Ab wann muss ich eine Datenschutzpanne der Aufsichtsbehörde melden?

Datenpannen passieren schneller, als viele erwarten: Eine E-Mail an die falsche Person geschickt, ein verloren gegangenes Gerät mit Daten – oder aber ein Cyberangriff in großem Stil. Doch ab wann besteht die Pflicht, die zuständige Aufsichtsbehörde zu informieren? Diese Frage wird uns als Datenschutzexpertinnen und -Experten sehr häufig gestellt. Der folgende Beitrag erklärt rechtliche Voraussetzungen nach der Datenschutz-Grundverordnung (DSGVO), Fristen und gibt Anhaltspunkte für die Bewertung von Vorfällen.

Wann Datenschutzpanne melden? Was gilt laut DSGVO?

Art. 33 DSGVO verpflichtet Verantwortliche, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden – aber nur, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt.

Der entscheidende Punkt: Nicht jede Datenpanne ist meldepflichtig. Eine Meldung ist erforderlich, wenn ein realistisches Risiko entsteht, dass Personen Nachteile erleiden, etwa durch Identitätsdiebstahl, finanzielle Schäden, Diskriminierung oder Kontrollverlust über ihre Daten.

Relevant sind hierbei der Umfang der Daten, die Art der Information (z. B. Gesundheits- oder Finanzdaten, die zu sensiblen Kategorien personenbezogener Daten zählen) und die Wahrscheinlichkeit des Missbrauchs.

Wie beurteile ich das Risiko?

Unternehmen müssen eine schnelle, strukturierte Risikobewertung der Datenpanne durchführen. Dabei helfen Fragen wie:

• Sind sensible Daten (z. B. Gesundheitsdaten nach Art. 9 DSGVO) betroffen?
• Besteht die Möglichkeit, betroffene Personen zu identifizieren?
• Ist ein Zugriff durch Unbefugte wahrscheinlich?
• Wurden Daten veröffentlicht oder entwendet?
• Besteht Wiederholungsgefahr oder ein systemischer Fehler?

Zwei kurze Beispiele: Wird eine interne Liste mit Kontaktdaten an eine externe Person gesendet, liegt oft ein Risiko vor. Wird ein gegen ein Team-Mitglied beleidigender E-Mail-Inhalt versehentlich intern weitergeleitet, entsteht häufig kein meldepflichtiges Risiko – dennoch sollte der Vorfall sorgfältig dokumentiert und ggf. intern besprochen werden.

Was muss eine Meldung enthalten?

Art. 33 Abs. 3 DSGVO nennt vier Pflichtangaben:

1. Art der Datenpanne, Anzahl der Datensätze und betroffenen Personen
2. Kontaktdaten der oder des Datenschutzbeauftragten
3. Wahrscheinliche Folgen der Verletzung
4. Ergriffene oder geplante Maßnahmen zur Eindämmung

Wenn diese Informationen noch nicht vollständig vorliegen, erfolgt eine erste Meldung, die später zu ergänzen ist.

Müssen Betroffene informiert werden?

Zusätzlich zur Behördenmeldung verpflichtet Art. 34 DSGVO zur Benachrichtigung der betroffenen Personen über die Datenschutzpanne – allerdings nur bei hohem Risiko. Auch hier kommt es auf die Art der Daten und die Schwere des Vorfalls an.

Je nach Risiko ist Datenpanne meldepflichtig

Eine Datenpanne ist nicht automatisch meldepflichtig – entscheidend ist das Risiko. Unternehmen sollten Vorfälle strukturiert prüfen, dokumentieren und frühzeitig bewerten. Klare Prozesse, Sensibilisierung und ein vorbereitetes Incident-Response-Team sparen im Ernstfall Zeit und vermeiden Fehler.

Gerne unterstützen wir Sie bei der Einschätzung und Meldung. Nehmen Sie Kontakt mit uns auf.