Datenschutzverstoß melden

Ein Datenschutzverstoß melden — das ist eine der wichtigsten Pflichten, die die Datenschutz-Grundverordnung (DSGVO) Unternehmen und öffentlichen Stellen auferlegt. Wer eine Datenpanne nicht rechtzeitig meldet, riskiert empfindliche Bußgelder von bis zu 10 Millionen Euro. Dabei zählt jede Stunde: Die berüchtigte 72-Stunden-Frist beginnt ab dem Moment, in dem Sie von der Verletzung Kenntnis erlangen.

Dieser vollständige Leitfaden erklärt Ihnen Schritt für Schritt, wie Sie einen Datenschutzverstoß korrekt melden, welche Fristen gelten, wann die Aufsichtsbehörde und wann Betroffene informiert werden müssen und wie Sie als Unternehmen Datenpannen effektiv vorbeugen. Als erfahrener externer Datenschutzbeauftragter unterstützt die DATUREX GmbH bereits über 500 Unternehmen sachsenweit bei genau diesen Fragen.

1. Was ist ein Datenschutzverstoß? — Definition nach Art. 4 Nr. 12 DSGVO

Die DSGVO definiert in Art. 4 Nr. 12 eine Verletzung des Schutzes personenbezogener Daten als eine Sicherheitsverletzung, die — ob unbeabsichtigt oder unrechtmäßig — zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.

Dabei unterscheidet man drei Kategorien:

• Vertraulichkeitsverletzung: Unbefugter Zugang zu personenbezogenen Daten (z. B. Hacking, E-Mail an falschen Empfänger)
• Integritätsverletzung: Unbefugte Veränderung personenbezogener Daten (z. B. Manipulation von Kundendatenbanken)
• Verfügbarkeitsverletzung: Verlust des Zugangs zu personenbezogenen Daten (z. B. Ransomware-Angriff, Serverausfall ohne Backup)

Wichtig: Nicht jeder Datenschutzverstoß löst automatisch eine Meldepflicht aus. Wichtig ist die Risikoabwägung — dazu gleich mehr in Abschnitt 2.

2. Meldepflicht nach Art. 33 DSGVO — Meldung an die Aufsichtsbehörde

Die zentrale Vorschrift für das Datenschutzverstoß Melden ist Art. 33 DSGVO. Demnach muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden.

Die 72-Stunden-Frist im Detail

Die Frist beginnt ab dem Zeitpunkt der Kenntnis — also sobald der Verantwortliche mit hinreichender Sicherheit davon ausgehen kann, dass eine Sicherheitsverletzung stattgefunden hat. Die bloße Vermutung genügt nicht, aber auch übermäßiges Zögern bei der internen Untersuchung wird von Aufsichtsbehörden kritisch gesehen.

Wird die 72-Stunden-Frist überschritten, muss der Meldung eine Begründung für die Verzögerung beigefügt werden (Art. 33 Abs. 1 Satz 2 DSGVO). In der Praxis empfehlen wir, lieber eine unvollständige Erstmeldung fristgerecht abzusetzen und nachträglich zu ergänzen, als die Frist verstreichen zu lassen.

Wann muss gemeldet werden? — Die Risikoabwägung

Nicht jede Datenschutzverletzung muss gemeldet werden. Art. 33 Abs. 1 DSGVO enthält eine Ausnahme: Die Meldung entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

In der Praxis bedeutet das: Sie müssen eine dokumentierte Risikoabwägung durchführen. Relevante Faktoren sind:

• Art und Sensibilität der betroffenen Daten (Gesundheitsdaten, Finanzdaten = hohes Risiko)
• Anzahl der betroffenen Personen
• Schwere der möglichen Folgen (Identitätsdiebstahl, finanzielle Schäden, Diskriminierung)
• Wahrscheinlichkeit negativer Auswirkungen
• Ob die Daten verschlüsselt waren
• Ob Gegenmaßnahmen sofort ergriffen wurden

Praxis-Tipp: Im Zweifel immer melden. Die Aufsichtsbehörden bewerten eine vorausschauende Meldung grundsätzlich positiv, während eine unterlassene Meldung als eigenständiger Verstoß geahndet wird.

Inhalt der Meldung — Pflichtangaben nach Art. 33 Abs. 3 DSGVO

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Angaben enthalten:

1. Beschreibung der Art der Verletzung — einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
3. Beschreibung der wahrscheinlichen Folgen der Verletzung
4. Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Auswirkungen

Checkliste für die Meldung:

• Datum und Uhrzeit der Feststellung
• Datum und Uhrzeit des Vorfalls (falls bekannt)
• Art der betroffenen Daten (Name, Adresse, Bankdaten, Gesundheitsdaten etc.)
• Ungefähre Anzahl betroffener Personen
• Ursache der Verletzung
• Bereits ergriffene Sofortmaßnahmen
• Geplante weitere Maßnahmen
• Kontaktdaten des DSB

Zuständige Aufsichtsbehörde

Die Meldung erfolgt an die Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Für Unternehmen in Deutschland ist dies der zuständige Datenschutzbehörde. Die Meldung kann online über das Meldeportal des SDTB erfolgen.

Bei grenzüberschreitenden Verarbeitungen gilt das One-Stop-Shop-Prinzip: Die federführende Aufsichtsbehörde ist die des Landes, in dem sich die Hauptniederlassung des Verantwortlichen befindet.

3. Benachrichtigungspflicht nach Art. 34 DSGVO — Information der Betroffenen

Neben der Meldung an die Aufsichtsbehörde kann auch eine Benachrichtigung der betroffenen Personen erforderlich sein. Art. 34 DSGVO greift, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Wann müssen Betroffene informiert werden?

Die Schwelle liegt höher als bei der Behördenmeldung. Ein hohes Risiko liegt typischerweise vor bei:

• Offenlegung von Gesundheitsdaten, Finanzdaten oder Zugangsdaten
• Möglichkeit des Identitätsdiebstahls
• Gefahr finanzieller Verluste für Betroffene
• Veröffentlichung vertraulicher Kommunikation
• Daten besonders schutzbedürftiger Personen (Kinder, Patienten)

Ausnahmen von der Benachrichtigungspflicht

Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen vor, bei denen die Benachrichtigung entfällt:

1. Verschlüsselung oder Pseudonymisierung: Die Daten waren durch geeignete technische Maßnahmen geschützt und sind für Unbefugte unverständlich.
2. Nachträgliche Maßnahmen: Der Verantwortliche hat Maßnahmen getroffen, die sicherstellen, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.
3. Unverhältnismäßiger Aufwand: Statt individueller Benachrichtigung genügt eine öffentliche Bekanntmachung oder ähnliche Maßnahme.

Inhalt der Benachrichtigung

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens enthalten:

• Beschreibung der Art der Datenschutzverletzung
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen Maßnahmen und Empfehlungen zum Selbstschutz

4. Typische Datenpannen in der Praxis

Als Datenschutzbeauftragter begegnen uns in der täglichen Praxis regelmäßig folgende Arten von Datenschutzverstößen:

E-Mail-Fehlversand

Der häufigste Datenschutzverstoß in Unternehmen: Eine E-Mail mit personenbezogenen Daten wird an den falschen Empfänger gesendet. Besonders kritisch bei offenen Verteilern (CC statt BCC), wenn Hunderte E-Mail-Adressen sichtbar werden. Ob eine Meldepflicht besteht, hängt von der Sensibilität der Daten ab.

Hacking und Cyberangriffe

Unberechtigter Zugriff auf IT-Systeme durch externe Angreifer. Besonders gefährlich, wenn Kundendatenbanken, Passwörter oder Zahlungsinformationen kompromittiert werden. Hier besteht fast immer Meldepflicht — sowohl an die Aufsichtsbehörde als auch an Betroffene.

Verlust mobiler Geräte

Ein Laptop, Smartphone oder USB-Stick mit unverschlüsselten personenbezogenen Daten geht verloren oder wird gestohlen. Die Verschlüsselung des Geräts kann die Meldepflicht entfallen lassen — ein wichtiger Grund für durchgehende Geräteverschlüsselung als technisch-organisatorische Maßnahme (TOM).

Ransomware-Angriffe

Schadsoftware verschlüsselt Unternehmensdaten und macht sie unzugänglich. Auch wenn keine Daten abfließen, liegt eine Verfügbarkeitsverletzung vor. Wenn kein aktuelles Backup vorhanden ist oder die Wiederherstellung zu lange dauert, besteht in der Regel Meldepflicht.

Offene Postfächer und Fehlkonfigurationen

Ungeschützte Cloud-Speicher, falsch konfigurierte Datenbanken oder offene Netzlaufwerke ermöglichen unbefugten Zugriff. Besonders tückisch: Solche Verletzungen bleiben oft lange unentdeckt, was die Risikobewertung und die Bestimmung des Fristbeginns erschwert.

Fehlversand von Briefpost

Auch analoger Fehlversand — etwa Gehaltsabrechnungen, medizinische Befunde oder Vertragsunterlagen an den falschen Empfänger — stellt einen meldepflichtigen Datenschutzverstoß dar, sofern ein Risiko für die Betroffenen besteht.

5. Internes Vorgehen bei Datenpannen — Der Incident-Response-Plan

Ein strukturiertes Vorgehen bei Datenschutzverstößen ist wichtig. Wir empfehlen unseren Kunden folgenden 6-Stufen-Prozess:

Stufe 1: Erkennung

Alle Mitarbeiter müssen wissen, was eine Datenpanne ist und an wen sie intern gemeldet wird. Schulungen und klare Meldewege sind nötig. Der Datenschutzbeauftragte muss sofort informiert werden.

Stufe 2: Eindämmung

Sofortmaßnahmen zur Begrenzung des Schadens: Betroffene Systeme isolieren, kompromittierte Zugänge sperren, Datenabfluss stoppen. Dabei wichtig: Beweise sichern und nichts voreilig löschen.

Stufe 3: Bewertung

Umfang und Schwere der Verletzung einschätzen: Welche Daten sind betroffen? Wie viele Personen? Welche Risiken bestehen? Auf dieser Grundlage wird entschieden, ob eine Meldepflicht besteht.

Stufe 4: Meldung

Bei bestehender Meldepflicht: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Bei hohem Risiko zusätzlich Benachrichtigung der betroffenen Personen. Der DSB koordiniert den Meldeprozess.

Stufe 5: Dokumentation

Lückenlose Dokumentation des gesamten Vorfalls: Zeitablauf, ergriffene Maßnahmen, Entscheidungsgrundlagen, Kommunikation. Diese Dokumentation ist auch bei Verzicht auf eine Meldung gesetzlich vorgeschrieben (Art. 33 Abs. 5 DSGVO).

Stufe 6: Nachbereitung

Lessons Learned: Was hat den Vorfall verursacht? Welche Maßnahmen verhindern eine Wiederholung? Müssen Prozesse, technische und organisatorische Maßnahmen oder Schulungen angepasst werden?

6. Bußgelder bei Nicht-Meldung eines Datenschutzverstoßes

Die Folgen einer unterlassenen oder verspäteten Meldung sind erheblich. Art. 83 Abs. 4 lit. a DSGVO sieht für Verstöße gegen die Meldepflicht nach Art. 33 und 34 Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist.

Dabei kommt es nicht nur auf die unterlassene Meldung selbst an. Die Aufsichtsbehörden berücksichtigen bei der Bußgeldbemessung unter anderem:

• Art, Schwere und Dauer des Verstoßes
• Vorsätzlichkeit oder Fahrlässigkeit
• Maßnahmen zur Minderung des Schadens
• Grad der Verantwortung (vorhandene TOMs)
• Frühere Verstöße
• Kooperationsbereitschaft mit der Aufsichtsbehörde

Wichtig: Auch die Nichtmeldung selbst wird als eigenständiger Verstoß gewertet — zusätzlich zu den Bußgeldern für den eigentlichen Datenschutzverstoß. Es lohnt sich also doppelt, die Meldepflichten ernst zu nehmen.

7. Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO

Art. 33 Abs. 5 DSGVO verpflichtet jeden Verantwortlichen, alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren — unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erfolgt ist oder nicht.

Das sogenannte Verzeichnis der Datenschutzverletzungen muss enthalten:

• Alle Fakten im Zusammenhang mit der Verletzung
• Deren Auswirkungen
• Die ergriffenen Abhilfemaßnahmen
• Die Begründung der Entscheidung (Meldung ja/nein)

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können. Es dient als Nachweis, dass Sie Ihre Pflichten ernst nehmen und die Risikoabwägung sorgfältig durchgeführt haben. Das Verzeichnis ist eng verknüpft mit dem Verarbeitungsverzeichnis und sollte vom Datenschutzbeauftragten regelmäßig überprüft werden.

8. Praxisbeispiele: Bußgelder für Meldeverstöße in Deutschland

Die deutschen Aufsichtsbehörden haben in den letzten Jahren zahlreiche Bußgelder wegen Verstößen gegen die Meldepflicht verhängt. Einige prominente Beispiele:

• 1&1 Telecom (2019): 9,55 Millionen Euro Bußgeld wegen unzureichender Authentifizierungsverfahren bei der telefonischen Kundenbetreuung — Kundendaten konnten zu leicht abgerufen werden.
• Krankenhaus in Rheinland-Pfalz (2019): 105.000 Euro wegen mangelhafter interner Strukturen, die zu Datenverwechslungen bei Patienten führten.
• Delivery Hero (2019): 195.000 Euro wegen mehrerer Datenschutzverstöße, darunter verspätete Meldungen von Datenpannen.
• Verschiedene KMU (2020-2025): Bußgelder zwischen 5.000 und 50.000 Euro für verspätete oder unterlassene Meldungen von E-Mail-Fehlversand, Ransomware-Vorfällen und verlorenen Datenträgern.

Trend: Die Bußgelder steigen kontinuierlich. Während in den ersten DSGVO-Jahren häufig Verwarnungen ausgesprochen wurden, greifen die Aufsichtsbehörden zunehmend zu empfindlichen Geldbußen — auch bei kleineren Unternehmen.

9. Prävention: Wie Sie Datenpannen vermeiden

Der beste Datenschutzverstoß ist der, der gar nicht erst passiert. Folgende Maßnahmen reduzieren das Risiko von Datenpannen erheblich:

Technische Maßnahmen

• Verschlüsselung: E-Mail-Verschlüsselung, Festplattenverschlüsselung, verschlüsselte Datenübertragung (TLS/SSL)
• Zugriffskontrolle: Rollenbasierte Berechtigungen, Zwei-Faktor-Authentifizierung, regelmäßige Überprüfung der Zugriffsrechte
• Backup-Strategie: Regelmäßige, getestete Backups nach der 3-2-1-Regel
• Patch-Management: Zeitnahes Einspielen von Sicherheitsupdates
• Monitoring: Überwachung der IT-Systeme auf verdächtige Aktivitäten
• E-Mail-Sicherheit: Autocomplete deaktivieren, Warnungen bei externen Empfängern, DLP-Regeln

Organisatorische Maßnahmen

• Mitarbeiterschulungen: Regelmäßige Sensibilisierung zu Datenschutz und IT-Sicherheit
• Klare Prozesse: Definierte Meldewege, Incident-Response-Plan, Notfallkontakte
• Datensparsamkeit: Nur die tatsächlich benötigten Daten erheben und speichern
• Löschkonzept: Daten nach Ablauf der Aufbewahrungsfristen konsequent löschen
• Auftragsverarbeitung: Sorgfältige Auswahl und Überwachung von Dienstleistern gemäß Art. 28 DSGVO
• Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungen vorab durchführen

10. Warum ein externer Datenschutzbeauftragter bei Datenpannen hilft — DATUREX GmbH

Wenn eine Datenpanne eintritt, zählt jede Minute. Ein erfahrener externer Datenschutzbeauftragter bringt die nötige Routine und Expertise mit, um schnell und rechtssicher zu handeln:

• Sofortige Risikobewertung: Innerhalb weniger Stunden eine fundierte Einschätzung, ob Meldepflicht besteht
• Professionelle Meldung: Korrekte und vollständige Meldung an die Aufsichtsbehörde — fristgerecht innerhalb von 72 Stunden
• Betroffenenkommunikation: Rechtssichere Benachrichtigung der betroffenen Personen, wenn erforderlich
• Behördenkontakt: Erfahrung im Umgang mit Aufsichtsbehörden, insbesondere den zuständigen Landesbehörden
• Incident-Response-Plan: Wir erstellen Ihnen einen individuellen Notfallplan, damit im Ernstfall jeder Handgriff sitzt
• Prävention: Regelmäßige Überprüfung Ihrer technischen und organisatorischen Maßnahmen
• Dokumentation: Lückenlose Führung des Verzeichnisses aller Datenschutzverletzungen
• Schulungen: Ihre Mitarbeiter lernen, Datenpannen zu erkennen und richtig zu reagieren

Die DATUREX GmbH betreut als TÜV-, BSI- und IHK-zertifizierter externer Datenschutzbeauftragter bundesweit. Wir kennen die Anforderungen der Aufsichtsbehörden aus der täglichen Praxis und unterstützen Sie sowohl bei der Prävention als auch im akuten Ernstfall.

Lassen Sie es nicht auf ein Bußgeld ankommen. Ein professioneller Datenschutzbeauftragter ist Ihre beste Versicherung gegen die Folgen von Datenpannen. Informieren Sie sich über unsere DSGVO-Beratung oder fordern Sie direkt ein unverbindliches Angebot an.

Kontaktieren Sie uns jetzt:
Telefon: 0351 / 795 935 13
Oder nutzen Sie unser Kontaktformular.

Häufige Fragen zum Datenschutzverstoß melden