 4 Nr. 12 DSGVO) liegt vor, wenn personenbezogene Daten:
- Verloren gehen (Laptop gestohlen, Backup defekt)
- Unbefugt offengelegt werden (E‑Mail an falsche Empfänger, gehackte Datenbank)
- Verändert werden (Ransomware-Angriff, Manipulation)
- Unverfügbar werden (Erpressungstrojaner, Serverausfall mit Datenverlust)
Wann muss ich melden?
Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO)
Eine Meldung ist Pflicht, wenn die Datenpanne voraussichtlich:
- Ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt
Faustregel: Wenn Personenschäden (Diskriminierung, Identitätsdiebstahl, finanzieller Schaden, Rufschädigung) entstehen könnten → melden!
Frist: Unverzüglich, spätestens 72 Stunden nach Bekanntwerden des Vorfalls.
Benachrichtigungspflicht der Betroffenen (Art. 34 DSGVO)
Wenn die Datenpanne voraussichtlich ein hohes Risiko für die Betroffenen darstellt: Zusätzlich die betroffenen Personen direkt informieren – ebenfalls unverzüglich.
Entscheidungsbaum: Muss ich melden?
Sind personenbezogene Daten betroffen?
↓ NEIN → Keine Meldepflicht
↓ JA
Besteht ein Risiko für Betroffene?
↓ NEIN (sehr unwahrscheinlich) → Meldung nicht erforderlich, aber dokumentieren!
↓ JA → Melde an Aufsichtsbehörde binnen 72h
↓
Ist das Risiko HOCH?
↓ JA → Zusätzlich Betroffene direkt informieren
↓ NEIN → Nur Behörde informieren
Beispiele nach Risikoniveau:
| Vorfall | Risiko | Meldepflicht |
|---|---|---|
| Laptop mit verschlüsselten Daten gestohlen | Niedrig | Dokumentieren reicht |
| Unverschlüsselter USB-Stick verloren | Mittel bis hoch | Behörde informieren |
| E‑Mail mit Kundendaten an falschen Empfänger | Mittel | Behörde informieren |
| Ransomware-Angriff mit Datenverlust | Hoch | Behörde + Betroffene |
| Datenbank öffentlich zugänglich geworden | Sehr hoch | Behörde + Betroffene |
So läuft die Meldung ab
Schritt 1: Vorfall dokumentieren (sofort!)
Was, wann, wie und wie viele Personen sind betroffen?
Datum/Uhrzeit der Entdeckung: ___________
Art der Datenpanne: ___________
Betroffene Datenkategorien: ___________
Schätzung der betroffenen Personen: ___________
Wahrscheinliche Ursache: ___________
Ergriffene Sofortmaßnahmen: ___________
Schritt 2: Risikobewertung
Faktoren, die den Schweregrad beeinflussen:
- Art der Daten (Kontodaten, Gesundheitsdaten = höheres Risiko)
- Anzahl der betroffenen Personen
- Möglichkeit der Identifizierung der Betroffenen
- Ob die Daten verschlüsselt waren
Schritt 3: Meldung an die Aufsichtsbehörde
Welche Behörde? Die des Bundeslandes, in dem das Unternehmen / der Selbstständige seinen Sitz hat.
| Bundesland | Behörde |
|---|---|
| Bayern | BayLDA (bayerisches-landesdatenschutz.de) |
| NRW | LDI NRW (ldi.nrw.de) |
| Baden-Württemberg | LfDI BW (lfdi.bwl.de) |
| Hamburg | HmbBfDI (datenschutz.hamburg.de) |
| Berlin | BlnBDI (datenschutz-berlin.de) |
| Alle Bundesländer | Eigene Online-Meldeformulare vorhanden |
Inhalt der Meldung (Art. 33 Abs. 3 DSGVO):
- Beschreibung des Vorfalls
- Kategorien und ungefähre Anzahl betroffener Personen
- Kategorien und ungefähre Anzahl betroffener Datensätze
- Kontaktdaten des Ansprechpartners / DSB
- Beschreibung wahrscheinlicher Folgen
- Ergriffene und geplante Maßnahmen
💡 Tipp: Die Meldung kann in Etappen erfolgen – erst eine vorläufige Meldung, dann Nachlieferung. Das ist ausdrücklich erlaubt.
Dokumentationspflicht auch ohne Meldung
Auch wenn keine Meldung erforderlich ist: Jede Datenpanne ist intern zu dokumentieren – einschließlich der Begründung, warum keine Meldung erfolgt ist (Art. 33 Abs. 5 DSGVO).
Empfohlenes Dokument: Datenpannen-Register
| Datum | Art der Panne | Betroffene Personen | Risikobewertung | Maßnahmen | Gemeldet? |
|-------|---------------|--------------------|-----------------|-----------|-----------|
Fazit
72 Stunden klingt nach viel – in der Aufregung nach einem Cyber-Angriff vergeht die Zeit schnell. Deshalb lohnt es sich, einen internen Notfallplan vorzubereiten: Wer ist sofort zu informieren? Welche Behörde ist zuständig? Wo ist das Meldeformular? Wer diese Fragen schon beantwortet hat, bevor der Ernstfall eintritt, schützt das Unternehmen und die betroffenen Personen am besten.
💡 Empfehlung: Aktenvernichter Stufe P-4 auf Amazon*
*Als Amazon-Partner verdiene ich an qualifizierten Käufen. Für dich entstehen keine Mehrkosten.