Die DSGVO-Meldepflicht bei Datenpannen ist eine der folgenreichsten operativen Anforderungen der Datenschutz-Grundverordnung. Tritt eine Verletzung des Schutzes personenbezogener Daten auf, muss in vielen Fällen innerhalb von 72 Stunden eine Meldung bei der zuständigen Aufsichtsbehörde erfolgen, in schwerwiegenden Fällen auch eine Benachrichtigung der betroffenen Personen. Diese Fristen sind kurz, die rechtlichen Folgen bei Versäumnis erheblich. In der Unternehmenspraxis zeigt sich, dass viele Mittelständler nicht ausreichend vorbereitet sind: Verantwortlichkeiten sind unklar, Erkennungs- und Eskalationswege fehlen, und die Dokumentation genügt im Ernstfall nicht den Anforderungen der Aufsichtsbehörden. Dieser Beitrag erklärt die gesetzlichen Anforderungen, beschreibt den Aufbau eines praxistauglichen Reaktionsplans und zeigt, welche Fehler häufig gemacht werden.
Hinweis der Redaktion: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechts- oder Datenschutzberatung dar. Für die Beurteilung konkreter Datenpannen empfiehlt sich die Hinzuziehung des betrieblichen Datenschutzbeauftragten sowie eines spezialisierten Rechtsberaters.
Was ist eine Datenpanne im Sinne der DSGVO?
Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
Das Spektrum ist weit. Zur Datenpanne zählen unter anderem:
- Ransomware-Angriff mit Verschlüsselung personenbezogener Daten
- Versand einer E-Mail mit Kundendaten an falsche Empfänger
- Verlust eines unverschlüsselten Laptops oder USB-Sticks mit personenbezogenen Daten
- Unberechtigter Datenbankzugriff durch einen ehemaligen Mitarbeiter
- Versehentliches Veröffentlichen von Kundendaten auf einer Website
- Diebstahl von Unterlagen mit personenbezogenen Daten
- Fehlkonfiguration eines Cloud-Speicherdienstes mit öffentlichem Zugriff auf Kundendaten
Entscheidend ist: Die Verletzung muss nicht tatsächlich zu einem Schaden geführt haben. Schon das unbefugte Offenlegen, also die bloße Möglichkeit des Zugangs, löst die Prüfungspflicht aus.
Meldepflicht nach Art. 33 DSGVO: Anforderungen an die Behördenmeldung
Erkennt ein Verantwortlicher eine Datenpanne, muss er nach Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die zuständige Datenschutz-Aufsichtsbehörde erstatten, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Die 72-Stunden-Frist beginnt in dem Moment, in dem der Verantwortliche von der Datenpanne Kenntnis erlangt. „Kenntnis“ bedeutet dabei nicht, dass alle Details bekannt sein müssen. Schon das Bewusstsein, dass ein Sicherheitsvorfall stattgefunden hat und personenbezogene Daten betroffen sein könnten, reicht aus. Eine Meldung unter Vorbehalt und mit Nachmeldeankündigung ist ausdrücklich zulässig (Art. 33 Abs. 4 DSGVO).
Inhalt der Meldung
Die Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens enthalten:
- Beschreibung der Art der Datenpanne (Kategorie und ungefähre Anzahl der betroffenen Datensätze und Personen)
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen der Datenpanne
- Beschreibung der zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen
Alle deutschen Landesdatenschutzbehörden bieten Online-Meldeformulare an, die diese Anforderungen strukturieren. Eine Meldung per E-Mail oder telefonisch ist ebenfalls möglich, aber die Dokumentation der Meldung muss in jedem Fall intern festgehalten werden.
Wann besteht keine Meldepflicht?
Die Meldepflicht entfällt, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Ausnahme ist eng auszulegen. Beispiele für typischerweise nicht meldepflichtige Vorfälle: Verlust eines Diensthandys ohne personenbezogene Daten, versehentlich gelöschte interne Betriebsdaten ohne Personenbezug. In Zweifelsfällen empfiehlt die Praxis die Meldung, da eine pflichtwidrig unterlassene Meldung schwerwiegendere Konsequenzen hat als eine nicht erforderliche.
Benachrichtigungspflicht nach Art. 34 DSGVO: Wann müssen Betroffene informiert werden?
Art. 34 DSGVO verpflichtet den Verantwortlichen, die betroffenen Personen unverzüglich zu benachrichtigen, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Dies ist ein strengerer Maßstab als bei der Behördenmeldung (dort genügt „Risiko“).
Ein hohes Risiko ist regelmäßig anzunehmen bei:
- Offenlegung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten nach Art. 9 DSGVO)
- Diebstahl von Bankverbindungs- oder Zahlungsdaten
- Kompromittierung von Zugangsdaten in Verbindung mit anderen Identifikatoren
- Datenmengen, die Identitätsdiebstahl ermöglichen
Die Benachrichtigung muss in klarer, einfacher Sprache erfolgen und die Art der Verletzung, Kontaktdaten des Datenschutzbeauftragten, wahrscheinliche Folgen und ergriffene Gegenmaßnahmen beschreiben.
Das Verzeichnis der Datenpannen: Interne Dokumentationspflicht
Unabhängig von einer externen Meldepflicht schreibt Art. 33 Abs. 5 DSGVO vor, dass Verantwortliche alle Datenpannen intern dokumentieren. Diese Dokumentation muss Angaben zur Art der Verletzung, den Auswirkungen, den ergriffenen Abhilfemaßnahmen sowie der Begründung enthalten, warum gegebenenfalls keine Meldung erstattet wurde.
In der Praxis wird dieses „Verzeichnis der Datenpannen“ häufig vernachlässigt. Aufsichtsbehörden fordern es bei Prüfungen regelmäßig an. Fehlt es, ist das selbst bereits ein Datenschutzverstoß und kann Bußgelder auslösen, auch wenn der ursprüngliche Vorfall kein erhebliches Risiko dargestellt hätte.
| Vorfall | Meldung an Behörde (Art. 33) | Benachrichtigung Betroffene (Art. 34) | Interne Dokumentation (Art. 33 Abs. 5) |
|---|---|---|---|
| Verlust eines unverschlüsselten Laptops mit Kundendaten | Ja (hohes Risiko wahrscheinlich) | Ggf. ja, bei großen Datenmengen oder sensiblen Daten | Immer |
| E-Mail mit Kundenliste an falschen Empfänger | Oft ja (abhängig von Datenmenge und Sensibilität) | Bei hohem Risiko | Immer |
| Ransomware-Angriff mit Datenverschlüsselung | Ja | Oft ja | Immer |
| Internes Backup ohne Personenbezug gelöscht | Nein | Nein | Ja (als „kein Risiko“ begründet) |
Reaktionsplan: So bereitet man sich auf den Ernstfall vor
Die 72-Stunden-Frist ist in der Praxis sehr kurz. Ohne vorbereiteten Reaktionsplan geht wertvolle Zeit für Zuständigkeitsklärungen und Informationsbeschaffung verloren. Ein guter Incident-Response-Plan für Datenpannen enthält:
Erkennungs- und Meldekanäle
Jeder Mitarbeiter muss wissen, wohin er eine potenzielle Datenpanne meldet. Ein dedizierter Meldeweg (E-Mail-Adresse, Ticket-System, Ansprechperson) senkt die Hemmschwelle und stellt sicher, dass Vorfälle nicht versehentlich verschwiegen werden. IT, Fachabteilungen und Kundenservice müssen sensibilisiert sein, weil Datenpannen aus unterschiedlichen Quellen gemeldet werden können.
Bewertungsmatrix
Eine einfache Matrix hilft, schnell zu entscheiden, ob ein Vorfall meldepflichtig ist. Parameter: Welche Datenkategorien sind betroffen? Wie viele Personen sind betroffen? Welche Vertraulichkeit, Integrität oder Verfügbarkeit wurde verletzt? Ist die unbefugte Kenntnisnahme durch Dritte wahrscheinlich?
Eskalationspfad und Entscheidungsbefugnisse
Wer entscheidet, ob eine Meldung erstattet wird? Typisch ist ein Drei-Parteien-Prozess: Ersterkennung durch IT oder Fachbereich, Bewertung durch Datenschutzbeauftragten, Freigabe der Meldung durch Geschäftsführung. Dieser Pfad muss dokumentiert und bekannt sein.
Meldevorlagen
Vorbereitete Meldevorlagen für die Behördenmeldung und die Betroffenenbenachrichtigung sparen im Ernstfall erheblich Zeit. Die Formulare der Aufsichtsbehörden können als Vorlage genutzt werden.
Forensische Sicherung
Bevor Systeme bereinigt oder zurückgesetzt werden, müssen relevante Logs und forensische Spuren gesichert werden. Dieser Schritt ist sowohl für die interne Aufarbeitung als auch für behördliche Nachfragen wichtig.
„Die 72 Stunden sind nicht zum Ermitteln da, sondern zum Melden. Eine vorläufige Meldung mit Nachmeldeankündigung ist besser als eine verzögerte vollständige Meldung.“ (Praxisleitfaden des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit)
Typische Fehler und ihre Konsequenzen
Fehler 1: Warten auf vollständige Informationen. Viele Unternehmen melden erst, wenn der Vorfall vollständig aufgeklärt ist. Das ist falsch. Die Meldung nach Art. 33 DSGVO muss unverzüglich erfolgen, sobald die Datenpanne bekannt ist, nicht erst wenn alle Details feststehen. Art. 33 Abs. 4 ermöglicht gestaffelte Meldungen.
Fehler 2: Interne Eskalation ohne externe Meldung. Vorfälle werden intern behandelt, ohne die Aufsichtsbehörde zu informieren, weil man den Vorfall „im Griff hat“. Die Meldepflicht besteht unabhängig davon, ob das Unternehmen den Schaden begrenzen konnte.
Fehler 3: Keine interne Dokumentation für als „nicht meldepflichtig“ eingestufte Vorfälle. Auch Vorfälle, bei denen das Unternehmen die Meldepflicht verneint, müssen intern dokumentiert werden, inklusive der Begründung.
Fehler 4: Fehlende Einbindung des Datenschutzbeauftragten. Unternehmen, die einen Datenschutzbeauftragten bestellen müssen (nach Art. 37 DSGVO), sind verpflichtet, diesen in die Vorfallsbehandlung einzubeziehen. Eine Umgehung des DSB kann als eigenständiger Verstoß gewertet werden.
Fehler 5: Kommunikation über ungesicherte Kanäle. Interne Kommunikation zu einer Datenpanne sollte nicht über möglicherweise kompromittierte Systeme erfolgen. Ein alternativer Kommunikationskanal (gesondertes E-Mail-Konto, Messenger) sollte für Datenpannen vorgesehen sein.
Haftungsrisiken für Geschäftsführer und Vorstände
Datenpannen können erhebliche Haftungsrisiken für Geschäftsführer und Vorstände auslösen. Drei Dimensionen sind relevant:
Bußgelder nach Art. 83 DSGVO: Verstöße gegen die Meldepflicht nach Art. 33 oder 34 DSGVO können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. In der Aufsichtspraxis werden für mittelständische Unternehmen bei fahrlässigen Verstößen häufig fünfstellige Beträge verhängt.
Zivilrechtliche Haftung: Betroffene Personen können nach Art. 82 DSGVO Schadensersatz fordern. Gerichte haben in verschiedenen Urteilen auch immateriellen Schaden zugesprochen. Das Haftungsrisiko steigt mit der Anzahl betroffener Personen und der Sensibilität der Daten.
Organinnenhaftung: Geschäftsführer können von der Gesellschaft in Regress genommen werden, wenn der Datenschutzverstoß auf eine schuldhafte Verletzung ihrer Organisations- und Überwachungspflichten zurückzuführen ist. Ein dokumentiertes Datenschutz-Management-System und ein etablierter Reaktionsplan können das Haftungsrisiko signifikant reduzieren.
FAQ
Was passiert, wenn wir eine Datenpanne nicht innerhalb von 72 Stunden melden?
Eine verspätete Meldung ist besser als gar keine. Aufsichtsbehörden berücksichtigen bei der Bußgeldbemessung, ob ein Unternehmen nach Bekanntwerden des Versäumnisses unverzüglich nachgemeldet hat und kooperativ war. Die verspätete Meldung selbst kann als eigenständiger Verstoß geahndet werden, aber aktive Kooperation mildert die Konsequenzen.
Gilt die Meldepflicht auch für Auftragsverarbeiter?
Auftragsverarbeiter (z.B. externe IT-Dienstleister) müssen nach Art. 33 Abs. 2 DSGVO unverzüglich den Verantwortlichen informieren, sobald sie von einer Datenpanne Kenntnis erlangen. Die externe Meldepflicht gegenüber der Aufsichtsbehörde trifft den Verantwortlichen, nicht den Auftragsverarbeiter.
Müssen wir bei jeder Datenpanne alle Betroffenen benachrichtigen?
Nein. Die Benachrichtigungspflicht nach Art. 34 DSGVO greift nur bei voraussichtlich hohem Risiko für die betroffenen Personen. Bei Behördenmeldungen nach Art. 33 reicht ein einfaches Risiko. Eine Benachrichtigungspflicht entfällt zudem, wenn die betroffenen Daten wirksam verschlüsselt waren und der Schlüssel nicht kompromittiert wurde.
Welche Aufsichtsbehörde ist zuständig?
Bei rein nationalen Vorgängen ist die Datenschutzbehörde des Bundeslandes zuständig, in dem das Unternehmen seinen Sitz hat. Bei grenzüberschreitenden Vorgängen innerhalb der EU gilt das One-Stop-Shop-Prinzip: Zuständig ist die Behörde des Landes der Hauptniederlassung des Verantwortlichen.
Wie lange muss die interne Dokumentation von Datenpannen aufbewahrt werden?
Die DSGVO selbst schreibt keine konkrete Aufbewahrungsfrist vor. In der Praxis orientieren sich Unternehmen an der allgemeinen handelsrechtlichen Aufbewahrungsfrist von 10 Jahren, da Datenpannen auch im Rahmen späterer Haftungsstreitigkeiten relevant werden können. Mindestens 3 Jahre werden empfohlen.
Was ist der Unterschied zwischen einer Datenpanne und einem Datenschutzverstoß?
Eine Datenpanne im engeren Sinn (Art. 4 Nr. 12 DSGVO) ist eine Verletzung der Sicherheit personenbezogener Daten. Ein Datenschutzverstoß ist der Oberbegriff für jede Verletzung der DSGVO-Pflichten, etwa auch unzureichende Einwilligungen oder fehlende Datenschutzhinweise. Datenpannen sind eine Teilmenge der Datenschutzverstöße.
Verwandte Themen
- Haftung der Geschäftsführung und Vorstände
- Unternehmenspflichten und Compliance-Dokumentation
- Arbeitsrecht und Datenschutz am Arbeitsplatz
