Wann liegt überhaupt eine meldepflichtige Datenpanne vor?
Art. 33 DSGVO definiert Datenpanne als „Verletzung des Schutzes personenbezogener Daten“. Das umfasst:
- Unrechtmäßige Offenlegung (E-Mail an falschen Verteiler)
- Verlust (gestohlenes Laptop, verlegte Aktentasche)
- Vernichtung (Festplatte defekt, kein Backup)
- Unbefugter Zugriff (Phishing erfolgreich, Account kompromittiert)
- Veränderung (Hacker manipuliert Datensätze)
Meldepflicht entsteht nur, wenn ein Risiko für die Rechte und Freiheiten Betroffener besteht. Eine harmlose Mail an den Kollegen statt an den Vorgesetzten ist meist nicht meldepflichtig. Eine Bewerberliste an einen externen Verteiler schon.
Die 72-Stunden-Anleitung
Stunde 0 bis 2: Vorfall isolieren
Sofort handeln, um Schaden zu begrenzen:
- Bei gehacktem Account: Passwort ändern, MFA aktivieren, Session-Tokens widerrufen.
- Bei falscher E-Mail: Empfänger anrufen, um Löschung bitten (höflich!).
- Bei gestohlenem Laptop: Remote-Wipe auslösen, falls möglich.
- Bei Phishing: alle exponierten Konten sperren, IT informieren.
- Bei Datenleck auf Server: betroffenes System vom Netz nehmen.
Stunde 2 bis 12: Risikobewertung
Zentrale Frage: Besteht ein Risiko für Betroffene? Die Aufsichtsbehörden geben drei Risiko-Stufen vor:
- Kein Risiko — versehentliche interne E-Mail mit harmloser Information. Keine Meldepflicht, aber Dokumentation.
- Risiko — Bewerberliste extern verschickt, Newsletter mit Empfänger im Sichtbar-Feld statt BCC. Meldepflicht ja, Information Betroffener typischerweise nicht.
- Hohes Risiko — Kontodaten, Gesundheitsdaten, Passwörter kompromittiert. Meldepflicht und Information aller Betroffenen erforderlich.
Stunde 12 bis 24: Dokumentation aufbauen
Vier Pflicht-Felder für die Meldung:
- Was ist passiert? (Sachverhalt in zwei bis drei Sätzen)
- Welche Daten sind betroffen? (Art und ungefähre Anzahl)
- Wer ist betroffen? (Mitarbeiter, Kunden, Bewerber — ungefähre Personenzahl)
- Welche Schutzmaßnahmen wurden ergriffen? (Was wurde getan, um Schaden zu begrenzen)
Diese Dokumentation müssen Sie auch dann anfertigen, wenn keine Meldung an die Behörde geht — die interne Dokumentation ist Pflicht nach Art. 33 Abs. 5.
Lieber eine unvollständige Meldung in der Frist als eine perfekte Meldung zu spät.
Stunde 24 bis 48: Meldung an die Aufsichtsbehörde
Jede Landesdatenschutzbehörde hat ein Online-Formular. Beispiel: die Landesbeauftragte für Datenschutz NRW bietet ein Webformular plus PDF-Variante. Pflichtinhalte:
- Beschreibung der Datenpanne
- Kategorien und Anzahl Betroffene
- Kategorien und Anzahl betroffene Datensätze
- Name und Kontakt des Datenschutzbeauftragten
- Wahrscheinliche Folgen
- Maßnahmen zur Schadensminderung
Die DSGVO erlaubt explizit, Informationen nachzureichen, wenn die Aufklärung Zeit braucht (Art. 33 Abs. 4).
Stunde 48 bis 72: Information Betroffener — wenn nötig
Bei hohem Risiko müssen Sie die Betroffenen selbst informieren (Art. 34 DSGVO). Form: schriftlich, in klarer Sprache, ohne juristischen Salat. Inhalt:
- Beschreibung der Datenpanne in einfachen Worten
- Wahrscheinliche Folgen
- Ihre Schutzmaßnahmen
- Empfehlungen, was der Betroffene selbst tun kann (z. B. Passwort ändern)
- Kontakt zum DSB
Ausnahme: Wenn die Information Betroffener unmöglich oder mit unverhältnismäßigem Aufwand verbunden wäre, reicht eine öffentliche Bekanntmachung.
- Keine voreilige Meldung ohne Tatsachenklärung — Falschangaben landen dauerhaft in der Behördenakte.
- Keine eigenmächtige Forensik in IT-Systemen — bei Hacker-Angriffen zerstören Sie sonst Beweise.
- Kein laienhaftes Anwaltsschreiben — Geschäftsführer bauen oft ungewollt Schuldeingeständnisse ein.
- Kein öffentliches Statement ohne PR-Beratung — eine schlechte Pressemitteilung schadet mehr als die Panne selbst.
Vier typische Datenpannen — und wie sie ausgehen
Diese vier Szenarien aus dem Alltag externer Datenschutzbeauftragter zeigen, wie unterschiedlich eine Datenpanne ausgeht — je nachdem, wie schnell und sauber reagiert wird.
Phishing-Vorfall im Maschinenbau-Mittelstand
Ein Buchhalter klickt auf eine gefälschte Microsoft-Login-Mail. Der Angreifer hat 48 Stunden Zugriff auf das Postfach — Lieferantenstammdaten, Rechnungs-PDFs, einige Personalinformationen sind kompromittiert. Gemeldet nach 36 Stunden mit klarer Dokumentation, alle 12 betroffenen Mitarbeiter informiert. Typisches Ergebnis bei sauberer Reaktion: schriftliche Verwarnung, kein Bußgeld.
Falscher Mail-Verteiler in der Steuerkanzlei
Eine Steuerfachangestellte schickt eine Bewerberliste an einen externen Verteiler statt an die Geschäftsführung — 23 Bewerberdaten extern. Empfänger angerufen, Löschung schriftlich bestätigt, gemeldet nach 30 Stunden, Bewerber individuell informiert. Ergebnis: Verwarnung.
Laptop-Diebstahl im Außendienst
Einem Vertriebsleiter wird im Hotel das Notebook gestohlen — Festplatte unverschlüsselt, ein CRM-Auszug mit 800 Kundendatensätzen darauf, Remote-Wipe nicht möglich. Gemeldet nach 48 Stunden, alle 800 Kunden per E-Mail informiert. Hier droht ein Bußgeld (Größenordnung mehrere Tausend Euro), weil die fehlende Festplattenverschlüsselung eine fahrlässige Pflichtverletzung ist. Lehre: alle Außendienst-Laptops konsequent verschlüsseln (BitLocker/FileVault).
Datenbank-Hack beim Online-Shop
Eine E-Commerce-Boutique mit 12.000 Kundenkonten wird über eine SQL-Injection angegriffen, E-Mails plus Hash-Passwörter sind kompromittiert. Gemeldet nach 18 Stunden, alle Kunden mit Aufforderung zur Passwortänderung informiert. Bußgeld-Risiko steigt deutlich, wenn — wie hier — eine veraltete Shop-Software trotz bekannter Sicherheitslücke im Einsatz war. Vermeidbar durch konsequentes Patch-Management.
Häufige Fragen
Malte Martens ist Ihr persönlicher externer Datenschutzbeauftragter bei dataschild. Er betreut Unternehmen, Praxen und Vereine bundesweit — pragmatisch, im transparenten Festpreis, mit direkter Durchwahl statt Hotline.
Mehr über dataschild →