Risikobewertung bei einer Datenschutzverletzung
Wie das Risiko einer Datenpanne bewertet wird: das dreistufige Modell, die Bewertungsfaktoren, Schwere und Eintrittswahrscheinlichkeit der Nachteile, die Risikomatrix und Fallbeispiele für die Einstufung.
Die Risikobewertung ist die zentrale Weiche im Umgang mit einer Datenschutzverletzung. Aus ihr ergibt sich, ob nur dokumentiert, an die Aufsichtsbehörde gemeldet oder zusätzlich die betroffenen Personen benachrichtigt werden müssen. Diese Seite zeigt das dreistufige Modell und das praktische Vorgehen in drei Schritten.
Das Wichtigste in Kürze
- Maßgeblich ist das Risiko für die Rechte und Freiheiten der betroffenen Personen, nicht das Risiko für das eigene Unternehmen (Bußgeld, Reputation).
- Drei Stufen: kein Risiko (nur Dokumentation), Risiko (Meldung nach Art. 33), hohes Risiko (Meldung nach Art. 33 und Benachrichtigung nach Art. 34).
- Das Risiko ergibt sich aus dem Zusammenspiel von Schwere und Eintrittswahrscheinlichkeit der möglichen Nachteile.
- Bewertet wird aus der Sicht zum Zeitpunkt der Kenntnis, auf Grundlage einer nachvollziehbaren Methodik; das Ergebnis ist zu dokumentieren.
- Im Zweifel höher einstufen.
1. Wofür die Risikobewertung entscheidet
Die DSGVO arbeitet mit zwei Schwellen. Die Meldepflicht nach Art. 33 Abs. 1 DSGVO entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko führt. Die Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO entsteht erst, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat. Daraus ergeben sich drei Stufen mit unterschiedlichen Rechtsfolgen.
| Risikostufe | Meldung an die Aufsichtsbehörde (Art. 33) | Benachrichtigung der Betroffenen (Art. 34) |
|---|---|---|
| Kein oder geringes Risiko | nein | nein |
| Risiko | ja | nein |
| Hohes Risiko | ja | ja |
Die Dokumentation nach Art. 33 Abs. 5 DSGVO ist auf allen drei Stufen Pflicht. Die Bewertung selbst ist eine Prognose: Es geht nicht um Gewissheit, sondern um die nach methodisch nachvollziehbarer Analyse zu erwartende Entwicklung. Sie erfolgt in drei Schritten.
2. Schritt 1: Beurteilungsgrundlage gewinnen
Zunächst werden die für das Risiko erheblichen tatsächlichen Umstände erfasst. Diese bilden die Grundlage der anschließenden Analyse. Die Aufsichtsbehörden und der EDPB nennen übereinstimmend die folgenden Faktoren (EDPB, Leitlinien 9/2022, Rn. 105 ff.):
- Art der Verletzung. Eine Offenlegung von Gesundheitsdaten gegenüber Unbefugten hat andere Folgen als der bloße, vorübergehende Verlust derselben Daten.
- Art, Sensibilität und Umfang der Daten. Je sensibler die Daten, desto höher das Risiko. Besondere Bedeutung haben besondere Kategorien (Art. 9 DSGVO), Ausweis- und Finanzdaten. Eine Kombination mehrerer Datenarten ist regelmäßig sensibler als ein einzelnes Element, weil sie etwa Identitätsdiebstahl ermöglicht.
- Identifizierbarkeit der Betroffenen. Wie leicht lassen sich aus den Daten konkrete Personen bestimmen? Eine angemessene Verschlüsselung oder Pseudonymisierung senkt die Identifizierbarkeit.
- Schwere der Folgen. Drohen Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder die Offenlegung von Berufsgeheimnissen?
- Besondere Eigenschaften der Betroffenen. Kinder und andere schutzbedürftige Personen können stärker gefährdet sein.
- Besondere Eigenschaften des Verantwortlichen. Eine medizinische Einrichtung verarbeitet typischerweise sensiblere Daten als ein Newsletter-Versender.
- Zahl der betroffenen Personen. Mehr Betroffene bedeuten in der Regel weitreichendere Folgen; im Einzelfall kann aber schon die Betroffenheit einer einzigen Person ein hohes Risiko begründen.
3. Schritt 2: Risikoanalyse aus Schwere und Wahrscheinlichkeit
Aus der Beurteilungsgrundlage werden die möglichen Nachteile für die Betroffenen abgeleitet und bewertet. In Betracht kommen physische, materielle und immaterielle Schäden, also Vermögens- wie Nichtvermögensschäden. Jeder mögliche Nachteil wird in zwei Dimensionen eingeschätzt:
- Schwere: Wie schwer wiegt der Nachteil für die betroffene Person, wenn er eintritt?
- Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass er eintritt?
Schadensmindernde Maßnahmen, die bereits gewirkt haben, sind dabei zu berücksichtigen. Hat sich ein Nachteil bereits verwirklicht, beschränkt sich die Bewertung insoweit auf die Schwere; für noch nicht eingetretene Folgen bleibt es bei der Bewertung von Schwere und Wahrscheinlichkeit. Bestehen Unsicherheiten bei der Einschätzung, ist jeweils der höhere Grad zu wählen.
4. Schritt 3: Gesamtbewertung mit der Risikomatrix
In der Gesamtbewertung werden Schwere und Eintrittswahrscheinlichkeit zusammengeführt und einer der drei Risikostufen zugeordnet. Eine feinere Abstufung als kein Risiko, Risiko und hohes Risiko ist für die Anwendung der Art. 33, 34 DSGVO nicht erforderlich. Die folgende Matrix bildet die typische Zuordnung ab.
| Schwere ↓ / Wahrscheinlichkeit → | gering | überschaubar | substanziell | groß |
|---|---|---|---|---|
| groß | 2 | 3 | 3 | 3 |
| substanziell | 2 | 2 | 3 | 3 |
| überschaubar | 1 | 2 | 2 | 3 |
| geringfügig | 1 | 1 | 2 | 2 |
Lesehilfe: 1 = kein oder geringes Risiko (nur Dokumentation), 2 = Risiko (Meldung nach Art. 33), 3 = hohes Risiko (Meldung nach Art. 33 und Benachrichtigung nach Art. 34). Bereits eingetretene Nachteile mit mindestens überschaubarer Schwere begründen ein hohes Risiko.
5. Welche Faktoren die Einstufung kippen
In den von den Aufsichtsbehörden und vom EDPB aufbereiteten Fällen entscheiden immer wieder dieselben wenigen Faktoren darüber, ob nur dokumentiert, gemeldet oder zusätzlich benachrichtigt wird (EDPB, Leitlinien 01/2021). Wer einen Vorfall einordnet, sollte diese Punkte gezielt prüfen:
- Sicherungskopie vorhanden? Lassen sich die Daten zeitnah wiederherstellen, sinkt das Risiko aus einem Verfügbarkeitsverlust deutlich.
- Datenabfluss (Exfiltration) oder nur Verschlüsselung? Wurden Daten nur verschlüsselt, ist die Lage günstiger als bei zusätzlichem Abfluss.
- Verschlüsselung oder Hashing nach Stand der Technik, Schlüssel und Salt intakt? Dann sind die Daten für Unbefugte unzugänglich.
- Besondere Kategorien (Art. 9 DSGVO) betroffen? Gesundheits-, Finanz- oder Ausweisdaten heben das Risiko deutlich an.
- Kontaktdaten der Betroffenen mit offengelegt? Sie ermöglichen Folgeangriffe wie Phishing und erhöhen das Risiko.
- Zahl der Betroffenen. Viele Betroffene bedeuten weitreichendere Folgen; im Einzelfall genügt aber schon eine Person.
- Betriebs- oder Versorgungsunterbrechung? Verzögerte Behandlungen oder Zahlungen verschärfen die Folgen erheblich.
- Schutzbedürftige Personen? Daten über Kinder oder andere besonders Schutzbedürftige erhöhen das Gefährdungsrisiko.
- Vertrauenswürdiger Empfänger? Ein zur Verschwiegenheit verpflichteter Empfänger, der die Daten löscht, kann die Schwere der Folgen beseitigen.
6. Fallbeispiele zur Orientierung
Der EDPB hat typische Fallgruppen mit der jeweiligen Bewertung versehen. Sie ersetzen die Einzelfallprüfung nicht, geben aber eine belastbare Orientierung (EDPB, Leitlinien 01/2021; Leitlinien 9/2022, Anhang B). Jede Änderung der Umstände kann zu einer anderen Einstufung führen.
| Szenario | Meldung (Art. 33) | Benachrichtigung (Art. 34) |
|---|---|---|
| Ransomware, Daten verschlüsselt, aktuelle Sicherungskopie, keine Exfiltration, wenige Betroffene | nein | nein |
| Ransomware ohne elektronische Sicherungskopie, keine besonderen Datenkategorien | ja | nein |
| Ransomware in einem Krankenhaus, Sicherungskopie vorhanden, aber Behandlung verzögert | ja | ja |
| Ransomware ohne Sicherungskopie und mit Exfiltration von Ausweis- und Finanzdaten | ja | ja |
| Exfiltration umfangreicher Bewerbungsdaten von einer Website | ja | ja |
| Exfiltration nur gehashter Passwörter (starkes Verfahren, Salt nicht kompromittiert) | nein | nein |
| Verlust eines verschlüsselten Geräts mit sicherem Schlüssel und vorhandener Sicherungskopie | nein | nein |
| Diebstahl eines unverschlüsselten Notebooks mit Daten zahlreicher Personen | ja | ja |
| Kurzer Stromausfall im Callcenter, Daten für wenige Minuten nicht erreichbar | nein | nein |
| Cyberangriff, Benutzernamen und Passwörter werden im Internet veröffentlicht | ja | ja |
| Krankenhaus: medizinische Unterlagen 30 Stunden nicht zugänglich | ja | ja |
| Einzelner an die falsche Person versandter Brief mit wenigen Daten | nein | nein |
| E-Mail mit Namen und Sozialversicherungsnummern an mehr als 60.000 Empfänger | ja | ja |
| E-Mail mit sichtbaren Adressen vieler Empfänger im An- oder Kopie-Feld | ggf. | ggf. |
Auch in den Fällen ohne Meldepflicht bleibt die interne Dokumentation Pflicht. Beim Postversandfehler kann zudem eine Information der Betroffenen sinnvoll oder nötig sein, etwa weil ihre Mitwirkung zur Rücksendung oder Löschung erforderlich ist, ohne dass damit zugleich die Benachrichtigungspflicht nach Art. 34 DSGVO ausgelöst wäre. Bei der offenen Sammel-E-Mail hängt die Einstufung von Zahl und Sensibilität der Adressaten ab.
7. Drei Fälle im Detail
Die folgenden, an den EDPB-Fallgruppen orientierten Beispiele zeigen, wie die Faktoren zusammenwirken (EDPB, Leitlinien 01/2021).
Fall 1: Fehlversand per E-Mail. Sachverhalt: Eine Mitarbeiterin verschickt eine Teilnehmerliste mit 15 Namen und zwei Angaben zu Ernährungsvorlieben versehentlich an die Teilnehmer statt an das Hotel und bittet sofort um Löschung. Bewertung: Geringe Datenmenge, keine schwerwiegenden Folgen, sofortige Eindämmung. Konsequenz: Kein meldepflichtiges Risiko, nur interne Dokumentation. Anders liegt es, wenn eine E-Mail Namen und Sozialversicherungsnummern zehntausender Personen offenlegt: Dann sind Meldung und Benachrichtigung erforderlich.
Fall 2: Verlorenes Gerät. Sachverhalt: Ein Tablet mit Daten über Kinder einer Kindertagesstätte wird gestohlen; es ist verschlüsselt, passwortgeschützt und es existiert eine Sicherungskopie, die Daten werden zusätzlich aus der Ferne gelöscht. Bewertung: Verschlüsselung und Sicherungskopie schließen das Risiko praktisch aus. Konsequenz: Nur Dokumentation. Wird dagegen ein unverschlüsseltes Notebook mit Daten zahlreicher Kunden gestohlen, sind Meldung und Benachrichtigung erforderlich.
Fall 3: Übernommenes E-Mail-Konto (Business E-Mail Compromise). Sachverhalt: Über ein kompromittiertes Konto richtet ein Angreifer heimliche Weiterleitungsregeln ein, fängt Rechnungen ab und versendet gefälschte Zahlungsaufforderungen; abgeflossen sind auch Namen und Lohndaten von Beschäftigten. Bewertung: Vertraulichkeitsverletzung mit Finanz- und Beschäftigtendaten, Gefahr von Betrug und Identitätsmissbrauch. Konsequenz: Meldung an die Aufsichtsbehörde und Benachrichtigung aller betroffenen Beschäftigten, nicht nur derjenigen mit offengelegten Lohndaten.
8. Sonderfälle
Verschlüsselung und Pseudonymisierung. Sind die betroffenen Daten mit einem dem Stand der Technik entsprechenden Verfahren verschlüsselt und ist der Schlüssel nicht kompromittiert, sind die Daten für Unbefugte unzugänglich; das Risiko aus der Vertraulichkeitsverletzung sinkt auf ein Mindestmaß. Das kann die Benachrichtigung der Betroffenen entbehrlich machen (Art. 34 Abs. 3 lit. a DSGVO). Zu beachten bleibt aber die Verfügbarkeit: Existiert keine Sicherungskopie der verschlüsselten Daten, kann gerade der Verlust der Verfügbarkeit ein meldepflichtiges Risiko begründen.
Vertrauenswürdiger Empfänger. Gelangen Daten versehentlich an einen Empfänger, zu dem ein Vertrauensverhältnis besteht (etwa eine falsche interne Abteilung oder ein regelmäßig beauftragter Dienstleister, der zur Verschwiegenheit verpflichtet ist), und kommt dieser einer Aufforderung zur Löschung oder Rücksendung nach, kann dies die Schwere der Folgen beseitigen. Dass eine Verletzung stattgefunden hat und zu dokumentieren ist, ändert das nicht.
Die Bewertung des Risikos für die Betroffenen ist nicht dasselbe wie die Risikoabschätzung in einer Datenschutz-Folgenabschätzung. Die Folgenabschätzung beurteilt vorab ein hypothetisches Ereignis; hier hat sich der Vorfall bereits ereignet, sodass es allein auf das Risiko der konkreten Folgen ankommt.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Erste Schritte und interner Ablauf bei einer Datenschutzverletzung
Was nach Entdeckung einer Datenpanne sofort zu tun ist: Erkennen und Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, sowie die Pflichten von Auftragsverarbeitern.
Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
Wann eine Datenschutzverletzung der Aufsichtsbehörde zu melden ist, die 72-Stunden-Frist und ihre Berechnung, die zuständige Behörde, der Mindestinhalt der Meldung, schrittweise und gebündelte Meldung sowie die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO.