Die meisten Datenpannen, mit denen ich zu tun habe, sind keine spektakulären Hackerangriffe. Es ist die E-Mail mit dem offenen Verteiler im An-Feld statt im Bcc. Der verlorene USB-Stick. Der Laptop, der im Zug liegen bleibt. Der falsch adressierte Brief mit Gesundheitsdaten. Genau dann beginnt eine Uhr zu ticken, von der viele Unternehmen nicht einmal wissen, dass es sie gibt: die 72-Stunden-Frist.
In diesem Ratgeber erkläre ich, was die DSGVO überhaupt als Datenpanne versteht, wann Sie an die Aufsichtsbehörde melden müssen, wann Sie zusätzlich die betroffenen Personen informieren müssen und wie der Prozess Schritt für Schritt aussieht. Vor allem will ich Ihnen die Angst vor der Frist nehmen – denn mit einer vorbereiteten Meldekette ist sie gut zu schaffen.
Was überhaupt als Datenpanne zählt
Der Begriff klingt dramatischer, als er gemeint ist. Artikel 4 Nr. 12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
Es geht dabei stets um personenbezogene Daten – also um Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Geht eine rein anonyme oder unternehmensbezogene Information verloren, liegt schon definitionsgemäß keine Datenpanne im Sinne der DSGVO vor.
Daraus ergeben sich drei Grundtypen, an denen sich gut festmachen lässt, ob eine Datenpanne vorliegt:
- Verlust der Vertraulichkeit: Unbefugte erhalten Zugang zu Daten – die Bcc-Panne, der Hackerzugriff, der falsch zugestellte Brief.
- Verlust der Integrität: Daten werden unbefugt oder versehentlich verändert.
- Verlust der Verfügbarkeit: Daten gehen verloren oder sind dauerhaft nicht mehr zugänglich – etwa durch einen Ransomware-Angriff oder ein defektes Backup.
Wichtig: Eine Datenpanne setzt keinen bösen Willen voraus. Das Versehen einer Mitarbeiterin zählt genauso wie der gezielte Angriff von außen. Und es muss kein tatsächlicher Schaden eingetreten sein – schon das Risiko reicht aus, um die Pflichten der Artikel 33 und 34 auszulösen.
Die 72-Stunden-Frist nach Art. 33
Hier liegt der Kern. Artikel 33 verlangt, dass eine meldepflichtige Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet wird. Die Frist beginnt nicht mit dem Eintritt der Panne, sondern mit dem Moment, in dem das Unternehmen davon Kenntnis erlangt.
Gemeldet werden muss nur dann, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Bei einem rein internen Versehen ohne nennenswertes Risiko – etwa eine versehentlich an einen Kollegen geschickte interne Notiz – kann die Meldepflicht entfallen. Diese Risikobewertung ist der entscheidende und zugleich heikelste Schritt, und genau hier hole ich als Datenschutzbeauftragter meine Mandanten ab.
Wer die 72 Stunden überschreitet, muss die Verzögerung begründen. Eine verspätete Meldung ist außerdem selbst ein bußgeldbewehrter Verstoß – mehr dazu im Ratgeber DSGVO-Bußgeld. Falls zum Zeitpunkt der Frist noch nicht alle Fakten vorliegen, ist eine vorläufige Meldung mit Nachreichung ausdrücklich zulässig. Besser unvollständig fristgerecht als vollständig zu spät.
Wann Sie zusätzlich die Betroffenen informieren müssen
Die Meldung an die Behörde nach Art. 33 ist das eine. Artikel 34 regelt eine zweite, schärfere Stufe: Führt die Datenpanne voraussichtlich zu einem hohen Risiko für die betroffenen Personen, müssen diese zusätzlich und ebenfalls unverzüglich direkt informiert werden.
Ein hohes Risiko liegt etwa nahe, wenn Kontodaten, Passwörter, Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten offengelegt wurden und den Betroffenen daraus Identitätsdiebstahl, finanzielle Schäden oder Diskriminierung drohen. Die Benachrichtigung muss in klarer, einfacher Sprache erfolgen und konkrete Handlungsempfehlungen enthalten – zum Beispiel die Aufforderung, ein Passwort zu ändern.
Es gibt Ausnahmen: Waren die Daten etwa wirksam verschlüsselt und damit für Unbefugte unbrauchbar, kann die Pflicht zur Benachrichtigung der Betroffenen entfallen. Hier zeigt sich, wie gute technisch-organisatorische Maßnahmen im Ernstfall nicht nur Schäden begrenzen, sondern auch Folgepflichten reduzieren.
Der Prozess Schritt für Schritt
Damit eine Datenpanne nicht in Hektik ausartet, hilft ein klarer Ablauf. Ich arbeite mit meinen Mandanten entlang von fünf Phasen: erkennen, bewerten, dokumentieren, melden, informieren.
| Phase | Was passiert | Zeitrahmen |
|---|---|---|
| 1. Erkennen | Vorfall wird bemerkt und intern über die Meldekette an die verantwortliche Stelle gemeldet | Sofort – hier startet die 72-Stunden-Uhr |
| 2. Bewerten | Risiko für die Betroffenen einschätzen: kein Risiko, Risiko oder hohes Risiko | Innerhalb weniger Stunden |
| 3. Dokumentieren | Vorfall, Bewertung und Maßnahmen schriftlich festhalten – auch wenn nicht gemeldet wird | Parallel zur Bewertung |
| 4. Melden | Bei Risiko: Meldung an die Aufsichtsbehörde nach Art. 33 | Binnen 72 Stunden |
| 5. Informieren | Bei hohem Risiko: zusätzlich die betroffenen Personen nach Art. 34 benachrichtigen | Unverzüglich |
Die Entscheidung, ob gemeldet werden muss, lässt sich vereinfacht so fassen: Kein Risiko bedeutet nur dokumentieren. Ein Risiko bedeutet dokumentieren und an die Behörde melden. Ein hohes Risiko bedeutet dokumentieren, an die Behörde melden und zusätzlich die Betroffenen informieren.
Die interne Meldekette: der unterschätzte Erfolgsfaktor
Die häufigste Ursache für eine gerissene Frist ist nicht böser Wille, sondern Unwissen an der Basis. Die Mitarbeiterin, der die Bcc-Panne passiert, weiß oft gar nicht, dass sie damit etwas auslöst, das gemeldet werden muss. Deshalb ist die wichtigste Vorbereitung eine funktionierende interne Meldekette.
Jeder im Unternehmen muss wissen: Wer einen möglichen Datenschutzvorfall bemerkt, meldet ihn unverzüglich an eine zentrale, vorab definierte Stelle – meist die Geschäftsführung gemeinsam mit dem Datenschutzbeauftragten. Diese Stelle übernimmt dann Bewertung, Dokumentation und gegebenenfalls die Meldung. Genau dieses Bewusstsein schaffe ich in meinen Datenschutz-Schulungen. Ein Team, das Vorfälle früh erkennt und sofort weitergibt, ist Gold wert, wenn die Uhr läuft.
Dokumentationspflicht: auch was nicht gemeldet wird
Ein Punkt, den viele übersehen: Artikel 33 Abs. 5 verlangt, dass jede Datenpanne dokumentiert wird – unabhängig davon, ob sie meldepflichtig war oder nicht. Diese interne Dokumentation muss den Vorfall, seine Auswirkungen und die ergriffenen Abhilfemaßnahmen festhalten.
Der Sinn dahinter: Die Aufsichtsbehörde muss nachvollziehen können, dass ein Unternehmen jeden Vorfall bewertet und korrekt eingeordnet hat. Wer eine Panne mit dem Argument „war ja kein Risiko“ einfach unter den Tisch fallen lässt, ohne diese Bewertung zu dokumentieren, verstößt selbst gegen Art. 33. Ein gepflegtes Datenpannen-Register ist deshalb fester Bestandteil eines sauberen DSGVO-Managements.
Häufige Fehler, die ich in der Praxis sehe
Aus der Begleitung vieler Vorfälle kenne ich die wiederkehrenden Stolperstellen. Sie zu kennen, hilft, sie zu vermeiden.
Der erste Fehler ist, die Frist falsch zu berechnen. Sie beginnt mit der Kenntnis von der Panne, nicht mit deren Eintritt – und sie läuft kalendarisch, also auch über das Wochenende. Wer am Freitagnachmittag eine Panne bemerkt, kann nicht bis Montag warten.
Der zweite Fehler ist das Bagatellisieren. „Das war doch nur eine E-Mail“ ist kein Argument gegen eine Risikobewertung. Genau diese Bewertung muss stattfinden und dokumentiert werden – das Ergebnis kann durchaus „kein Risiko“ lauten, aber die Prüfung selbst ist Pflicht.
Der dritte Fehler ist das Gegenteil: aus Angst alles zu melden, auch offensichtlich risikolose Vorfälle. Das bindet unnötig Ressourcen und schwächt das Verhältnis zur Behörde. Eine differenzierte Bewertung ist auch hier der richtige Weg.
Der vierte Fehler betrifft die Betroffenenrechte: Wird im Zuge einer Panne die Benachrichtigung der Betroffenen nötig, geschieht sie oft zu spät oder in unverständlichem Juristendeutsch. Eine klare, ehrliche und frühzeitige Information ist nicht nur Pflicht, sie schützt auch die Kundenbeziehung. Wer offen kommuniziert, behält das Vertrauen eher, als wenn der Vorfall später auf anderem Weg ans Licht kommt.
Fazit: Vorbereitung schlägt Panik
Die 72-Stunden-Frist klingt bedrohlich, ist aber gut beherrschbar – vorausgesetzt, die Vorbereitung stimmt. Wer eine klare Meldekette hat, die Risikobewertung beherrscht und jeden Vorfall sauber dokumentiert, gerät auch im Ernstfall nicht in Panik. Die meisten Pannen lassen sich ruhig und fristgerecht abarbeiten, wenn die Strukturen vorab stehen.
Wenn Sie unsicher sind, ob Ihr Unternehmen auf den Ernstfall vorbereitet ist, oder Sie gerade akut mit einem Vorfall konfrontiert sind, melden Sie sich. Im Rahmen meiner Tätigkeit als externer Datenschutzbeauftragter richte ich die Meldekette ein und stehe im Ernstfall an Ihrer Seite. Nehmen Sie Kontakt auf – am besten, bevor die Uhr tickt.