Eine Verletzung des Schutzes personenbezogener Daten stellt für Unternehmen ein erhebliches Risiko dar. Neben Bußgeldern drohen Reputationsschäden und Vertrauensverlust. Die DSGVO gibt klare Fristen vor, die wenig Raum für Improvisation lassen. Diese Übersicht dient Geschäftsführern als Leitfaden, um Risiken zu minimieren und die Handlungsfähigkeit zu sichern.
Was ist eigentlich eine „Datenpanne“?
Nach Artikel 4 Nr. 12 DSGVO liegt eine Verletzung immer dann vor, wenn es zu Problemen mit personenbezogenen Daten kommt. Wir unterscheiden drei zentrale Dimensionen:
Vertraulichkeit
Unbefugte Dritte erhalten Zugriff auf Daten (z.B. Hackerangriff, falsch versendete E-Mail).
Integrität
Daten werden unbefugt oder unbeabsichtigt verändert (z.B. Manipulation durch Malware).
Verfügbarkeit
Daten gehen verloren oder sind nicht mehr zugänglich (z.B. Ransomware-Verschlüsselung).
Die Risikobewertung: Wann muss gehandelt werden?
Nicht jeder Vorfall muss gemeldet werden. Die DSGVO unterscheidet nach Risikostufen für die Rechte und Freiheiten der Betroffenen:
● Kein voraussichtliches Risiko
Beispiel: Verlust eines verschlüsselten Laptops.
To-Do: Interne Dokumentation ist Pflicht, keine Meldung nötig.
● Vorliegen eines Risikos
Beispiel: Unverschlüsselte Kundenliste per Mail versendet.
To-Do: Meldung an Aufsichtsbehörde binnen 72 Stunden.
● Hohes Risiko
Beispiel: Abfluss sensibler Gesundheitsdaten oder Passwörter.
To-Do: Meldung an Behörde (72h) UND Information der Betroffenen.
7 Schritte Sofort-Checkliste
Sofortmaßnahmen & Schadensbegrenzung
Trennen Sie betroffene Systeme vom Netz, ändern Sie Passwörter und stoppen Sie den Datenabfluss sofort. Beweissicherung hat Priorität.
Notfall-Team bilden
Informieren Sie Geschäftsführung und Datenschutzbeauftragten. Stellen Sie ein Team aus IT, Recht und Kommunikation zusammen.
Sachverhalt aufklären
Was ist passiert? Wann? Welche Daten sind betroffen? Wie viele Personen sind involviert? Fakten schaffen Klarheit.
Risikobewertung durchführen
Prüfen Sie objektiv die Schwere des Vorfalls anhand der Datenkategorie und möglichen Folgen für die Betroffenen.
Meldung an Behörde prüfen
Bei bestehendem Risiko: Meldung innerhalb von 72 Stunden an die zuständige Landesdatenschutzbehörde.
Betroffene informieren
Nur bei hohem Risiko: Informieren Sie Kunden oder Mitarbeiter transparent und verständlich über Gefahren und Schutzmaßnahmen.
Dokumentation & Nachbereitung
Erstellen Sie einen Abschlussbericht. Leiten Sie technische und organisatorische Verbesserungen ein, um Wiederholungen zu vermeiden.
Sind Sie auf den Ernstfall vorbereitet?
Eine strukturierte Vorgehensweise schützt nicht nur vor Bußgeldern, sondern sichert das Vertrauen Ihrer Kunden. Lassen Sie uns Ihre Prozesse gemeinsam rechtssicher aufstellen.
JETZT kostenloses Erstgespräch vereinbarenHäufige Fragen (FAQ)
Was passiert, wenn ich die 72-Stunden-Frist verpasse?
Eine verspätete Meldung ist möglich, muss aber begründet werden. Ein pauschales „Wir haben es nicht früher gemerkt“ reicht oft nicht aus. Es ist besser, eine vorläufige Meldung abzugeben und Details nachzureichen, als die Frist verstreichen zu lassen. Ein Verstoß gegen die Meldepflicht kann bußgeldbewehrt sein.
Muss ich jeden kleinen Fehler melden?
Nein. Wenn voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht (z.B. weil Daten sicher verschlüsselt waren), entfällt die Meldepflicht an die Behörde. Die interne Dokumentation des Vorfalls und der Begründung, warum nicht gemeldet wurde, ist jedoch zwingend erforderlich.
Wer ist für die Meldung verantwortlich?
Verantwortlich ist die Geschäftsführung (der „Verantwortliche“ i.S.d. DSGVO). Der Datenschutzbeauftragte berät und unterstützt bei der Meldung, die Verantwortung für die fristgerechte Abgabe liegt jedoch beim Unternehmen.
Wie sieht eine korrekte Dokumentation aus?
Die Dokumentation muss den Sachverhalt, die Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten. Sie dient als Nachweis gegenüber der Aufsichtsbehörde (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO) und sollte revisionssicher archiviert werden.
