Ob durch einen gezielten Hack, einen Ransomware-Angriff oder einen einfachen menschlichen Fehler: Eine Datenpanne (oft auch als Datenleck oder Leak bezeichnet) kann jedes Unternehmen treffen. Wenn Kundendaten, Mitarbeiterinformationen oder Passwörter in falsche Hände geraten, beginnt ein Wettlauf gegen die Zeit. In diesem B2B-Leitfaden zeige ich Ihnen, welche rechtlichen Pflichten nach der DSGVO auf Sie zukommen und wie Sie Bußgelder vermeiden.
Auf einen Blick: Pflichten für Unternehmen
- 72-Stunden-Frist: Meldung an Aufsichtsbehörde (Art. 33 DSGVO)
- Informationspflicht: Benachrichtigung Betroffener (Art. 34 DSGVO)
- Risikobewertung: Art der Daten & Umfang prüfen
- Strafen: Bis zu 10 Mio. € oder 2% des Jahresumsatzes
1. Was ist eine Datenpanne im Sinne der DSGVO?
Der rechtliche Begriff lautet „Verletzung des Schutzes personenbezogener Daten“. In der IT-Security sprechen wir meist von einem Cyberangriff, einem Datenleck oder einem Hack. Gemeint ist jeder Vorfall, der zum unbeabsichtigten oder unrechtmäßigen Verlust, zur Vernichtung, Veränderung oder unbefugten Offenlegung von Daten führt.
Klassische Beispiele aus dem Unternehmensalltag:
- Ransomware: Kriminelle verschlüsseln Ihre Server. Auch wenn keine Daten "gestohlen" wurden, liegt ein Verfügbarkeitsverlust und somit eine Panne vor.
- E-Mail-Pannen: Ein Newsletter geht ohne BCC an hunderte Kunden raus, sodass jeder die Adressen der anderen sehen kann.
- Geräteverlust: Ein unverschlüsselter Firmen-Laptop oder USB-Stick mit Kundendaten geht verloren.
2. Die 72-Stunden-Frist: Meldepflicht (Art. 33 DSGVO)
Security Alert
Die Uhr tickt, sobald das Unternehmen – also irgendein Mitarbeiter oder der IT-Dienstleister – von der Panne Kenntnis erlangt. Handeln Sie sofort!
Nach Artikel 33 DSGVO müssen Sie eine Datenpanne unverzüglich und möglichst binnen 72 Stunden der zuständigen Datenschutz-Aufsichtsbehörde melden. Die Frist gilt auch am Wochenende!
Ausnahme: Wann entfällt die Meldung?
Die Meldepflicht entfällt nur dann, wenn die Panne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiel: Ein verlorener Laptop war mit modernsten Methoden (z. B. BitLocker) vollständig verschlüsselt, und der Schlüssel ist sicher.
Was muss in die Meldung?
- Art der Verletzung (Hack, Diebstahl, Fehlversand)
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Kontaktdaten Ihres Datenschutzbeauftragten (DSB)
- Wahrscheinliche Folgen der Panne (z.B. Identitätsdiebstahl, Betrug)
- Ergriffene oder geplante Maßnahmen zur Behebung und Schadensbegrenzung
3. Benachrichtigung der Betroffenen (Art. 34 DSGVO)
Ist das Risiko für die betroffenen Personen hoch, reicht die Meldung an die Behörde nicht aus. Sie müssen nach Art. 34 DSGVO auch die Betroffenen (Kunden, Mitarbeiter, Partner) direkt und in klarer, einfacher Sprache informieren.
Ein "hohes Risiko" liegt oft vor bei Leaks von:
- Passwörtern und Zugangsdaten
- Finanzdaten (Kreditkarten, Kontonummern)
- Gesundheitsdaten
4. Konsequenzen: Bußgelder und Schadensersatz
Wer einen Cyberangriff vertuscht oder Fristen verstreichen lässt, riskiert die Existenz des Unternehmens. Die DSGVO sieht bei Meldeverstößen Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes vor.
Zusätzlich drohen nach Art. 82 DSGVO Schadensersatzklagen der betroffenen Personen, wenn durch die Panne materielle oder immaterielle Schäden (z. B. Kontrollverlust) entstanden sind.
5. Meldestellen der Aufsichtsbehörden (Links)
Jedes Bundesland hat eine eigene Aufsichtsbehörde. Hier finden Sie die direkten Links zu den Meldeportalen einiger ausgewählter Bundesländer:
- Baden-Württemberg: Zum Meldeportal LfDI BW
- Bayern: Zum Meldeportal BayLDA
- Hessen: Zum Meldeportal HBDI
- Niedersachsen: Meldung nach Art. 33 (LfD Niedersachsen)
- Nordrhein-Westfalen: Meldepflicht LDI NRW
- Berlin: BlnBDI Datenpanne
6. Downloads: Offizielle EDPB Leitlinien
Der Europäische Datenschutzausschuss (EDPB) hat verbindliche Leitlinien zur Meldung von Datenschutzverletzungen herausgegeben, die auch in Deutschland gelten.