Datenpanne melden: 72-Stunden-Frist & Vorgehen
Datenpanne melden: 72-Stunden-Frist & Vorgehen nach DSGVO
Eine Datenpanne kann jedes Unternehmen treffen – vom verlorenen USB-Stick bis zum Ransomware-Angriff. Art. 33 DSGVO schreibt vor, dass die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden muss. Wer die Frist versäumt, riskiert Bußgelder bis zu 10 Mio. EUR. CERTISCAN unterstützt Unternehmen mit dem integrierten HinSchG-Modul bei der internen Erstmeldung und lückenlosen Dokumentation von Datenschutzvorfällen.
Was ist eine Datenpanne im Sinne der DSGVO?
Art. 4 Nr. 12 DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Entscheidend ist nicht, ob ein Schaden eingetreten ist, sondern ob ein Risiko besteht.
Typische Datenpannen in Unternehmen
- Verlorene oder gestohlene Geräte: Laptop, Smartphone, USB-Stick mit unverschlüsselten Kundendaten
- Fehlversand: E-Mail mit Personaldaten an falschen Empfänger, offener CC-Verteiler
- Cyberangriff: Ransomware, Phishing, Hacking mit Zugriff auf Datenbanken
- Softwarefehler: Falsche Berechtigungen ermöglichen Zugriff auf fremde Datensätze
- Entsorgungsfehler: Akten oder Festplatten ohne Vernichtung im Hausmüll
- Insider-Missbrauch: Mitarbeiter kopiert Kundendaten vor dem Ausscheiden
Die 72-Stunden-Frist: Art. 33 DSGVO im Detail
Wann beginnt die Frist?
Die Frist beginnt ab Kenntniserlangung – nicht ab dem Zeitpunkt des Vorfalls selbst. Kenntnis liegt vor, sobald der Verantwortliche (in der Regel der Datenschutzbeauftragte) ausreichend Gewissheit hat, dass eine Verletzung stattgefunden hat.
Beispiel: Ein Mitarbeiter verliert am Freitag einen Laptop. Am Montag meldet er es seinem Vorgesetzten. Am Dienstag um 10:00 Uhr informiert der Vorgesetzte den DSB. Die 72-Stunden-Frist beginnt am Dienstag um 10:00 Uhr.
Was muss gemeldet werden?
Die Meldung an die Aufsichtsbehörde muss nach Art. 33 Abs. 3 DSGVO mindestens enthalten:
- Art der Verletzung und betroffene Datenkategorien (Name, Adresse, Gesundheitsdaten etc.)
- Ungefähre Anzahl der betroffenen Personen und Datensätze
- Name und Kontaktdaten des Datenschutzbeauftragten
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensminderung
Was passiert bei verspäteter Meldung?
Ist die Meldung nach 72 Stunden noch nicht möglich (z. B. weil das Ausmaß noch unklar ist), muss sie unverzüglich nachgeholt werden. Die Gründe für die Verzögerung müssen dokumentiert werden. Eine stufenweise Meldung ist ausdrücklich zulässig.
Risikobewertung: Muss ich wirklich melden?
Nicht jede Datenpanne ist meldepflichtig. Art. 33 Abs. 1 DSGVO enthält eine Ausnahme: Die Meldung entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
| Faktor | Kein Risiko (keine Meldepflicht) | Risiko (Meldung an Aufsichtsbehörde) | Hohes Risiko (+ Benachrichtigung Betroffener) |
|---|---|---|---|
| Datenkategorie | Pseudonymisierte interne IDs | Name, E-Mail, Telefon | Gesundheitsdaten, Bankdaten, Passwörter |
| Verschlüsselung | Vollverschlüsselt (AES-256) | Teilweise verschlüsselt | Unverschlüsselt |
| Betroffene Anzahl | 1-2 Personen, intern | 10-100 Personen | 1.000+ Personen oder besondere Kategorien |
| Zugangswahrscheinlichkeit | Gerät remote gelöscht | Unklar, ob Zugriff erfolgte | Daten wurden nachweislich abgerufen |
| Schadensausmaß | Minimal | Identitätsdiebstahl möglich | Diskriminierung, finanzielle Verluste |
Art. 34: Wann müssen Betroffene informiert werden?
Zusätzlich zur Behördenmeldung verlangt Art. 34 DSGVO die Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.
Die Benachrichtigung muss enthalten:
- Beschreibung der Art der Verletzung in klarer und einfacher Sprache
- Name und Kontaktdaten des DSB oder einer anderen Anlaufstelle
- Wahrscheinliche Folgen der Datenpanne
- Ergriffene Maßnahmen zur Abhilfe
- Die Daten verschlüsselt waren und der Schlüssel nicht kompromittiert wurde
- Nachträgliche Maßnahmen sicherstellen, dass das hohe Risiko nicht mehr besteht
- Die individuelle Benachrichtigung unverhältnismäßigen Aufwand verursacht (dann: öffentliche Bekanntmachung)
Meldung bei der Aufsichtsbehörde: So geht es praktisch
Jedes Bundesland hat eine eigene Datenschutzaufsichtsbehörde (LDI). Zuständig ist die Behörde am Sitz des Verantwortlichen (Hauptniederlassung).
Meldeweg
- Online-Formular: Fast alle LDI bieten ein Online-Meldeformular an (empfohlen)
- E-Mail: Formlose Meldung per E-Mail an die Behörde
- Fax/Post: Im Notfall, aber nicht empfohlen wegen Fristwahrung
Typische Bearbeitungszeiten
| Schwere der Panne | Reaktion der Behörde | Typische Dauer |
|---|---|---|
| Gering (z. B. fehlgeleitete E-Mail) | Kenntnisnahme, keine weitere Aktion | 1-2 Wochen |
| Mittel (z. B. unbefugter Zugriff auf Kundendaten) | Rückfragen, Prüfung der Maßnahmen | 2-6 Wochen |
| Schwer (z. B. Datenleck mit Gesundheitsdaten) | Vor-Ort-Prüfung möglich, Anordnungen | 1-6 Monate |
| Kritisch (z. B. systematischer Datenabfluss) | Bußgeldverfahren, ggf. öffentliche Warnung | 3-12 Monate |
Interne Dokumentationspflicht: Art. 33 Abs. 5 DSGVO
Unabhängig von der Meldepflicht an die Behörde müssen alle Datenpannen intern dokumentiert werden – auch solche, die kein Risiko darstellen. Die Dokumentation muss umfassen:
- Alle Fakten der Verletzung (Was, Wann, Wer, Wie viele)
- Auswirkungen der Verletzung
- Ergriffene Abhilfemaßnahmen
- Begründung, falls keine Meldung an die Behörde erfolgte
CERTISCAN für die interne Meldekette
Das HinSchG-Modul von CERTISCAN eignet sich hervorragend als interner Meldekanal für Datenschutzvorfälle:
- Anonyme Meldung: Mitarbeiter können Datenpannen ohne Angst vor Konsequenzen melden
- Zeitstempel: Jede Meldung erhält einen kryptographisch gesicherten Zeitstempel im WORM-Audit-Trail
- Fallmanagement: Der DSB kann den Vorfall bewerten, Maßnahmen zuweisen und den Status tracken
- Fristenüberwachung: Das System berechnet automatisch die 72-Stunden-Frist ab Eingang der Meldung
- Exportfunktion: Alle Vorgangsdaten lassen sich als PDF für die Behördenmeldung exportieren
Checkliste: 10 Schritte bei einer Datenpanne
- Sofort: Vorfall eingrenzen und weiteren Datenabfluss stoppen
- Innerhalb 1 Stunde: DSB und IT-Sicherheitsbeauftragten informieren
- Innerhalb 4 Stunden: Erste Bestandsaufnahme (Art, Umfang, betroffene Daten)
- Innerhalb 12 Stunden: Risikobewertung durchführen (Risikomatrix)
- Innerhalb 24 Stunden: Entscheidung über Meldepflicht treffen
- Innerhalb 48 Stunden: Meldung vorbereiten und intern freigeben
- Innerhalb 72 Stunden: Meldung an die zuständige Aufsichtsbehörde absenden
- Falls hohes Risiko: Betroffene Personen unverzüglich benachrichtigen
- Innerhalb 2 Wochen: Abhilfemaßnahmen umsetzen und dokumentieren
- Langfristig: Ursachenanalyse, Prozessanpassung, Schulung
Bußgelder: Was droht bei Verstößen?
| Verstoß | Bußgeldrahmen | Beispiel aus der Praxis |
|---|---|---|
| Verspätete Meldung an Behörde | Bis 10 Mio. EUR / 2 % Umsatz | Deutsche Wohnen: 14,5 Mio. EUR (2019) |
| Keine Meldung trotz Risiko | Bis 10 Mio. EUR / 2 % Umsatz | 1&1: 9,55 Mio. EUR (2019) |
| Fehlende Dokumentation | Bis 10 Mio. EUR / 2 % Umsatz | H&M: 35,3 Mio. EUR (2020, Hamburg) |
| Keine Benachrichtigung Betroffener | Bis 20 Mio. EUR / 4 % Umsatz | British Airways: 22 Mio. GBP (2020) |
Prävention: Datenpannen vermeiden
Die beste Meldung ist die, die nie nötig wird. Technische und organisatorische Maßnahmen (TOMs) reduzieren das Risiko erheblich:
- Verschlüsselung: Alle mobilen Geräte und externen Datenträger verschlüsseln
- Zugriffsrechte: Minimalprinzip – nur so viel Zugriff wie nötig
- Schulungen: Regelmäßige Datenschutz-Schulungen für alle Mitarbeiter
- Zwei-Faktor-Authentifizierung: Für alle Systeme mit personenbezogenen Daten
- Incident-Response-Plan: Dokumentierter Notfallplan mit klaren Zuständigkeiten
- Regelmäßige Audits: Prüfung der technischen und organisatorischen Maßnahmen
Fazit: Vorbereitung ist alles
Die 72-Stunden-Frist lässt wenig Raum für Improvisation. Wer keinen dokumentierten Prozess hat, wird im Ernstfall die Frist reißen – und ein Bußgeld riskieren. Ein internes Meldesystem wie CERTISCAN sorgt dafür, dass Vorfälle sofort erfasst, bewertet und fristgerecht gemeldet werden können.
Häufig gestellte Fragen
Was gilt als meldepflichtige Datenpanne?
Jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 4 Nr. 12 DSGVO: unbefugter Zugang, Verlust, Vernichtung oder Veränderung. Beispiele sind verlorene Laptops mit Kundendaten, fehlgeleitete E-Mails mit Personaldaten oder Ransomware-Angriffe.
Wie berechnet sich die 72-Stunden-Frist?
Die Frist beginnt ab Kenntnis der Verletzung (Art. 33 Abs. 1 DSGVO). Kenntnis liegt vor, sobald ein Mitarbeiter die Panne entdeckt und der Datenschutzbeauftragte informiert ist. Wochenenden und Feiertage zählen mit. Bei verspäteter Meldung muss die Verzögerung begründet werden.
Wann müssen auch die Betroffenen informiert werden?
Nach Art. 34 DSGVO müssen betroffene Personen informiert werden, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren persönliche Rechte und Freiheiten darstellt – etwa bei Offenlegung von Gesundheitsdaten, Bankdaten oder Passwörtern.
Welches Bußgeld droht bei nicht gemeldeter Datenpanne?
Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Bei vorsätzlichem Verschweigen bis zu 20 Mio. EUR oder 4 % nach Art. 83 Abs. 5 DSGVO.
Wie hilft CERTISCAN bei Datenpannen?
Das CERTISCAN HinSchG-Modul ermöglicht Mitarbeitern, Datenschutzvorfälle intern und anonym über ein zertifiziertes Meldesystem zu melden. Der Vorfall wird automatisch dokumentiert, mit Zeitstempel versehen und an den Datenschutzbeauftragten weitergeleitet.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.