Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)
Was eine Datenpanne im Sinne der DSGVO ist, welche drei Verletzungsarten unterschieden werden und welche Meldepflichten an Aufsichtsbehörde und betroffene Personen ausgelöst werden.
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn ein Sicherheitsvorfall dazu führt, dass personenbezogene Daten vernichtet, verloren, verändert oder unbefugt offengelegt werden bzw. Unbefugte Zugang zu ihnen erhalten (Art. 4 Nr. 12 DSGVO). Der Begriff ist weit gefasst und deckt sowohl unbeabsichtigte als auch vorsätzliche Vorgänge ab.
Das Wichtigste in Kürze
- Eine Datenpanne setzt eine Verletzung der Sicherheit voraus. Die bloß rechtswidrige Verarbeitung ohne Sicherheitsvorfall fällt nicht darunter.
- Erfasst sind drei Verletzungsarten: Angriffe auf Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
- Die Form des Vorfalls ist unerheblich: unbeabsichtigte Fahrlässigkeit und gezielter Angriff stehen gleichrangig nebeneinander.
- Liegt eine Datenpanne vor, greifen die Meldepflichten aus Art. 33 DSGVO (Aufsichtsbehörde, grundsätzlich binnen 72 Stunden) und ggf. Art. 34 DSGVO (betroffene Personen bei hohem Risiko).
- Mögliche Schäden reichen von Identitätsdiebstahl und finanziellen Verlusten bis zur Rufschädigung und dem Verlust der Kontrolle über eigene Daten (Erwägungsgrund 85 DSGVO).
1. Überblick
Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Das prägende Merkmal ist das Erfordernis einer Sicherheitsverletzung. Wer personenbezogene Daten ohne Rechtsgrundlage verarbeitet, begeht zwar einen Verstoß gegen die DSGVO, löst aber nicht zwingend eine Datenpanne aus, wenn dabei kein Sicherheitsvorfall eintritt. Beide Tatbestände können sich überschneiden, sind aber voneinander zu trennen.
Die Definition steht im unmittelbaren Zusammenhang mit zwei zentralen Folgenormen:
- Art. 33 DSGVO: Der Verantwortliche hat eine Verletzung grundsätzlich unverzüglich und, wenn möglich, binnen 72 Stunden nach Kenntnisnahme der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht entfällt nur, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
- Art. 34 DSGVO: Ist das Risiko für die betroffenen Personen voraussichtlich hoch, müssen diese unverzüglich benachrichtigt werden. Ausnahmen bestehen etwa bei wirksamer Verschlüsselung der betroffenen Daten.
2. Die drei Verletzungsarten
Art. 4 Nr. 12 DSGVO benennt keine Kategorien ausdrücklich, lässt sich aber anhand der betroffenen Schutzgüter systematisch gliedern. Maßgeblich ist, ob die Vertraulichkeit, die Integrität oder die Verfügbarkeit der Daten beeinträchtigt ist. Diese drei Dimensionen entsprechen den Grundsätzen aus Art. 5 Abs. 1 lit. f DSGVO.
| Verletzungsart | Betroffenes Schutzgut | Beschreibung | Beispiele |
|---|---|---|---|
| Vertraulichkeitsverletzung | Vertraulichkeit | Unbefugte Offenlegung von oder unbefugter Zugang zu Daten | Hacking-Angriff, versehentlicher Versand an falschen Empfänger, Phishing, vorsätzliche Weitergabe an Dritte |
| Integritätsverletzung | Integrität | Unberechtigte oder unbeabsichtigte Veränderung von Daten | Manipulation von Datensätzen durch Angreifer, fehlerhafte Datenmigration, unbefugte Korrekturen durch Mitarbeiter |
| Verfügbarkeitsverletzung | Verfügbarkeit | Vernichtung oder Verlust von Daten | Ransomware-Angriff, defekter Datenträger ohne Backup, versehentliche Löschung, Verlust eines unverschlüsselten USB-Sticks |
Mehrere Verletzungsarten können gleichzeitig vorliegen. Ein Ransomware-Angriff kann etwa Daten verschlüsseln (Verfügbarkeitsverletzung) und zugleich abgreifen (Vertraulichkeitsverletzung).
3. Form und Ursache: unerheblich
Auf die Form des auslösenden Ereignisses kommt es nicht an. Erfasst sind gleichermaßen:
- Unbeabsichtigte Vorgänge, etwa Fahrlässigkeit von Mitarbeitern, ein liegengelassener Datenträger, eine fehlgeleitete E-Mail oder die unsachgemäße Entsorgung von Unterlagen.
- Vorsätzliche Handlungen, etwa gezieltes Hacking, Phishing, die bewusste Weitergabe von Daten an Unbefugte oder Social-Engineering-Angriffe.
Entscheidend ist allein, ob das Ergebnis des Vorgangs in die Definition des Art. 4 Nr. 12 DSGVO fällt, nicht die Motivation oder das Verschulden des Verursachers.
4. Mögliche Schäden
Erwägungsgrund 85 DSGVO benennt exemplarisch Schäden, die aus einer Verletzung entstehen können (Erwägungsgrund 85 DSGVO). Diese Aufzählung ist für die Risikobewertung im Rahmen der Meldepflichten relevant:
- Verlust der Kontrolle über die eigenen Daten
- Einschränkung von Rechten
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzielle Verluste
- Unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von Berufsgeheimnissen
Die Schwere des Schadens und die Wahrscheinlichkeit seines Eintritts bestimmen, ob und mit welcher Dringlichkeit die Meldepflichten nach Art. 33 und 34 DSGVO ausgelöst werden.
Die Risikoeinschätzung ist Aufgabe des Verantwortlichen und muss dokumentiert werden. Eine fehlende oder verspätete Meldung trotz vorliegender Meldepflicht kann Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO nach sich ziehen.
Art. 4 Nr. 12 DSGVO
Legaldefinition der Verletzung des Schutzes personenbezogener Daten.
Art. 33 DSGVO
Meldung an die Aufsichtsbehörde binnen 72 Stunden.
Art. 34 DSGVO
Benachrichtigung der betroffenen Personen bei hohem Risiko.
Erwägungsgrund 85 DSGVO
Mögliche Schäden und Risikoeinschätzung.
Pseudonymisierung
Unbefugte Aufhebung der Pseudonymisierung als typischer Schadensfall.
Integrität und Vertraulichkeit
Art. 5 Abs. 1 lit. f DSGVO: die betroffenen Grundsätze im Überblick.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Einwilligung (Art. 4 Nr. 11 DSGVO)
Art. 4 Nr. 11 DSGVO definiert die Einwilligung als freiwillige, bestimmte, informierte und unmissverständliche Willensbekundung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.
Genetische Daten (Art. 4 Nr. 13 DSGVO)
Genetische Daten sind personenbezogene Daten zu ererbten oder erworbenen genetischen Eigenschaften einer Person, die Informationen über Physiologie oder Gesundheit liefern und besonders schützenswert sind.