Datenpanne nach DSGVO

Wenn personenbezogene Daten verloren gehen oder offengelegt wurden, zählt Klarheit

Bei einer Datenpanne muss schnell entschieden werden: Was ist passiert? Welche Daten sind betroffen? Besteht ein Risiko für Personen? Muss die Aufsichtsbehörde informiert werden? Müssen Betroffene benachrichtigt werden?

Frist
Meldung möglichst innerhalb von 72 Stunden ab Kenntnis
Prüfung
Risiko für Betroffene, Ursache, Datenarten und Maßnahmen
Ergebnis
Melden, nicht melden, Betroffene informieren und dokumentieren

Worum es geht

Nicht jeder Vorfall ist meldepflichtig. Aber jeder Vorfall muss geprüft werden.

Eine Datenpanne kann vieles sein: eine falsch versendete E-Mail, ein verlorener Laptop, ein offener Cloud-Ordner, ein gehacktes Konto, Ransomware, ein falsch berechtigter Zugriff oder versehentlich gelöschte Daten.

Wichtig ist, nicht in Panik zu geraten und trotzdem schnell zu handeln. Unternehmen müssen den Vorfall sichern, bewerten, dokumentieren und entscheiden, ob eine Meldung oder Betroffeneninformation erforderlich ist.

Erste Schritte

Was bei einer Datenpanne sofort geklärt werden sollte.

01

Vorfall sichern

Zugänge sperren, Daten sichern, weitere Offenlegung stoppen und IT oder Dienstleister einbinden.

02

Fakten sammeln

Wann wurde der Vorfall entdeckt? Welche Daten, Systeme, Personen und Dienstleister sind betroffen?

03

Risiko bewerten

Drohen Identitätsdiebstahl, Betrug, Rufschäden, finanzielle Nachteile, Diskriminierung oder besondere persönliche Belastungen?

04

Fristen prüfen

Die 72-Stunden-Frist läuft ab Kenntnis. Wenn Informationen fehlen, kann eine Meldung schrittweise ergänzt werden.

Meldung

Die Meldung an die Aufsichtsbehörde braucht eine klare Begründung.

Nach Art. 33 DSGVO muss die Aufsichtsbehörde informiert werden, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ist ein Risiko unwahrscheinlich, kann eine Meldung entbehrlich sein. Die Prüfung sollte aber dokumentiert werden.

Art des Vorfalls

Verlust, Offenlegung, unbefugter Zugriff, Veränderung, Löschung oder fehlende Verfügbarkeit.

Betroffene Daten

Kontaktdaten, Zugangsdaten, Gesundheitsdaten, Beschäftigtendaten, Kundendaten oder Finanzdaten.

Folgen

Welche Nachteile können für die betroffenen Personen entstehen?

Maßnahmen

Was wurde getan, um den Vorfall zu stoppen und Schäden zu mindern?

Betroffene

Betroffene müssen nur bei hohem Risiko informiert werden.

Nach Art. 34 DSGVO ist eine Information der betroffenen Personen erforderlich, wenn voraussichtlich ein hohes Risiko besteht. Diese Information muss verständlich sein. Sie sollte nicht unnötig beunruhigen, aber klar sagen, was passiert ist und was Betroffene tun können.

Klare Sprache

Keine technischen Floskeln. Betroffene müssen den Vorfall verstehen können.

Konkrete Hinweise

Zum Beispiel Passwörter ändern, Kontobewegungen prüfen oder auf verdächtige Nachrichten achten.

Kontaktstelle

Es sollte klar sein, wo Betroffene Rückfragen stellen können.

Abstimmung

Je nach Fall kann eine Abstimmung mit IT, Geschäftsleitung, Kommunikation oder Behörde sinnvoll sein.

Dokumentation

Auch wenn nicht gemeldet wird, muss die Entscheidung nachvollziehbar sein.

Art. 33 DSGVO verlangt, dass Datenschutzverletzungen dokumentiert werden. Dazu gehören die Fakten, die Folgen und die ergriffenen Maßnahmen. Diese Dokumentation hilft auch dann, wenn später Fragen von Kunden, Beschäftigten, Dienstleistern oder der Aufsichtsbehörde kommen.

Nach dem akuten Vorfall sollte geprüft werden, warum es passiert ist und welche Maßnahmen künftig helfen: Zugriffsrechte, Schulung, AVV, technische Sicherheit, Löschregeln oder ein besserer Notfallprozess.

Datenschutz-Check ansehen

Externer Datenschutzbeauftragter

Angebot

Unterstützung bei Datenpannen und Datenschutzvorfällen.

Akute Einordnung

kurzfristig

Für Unternehmen, die schnell wissen müssen, ob eine Meldung oder Betroffeneninformation nötig ist.

  • Faktenaufnahme
  • Risikobewertung
  • Fristenprüfung
  • Handlungsempfehlung

Meldung und Dokumentation

nach Aufwand

Für Unternehmen, die eine Datenpanne sauber bearbeiten und nachvollziehbar festhalten möchten.

  • Entwurf der Meldung
  • Dokumentation der Entscheidung
  • Betroffeneninformation
  • Abstimmung der nächsten Schritte

Nachbereitung

als Check

Für Unternehmen, die nach dem Vorfall Ursachen und Schutzmaßnahmen verbessern möchten.

  • Ursachen prüfen
  • Prozess verbessern
  • Vorlagen erstellen
  • Schulung und Zuständigkeiten

FAQ

Häufige Fragen zur Datenpanne nach DSGVO

Wann muss eine Datenpanne gemeldet werden?

Eine Meldung an die Aufsichtsbehörde ist erforderlich, wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Gilt immer eine 72-Stunden-Frist?

Die DSGVO verlangt eine Meldung ohne unangemessene Verzögerung und möglichst innerhalb von 72 Stunden, nachdem das Unternehmen Kenntnis von der Datenpanne hat. Wenn später gemeldet wird, müssen die Gründe angegeben werden.

Müssen Betroffene immer informiert werden?

Nein. Betroffene müssen informiert werden, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt.

Was passiert, wenn noch nicht alle Informationen vorliegen?

Dann kann eine Meldung schrittweise ergänzt werden. Wichtig ist, die bekannten Fakten, offenen Punkte und nächsten Schritte sauber festzuhalten.

Was muss dokumentiert werden?

Dokumentiert werden sollten der Sachverhalt, die betroffenen Daten, die möglichen Folgen, die Bewertung, die getroffenen Maßnahmen und die Entscheidung über Meldung oder Nichtmeldung.

Nächster Schritt

Sie haben einen möglichen Datenschutzvorfall?

Schicken Sie eine kurze Nachricht mit Zeitpunkt, Art des Vorfalls, betroffenen Daten, betroffenen Personen und den bereits getroffenen Maßnahmen. Bei akuten Fällen sollte die Prüfung schnell beginnen.