Datenpanne: Meldepflichten und Fristen

Es ist Freitagabend, 18 Uhr. Dein Kollege meldet: Ein Laptop mit unverschlüsselten Kundendaten wurde im Zug vergessen. Was jetzt? In den nächsten 72 Stunden entscheidet sich, ob dein Unternehmen eine Datenpanne korrekt gehandhabt hat – oder ob ein Bußgeld droht. Datenpannen passieren. Die DSGVO bestraft nicht das Auftreten einer Panne, sondern den falschen Umgang damit: zu späte Meldung, zu wenig Information, kein Prozess.

1) Was ist eine Datenpanne?

Art. 4 Nr. 12 DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten" (Datenpanne) als eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt – oder zum unbefugten Zugang dazu. Das umfasst mehr als den klassischen Hackerangriff: Ein verloren gegangenes USB-Laufwerk, eine versehentlich an den falschen Empfänger gesendete E-Mail, ein Feuer im Serverraum oder ein technischer Defekt mit Datenverlust sind alles Datenpannen.

2) Der Meldeprozess: Was, wann, an wen?

Meldeprozess bei einer Datenpanne

Erkennung der Datenpanne

Mitarbeitende erkennen oder vermuten eine Datenpanne und melden sie sofort intern – an den Datenschutzbeauftragten (falls vorhanden) oder die Geschäftsleitung. Jede Stunde zählt.

⏱ Sofort: interne Meldung

Risikoeinschätzung

Besteht ein Risiko für die Rechte und Freiheiten natürlicher Personen? Wie viele Personen betroffen? Welche Datenkategorie? Wie wahrscheinlich ist ein Schaden? Diese Einschätzung bestimmt die weiteren Schritte.

Meldung an die Aufsichtsbehörde (Art. 33)

Bei Risiko für Betroffene: Meldung an die zuständige Datenschutz-Aufsichtsbehörde. In Deutschland je nach Bundesland (z.B. BfDI für Bundesbehörden, LfDI für Unternehmen). Online-Meldeformulare verfügbar. Selbst wenn nicht alle Informationen vorliegen – erst melden, dann nachliefern.

⏱ 72 Stunden nach Kenntnisnahme

Benachrichtigung der Betroffenen (Art. 34)

Bei hohem Risiko: Betroffene Personen müssen direkt und unverzüglich informiert werden – klar, verständlich, ohne Fachjargon. Was ist passiert? Welche Daten? Was tun wir? Was sollten die Betroffenen tun (Passwort ändern, Karte sperren)?

⏱ Unverzüglich bei hohem Risiko

Dokumentation & Nachbereitung

Alle Datenpannen müssen intern dokumentiert werden – auch die, bei denen keine Meldepflicht bestand. Ursache, Auswirkung, getroffene Maßnahmen, Entscheidung zur Meldung oder Nicht-Meldung: alles schriftlich festhalten. Das ist die Rechenschaftspflicht in der Praxis.

Die 72-Stunden-Frist beginnt nicht mit dem Zeitpunkt des Vorfalls, sondern mit der Kenntnisnahme. Wenn ein Auftragsverarbeiter eine Panne feststellt, muss er den Verantwortlichen unverzüglich informieren – dann beginnt die Frist für den Verantwortlichen.

3) Wann muss gemeldet werden – die Risikoschwellen

Kein Risiko

Datenpanne, die voraussichtlich kein Risiko für Betroffene darstellt. Daten waren verschlüsselt, nur intern betroffen, Auswirkung minimal.

→ Nur intern dokumentieren

Risiko

Panne könnte Rechte und Freiheiten von Personen gefährden. Datenmenge, Sensitivität oder Umstände sprechen für potenzielle Schäden.

→ Aufsichtsbehörde in 72 h

Hohes Risiko

Hohe Wahrscheinlichkeit eines erheblichen Schadens. Besonders sensible Daten (Gesundheit, Finanzen), viele Betroffene, gezielte Datenexfiltration.

→ Behörde + Betroffene informieren

Zusammenfassung

Eine Datenpanne ist jede Verletzung der Datensicherheit – Verlust, Vernichtung, unbefugter Zugang oder Offenlegung. Der Meldeprozess: intern melden → Risiko einschätzen → bei Risiko innerhalb von 72 Stunden an die Aufsichtsbehörde melden → bei hohem Risiko Betroffene unverzüglich informieren → immer intern dokumentieren. Wichtige Regel: Lieber zu früh melden und nachliefern als zu spät melden und Bußgeld riskieren. Mehr zu Bußgeldern und Aufsichtsbehörden in Bußgelder, Aufsichtsbehörden und Praxisfälle.

Datenpanne: Meldepflichten und Fristen

1) Was ist eine Datenpanne?

2) Der Meldeprozess: Was, wann, an wen?

3) Wann muss gemeldet werden – die Risikoschwellen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title