Jetzt anfragen
Glossar

Datenpanne

Eine Datenpanne (Datenschutzverletzung) liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, offengelegt oder zugänglich gemacht werden. In vielen Fällen besteht eine 72-Stunden-Meldepflicht.

Was ist eine Datenpanne?

Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten. Gemeint ist jede Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt – ob versehentlich oder vorsätzlich.

Typische Fälle sind eine an den falschen Empfänger versendete E-Mail mit offenem Verteiler, ein verlorener USB-Stick oder Laptop, ein Hackerangriff mit Datenabfluss, ein Verschlüsselungstrojaner oder schlicht eine fehlkonfigurierte Cloud, bei der Dokumente öffentlich erreichbar waren. Auch wenn keine Daten abfließen, sondern nur unzugänglich werden – etwa durch Ransomware – ist das eine meldepflichtige Verletzung der Verfügbarkeit.

Die 72-Stunden-Meldepflicht

Wird der Verantwortliche sich einer Datenpanne bewusst, muss er diese nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde melden. Eine Meldung kann nur unterbleiben, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Meldung muss mindestens folgende Angaben enthalten:

  • eine Beschreibung der Art der Verletzung samt Kategorien und ungefährer Zahl betroffener Personen und Datensätze,
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten,
  • eine Beschreibung der wahrscheinlichen Folgen,
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Risikominderung.

Bei einem hohen Risiko für die Betroffenen kommt nach Art. 34 DSGVO zusätzlich die Pflicht hinzu, die betroffenen Personen selbst zu benachrichtigen. Eine konkrete Schritt-für-Schritt-Anleitung finden Sie im Ratgeber zur Meldung einer Datenpanne.

Dokumentation und Vorbeugung

Jede Datenpanne ist intern zu dokumentieren – und zwar lückenlos, auch wenn sie nicht meldepflichtig war. Diese Dokumentation dient als Nachweis gegenüber der Aufsichtsbehörde und schützt Sie im Ernstfall vor dem Vorwurf, eine Meldepflicht ignoriert zu haben.

Vorbeugen lässt sich mit durchdachten technischen und organisatorischen Maßnahmen: Verschlüsselung mobiler Datenträger, geprüfte E-Mail-Versandprozesse, Backups und ein eingeübter Notfallplan. Ich empfehle, einen festen Ablauf für den Ernstfall vorzubereiten, bevor er eintritt – in der akuten Situation bleibt für 72 Stunden Frist wenig Zeit für Improvisation.

FAQ

Datenpanne – häufige Fragen

Ab wann läuft die 72-Stunden-Frist?

Die Frist beginnt, sobald der Verantwortliche Kenntnis von der Verletzung erlangt, also ein hinreichender Grad an Gewissheit über den Vorfall besteht. Ein bloßer Verdacht reicht noch nicht; sobald die Panne bestätigt ist, sollten Sie aber keine Zeit verlieren.

Muss ich jede Datenpanne melden?

Nein. Eine Meldung an die Aufsichtsbehörde entfällt, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Die Risikoeinschätzung müssen Sie aber begründen und dokumentieren.

Was passiert, wenn ich die Frist verpasse?

Eine verspätete oder unterlassene Meldung kann selbst ein Bußgeld nach sich ziehen. Erfahrungsgemäß bewerten Behörden eine offene, fristgerechte Meldung deutlich milder als verschwiegene oder verschleppte Vorfälle.

Wer meldet die Datenpanne – ich oder mein Dienstleister?

Meldepflichtig ist immer der Verantwortliche. Ein Auftragsverarbeiter muss Sie aber unverzüglich informieren, damit Sie Ihre Frist einhalten können. Diese Pflicht sollte im Auftragsverarbeitungsvertrag klar geregelt sein.

Datenpanne im Griff – bevor sie passiert

In einem kostenlosen Erstgespräch zeige ich Ihnen, wie ein belastbarer Notfallprozess aussieht und worauf es in den ersten 72 Stunden ankommt.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen