Eine Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO ist jede Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Wenn Ihrem Unternehmen so etwas passiert, haben Sie in den meisten Fällen 72 Stunden Zeit, um die zuständige Aufsichtsbehörde zu informieren. Diese Frist beginnt ab dem Moment, in dem Sie Kenntnis von der Verletzung erlangen — nicht ab dem Zeitpunkt des Vorfalls.
Art. 33 Abs. 1 DSGVO formuliert die Meldepflicht klar: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Die Aufsichtsbehörden haben hierzu klare Leitlinien entwickelt. Die EDSA-Leitlinie 01/2021 (rev. 2022) beschreibt verschiedene Fallkategorien und die jeweiligen Meldepflichten. Viele Vorfälle, wie ein unverschlüsseltes Notebook, das verloren geht, oder eine falsch adressierte Email mit personenbezogenen Daten, lösen eine Meldepflicht aus.
Die 72-Stunden-Frist: Was zählt als „Kenntnis“?
Die Frist beginnt, wenn der Verantwortliche „Kenntnis“ von der Verletzung erlangt. Nach der EDSA-Leitlinie gilt: Kenntnis besteht ab dem Zeitpunkt, an dem der Verantwortliche hinreichend sicher ist, dass eine Verletzung stattgefunden hat. Erste Verdachtsmomente starten die Frist noch nicht — aber Sie müssen dann zügig untersuchen.
Wenn Sie die 72-Stunden-Frist nicht einhalten können, müssen Sie gemäß Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung mitliefern. Eine spätere Meldung ist also möglich, aber begründungsbedürftig. Das OVG Münster (Az. 16 A 845/20) hat bestätigt, dass zu späte oder unterbliebene Meldungen als eigenständige DSGVO-Verstöße geahndet werden können.
Wann ist keine Meldung erforderlich?
Art. 33 Abs. 1 DSGVO sieht eine Ausnahme vor: Wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, ist keine Meldung notwendig. Diese Ausnahme ist eng auszulegen. Typische Nicht-Meldepflicht-Fälle:
- Verlust eines verschlüsselten Geräts, das nicht entschlüsselt werden kann
- Kurzfristiger Systemausfall ohne Datenverlust oder Zugriff Dritter
- Versehentliche Löschung von Daten, die unmittelbar aus Backup wiederhergestellt werden können
Auch wenn keine Meldepflicht besteht: Die interne Dokumentation gemäß Art. 33 Abs. 5 DSGVO ist immer Pflicht.
Pflichtangaben in der Meldung nach Art. 33 Abs. 3 DSGVO
Eine vollständige Meldung muss folgende Angaben enthalten:
- lit. a) Beschreibung der Art der Verletzung: Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- lit. b) Name und Kontaktdaten des DSB oder anderen Ansprechpartners
- lit. c) Beschreibung der wahrscheinlichen Folgen der Verletzung
- lit. d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und ggf. zur Abmilderung der nachteiligen Folgen
Eine Mustermeldung nach diesen Vorgaben finden Sie in unserem Artikel Mustermeldung Datenschutzverletzung.
Zuständige Aufsichtsbehörden in Deutschland
Zuständig ist grundsätzlich die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat. Für Bundesbehörden und bestimmte Bundeseinrichtungen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.
Die Meldungen können in der Regel über Online-Portale der jeweiligen Aufsichtsbehörde eingereicht werden. Der BfDI bietet unter bfdi.bund.de ein Meldeformular an. Die Landesbeauftragten haben ähnliche Online-Portale.
Was sind die Konsequenzen einer nicht gemeldeten Datenpanne?
Das Unterlassen einer Meldung bei Meldepflicht ist gemäß Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Details zu Bußgeldern finden Sie in unserem Artikel Datenschutzverletzung: Strafen und Bußgelder.
Dazu kommen Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO. Gerichte können auch immateriellen Schaden zusprechen — ohne dass ein konkreter finanzieller Schaden nachgewiesen werden muss. Mehr dazu in unserem Artikel Schadensersatz nach Datenschutzverletzung.
Prävention: Datenpannen von vornherein verhindern
Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO reduzieren das Risiko von Datenpannen erheblich. Dazu zählen: Verschlüsselung gespeicherter Daten, starke Authentifizierung, Zugriffskontrolle, regelmäßige Backups und Mitarbeiterschulungen. Mehr zu TOM als Schutzmaßnahme finden Sie unter TOM als Schutzmaßnahme nach Art. 32 DSGVO.
Wenn ein Vorfall trotz Schutzmaßnahmen eingetreten ist, bietet sich eine Datenschutz-Folgenabschätzung (DSFA) für betroffene Verarbeitungen an, um systemische Schwachstellen zu identifizieren. Mehr dazu: Datenschutzfolgeabschätzung nach Datenpanne.
Verwandte Themen in unserem Blog
- Was ist eine Datenschutzverletzung nach DSGVO?
- Datenschutzverletzung: Strafen und Bußgelder
- Schadensersatz nach Datenschutzverletzung
- Mustermeldung Datenschutzverletzung herunterladen
Mit PLANIT // PRIMA können Sie Datenschutzverletzungen systematisch dokumentieren, Risiken bewerten und Meldeprozesse automatisieren. Datenschutzverletzungen vorbeugen mit PLANIT // PRIMA.
Häufige Fragen
Was ist eine Datenschutzverletzung im Sinne der DSGVO?
Jede Verletzung der Sicherheit personenbezogener Daten, die zu zufälliger oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang führt (Art. 4 Nr. 12 DSGVO). Das betrifft Hacker-Angriffe ebenso wie Fehlversand einer Email, verlorene USB-Sticks oder Ransomware.
Muss ich jede Datenpanne melden?
Nein. Nur wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei keinem Risiko: interne Dokumentation. Bei Risiko: Meldung an Aufsichtsbehörde. Bei hohem Risiko: zusätzlich Benachrichtigung der Betroffenen.
Wann muss ich eine Datenschutzverletzung melden?
Sie müssen eine Datenschutzverletzung der zuständigen Aufsichtsbehörde melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Meldung muss gemäß Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden erfolgen, nachdem Ihnen die Verletzung bekannt wurde.
Welche Informationen muss die Meldung an die Aufsichtsbehörde enthalten?
Die Meldung an die Aufsichtsbehörde muss gemäß Art. 33 Abs. 3 DSGVO mindestens die Art der Datenschutzverletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, die wahrscheinlichen Folgen der Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Minderung der Folgen enthalten.
Was passiert, wenn ich die 72-Stunden-Frist verpasse?
Sie müssen die Meldung trotzdem einreichen — mit Begründung für die Verzögerung (Art. 33 Abs. 1 Satz 2 DSGVO). Eine Nichteinhaltung der Meldepflicht kann gemäß Art. 83 Abs. 4 lit. a DSGVO zu erheblichen Geldbußen von bis zu 10 Millionen Euro führen.
Gilt die 72-Stunden-Frist auch am Wochenende?
Ja. Die Frist läuft ohne Unterbrechung, auch an Wochenenden und Feiertagen. Wenn eine Datenpanne am Freitagabend entdeckt wird, endet die Frist am Montag früh.
Muss ich auch die betroffenen Personen informieren?
Ja, unter bestimmten Umständen müssen Sie auch die betroffenen Personen informieren. Gemäß Art. 34 Abs. 1 DSGVO ist dies erforderlich, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten dieser Personen zur Folge hat. Die Benachrichtigung muss unverzüglich erfolgen.
Wie lang muss ich die Dokumentation aufbewahren?
Art. 33 Abs. 5 DSGVO schreibt keine Mindest-Aufbewahrungsfrist vor, aber die Verjährungsfristen für Bußgelder und Schadensersatz (3-5 Jahre) sollten als Orientierung dienen. In der Praxis empfehlen Aufsichtsbehörden mindestens 3 Jahre.