Datenschutzvorfall Meldepflicht

Datenschutzvorfall oder Auskunftsanfrage: Was tun, wenn’s ernst wird?

Ob Datenpanne oder Auskunftsbegehren: Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO) stellen Unternehmen vor klare Anforderungen und kurze Fristen. Wer im Ernstfall richtig reagiert, vermeidet und vermindert Bußgelder, Schadensersatzforderungen und Reputationsverluste.

1. Datenschutzvorfall

Was gilt als Datenschutzvorfall?

Eine Datenpanne liegt vor, wenn personenbezogene Daten unrechtmäßig

• vernichtet,

• verloren,

• verändert oder

• offengelegt werden oder ein unberechtigter Zugriff auf sie möglich war

und dadurch ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Was als Risiko gilt, ergibt sich auch au EG 85 zur DSGVO.

Das kann etwa durch Fehlversand, Hackerangriffe, Social Engineering oder den Verlust von Datenträgern geschehen. Nicht jeder Vorfall ist meldepflichtig, aber jeder muss bewertet und dokumentiert werden.

Meldepflichten und Fristen

Die DSGVO verpflichtet Verantwortliche, Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). In der EU wird gerade diskutiert, das auf 96 Stunden zu verlängern, das ist aber noch nicht beschlossen.

Meldepflichtig sind insbesondere:

• Fehlversand personenbezogener Daten an Externe

• Hackerangriffe oder Phishing-Vorfälle (Passwortverlust)

• Verlust oder Diebstahl von unverschlüsselten Geräten oder Daten

• Offenlegung sensibler Daten durch sonstige persönliche Mitteilungen

Nicht meldepflichtig sind Sachverhalte wie Fehlversand innerhalb des Unternehmens, der Verlust von Hardware (Geräten), welche nach dem aktuellen Stand der Technik verschlüsselt sind oder bei einem Fehlversand, der zwar an eine externe Stelle gesendet wurde, aber kein Risiko für die für die Betroffenen darstellt. Kein Risiko würde beispielsweise bestehen, wenn die Informationen bereits öffentlich zugänglich wären.

Wichtig: Auch wenn keine Meldepflicht besteht, gilt die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO. Alle Datenschutzvorfälle müssen intern erfasst werden, inklusive Risikoeinschätzung und Begründung, warum ggf. keine Meldung erfolgte.

Vorgehensweise im Ernstfall

1. Datenschutzbeauftragten, in schweren Fällen immer zusätzlich, Informationssicherheitsbeauftragten und Geschäftsführung informieren
   Diese koordinieren die Bewertung, Risikoeinschätzung und ggf. Meldung.

2. Achtung! Falls Sie ein Notfallkonzept in Kraft oder eine Cyberversicherung abgeschlossen haben, sollten Sie jetzt prüfen, ob sich daraus weitere Pflichten ergeben.

3. Risiko bewerten, vermindern und das dokumentieren
   Eintrittswahrscheinlichkeit und Schwere des Schadens bestimmen, daraus eine Risikostufe und Risikominderungsmaßnahmen bestimmen, welche als Grundlage für die Entscheidung ob an die Aufsichtsbehörde und die Betroffenen gemeldet werden müssen.

4. Nachbessern und aus Vorfällen lernen
   Maßnahmen zur Vermeidung zukünftiger Vorfälle einleiten und dokumentieren.

5. Behörde informieren (72 Stunden)
   Wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sollte die Aufsichtsbehörde über den Vorfall und die Maßnahmen informiert werden. Liegt sogar ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vor, so müssen zusätzlich nach Art. 34 DSGVO die Betroffenen selbst darüber informiert werden.

Liegt ein gezielter Angriff vor, sollte zudem die Strafverfolgungsbehörde eingeschaltet werden.

Verspätete oder versäumte Meldung

Versäumte Meldungen gelten als Verstoß gegen die DSGVO und können Bußgelder oder Schadenersatzforderungen der Betroffenen nach sich ziehen. Wird der Vorfall von Dritten gemeldet, prüft die Aufsichtsbehörde, warum das Unternehmen selbst nicht reagiert hat. Das endet in der Praxis fast immer mit Sanktionen.

Daher gilt: Im Zweifel lieber melden und dokumentieren, statt zu spät oder gar nicht reagieren.

2. Auskunftsanfragen nach Art. 12, Art. 15 DSGVO

Neben Datenpannen stellen auch Auskunftsanfragen eine Herausforderung dar.
Betroffene haben das Recht zu erfahren,

• ob und welche Kategorien personenbezogenen Daten verarbeitet werden sowie ggf. woher sie stammen – diese können in Kopie angefordert werden,

• zu welchen Zwecken,

• an welche Empfänger sie weitergegeben wurden und ob die in unsicheren Drittländer gelangen und wie sie dort abgesichert werden,

• wie lange sie gespeichert bleiben,

• ob sie zur einer automatischen Entscheidungsfindung mit Rechtswirkungen genutzt werden,

• und welche Rechte Ihnen in Bezug auf diese Daten zustehen.

Kurze Frist
Die Antwort muss unverzüglich, also so schnell wie möglich erfolgen. Ein Austausch mit den Datenschutzbeauftragten ist dabei immer möglich. Einfache Anfragen sollten also innerhalb einer Woche erledigt sein. Insgesamt sollte nach Art. 12 Abs. 3 DSGVO ein Monat regelmäßig nicht überschritten werden, sonst sind Zusatzmaßnahmen erforderlich. Bei komplexen Fällen kann diese Frist einmalig und mit Begründung um zwei Monate verlängert werden. Ein Austausch mit dem Datenschutzbeauftragten ist innerhalb der Frist Bei Fehlern entsteht eine Schadenersatzpflicht.

Praxis-Tipp

• Es ist ein guter Richtwert immer innerhalb einer Woche eine Eingangsbestätigung zu versenden.

• Falls keine Daten verarbeitet werden, sollten Sie dies ebenfalls binnen einer Woche mitteilen.

• Ihre Datenschutzerklärung sollte bei beiden Varianten beilegt oder verlinkt werden.

• Wenn eine Anfrage elektronisch kommt, sollte sie auch elektronisch beantwortet werden.

Umgang mit Auskunftsbegehren in der Praxis

Bei Auskunftsanfragen gilt: so umfassend wie nötig, so zurückhaltend wie möglich.
Sie dürfen bestimmte Daten schwärzen oder zurückhalten, wenn:

• andere betroffen wären,

• Betriebs- oder Geschäftsgeheimnisse offengelegt würden,

• nach § 34 Abs. 2 BDSG die Herausgabe unverhältnismäßigen Aufwand erfordert (das müssen Sie dokumentieren).

Typische Daten, die an Mitarbeiter herauszugeben sind:

• Personalakten, Zeiterfassung, Abrechnungsdaten, ausgewählte E-Mails, Berechtigungssysteme

• ggf. Mitarbeiterfotos oder Arbeitsanweisungen

Nicht herauszugeben:

• interne Bewertungen oder Vermerke,

• vertrauliche Kommunikation,

• sensible Geschäftsgeheimnisse – die meisten Emails an Externe.

Bei Zweifeln und komplizierten Anfragen: unbedingt Rücksprache mit dem Datenschutzbeauftragten halten.

Fazit

Datenschutzverstöße und Betroffenenanfragen gehören zum Alltag jedes Unternehmens. Entscheidend ist der Umgang damit.
Wer Datenpannen innerhalb von 72 Stunden bewertet und meldet, Auskunftsrechte fristgerecht beantwortet und Prozesse dokumentiert, erfüllt nicht nur seine gesetzlichen Pflichten, sondern stärkt auch Vertrauen und Compliance.

Im Zweifel gilt: lieber dokumentieren und fragen – als abwarten und riskieren.

Das könnte Sie auch interessieren

• Wo liegen die Unterschiede zwischen NIS2 und ISO 27001?

• Das Verhältnismäßigkeitsprinzip im Datenschutz 

Quellen

• Risiko für die Rechte und Freiheiten natürlicher Personen
• Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 18.02.2026