Was passiert, wenn ich die 72-Stunden-Frist verpasse?

Die verspätete Meldung muss begründet werden. Die Aufsichtsbehörde wertet das im Bußgeld-Ermessen — Verspätung ohne Grund kann das Bußgeld erheblich erhöhen. Im schlimmsten Fall greift Art. 83 Abs. 4 mit bis zu 10 Mio. €.

Wer haftet bei einer Datenpanne — DSB oder Geschäftsführer?

Das Unternehmen haftet als Verantwortlicher. Der DSB ist Berater und Anlaufstelle, nicht persönlich haftbar. Der externe DSB übernimmt allerdings die operative Reaktion im Krisenfall — was sich rein praktisch lebensrettend auswirkt.

Bekomme ich automatisch Bußgeld bei Meldung?

Nein. Die Meldung an sich löst kein Bußgeld aus. Im Gegenteil: Eine kooperative, vollständige Meldung mit dokumentierten Schutzmaßnahmen wird in der Bußgeld-Bemessung positiv gewertet und führt oft nur zu Verwarnung statt Bußgeld.

Ratgeber · 8 Min Lesezeit · Notfall

Datenpanne — die 72-Stunden-Anleitung.

Eine E-Mail an den falschen Verteiler, ein verlorenes Laptop, ein Phishing-Vorfall — und schon läuft die 72-Stunden-Uhr für die Meldung an die Aufsichtsbehörde. Wer die ersten drei Tage richtig nutzt, kommt mit Verwarnung statt Bußgeld davon. Hier die konkrete Anleitung in sechs Schritten.

Wann liegt überhaupt eine meldepflichtige Datenpanne vor?

Art. 33 DSGVO definiert Datenpanne als „Verletzung des Schutzes personenbezogener Daten“. Das umfasst:

Unrechtmäßige Offenlegung (E-Mail an falschen Verteiler)
Verlust (gestohlenes Laptop, verlegte Aktentasche)
Vernichtung (Festplatte defekt, kein Backup)
Unbefugter Zugriff (Phishing erfolgreich, Account kompromittiert)
Veränderung (Hacker manipuliert Datensätze)

Meldepflicht entsteht nur, wenn ein Risiko für die Rechte und Freiheiten Betroffener besteht. Eine harmlose Mail an den Kollegen statt an den Vorgesetzten ist meist nicht meldepflichtig. Eine Bewerberliste an einen externen Verteiler schon.

Die 72-Stunden-Anleitung

Stunde 0 bis 2: Vorfall isolieren

Sofort handeln, um Schaden zu begrenzen:

Bei gehacktem Account: Passwort ändern, MFA aktivieren, Session-Tokens widerrufen.
Bei falscher E-Mail: Empfänger anrufen, um Löschung bitten (höflich!).
Bei gestohlenem Laptop: Remote-Wipe auslösen, falls möglich.
Bei Phishing: alle exponierten Konten sperren, IT informieren.
Bei Datenleck auf Server: betroffenes System vom Netz nehmen.

Stunde 2 bis 12: Risikobewertung

Zentrale Frage: Besteht ein Risiko für Betroffene? Die Aufsichtsbehörden geben drei Risiko-Stufen vor:

Kein Risiko — versehentliche interne E-Mail mit harmloser Information. Keine Meldepflicht, aber Dokumentation.
Risiko — Bewerberliste extern verschickt, Newsletter mit Empfänger im Sichtbar-Feld statt BCC. Meldepflicht ja, Information Betroffener typischerweise nicht.
Hohes Risiko — Kontodaten, Gesundheitsdaten, Passwörter kompromittiert. Meldepflicht und Information aller Betroffenen erforderlich.

Stunde 12 bis 24: Dokumentation aufbauen

Vier Pflicht-Felder für die Meldung:

Was ist passiert? (Sachverhalt in zwei bis drei Sätzen)
Welche Daten sind betroffen? (Art und ungefähre Anzahl)
Wer ist betroffen? (Mitarbeiter, Kunden, Bewerber — ungefähre Personenzahl)
Welche Schutzmaßnahmen wurden ergriffen? (Was wurde getan, um Schaden zu begrenzen)

Diese Dokumentation müssen Sie auch dann anfertigen, wenn keine Meldung an die Behörde geht — die interne Dokumentation ist Pflicht nach Art. 33 Abs. 5.

Stunde 24 bis 48: Meldung an die Aufsichtsbehörde

Jede Landesdatenschutzbehörde hat ein Online-Formular. Beispiel: die Landesbeauftragte für Datenschutz NRW bietet ein Webformular plus PDF-Variante. Pflichtinhalte:

Beschreibung der Datenpanne
Kategorien und Anzahl Betroffene
Kategorien und Anzahl betroffene Datensätze
Name und Kontakt des Datenschutzbeauftragten
Wahrscheinliche Folgen
Maßnahmen zur Schadensminderung

Wichtig: Lieber unvollständige Meldung in der Frist als perfekte Meldung verspätet. Die DSGVO erlaubt explizit, Informationen nachzureichen, wenn die Aufklärung Zeit braucht (Art. 33 Abs. 4).

Stunde 48 bis 72: Information Betroffener — wenn nötig

Bei hohem Risiko müssen Sie die Betroffenen selbst informieren (Art. 34 DSGVO). Form: schriftlich, in klarer Sprache, ohne juristischen Salat. Inhalt:

Beschreibung der Datenpanne in einfachen Worten
Wahrscheinliche Folgen
Ihre Schutzmaßnahmen
Empfehlungen, was der Betroffene selbst tun kann (z. B. Passwort ändern)
Kontakt zum DSB

Ausnahme: Wenn die Information Betroffener unmöglich oder mit unverhältnismäßigem Aufwand verbunden wäre, reicht eine öffentliche Bekanntmachung.

Meldeformulare der Aufsichtsbehörden

Jedes Bundesland hat eine eigene Aufsichtsbehörde, jede mit eigenem Formular. Zuständig ist die Behörde am Hauptsitz des Unternehmens — bei mehreren Standorten die der Hauptverwaltung. Wir kennen die Formate aller 16 Behörden und übernehmen die Meldung im laufenden Abo.

Was Sie auf keinen Fall tun sollten

Keine voreilige Meldung ohne Tatsachenklärung. Wer in der ersten Stunde meldet, ohne den Sachverhalt zu kennen, schreibt oft Falsches — und das steht später in der Behördenakte.
Keine eigenmächtige Untersuchung in IT-Systemen. Bei Hacker-Angriffen die forensische Analyse Experten überlassen — sonst zerstören Sie Beweise.
Kein laienhaftes Anwaltsschreiben. Wer als Geschäftsführer selbst ein juristisches Schreiben aufsetzt, baut häufig Schuldeingeständnisse ein, die eigentlich nicht gerechtfertigt wären.
Kein öffentliches Statement ohne PR-Beratung. Bei größeren Pannen wird die Presse darauf aufmerksam. Eine Pressemitteilung ohne professionelle Vorbereitung kann den Ruf nachhaltiger beschädigen als die Panne selbst.

Vier echte Risiko-Beispiele aus unseren Mandaten

Phishing-Vorfall in Maschinenbau-Mittelstand

Buchhalter klickt auf gefälschte Microsoft-Login-Mail. Angreifer hat 48 Stunden Zugriff auf das Postfach. Risiko: Lieferantenstammdaten, Rechnungs-PDFs, einige Personalinformationen kompromittiert. Gemeldet nach 36 Stunden mit klarer Dokumentation, Information aller 12 betroffenen Mitarbeiter — Ergebnis: schriftliche Verwarnung, kein Bußgeld.

Falscher Mail-Verteiler in Steuerkanzlei

Steuerfachangestellte schickt Bewerberliste an einen externen Verteiler statt Geschäftsführung. 23 Bewerberdaten extern. Empfänger angerufen, Löschung bestätigt schriftlich, gemeldet nach 30 Stunden. Bewerber individuell informiert. Ergebnis: Verwarnung.

Laptop-Diebstahl Außendienst

Vertriebsleiter eines IT-Dienstleisters bekommt im Hotel das Notebook gestohlen. Festplatte unverschlüsselt. CRM-Auszug mit 800 Kundendatensätzen drauf. Remote-Wipe nicht möglich. Gemeldet nach 48 Stunden, alle 800 Kunden per E-Mail informiert. Bußgeld 8.000 € — Grund: fehlende Festplattenverschlüsselung war fahrlässige Pflichtverletzung. Lerneffekt: alle Außendienst-Laptops auf BitLocker umgestellt.

Datenbank-Hack bei Online-Shop

E-Commerce-Boutique mit 12.000 Kundenkonten. SQL-Injection ausgenutzt, E-Mails plus Hash-Passwörter kompromittiert. Gemeldet nach 18 Stunden, alle Kunden informiert mit Aufforderung zur Passwortänderung. Bußgeld 35.000 € — Grund: veraltete Shop-Software-Version trotz bekannter Sicherheitslücke. Hätte mit Update vermieden werden können.

Häufige Fragen

Nein. Meldepflicht besteht nur, wenn ein Risiko für die Rechte und Freiheiten Betroffener besteht (Art. 33 DSGVO). Eine versehentlich an den falschen internen Kollegen geschickte E-Mail mit harmloser Information ist oft nicht meldepflichtig. Eine an externe Empfänger versendete Bewerberliste dagegen schon.