Datenpanne richtig melden: Meldeprozess nach DSGVO mit Fristen, Bewertung und Dokumentation

Meldeprozess bei Datenpanne
Kategorien:
, ,
Bild von Marcus Belke

Marcus Belke

CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.

Datenpannen zählen inzwischen zu den häufigsten Compliance-Vorfällen in Organisationen. Technische Sicherheitsereignisse, Fehlkonfigurationen von IT-Systemen oder menschliche Fehler können dazu führen, dass personenbezogene Daten unbefugt offengelegt, verändert oder verloren gehen. Ein solcher Vorfall wird jedoch erst dann datenschutzrechtlich relevant, wenn er als Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO zu qualifizieren ist. In der Praxis stellt weniger die abstrakte Rechtslage als vielmehr ihre organisatorische Umsetzung die größte Herausforderung dar. Innerhalb kurzer Zeit müssen Vorfälle bewertet, Meldepflichten geprüft, Maßnahmen dokumentiert und Kommunikationsentscheidungen getroffen werden. Im Folgenden finden Sie einen Überblick über die relevanten Punkte.

Meldefristen und Fristbeginn bei Datenpanne

Das Meldesystem der DSGVO unterscheidet zwischen der Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO und der Information der betroffenen Personen nach Art. 34 DSGVO.

Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach deren Bekanntwerden der zuständigen Aufsichtsbehörde zu melden. Die Meldung kann unterbleiben, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wird die Frist überschritten, muss die Verzögerung begründet werden.

Der Fristbeginn knüpft nicht an eine vollständige Aufklärung des Vorfalls an. Laut den Leitlinien des Europäischen Datenschutzausschusses gilt eine Datenschutzverletzung als „bekannt“, sobald der Verantwortliche hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall eingetreten ist, der den Schutz personenbezogener Daten beeinträchtigt. Eine kurze Erstprüfung ist zulässig, muss jedoch unverzüglich beginnen.

Auftragsverarbeiter unterliegen nach Art. 33 Abs. 2 DSGVO einer vorgelagerten Pflicht: Sie müssen dem Verantwortlichen eine ihnen bekannt gewordene Datenschutzverletzung unverzüglich melden. In komplexen Organisationsstrukturen entsteht dadurch häufig ein interner Eskalationsprozess, der der eigentlichen 72-Stunden-Frist vorgelagert ist.

Eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO ist nur bei einem hohen Risiko für deren Rechte und Freiheiten erforderlich. Sie muss unverzüglich erfolgen, sofern keine gesetzlichen Ausnahmen greifen, etwa wenn geeignete technische Schutzmaßnahmen – beispielsweise Verschlüsselung – die Daten für Unbefugte unzugänglich machen.

Neben der DSGVO können zusätzliche Meldepflichten bestehen. So enthält die Verordnung (EU) Nr. 611/2013 für Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste ein eigenes Benachrichtigungssystem mit besonders kurzen Fristen. Darüber hinaus sieht das Cybersicherheitsrecht für bestimmte Einrichtungen nach dem BSIG ein gestuftes Meldesystem für erhebliche Sicherheitsvorfälle vor.

Bewertung und Risikoentscheidung

Die zentrale juristische Herausforderung bei Datenschutzverletzungen liegt in der Risikobewertung.

Zunächst ist zu prüfen, ob eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO vorliegt. Nicht jeder IT-Sicherheitsvorfall erfüllt diese Voraussetzung.

Liegt eine solche Verletzung vor, ist zu prüfen, ob daraus ein Risiko für die Rechte und Freiheiten natürlicher Personen resultiert. Nur in diesem Fall entsteht eine Meldepflicht gegenüber der Aufsichtsbehörde.

Erst wenn die Bewertung zu einem hohen Risiko führt, wird zusätzlich eine Pflicht zur Information der betroffenen Personen ausgelöst.

Bei der Risikobewertung spielen insbesondere mögliche Schadensfolgen eine Rolle. Hierzu zählen etwa Identitätsdiebstahl, finanzielle Verluste, Diskriminierung, Rufschädigung oder andere materielle oder immaterielle Nachteile.

Für die organisatorische Umsetzung empfiehlt sich ein strukturiertes Bewertungsmodell, das die Eintrittswahrscheinlichkeit und die Schadensschwere miteinander kombiniert und zugleich bereits implementierte Schutzmaßnahmen berücksichtigt.

Dokumentation und Nachweisführung einer Datenpanne

Die Dokumentation von Datenschutzverletzungen ist eine eigenständige gesetzliche Pflicht.

Art. 33 Abs. 5 DSGVO verpflichtet Verantwortliche, sämtliche Datenschutzverletzungen einschließlich ihrer Ursachen, Auswirkungen und Abhilfemaßnahmen zu dokumentieren. Die Dokumentation muss es der Aufsichtsbehörde ermöglichen, die Einhaltung der gesetzlichen Pflichten zu überprüfen.

Im Telekommunikationsrecht ergänzt § 169 TKG diese Pflicht durch ein Verzeichnis über Datenschutzverletzungen. Dieses muss jedoch keine Vorfälle berücksichtigen, die länger als fünf Jahre zurückliegen.

Von besonderer Bedeutung ist die Sicherung technischer Beweismittel. Unkontrollierte Gegenmaßnahmen können digitale Spuren zerstören und die spätere Aufklärung erschweren. Deshalb sollte bereits im Incident-Management festgelegt sein, unter welchen Voraussetzungen forensische Untersuchungen eingeleitet werden.

Ein zusätzlicher Schutzmechanismus ergibt sich aus § 42 Abs. 4 BDSG. Danach dürfen Meldungen nach Art. 33 DSGVO grundsätzlich nicht ohne Zustimmung des Meldepflichtigen in Strafverfahren gegen ihn verwendet werden. Diese Regelung soll eine offene Kommunikation gegenüber Aufsichtsbehörden fördern.

Lese-Tipp: Technisch-organisatorische Maßnahme – was Unternehmen beachten müssen

Kommunikation gegenüber Behörden und Betroffenen

Die Kommunikationspflichten sind in Art. 33 und 34 DSGVO detailliert geregelt.

Eine Meldung an die Aufsichtsbehörde muss insbesondere die folgenden Informationen enthalten:

  • eine Beschreibung der Art der Datenschutzverletzung,
  • Angaben zu betroffenen Datenkategorien und Personengruppen,
  • Kontaktdaten einer Anlaufstelle,
  • eine Darstellung möglicher Folgen sowie
  • Angaben zu bereits ergriffenen oder geplanten Gegenmaßnahmen.

Sind nicht alle Informationen sofort verfügbar, können sie schrittweise nachgereicht werden.

Die Information der betroffenen Personen muss in klarer und einfacher Sprache erfolgen und insbesondere die Art der Verletzung, die möglichen Auswirkungen sowie die empfohlenen Schutzmaßnahmen erläutern.

Bei unverhältnismäßigem Aufwand kann eine öffentliche Bekanntmachung an die Stelle der individuellen Benachrichtigung treten.

Lessons Learned: Post-Incident-Review

Datenschutzverletzungen sollten nicht nur gemeldet, sondern systematisch ausgewertet werden.

Ein Post-Incident-Review sollte insbesondere prüfen,

  • ob Fristen korrekt eingehalten wurden,
  • ob der Zeitpunkt des Bekanntwerdens zutreffend bestimmt wurde,
  • ob die Risikoentscheidung nachvollziehbar dokumentiert ist und
  • ob die Kommunikation mit Behörden und Betroffenen rechtssicher erfolgte.


Für die organisatorische Steuerung können Kennzahlen wie die Zeit bis zur ersten Risikobewertung, die Dauer bis zur Behördenmeldung oder die Konsistenz zwischen internem Lagebild und externer Kommunikation herangezogen werden.

Incident-Playbook als Vorsorge für Datenpanne

Ein strukturierter Umgang mit Datenschutzverletzungen erfordert ein verbindliches Incident-Playbook. Dieses sollte den juristischen Entscheidungsprozess in operative Abläufe übersetzen und klare Zuständigkeiten festlegen.

Ein solches Playbook sollte insbesondere enthalten:

  • eine Definition der Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO

  • eine Fristenmatrix für Meldepflichten

  • einen dokumentierten Bewertungsprozess für Risiko- und Hochrisikoentscheidungen

  • Kommunikationsbausteine für Behörden und Betroffene

  • Verfahren zur Beweissicherung und Nachmeldung

Ein strukturierter Meldeprozess ist damit nicht nur eine rechtliche Pflicht, sondern ein zentraler Bestandteil moderner Datenschutz- und Sicherheitsgovernance. 

2B Advice unterstützt Organisationen bei der Entwicklung und Implementierung solcher Incident-Playbooks – von der rechtlichen Struktur bis zur praktischen Umsetzung im Unternehmen. Bei Fragen oder Interesse an einer strukturierten Lösung für den Umgang mit Datenschutzverletzungen nehmen Sie gerne Kontakt mit uns auf.

Marcus Belke ist CEO von 2B Advice sowie Jurist und IT-Experte für Datenschutz und digitale Compliance. Er schreibt regelmäßig über KI-Governance, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge