Wann musst du eine Datenpanne nach DSGVO melden?
Was eine Datenpanne ist
Eine Verletzung des Schutzes der Rechte und Freiheiten Betroffener. Beispiele: Daten-Leak durch Hacker, versehentliche Mail an falschen Empfänger mit Personaldaten, verlorener USB-Stick, falsch konfigurierte Datenbank im Internet, Phishing-Mail die Mitarbeiter-Login abfischt. Auch Mitarbeiter-Fehler zählen.
72-Stunden-Frist
Ab Kenntnis der Panne läuft die Uhr. Innerhalb 72 Stunden muss eine Meldung an die zuständige Aufsichtsbehörde raus. Inhalt: Art der Panne, betroffene Kategorien, geschätzte Anzahl Personen, Folgen, Maßnahmen. Bei unvollständiger Information: erst melden, dann nachreichen. Verzögerung muss begründet sein.
Information der Betroffenen (Art. 34)
Wenn die Panne ein hohes Risiko für Betroffene bedeutet (Identitätsdiebstahl, finanzielle Schäden, Diskriminierung), müssen Betroffene direkt informiert werden. Ausnahme: Daten waren verschlüsselt, sodass Angreifer sie nicht nutzen können. Information muss klar verständlich sein, ohne Juristen-Deutsch.
Prävention durch Prozess
Vor der Panne festlegen: Wer wird informiert? Wer entscheidet, ob meldepflichtig? Wer schreibt die Meldung? Wer kommuniziert mit Betroffenen? Diese Krisen-Vorbereitung spart unter Druck wertvolle Zeit. Auch Mitarbeiter-Schulung: Pannen früh melden, nicht verstecken. Kultur der Offenheit ist Schlüssel.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.