Datenschutzverletzung – was tun im Ernstfall?

Verfasst von Philipp Schlitt

Datenschutzverletzungen sind längst keine Ausnahmefälle mehr. Sie passieren täglich – in kleinen Handwerksbetrieben ebenso wie in großen Konzernen. Ein falscher E-Mail-Empfänger, ein offenes Cloud-Verzeichnis, ein gestohlener Laptop oder ein Phishing-Angriff reichen aus, um eine meldepflichtige Datenpanne auszulösen.

Die DSGVO verlangt in solchen Fällen schnelle und überlegte Reaktionen. Doch viele Unternehmen wissen nicht genau, wann eine Meldung nötig ist, wie sie erfolgen muss und welche Fristen gelten. Dieser Artikel bietet Ihnen eine klare Orientierung – von der Erkennung bis zur Nachbearbeitung einer Datenschutzverletzung.

Was ist eine Datenschutzverletzung nach DSGVO?

Die DSGVO definiert Datenschutzverletzungen in Art. 4 Nr. 12 als jede „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt“.

Das bedeutet: Eine Datenschutzverletzung liegt nicht nur vor, wenn Daten gehackt oder gestohlen werden – sondern auch, wenn sie versehentlich offengelegt oder verändert werden.

Typische Beispiele aus der Praxis:

  • Eine E-Mail mit Gehaltsabrechnungen wird an den falschen Empfänger geschickt.

  • Eine Kundendatenbank wird durch Ransomware verschlüsselt.

  • Ein USB-Stick mit Bewerbungsunterlagen geht verloren.

  • Eine Website speichert IP-Adressen, obwohl das Cookie-Banner nicht korrekt funktioniert.

  • Ein Mitarbeiter lädt Daten auf einen privaten Cloud-Speicher hoch.

In allen Fällen ist entscheidend, welches Risiko für die betroffenen Personen besteht – etwa Identitätsdiebstahl, Diskriminierung oder finanzieller Schaden.

Die 72-Stunden-Frist – was sie wirklich bedeutet

Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Diese Frist beginnt, sobald das Unternehmen Kenntnis vom Vorfall hat – nicht erst, wenn die Ursache geklärt ist. Das bedeutet: Wer zu lange intern prüft, riskiert bereits einen Verstoß.

Die Meldung muss folgende Informationen enthalten:

  1. Art der Verletzung (z. B. Verlust, Offenlegung, Manipulation)

  2. Kategorien und Anzahl der betroffenen Personen und Datensätze

  3. Name und Kontaktdaten des Datenschutzbeauftragten

  4. Beschreibung der wahrscheinlichen Folgen

  5. Maßnahmen zur Behebung und Schadensbegrenzung

Falls nicht alle Informationen sofort vorliegen, kann zunächst eine vorläufige Meldung erfolgen – die Nachreichung ist ausdrücklich erlaubt.

Wann muss die Datenschutzverletzung gemeldet werden – und wann nicht?

Nicht jede Datenpanne ist meldepflichtig. Entscheidend ist die Risikoabwägung:

  • Kein Meldebedarf: Wenn kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (z. B. Verlust eines verschlüsselten USB-Sticks ohne Schlüssel).

  • Meldepflicht: Wenn ein Risiko besteht (z. B. offengelegte Kundenadressen, Datenbankleck, Phishing-Vorfall).

  • Zusätzliche Informationspflicht: Wenn ein hohes Risiko besteht, müssen zusätzlich die betroffenen Personen direkt informiert werden (Art. 34 DSGVO).

Zur Unterstützung bietet die Datenschutzkonferenz (DSK) eine hilfreiche „Risiko-Matrix“, die praxisnah bewertet, wann eine Meldung erforderlich ist.

Was passiert, wenn man zu spät oder gar nicht meldet?

Verstöße gegen die Meldepflicht sind keine Lappalie. Die Aufsichtsbehörden reagieren hier besonders streng, weil Meldeverzögerungen oft als Vertuschung gewertet werden.

Beispiele aus der Praxis:

  • 2024 verhängte die Berliner Datenschutzbehörde gegen ein mittelständisches Unternehmen ein Bußgeld von 75.000 €, weil eine Datenpanne erst nach einer Woche gemeldet wurde.

  • In einem anderen Fall wurde ein Unternehmen abgemahnt, weil es betroffene Personen nicht informiert hatte, obwohl sensible Gesundheitsdaten betroffen waren.

Bußgelder sind dabei nur ein Teil des Problems – der größere Schaden entsteht oft durch Reputationsverlust und Vertrauensbruch bei Kunden oder Geschäftspartnern.

Wie Sie im Ernstfall richtig reagieren: 5 Schritte zum Notfallplan

Ein strukturierter Ablauf hilft, auch im Stressfall den Überblick zu behalten:

  1. Erkennen:
    Schulen Sie Mitarbeitende, Datenschutzverletzungen frühzeitig zu erkennen und zu melden. Das kann auch ein Verdacht sein – lieber einmal zu viel als zu spät.

  2. Eindämmen:
    Leiten Sie Sofortmaßnahmen ein, um die Ausbreitung zu stoppen (z. B. Accounts sperren, Passwörter zurücksetzen, Systeme isolieren).

  3. Bewerten:
    Prüfen Sie Art, Umfang und Folgen der Verletzung. Dabei hilft eine interne Checkliste oder ein standardisierter Bewertungsbogen.

  4. Melden:
    Reichen Sie, als Verantwortlicher, die Meldung bei der zuständigen Aufsichtsbehörde ein – in Deutschland über die jeweiligen Online-Formulare der Landesdatenschutzbehörden.

  5. Nachbereiten:
    Dokumentieren Sie alle Schritte (Art. 33 Abs. 5 DSGVO) und analysieren Sie die Ursachen, um künftige Vorfälle zu vermeiden.

Tipp: Erstellen Sie ein „Datenschutz-Notfallhandbuch“, das alle Prozesse, Zuständigkeiten und Vorlagen enthält.

Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte (intern oder extern) spielt im Ernstfall eine Schlüsselrolle. Er ist Schnittstelle zwischen IT, Geschäftsleitung, Auftragsverarbeitern und Aufsichtsbehörde.

Ein erfahrener externer Datenschutzbeauftragter kann hier wertvolle Unterstützung leisten:

  • Sofortige Ersteinschätzung des Risikos

  • Unterstützung bei der Meldung und Kommunikation

  • Nachbereitung und Auditierung des Vorfalls

  • Schulung und Sensibilisierung der Mitarbeiter

Gerade kleine und mittelständische Unternehmen profitieren davon, solche Prozesse extern betreuen zu lassen, um Fehler zu vermeiden und die Meldefrist sicher einzuhalten.

Prävention: So vermeiden Sie Datenschutzverletzungen langfristig

Die beste Strategie ist, Datenschutzverletzungen gar nicht erst entstehen zu lassen. Dazu gehören:

  • Regelmäßige Datenschutz-Audits, um technische und organisatorische Schwachstellen zu identifizieren

  • Schulungen für Mitarbeitende, insbesondere im Umgang mit E-Mails, Cloud-Systemen und Kundendaten. Unseren Artikel zu Datenschutz-Schulungen können Sie hier lesen.

  • Website-Scans und Penetrationstests, um Sicherheitslücken frühzeitig zu erkennen

  • Klare Richtlinien für die Datenverarbeitung und -speicherung

  • Auftragsverarbeitungsverträge (AVV), die Meldepflichten und Sicherheitsstandards klar regeln

Moderne Datenschutzmanagementsysteme können helfen, diese Maßnahmen zentral zu steuern und zu dokumentieren.

Fazit

Datenschutzverletzungen sind kein Zeichen schlechter Unternehmensführung – sondern ein realistisches Risiko im digitalen Alltag. Entscheidend ist, wie ein Unternehmen damit umgeht.

Wer schnell reagiert, transparent kommuniziert und klare Prozesse etabliert, kann Bußgelder und Imageschäden vermeiden. Noch besser: Unternehmen, die Datenschutz ernst nehmen, gewinnen langfristig das Vertrauen ihrer Kunden.

Ein klarer Notfallplan, regelmäßige Audits und Schulungen machen den Unterschied zwischen Chaos und Kontrolle – und sorgen dafür, dass Datenschutz kein Problem, sondern ein Qualitätsmerkmal ist.

Philipp Schlitt
Weiter

Datenschutz-Schulungen: Wissen, das schützt