Eine Datenpanne stellt für jedes Unternehmen eine ernste Herausforderung dar, die schnelles und rechtlich korrektes Handeln erfordert. Die DSGVO verpflichtet Verantwortliche, eine Datenpanne innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Laut dem Annual Report des Europäischen Datenschutzausschusses (EDPB) wurden im Jahr 2025 europaweit über 167.000 Datenpannen gemeldet – ein Anstieg von 14 % gegenüber dem Vorjahr.
Trotz dieser Pflicht zeigt die Praxis, dass viele Unternehmen die Meldepflichten nicht vollständig verstehen oder umsetzen. Fehler bei der Meldung einer Datenpanne nach der DSGVO führen regelmäßig zu Bußgeldern, die weit über die Sanktionen für die eigentliche Datenschutzverletzung hinausgehen. Dieser Artikel erläutert die gesetzlichen Grundlagen, den Ablauf einer Meldung und die praktischen Schritte, die Unternehmen bei einer Datenpanne beachten müssen.
Was ist eine Datenpanne nach der DSGVO?
Eine Datenpanne – im Gesetzestext als “Verletzung des Schutzes personenbezogener Daten” bezeichnet – ist gemäß Artikel 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt. Diese Definition ist bewusst weit gefasst und umfasst drei Kategorien.
Die drei Kategorien von Datenpannen
Vertraulichkeitsverletzung: Unbefugte Personen erhalten Zugang zu personenbezogenen Daten. Dies umfasst Hacking-Angriffe, versehentlichen Versand von E-Mails an falsche Empfänger, unzureichende Zugriffskontrollen und den Diebstahl von Datenträgern. Vertraulichkeitsverletzungen machen nach Angaben des BfDI den größten Anteil aller gemeldeten Datenpannen in Deutschland aus.
Integritätsverletzung: Personenbezogene Daten werden unbefugt verändert. Dies kann durch Malware, fehlerhafte Datenmigrationen oder unbeabsichtigte Änderungen an Datenbanken geschehen.
Verfügbarkeitsverletzung: Personenbezogene Daten sind vorübergehend oder dauerhaft nicht mehr zugänglich. Ransomware-Angriffe, Serverausfälle ohne Backup-Möglichkeit und die versehentliche Löschung von Datenbeständen fallen in diese Kategorie.
Nicht jeder Sicherheitsvorfall ist eine Datenpanne im Sinne der DSGVO. Ein Sicherheitsvorfall, bei dem keine personenbezogenen Daten betroffen sind, löst keine Meldepflicht nach der DSGVO aus. Ebenso liegt keine meldepflichtige Datenpanne vor, wenn verschlüsselte Daten entwendet werden und der Verantwortliche nachweisen kann, dass eine Entschlüsselung nach dem Stand der Technik praktisch ausgeschlossen ist. Eine sorgfältige Prüfung jedes Vorfalls ist jedoch unerlässlich, da die Abgrenzung im Einzelfall komplex sein kann.
Wann muss eine Datenpanne gemeldet werden?
Die Meldepflicht ist in Artikel 33 DSGVO geregelt. Danach muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Diese Frist beginnt nicht mit dem Zeitpunkt der Datenpanne selbst, sondern mit dem Zeitpunkt, zu dem der Verantwortliche Kenntnis von der Verletzung erlangt.
Die Risikoabwägung als Entscheidungsgrundlage
Die Meldepflicht besteht nur dann, wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Der Verantwortliche muss daher bei jeder Datenpanne eine Risikoabwägung durchführen. Der EDPB hat in seinen Leitlinien zu Datenpannen konkrete Kriterien für diese Abwägung genannt.
Zu berücksichtigen sind insbesondere die Art der betroffenen personenbezogenen Daten, die Anzahl der betroffenen Personen, die Schwere der möglichen Folgen und die Wahrscheinlichkeit negativer Auswirkungen. Besondere Datenkategorien wie Gesundheitsdaten, Finanzdaten oder Daten von Kindern erhöhen das Risiko erheblich und begründen in der Regel eine Meldepflicht.
Nur in Ausnahmefällen, in denen die Datenpanne voraussichtlich kein Risiko für betroffene Personen darstellt, kann die Meldung unterbleiben. Auch in diesen Fällen muss die Datenpanne jedoch intern dokumentiert werden. Die DSGVO-Checkliste sollte einen Prozess für diese Bewertung enthalten.
Neben der Meldung an die Aufsichtsbehörde muss der Verantwortliche nach Artikel 34 DSGVO auch die betroffenen Personen benachrichtigen, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt. Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens die Art der Verletzung, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen beschreiben. Das Auskunftsrecht der betroffenen Personen ergänzt diese Pflicht und gibt ihnen die Möglichkeit, weitere Informationen über die Verarbeitung ihrer Daten zu verlangen.
Wie läuft die Meldung einer Datenpanne praktisch ab?
Der Meldeprozess erfordert eine strukturierte Vorgehensweise, die idealerweise in einem vorher festgelegten Notfallplan dokumentiert ist. Die folgenden Schritte beschreiben den empfohlenen Ablauf, der den DSGVO-Anforderungen entspricht.
Erkennung, Bewertung und Dokumentation
Der erste Schritt ist die Erkennung und Bestätigung der Datenpanne. Mitarbeiter müssen geschult sein, potenzielle Datenpannen zu erkennen und unverzüglich an die zuständige Stelle zu melden. In vielen Unternehmen ist dies der Datenschutzbeauftragte, der die weitere Bewertung koordiniert.
Nach der Erkennung muss der Vorfall analysiert werden: Welche Daten sind betroffen? Wie viele Personen sind betroffen? Welche Ursache hat die Verletzung? Welche Maßnahmen können die Auswirkungen begrenzen? Diese Analyse bildet die Grundlage für die Risikoabwägung und die Entscheidung über die Meldepflicht.
Die DSGVO verlangt, dass alle Datenpannen dokumentiert werden – unabhängig davon, ob eine Meldepflicht besteht. Die Dokumentation muss die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen. Diese Dokumentation sollte im Verzeichnis von Verarbeitungstätigkeiten oder in einem gesonderten Verzeichnis geführt werden, damit die Aufsichtsbehörde die Einhaltung der Meldepflichten überprüfen kann.
Sanktionen bei verspäteter oder unterlassener Meldung
Die Nichteinhaltung der Meldepflichten kann zu erheblichen Sanktionen führen. Die DSGVO sieht für Verstöße gegen Artikel 33 und 34 Bußgelder von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes vor. In der Praxis haben Aufsichtsbehörden diese Sanktionsmöglichkeit wiederholt genutzt. Die irische Datenschutzbehörde verhängte im Jahr 2024 ein Bußgeld von 1,2 Millionen EUR gegen ein Unternehmen allein wegen der verspäteten Meldung einer Datenpanne.
Besonders schwer wiegt die vollständige Unterlassung der Meldung. Die Berliner Datenschutzbeauftragte hat in ihrem Tätigkeitsbericht betont, dass die bewusste Nichtmeldung als erschwerender Umstand bei der Bußgeldbemessung gewertet wird. Zudem können betroffene Personen Schadensersatzansprüche geltend machen, wenn ihnen durch die unterlassene oder verspätete Meldung ein Schaden entsteht. Die Beweislast für die Einhaltung der Meldefristen liegt beim Verantwortlichen, weshalb eine lückenlose Dokumentation unverzichtbar ist.
Vorbeugende Maßnahmen und Notfallplanung
Die beste Strategie im Umgang mit Datenpannen ist die Vorbereitung. Ein dokumentierter Notfallplan, der allen relevanten Mitarbeitern bekannt ist, verkürzt die Reaktionszeit erheblich und reduziert das Risiko von Fehlern bei der Meldung.
Aufbau eines Incident-Response-Plans
Ein wirksamer Incident-Response-Plan definiert klare Zuständigkeiten und Eskalationswege, die Schritte zur Eindämmung des Vorfalls, den Ablauf der Risikoabwägung, die Kommunikationswege zur Aufsichtsbehörde und zu betroffenen Personen, die Vorlagen für die Meldung sowie den Prozess für die Nachbearbeitung und die Ableitung von Verbesserungsmaßnahmen.
Regelmäßige Übungen und Simulationen helfen, die Wirksamkeit des Plans zu überprüfen und Schwachstellen zu identifizieren. Der BfDI empfiehlt, mindestens einmal jährlich eine Übung durchzuführen, bei der der gesamte Meldeprozess einschließlich der Risikoabwägung simuliert wird. Unternehmen sollten zudem die im Digital-Omnibus-Paket der EU-Kommission vorgeschlagene Verlängerung der Meldefrist von 72 auf 96 Stunden und die geplante Beschränkung der Meldepflicht auf Datenpannen mit hohem Risiko aufmerksam verfolgen, da diese Änderungen bei Inkrafttreten eine Überarbeitung bestehender Notfallpläne erfordern werden.
Technische Schutzmaßnahmen zur Risikominimierung
Eine Datenschutz-Folgenabschätzung kann dazu beitragen, Risiken bereits im Vorfeld zu erkennen und geeignete Schutzmaßnahmen zu implementieren. Zu den wichtigsten technischen Maßnahmen gehören die Verschlüsselung personenbezogener Daten, mehrstufige Zugriffskontrollen, eine automatisierte Erkennung von Anomalien und regelmäßige Sicherheitsaudits.
Die Zusammenarbeit mit Auftragsverarbeitern verdient besondere Aufmerksamkeit: Der Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO muss klare Regelungen zur unverzüglichen Meldung von Datenpannen durch den Auftragsverarbeiter an den Verantwortlichen enthalten. Ohne diese vertragliche Pflicht riskiert der Verantwortliche, erst verspätet von einer Datenpanne zu erfahren und die 72-Stunden-Frist zu versäumen.
Bei der Berufung auf ein berechtigtes Interesse als Rechtsgrundlage für bestimmte Verarbeitungstätigkeiten ist die Dokumentation der Sicherheitsmaßnahmen im Rahmen der Interessenabwägung besonders wichtig, da sie die Angemessenheit der Verarbeitung belegt. Auch das Recht auf Löschung gewinnt nach einer Datenpanne an Bedeutung, da betroffene Personen die Löschung ihrer kompromittierten Daten verlangen können.
FAQ
Muss jede Datenpanne der Aufsichtsbehörde gemeldet werden?
Nein, die Meldepflicht besteht nur, wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Wenn der Verantwortliche nach sorgfältiger Risikoabwägung zu dem Ergebnis kommt, dass kein solches Risiko besteht, kann die Meldung unterbleiben. Allerdings muss auch eine nicht gemeldete Datenpanne intern dokumentiert werden, damit die Aufsichtsbehörde die Entscheidung im Nachhinein überprüfen kann.
Was passiert, wenn die 72-Stunden-Frist nicht eingehalten werden kann?
Die DSGVO sieht ausdrücklich vor, dass die Meldung auch nach Ablauf der 72-Stunden-Frist erfolgen kann. In diesem Fall muss der Verantwortliche die Verzögerung begründen. Die Meldung sollte die Gründe für die Verspätung erläutern und alle zum Zeitpunkt der Meldung verfügbaren Informationen enthalten. Fehlende Informationen können schrittweise nachgereicht werden.
Wer ist bei einem Auftragsverarbeiter für die Meldung zuständig?
Die Meldepflicht gegenüber der Aufsichtsbehörde trifft ausschließlich den Verantwortlichen, nicht den Auftragsverarbeiter. Der Auftragsverarbeiter ist jedoch verpflichtet, den Verantwortlichen unverzüglich über eine Datenpanne zu informieren. Diese Pflicht ergibt sich aus Artikel 33 Absatz 2 DSGVO und sollte im Auftragsverarbeitungsvertrag konkretisiert werden, insbesondere hinsichtlich der Meldefrist und des Informationsumfangs.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
