Datenschutz & IT-Sicherheit

Was tun bei einer Datenpanne? Die 72-Stunden-Regel der DSGVO

Zuletzt aktualisiert:

Was ist eine Datenpanne nach DSGVO?

Art. 4 Nr. 12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als jede Verletzung der Sicherheit, die zu Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang führt. Drei Ausprägungen: (1) Vertraulichkeitsverletzung, unbefugter Zugang (Hack, falscher Mail-Empfänger), (2) Integritätsverletzung, unautorisierte Veränderung, (3) Verfügbarkeitsverletzung. Datenverlust (Ransomware, Hardware-Defekt ohne Backup).

Die 72-Stunden-Uhr · wann sie startet

Die Frist beginnt mit Kenntnisnahme durch den Verantwortlichen (nicht mit Beginn des Vorfalls). „Kenntnisnahme“ meint eine begründete Annahme, nicht erst forensische Sicherheit. Auftragsverarbeiter müssen den Verantwortlichen „unverzüglich“ informieren (Art. 33 Abs. 2). Tipp: 72 Stunden inkludieren Wochenenden und Feiertage. Wenn Information unvollständig: Meldung trotzdem rechtzeitig, Ergänzung nachreichen (Art. 33 Abs. 4).

Wann muss NICHT gemeldet werden?

Nur wenn die Panne voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Beispiel: verschlüsselter Laptop verloren, Schlüssel sicher beim Eigentümer, Daten praktisch unzugänglich. ABER: Die Risikoabwägung ist zu dokumentieren, das gilt auch bei Nicht-Meldung. Im Zweifel melden. Aufsichtsbehörden kommunizieren regelmäßig, dass zu wenige Pannen gemeldet werden.

Benachrichtigung der Betroffenen (Art. 34)

Bei voraussichtlich hohem Risiko (z. B. Veröffentlichung von Gesundheitsdaten, Identitätsdiebstahl, finanzielle Schäden) müssen Betroffene unverzüglich, in klarer und einfacher Sprache informiert werden. Ausnahmen: Daten waren wirksam verschlüsselt, Risiko ist nachträglich entfallen, oder Benachrichtigung wäre unverhältnismäßig, dann öffentliche Bekanntmachung.

Inhalte der Meldung (Art. 33 Abs. 3)

Pflichtangaben: (a) Art der Verletzung inkl. Kategorien und ungefähre Zahl Betroffener und Datensätze, (b) Kontaktdaten des Datenschutzbeauftragten, (c) Wahrscheinliche Folgen, (d) Ergriffene und vorgeschlagene Maßnahmen zur Eindämmung. Die meisten Aufsichtsbehörden bieten Online-Formulare an (z. B. BayLDA, LfDI Baden-Württemberg).

Notfallplan · 5 Schritte für die ersten Stunden

1. Vorfall eindämmen (System trennen, Zugänge sperren, Passwörter rotieren). 2. Forensische Sicherung (Logs, Images), vor weiteren Maßnahmen. 3. DSB und Geschäftsleitung informieren. 4. Risikoabwägung durchführen, schriftlich dokumentieren. 5. Bei Meldepflicht: Formular der zuständigen Behörde ausfüllen, ggf. Strafanzeige bei Cybercrime, Versicherung informieren.

Interne Dokumentation (Art. 33 Abs. 5)

Jede Panne, auch nicht meldepflichtige, muss intern dokumentiert werden: Fakten, Auswirkungen, Maßnahmen. Diese Dokumentation muss den Aufsichtsbehörden auf Anfrage vorgelegt werden können. Tipp: Strukturierte Vorlage im Verarbeitungsverzeichnis verankern.

Hinweis

Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Im Ernstfall: Datenschutzbeauftragten und Fachanwalt einschalten.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.