Erste Schritte und interner Ablauf bei einer Datenschutzverletzung
Was nach Entdeckung einer Datenpanne sofort zu tun ist: Erkennen und Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, sowie die Pflichten von Auftragsverarbeitern.
Die ersten Stunden nach Entdeckung einer Datenschutzverletzung entscheiden über vieles: über das Ausmaß des Schadens, über die Einhaltung der Meldefrist und über die Nachweisbarkeit eines ordnungsgemäßen Vorgehens. Diese Seite beschreibt den internen Ablauf von der Erkennung bis zu dem Punkt, an dem die Risikobewertung und gegebenenfalls die Meldung greifen.
Das Wichtigste in Kürze
- Reihenfolge der Sofortmaßnahmen: eindämmen, intern melden, Sachverhalt klären, Risiko bewerten, reagieren und dokumentieren.
- Die 72-Stunden-Frist beginnt mit der Kenntnis, also der hinreichenden Gewissheit, dass personenbezogene Daten betroffen sind, nicht mit dem Vorfall.
- Eine kurze Aufklärungsphase ist zulässig, darf aber nicht zum Hinauszögern dienen.
- In großen Organisationen ist die Verletzung dem Verantwortlichen zuzurechnen, sobald eine zuständige Stelle Kenntnis erlangt; der Informationsfluss muss organisiert sein.
- Ein Auftragsverarbeiter meldet die Verletzung unverzüglich an den Verantwortlichen, nicht selbst an die Aufsichtsbehörde (Art. 33 Abs. 2 DSGVO).
1. Erkennen und sofort eindämmen
1.1 Verdacht intern melden
Voraussetzung jeder Reaktion ist, dass eine Verletzung überhaupt erkannt und an die richtige Stelle gemeldet wird. Jede Person im Unternehmen sollte einen Verdacht auf eine Datenschutzverletzung sofort intern weitergeben, regelmäßig an den Datenschutzbeauftragten oder eine benannte Meldestelle. Dafür braucht es einen klaren, allen bekannten Meldeweg und eine Fehlerkultur, die das schnelle Melden vor die Suche nach Schuldigen stellt. Technische Hinweisquellen wie Protokoll- und Warnsysteme gehören in denselben Meldeweg.
1.2 Sofortmaßnahmen zur Eindämmung
Noch bevor das Risiko abschließend bewertet ist, sind die naheliegenden Maßnahmen zu ergreifen, um den Vorfall zu stoppen und seine Ausweitung zu verhindern. Welche Maßnahme passt, hängt von der Art der Verletzung ab:
- Betroffene Systeme isolieren oder vom Netz nehmen.
- Kompromittierte Zugangsdaten zurücksetzen und Konten sperren.
- Ein verlorenes oder gestohlenes Gerät aus der Ferne sperren oder löschen.
- Einen falschen Empfänger zur Löschung oder Rücksendung auffordern und sich die Löschung bestätigen lassen.
- Daten aus einer Sicherungskopie wiederherstellen, wenn die Verfügbarkeit betroffen ist.
Diese Maßnahmen sind doppelt wichtig: Sie begrenzen den Schaden und sie fließen in die Risikobewertung ein, weil ein wirksam eingedämmtes Risiko niedriger einzustufen ist.
2. Vorprüfung: liegt eine Verletzung vor?
Nicht jeder gemeldete Vorgang ist eine Datenschutzverletzung. In der Vorprüfung klärt die zuständige Stelle, ob die drei Voraussetzungen erfüllt sind: ein Sicherheitsvorfall, der personenbezogene Daten betrifft und eines der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt. Eine fehlerhaft auf eine falsche Rechtsgrundlage gestützte Übermittlung etwa verstößt gegen das Datenschutzrecht, ist aber keine Verletzung der Datensicherheit und löst die Meldepflichten der Art. 33, 34 DSGVO nicht aus.
2.1 Sofortige Aufklärung statt Abwarten
Bestätigt sich der Verdacht nicht von selbst, leitet die zuständige Stelle unverzüglich die nötige Aufklärung ein, um sich Gewissheit über Art und Umfang zu verschaffen. Diese Aufklärung soll schnellstmöglich beginnen und mit der gebotenen Eile geführt werden. Sie dient der Feststellung, ob eine Verletzung vorliegt, nicht der vollständigen forensischen Aufarbeitung; diese kann parallel zur Meldung weiterlaufen.
2.2 Unklare Tatsachengrundlage
Häufig liegt der Sachverhalt nicht offen zutage. Für die Praxis gilt:
- Steht ein nachteiliger Erfolg fest (etwa ein Dokument aus einer Personalakte taucht in der Presse auf), ohne dass der Weg dorthin geklärt ist, ist auf eine mögliche Verletzung zu schließen und entsprechend zu verfahren.
- Steht ein Verletzungserfolg fest (etwa ein ungewollter Datenabfluss), ohne dass die Ursache bekannt ist, ist von einer Verletzung auszugehen.
- Ist ein Angriffsverhalten belegt, aber unklar, ob es Erfolg hatte (etwa ein reaktivierter Account eines ausgeschiedenen Mitarbeiters), legt der Verantwortliche seiner Beurteilung zugrunde, dass eine Verletzung eingetreten ist (vorläufige Meldung). Er kann sich nicht damit entlasten, das eigene System sei nicht durchschaubar.
- Ist ein Verletzungserfolg nachweislich ausgeblieben, liegt keine Datenschutzverletzung vor.
3. Wann gilt die Verletzung als bekannt?
Der Zeitpunkt der Kenntnis ist der Startpunkt der 72-Stunden-Frist und damit der praktisch wichtigste Punkt des gesamten Ablaufs.
3.1 Hinreichende Gewissheit, nicht erster Verdacht
Bekannt ist die Verletzung, sobald der Verantwortliche mit hinreichender Gewissheit weiß, dass ein Sicherheitsvorfall zu einer Beeinträchtigung personenbezogener Daten geführt hat. Ein bloßer erster Hinweis oder Verdacht genügt dafür noch nicht. Die folgenden Beispiele zeigen, wann die Schwelle überschritten ist (EDPB, Leitlinien 9/2022, Rn. 33 ff.):
- Verlorener unverschlüsselter USB-Stick. Ob Unbefugte zugegriffen haben, lässt sich oft nicht feststellen. Bekannt ist die Verletzung dennoch im Moment, in dem der Verlust bemerkt wird, weil zumindest die Verfügbarkeit mit hinreichender Gewissheit verletzt ist.
- Hinweis eines Dritten. Teilt ein Dritter mit, er habe versehentlich Daten eines Kunden erhalten, und legt er dafür einen Beleg vor, ist die Verletzung zweifelsfrei und sofort bekannt.
- Verdacht auf Eindringen. Bemerkt der Verantwortliche ein mögliches Eindringen in sein Netzwerk, ist die Verletzung erst dann bekannt, wenn die Prüfung der Systeme die Beeinträchtigung bestätigt.
- Lösegeldforderung. Meldet sich ein Angreifer nach einem Hack mit einer Lösegeldforderung, ist die Verletzung bekannt, sobald der Verantwortliche sein System geprüft und den Angriff bestätigt hat.
3.2 Die Aufklärungsphase
Vor der hinreichenden Gewissheit, während der ersten kurzen Aufklärung, gilt die Verletzung noch nicht als bekannt; die Frist läuft noch nicht. Diese Aufklärung muss aber schnellstmöglich beginnen und zügig geführt werden. Aus aufsichtsbehördlicher Sicht ist für sie nur ein eng begrenzter Zeitraum von höchstens etwa 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte vertretbar; benötigt die Aufklärung länger, ist dies in der Meldung zu erläutern (BayLfD, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht, Rn. 70). Die Phase dient der Feststellung, ob eine Verletzung vorliegt, nicht der vollständigen forensischen Aufarbeitung; diese kann parallel zur Meldung weiterlaufen.
Die Aufklärungsphase darf nicht zum Hinauszögern der Meldung genutzt werden. Wer sich der Kenntnis bewusst und planmäßig verschließt, wird so behandelt, als hätte er Kenntnis. Ab diesem Zeitpunkt läuft die Frist.
3.3 Kenntniszurechnung in der Organisation
In einer arbeitsteiligen Organisation kommt es darauf an, wessen Wissen dem Verantwortlichen zugerechnet wird. Maßgeblich ist die Kenntnis einer für die Behandlung des Vorfalls zuständigen Stelle (Wissensvertreter), etwa der Leitung, der für die Datenschutzorganisation zuständigen Einheit, des betroffenen Fachbereichs oder der zuständigen IT-Stelle. Der Verantwortliche muss seinen Informationsfluss so organisieren, dass eine Verletzung diese Stellen rechtzeitig erreicht. Beruht die verspätete Kenntnis auf einem Organisationsverschulden, ist auf den Zeitpunkt abzustellen, zu dem die Kenntnisnahme bei ordnungsgemäßem Ablauf zu erwarten gewesen wäre.
Zwei Sonderfälle sind zu beachten:
- Das alleinige Wissen des Datenschutzbeauftragten wird dem Verantwortlichen nicht zugerechnet, weil dieser weisungsfrei und zur Verschwiegenheit verpflichtet ist; gleichwohl wirkt er auf Risikominimierung und auf die interne Weitergabe hin (siehe Aufgaben des Datenschutzbeauftragten).
- Bei einer Auftragsverarbeitung gilt die Verletzung dem Verantwortlichen erst als bekannt, wenn der Auftragsverarbeiter ihn informiert hat (Art. 33 Abs. 2 DSGVO).
4. Interne Meldung: welche Angaben gebraucht werden
Die interne Meldung an den Datenschutzbeauftragten oder die Meldestelle bildet die Grundlage für Risikobewertung, Meldung und Benachrichtigung. Sie sollte, soweit bekannt, die folgenden Angaben enthalten und fehlende Angaben unverzüglich nachreichen:
- Was ist passiert? Möglichst genaue Beschreibung des Vorfalls.
- Wessen Daten? Kategorien der betroffenen Personen (etwa Beschäftigte, Kunden, Patienten).
- Wie viele Personen? Ungefähre Zahl der betroffenen Personen.
- Welche Datenarten? Welche Kategorien personenbezogener Daten betroffen sind, einschließlich des Hinweises auf besondere Kategorien nach Art. 9 DSGVO.
- Wie viele Datensätze? Ungefähre Zahl der betroffenen Datensätze.
- Seit wann Kenntnis? Datum und Uhrzeit, zu denen hinreichende Gewissheit über die Verletzung bestand.
- Wer meldet und ist erreichbar? Meldende Person und Ansprechpartner.
- Welche Folgen und Maßnahmen? Wahrscheinliche Folgen sowie bereits ergriffene und vorgeschlagene Maßnahmen zur Behebung und zur Abmilderung.
Betrifft die Verletzung eine Verarbeitung, die das Unternehmen im Auftrag eines anderen ausführt, gehört auch dieser Umstand in die interne Meldung, weil dann der Auftraggeber zu informieren ist.
5. Sonderkonstellationen: Auftragsverarbeiter und gemeinsam Verantwortliche
Wer als Auftragsverarbeiter eine Verletzung feststellt, meldet diese unverzüglich an den Verantwortlichen (Art. 33 Abs. 2 DSGVO). Der Auftragsverarbeiter ist nicht verpflichtet, das Risiko zu bewerten oder selbst an die Aufsichtsbehörde zu melden; das ist Sache des Verantwortlichen. Eine eigene 72-Stunden-Frist trifft den Auftragsverarbeiter nicht, wohl aber die Pflicht zur unverzüglichen Meldung; ein Verstoß dagegen ist eigenständig bußgeldbewehrt. Sobald der Verantwortliche durch den Auftragsverarbeiter informiert ist, gilt ihm die Verletzung als bekannt und seine Frist beginnt.
Die folgende Übersicht zeigt die Meldekette und macht deutlich, dass die 72-Stunden-Frist des Verantwortlichen erst mit der Meldung des Auftragsverarbeiters zu laufen beginnt.
Wer welche Pflicht trägt, fasst die folgende Tabelle zusammen.
| Rolle | Pflicht bei einer Verletzung |
|---|---|
| Auftragsverarbeiter | Meldet unverzüglich an den Verantwortlichen (Art. 33 Abs. 2). Keine eigene Risikobewertung, keine 72-Stunden-Frist, keine Meldung an die Aufsichtsbehörde. Verstoß gegen die Meldepflicht ist eigenständig bußgeldbewehrt. |
| Verantwortlicher | Bewertet das Risiko, meldet an die Aufsichtsbehörde und benachrichtigt die Betroffenen. Trägt die Gesamtverantwortung. |
| Gemeinsam Verantwortliche | Die Vereinbarung nach Art. 26 DSGVO legt fest, wer die Pflichten aus Art. 33, 34 DSGVO erfüllt; das sollte ausdrücklich geregelt sein. |
Für die Praxis sollte der Auftragsverarbeitungsvertrag die Reaktion auf eine Verletzung vorab regeln (EDPB, Leitlinien 9/2022, Rn. 45 ff.):
- eine konkrete interne Meldefrist (etwa binnen 24 Stunden), damit der Verantwortliche seine 72-Stunden-Frist halten kann;
- benannte Ansprechpartner und ihre Erreichbarkeit auf beiden Seiten;
- den Mindestinhalt der Meldung des Auftragsverarbeiters, angelehnt an die Angaben, die der Verantwortliche später selbst braucht;
- ob der Auftragsverarbeiter im Namen des Verantwortlichen an die Aufsichtsbehörde melden darf, wofür eine Vollmacht nötig ist und die rechtliche Verantwortung gleichwohl beim Verantwortlichen bleibt;
- die Pflicht, bei Mehrmandantenbetrieb jeden betroffenen Verantwortlichen einzeln zu informieren.
Der vollständige Pflichtinhalt des Auftragsverarbeitungsvertrags steht unter Auftragsverarbeiter. Bei gemeinsam Verantwortlichen empfiehlt es sich, in der Vereinbarung nach Art. 26 DSGVO ausdrücklich zu regeln, welcher Verantwortliche die Meldung übernimmt.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Datenschutzverletzung (Datenpanne): Melden nach Art. 33, 34 DSGVO
Was bei einer Datenschutzverletzung zu tun ist: der Ablauf von der Erkennung bis zur Dokumentation, die 72-Stunden-Frist, die drei Risikostufen, Meldung an die Aufsichtsbehörde (Art. 33) und Benachrichtigung der Betroffenen (Art. 34 DSGVO).
Risikobewertung bei einer Datenschutzverletzung
Wie das Risiko einer Datenpanne bewertet wird: das dreistufige Modell, die Bewertungsfaktoren, Schwere und Eintrittswahrscheinlichkeit der Nachteile, die Risikomatrix und Fallbeispiele für die Einstufung.