DSGVO Datenpanne Meldepflicht Aufsichtsbehörde
DSGVO: Datenpanne melden – Meldepflicht an Aufsichtsbehörde (Art. 33/34)
1. Was ist eine Datenpanne?
Eine Datenpanne (engl. "Data Breach" oder "Personal Data Breach") ist nach Art. 33 DSGVO ein Sicherheitsvorfall, bei dem personenbezogene Daten unbeabsichtigt oder unrechtmäßig zerstört, verloren, verändert, an Unbefugte offenbart oder auf andere Weise beeinträchtigt wurden. Dies kann sich auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beziehen.
Wichtig: Nicht jeder Datenverlust oder technische Fehler ist eine Datenpanne. Es muss ein Verstoß gegen die Sicherheit und den Schutz personenbezogener Daten vorliegen.
Beispiele für Datenpannen:
- Cyberangriffe (Ransomware, Hacking, SQL-Injection)
- Versehentliches Löschen oder Veränderung von Daten durch Mitarbeiter
- Verlorene oder gestohlene Hardware (USB-Stick, Laptop) mit unverschlüsselten Daten
- Unbefugte Zugriffe auf Server oder Datenbanken
- Phishing-Angriffe mit Datenabfluss
- Offenlegung von Daten durch fehlerhafte Konfiguration (z.B. Cloud-Bucket ohne Zugangsschutz)
- Malware auf IT-Systemen
- Versendung von Informationen an falsche Adressaten
⚠️ Wichtig: Der Ort des Datenverluste ist nicht relevant - ob die Datenpanne in Deutschland, der EU oder weltweit stattfindet: Wenn Daten von EU-Bürgern betroffen sind, muss die deutsche Aufsichtsbehörde informiert werden.
2. Die 72-Stunden-Regel – Artikel 33 DSGVO
Die wichtigste Anforderung der DSGVO bei einer Datenpanne ist die 72-Stunden-Regel:
Artikel 33 Abs. 1 DSGVO: "Im Fall einer Verletzung des Schutzes personenbezogener Daten teilt der Verantwortliche die Verletzung ohne unnötige Verzögerung und möglichst innerhalb von 72 Stunden, nachdem ihm die Verletzung bekannt geworden ist, der zuständigen Aufsichtsbehörde mit."
Was bedeutet "ohne unnötige Verzögerung"?
- Die Meldung muss sofort eingeleitet werden, sobald die Datenpanne erkannt wird
- Es gibt nur 72 Stunden Zeit bis zur Meldung bei der Aufsichtsbehörde
- Diese Frist beginnt, sobald die Datenpanne dem Verantwortlichen "bekannt wird"
- Die Frist ist nicht verlängerbar, auch nicht auf 73 oder 74 Stunden
Zeitleiste für Datenpannen-Management:
| Zeitpunkt | Aktion | Verantwortlich |
|---|---|---|
| Stunde 0-2 | Datenpanne erkennen und Incident Response-Team aktivieren | IT-Sicherheit, Betrieb |
| Stunde 0-6 | Erste Analyse: Art der Panne, betroffene Daten, mutmaßliche Ursache, Auswirkungen | IT-Sicherheit, Datenschutz |
| Stunde 4-12 | Risikobeurteilung durchführen: Ist eine Aufsichtsmeldung erforderlich? | Datenschutzbeauftragter, Geschäftsführung |
| Stunde 12-24 | Meldung bei Aufsichtsbehörde vorbereiten | Datenschutzbeauftragter, Rechtsabteilung |
| Stunde 36-60 | Meldung bei Aufsichtsbehörde einreichen (deutlich vor 72-Stunden-Deadline) | Datenschutzbeauftragter |
| Parallel: Tag 1-7 | Betroffenenbenachrichtigung vorbereiten (falls erforderlich) | Datenschutzbeauftragter, Kommunikation |
| Tag 7+ | Betroffene Personen benachrichtigen (falls hohe Risiko) | Geschäftsführung, Kommunikation |
💡 Tipp: Melden Sie die Datenpanne nicht erst nach 70 Stunden. Bessere Praxis: Melden Sie spätestens nach 36-48 Stunden. Dies zeigt Proaktivität und gibt der Aufsichtsbehörde Vertrauen, dass Ihr Unternehmen die Gefahr ernst nimmt.
3. Zu welcher Aufsichtsbehörde muss die Meldung erfolgen?
Nach Art. 55 DSGVO ist die Aufsichtsbehörde des Landes zuständig, in dem der Verantwortliche seinen Sitz hat. In Deutschland gibt es 16 Datenschutzbehörden (eine pro Bundesland). Folgende Behörden sind für Datenpannenmeldungen zuständig:
| Bundesland | Behörde | Kontakt |
|---|---|---|
| Baden-Württemberg | Landesbeauftragte für Datenschutz und Informationsfreiheit | datenschutz@lfdi.bwl.de |
| Bayern | Bayerisches Landesamt für Datenschutzaufsicht | poststelle@lda.bayern.de |
| Berlin | Berliner Beauftragte für Datenschutz und Informationsfreiheit | mailbox@privacy.berlin.de |
| Brandenburg | Landesbeauftragte für den Datenschutz und Informationsfreiheit | poststelle@lda.brandenburg.de |
| Bremen | Die Bremensche Datenschutzbeauftragte | datenschutz@skv.bremen.de |
| Hamburg | Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | mailbox@datenschutz.hamburg.de |
| Hessen | Hessischer Datenschutzbeauftragter | poststelle@datenschutz.hessen.de |
| Mecklenburg-Vorpommern | Landesbeauftragte für Datenschutz und Informationsfreiheit | poststelle@ldi.mv-regierung.de |
| Niedersachsen | Niedersächsische Landesbeauftragte für den Datenschutz | poststelle@lfd.niedersachsen.de |
| Nordrhein-Westfalen | Landesbeauftragte für Datenschutz und Informationsfreiheit NRW | poststelle@ldi.nrw.de |
| Rheinland-Pfalz | Landesbeauftragte für den Datenschutz und die Informationsfreiheit | poststelle@datenschutz.rlp.de |
| Saarland | Unabhängiges Datenschutzzentrum Saarland | info@datenschutz.saarland.de |
| Sachsen | Sächsischer Datenschutzbeauftragter | poststelle@sds.sachsen.de |
| Sachsen-Anhalt | Landesbeauftragte für den Datenschutz Sachsen-Anhalt | poststelle@lda.sachsen-anhalt.de |
| Schleswig-Holstein | Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein | post@datenschutzzentrum.de |
| Thüringen | Landesbeauftragte für Datenschutz und Informationsfreiheit Thüringen | poststelle@tlfdi.de |
4. Was muss in der Meldung an die Aufsichtsbehörde enthalten sein?
Nach Art. 33 Abs. 3 DSGVO muss die Meldung mindestens folgende Informationen enthalten:
- Art und Umfang der Verletzung: Was ist passiert? Cyberangriff, Malware, physischer Diebstahl, etc.?
- Wahrscheinliche Folgen der Verletzung: Welche Risiken entstehen durch den Datenabfluss?
- Name und Kontaktdaten des Datenschutzbeauftragten: Oder der zuständigen Person, die für Rückfragen erreichbar ist
- Maßnahmen, die ergriffen oder geplant sind: Was wurde bereits getan, um die Sicherheit zu verbessern und weitere Verstöße zu verhindern?
- Ungefähre Anzahl betroffener Personen und Datenmengen
- Kategorien betroffener Daten: Namen, E-Mail-Adressen, Bankdaten, Gesundheitsdaten, etc.?
- Zeitpunkt der Erkennung und Ausmaß der Panne
Was NICHT erforderlich ist:
- Vollständige Ermittlungsergebnisse (vorläufige Informationen sind ausreichend)
- Perfekte technische Detailanalyse (Arbeitsanalysen sind akzeptabel)
- Die Identität der Angreifer (wenn unbekannt)
- Benachrichtigung aller betroffenen Personen parallel zur Aufsichtsmeldung
5. Entscheidungsbaum: Wann muss die Aufsichtsbehörde benachrichtigt werden?
| Frage | Antwort | Ergebnis |
|---|---|---|
| Hat eine Datenpanne stattgefunden? | Ja | Weiter zu nächster Frage |
| Sind personenbezogene Daten betroffen? | Nein | Keine DSGVO-Meldepflicht, aber möglicherweise andere Meldepflichten |
| Sind die Daten verschlüsselt oder unbrauchbar gemacht? | Ja | Keine Meldung erforderlich (Art. 33 Abs. 1 Ausnahme) |
| Besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen? | Nein (z.B. nur anonymisierte Daten) | Keine Meldung erforderlich |
| Ist ein hohes Risiko vorhanden? | Ja | MUSS auch betroffene Personen benachrichtigen (Art. 34) |
| Ist ein Risiko vorhanden (auch ohne "hohes" Risiko)? | Ja | MUSS Aufsichtsbehörde melden (Art. 33), Betroffenenbenachrichtigung optional |
✅ Gut zu wissen: Die Verschlüsselung von Daten KANN zur Befreiung von der Meldepflicht führen – aber nur, wenn die Verschlüsselung so robust ist, dass Angreifer die Daten nicht entschlüsseln können. Eine schwache Verschlüsselung ist keine Ausnahme.
6. Betroffenenbenachrichtigung – Artikel 34 DSGVO
Ist das Risiko für die betroffenen Personen hoch, müssen diese ebenfalls benachrichtigt werden, ohne unnötige Verzögerung (Art. 34 DSGVO).
Wann besteht ein hohes Risiko?
- Datenpanne mit sensitiven Daten (Bankdaten, Gesundheitsdaten, biometrische Daten)
- Große Anzahl betroffener Personen (>100, >1000 ist deutlich problematisch)
- Identitätsdiebstahl ist wahrscheinlich
- Daten könnten zu Diskriminierung, Betrug oder Missbrauch führen
- Sicherheit oder Finanzielle Auswirkungen für Betroffene wahrscheinlich
Wann besteht ein niedriges Risiko?
- Anonymisierte oder pseudonymisierte Daten
- Nur publizierte öffentliche Informationen abgeflossen
- Sehr kleine Anzahl betroffener Personen (z.B. 3-5)
- Datenbreite ist begrenzt (z.B. nur Namen, keine Kontaktdaten)
- Daten wurden sofort wiederhergestellt/gelöscht
7. Meldung an Aufsichtsbehörde – Muster-Schreiben
=== DATENPANNENMELDUNG NACH ART. 33 DSGVO === An: [Aufsichtsbehörde Name] Adresse: [Adresse] E-Mail: [Kontakt-E-Mail] Fax: [Fax] Betreffzeile: Meldung einer Datenpanne - [Unternehmen], [Datum der Entdeckung] Sehr geehrte Damen und Herren, hiermit melden wir eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO. 1. INFORMATIONEN ZUM VERANTWORTLICHEN: Name: [Unternehmen] Anschrift: [Anschrift] Telefon: [Tel] E-Mail: [E-Mail] Datenschutzbeauftragter: [Name/E-Mail] 2. ART UND UMFANG DER VERLETZUNG: [Beispiel: Am 15. März 2026 wurde durch ein Cyberangriff (SQL-Injection-Angriff) auf unseren Online-Shop unbefugt auf eine Kundendatenbank zugegriffen. Der Angriff wurde am 16. März 2026 um 09:30 Uhr durch automatisches Monitoring erkannt.] 3. BETROFFENE KATEGORIEN VON PERSONEN: [Beispiel: Ca. 8.500 Kunden des Online-Shops] 4. BETROFFENE KATEGORIEN VON DATEN: - Vollständige Namen - E-Mail-Adressen - Postleitzahlen und Orte - Telefonnummern (für ~3.000 Kunden) - Kaufhistorie und Bestelldaten [NICHT abgeflossen: Kreditkartendaten, Passwörter] 5. WAHRSCHEINLICHE FOLGEN DER VERLETZUNG: Das Risiko ist als MITTEL bis HOCH einzustufen: - Phishing-Angriffe sind möglich - Identitätsdiebstahl könnte stattfinden - Zielgerichtete Angriffe auf betroffene Kunden 6. ERGRIFFENE UND GEPLANTE MASSNAHMEN: BEREITS ERGRIFFEN: - Zugang des Angreifers sofort gesperrt (16. März, 10:45 Uhr) - Systeme offline genommen und forensisch analysiert - Sicherungskopien erstellt für Ermittlungen - Incident Response Team aktiviert - Sicherheitslücke identifiziert (Parameter-Validierung fehlerhaft) GEPLANT: - Patch für SQL-Injection-Anfälligkeit wird bis 22. März deployed - Web Application Firewall wird aktiviert - Externe Sicherheitsaudit wird beauftragt - Kundenbenachrichtigung bis 20. März 2026 - Passwort-Reset-Funktion wird angeboten 7. KONTAKT FÜR RÜCKFRAGEN: [Name], Datenschutzbeauftragter Telefon: [Tel] E-Mail: [E-Mail] Mit freundlichen Grüßen, [Geschäftsführer Name] [Unternehmen] Anlage: Technischer Incident Report (vertraulich)
8. Muster-Benachrichtigung für betroffene Personen
Betreff: Wichtiger Sicherheitshinweis - Datenpanne in unserem System Sehr geehrte [Kundenname], Wir müssen Sie leider über einen Sicherheitsvorfall informieren, der Ihre Daten betreffen könnte. WHAT HAPPENED: Am 16. März 2026 haben wir einen Cyberangriff auf unser Online-Shop-System entdeckt. Ein Angreifer konnte in der Zeitspanne vom 10. bis 16. März auf eine Datenbank mit Kundendaten zugreifen. WHICH DATA WAS AFFECTED: Folgende Ihre persönlichen Daten könnten betroffen sein: - Ihr vollständiger Name - E-Mail-Adresse - Postleitzahl und Ort - Telefonnummer (falls von Ihnen angegeben) - Ihre Bestellhistorie Was NICHT abgeflossen ist: - Ihre Kreditkartennummer oder Zahlungsdaten - Ihr Passwort - Gesundheitsdaten oder sonstige Sensible Informationen WHAT WE'RE DOING: - Der Zugang des Angreifers wurde sofort gesperrt - Wir haben alle Systeme überprüft und die Sicherheitslücke geschlossen - Eine forensische Analyse wird durchgeführt - Wir melden diesen Vorfall den zuständigen Behörden WHAT YOU SHOULD DO: 1. Ändern Sie Ihr Passwort auf unserer Website 2. Seien Sie vorsichtig vor Phishing-E-Mails 3. Überwachen Sie Ihre Kreditkarte und Konten 4. Notieren Sie ggf. unsere Kontaktdaten für Rückfragen WEITERE INFORMATIONEN: Weitere Details finden Sie auf unserer Informationsseite: [URL] Fragen? Kontaktieren Sie unseren Datenschutzbeauftragten: E-Mail: [E-Mail] | Telefon: [Tel] Wir entschuldigen uns für diesen Vorfall und nehmen Ihren Vertrauen sehr ernst. Mit freundlichen Grüßen, [Geschäftsführer] [Unternehmen]
9. Interne Dokumentation und Breach-Register
Auch wenn keine Meldung erforderlich ist, müssen alle Datenpannen dokumentiert werden nach Art. 33 Abs. 5 DSGVO. Dies ist Teil des Accountability-Prinzips:
| Was dokumentieren? | Aufbewahrungsfrist | Wer hat Zugriff? |
|---|---|---|
| Datum und Uhrzeit der Erkennung | Mindestens 3 Jahre | Datenschutzbeauftragter, Geschäftsführung, Audit |
| Beschreibung der Datenpanne | Mindestens 3 Jahre | Beschränkter Kreis |
| Betroffene Daten und Personen | Mindestens 3 Jahre | Beschränkter Kreis |
| Ergriffene Maßnahmen | Mindestens 3 Jahre | Technisches Team, Audit |
| Warum wurde gemeldet/nicht gemeldet? | Mindestens 3 Jahre | Datenschutzbeauftragter, Geschäftsführung |
| Risikobeurteilung | Mindestens 3 Jahre | Datenschutzbeauftragter, Geschäftsführung |
⚠️ Wichtig: Bei Audits oder Bußgeldprüfungen durch die Aufsichtsbehörde überprüft diese gezielt, ob Unternehmen Datenpannen ohne Grund nicht gemeldet haben. Lückenhafte Dokumentation wird als Beweis für Verschleierung interpretiert. Dokumentieren Sie ALLE Datenpannen, auch wenn Sie sie nicht melden.
10. Datenpannen-Meldung-Checkliste
| Schritt | Erledigt | Verantwortlich | Deadline |
|---|---|---|---|
| Datenpanne erkannt und Incident Response-Team benachrichtigt | ☐ | Entdecker/Monitoring | Sofort |
| Erste technische Analyse durchführen | ☐ | IT-Sicherheit | Stunde 2-6 |
| Datenschutzbeauftragter informieren | ☐ | Geschäftsführung/IT | Stunde 2-4 |
| Risikobeurteilung durchführen | ☐ | DSB, Geschäftsleitung | Stunde 4-12 |
| Entscheiden: Aufsichtsbehörde-Meldung erforderlich? | ☐ | DSB, Rechtsabteilung | Stunde 12-24 |
| Entscheiden: Betroffenenbenachrichtigung erforderlich? | ☐ | DSB, Geschäftsführung | Stunde 12-24 |
| Meldung an Aufsichtsbehörde einreichen (falls erforderlich) | ☐ | DSB | Stunde 36-60 (vor 72h) |
| Betroffene Personen benachrichtigen (falls erforderlich) | ☐ | Geschäftsführung, Kommunikation | Tag 2-7 |
| Datenpanne dokumentieren | ☐ | DSB | Tag 3-5 |
| Nachfolgemaßnahmen ergreifen (Patches, Audit, Training) | ☐ | IT, Management | Tag 7-30 |
11. Was NICHT zu tun ist
- Nicht vertuschen: Datenpannen zu verheimlichen ist illegal und wird mit drastischen Strafen geahndet
- Nicht abwarten: Die 72-Stunden-Frist ist nicht verlängerbar. Melden Sie früher, nicht später
- Nicht ignorieren: "Vielleicht war es nicht schlimm" ist keine Ausrede. Im Zweifel melden
- Nicht nur intern lösen: Ein Datenschutzvorfall ist auch eine behördliche Angelegenheit
- Nicht an Presse oder Social Media gehen, bevor Behörde informiert ist
💡 Tipp: Laden Sie sich einen Incident Response Plan vor der Panne herunter und trainieren Sie Ihr Team. Im Ernstfall ist Panik schlecht für die 72-Stunden-Regel.
12. Konsequenzen bei fehlender oder zu später Meldung
- Bußgelder: Bis zu 20.000.000 EUR oder 4% Jahresumsatz (Art. 83 Abs. 5 DSGVO)
- Zivilklagen: Betroffene können Schadensersatz fordern (Art. 82 DSGVO)
- Behördliche Ermittlungen: Aufsichtsbehörden führen systematische Ermittlungen durch
- Öffentlichkeit: Verstöße werden oft öffentlich gemacht und schaden dem Ruf
- Vertrauensverlust: Kunden, Partner und Geschäftsbeziehungen leiden
13. Verwandte Dokumentationen
- 📖 DSGVO Website-Checkliste 2026
- 📖 Datenschutz-Homeoffice-Checkliste für Unternehmen
- 📖 IT-Sicherheit im Unternehmen – Grundlagen
- 📖 DSGVO Bußgelder – Übersicht und Vermeidung
- 🔧 Enjyn Crawler – Website auf Sicherheit prüfen
- 🔧 Enjyn Server Monitor – Kostenlose Uptime-Überwachung
Zuletzt aktualisiert: April 2026 | Rechtsstand: DSGVO (EU 2016/679), BDSG (2018) | Diese Informationen stellen keine Rechtsberatung dar. Konsultieren Sie bei kritischen Fragen einen Datenschutzanwalt.