Jeden Tag werden Unternehmen in Deutschland Opfer von Cyberangriffen, Hackerattacken oder menschlichem Versagen – mit dem Ergebnis: Personenbezogene Daten gelangen in falsche Hände. Was viele nicht wissen: Die DSGVO schreibt in solchen Fällen eine strenge Meldepflicht vor – und die Uhr tickt ab dem ersten Moment. Wer nicht rechtzeitig reagiert, riskiert empfindliche Bußgelder von bis zu 10 Millionen Euro. Die Kanzlei Wetzel erklärt, was eine Datenpanne ist, welche Pflichten Sie treffen und wie Sie mit einem klaren Notfallplan reagieren.

Management Summary: Das Wichtigste auf einen Blick

• Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden (Art. 33 DSGVO).
• Betroffene informieren: Bei hohem Risiko für die Betroffenen muss zusätzlich eine direkte Benachrichtigung erfolgen (Art. 34 DSGVO).
• Keine Ausnahme für KMU: Die Meldepflicht gilt unabhängig von der Unternehmensgröße.
• Sanktionen: Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen die Meldepflicht.
• NIS-2: Für Betreiber wesentlicher Einrichtungen gelten zusätzlich parallele Meldepflichten gegenüber dem BSI.
• Vorbereitung: Ein dokumentierter Notfallplan spart im Ernstfall wertvolle Zeit und reduziert Haftungsrisiken.

„Eine Datenpanne ist kein Imageproblem – sie ist ein rechtlicher Ernstfall. Wer die 72-Stunden-Frist verpasst, macht aus einem Datenschutzvorfall ein doppeltes Compliance-Versagen.”

Was ist eine Datenpanne im Sinne der DSGVO?

Eine Datenpanne (auch: Datenschutzverletzung) liegt immer dann vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, unbefugt offenbart oder zugänglich gemacht werden. Der Fachbegriff lautet „Verletzung des Schutzes personenbezogener Daten” (Art. 4 Nr. 12 DSGVO).

Typische Beispiele aus der Praxis:

• Hackerangriff oder Ransomware-Angriff mit Datenzugriff
• Versehentliches Versenden einer E-Mail mit Kundendaten an den falschen Empfänger
• Verlust eines unverschlüsselten USB-Sticks oder Laptops
• Unbefugter Zugriff durch einen (ehemaligen) Mitarbeiter
• Technischer Fehler, der zur Offenlegung von Nutzerdaten führt
• Fehlkonfiguration eines Cloud-Speichers (z. B. öffentlich zugängliche S3-Bucket)

Wichtig: Nicht jede Datenpanne ist automatisch meldepflichtig – es kommt auf das Risiko für die betroffenen Personen an. Dennoch muss jede Datenpanne intern dokumentiert werden.

Die 72-Stunden-Meldepflicht (Art. 33 DSGVO)

Sobald ein Unternehmen von einer Datenpanne Kenntnis erlangt, beginnt die 72-Stunden-Frist zu laufen. Innerhalb dieser Zeit muss die Datenpanne der zuständigen Datenschutzaufsichtsbehörde gemeldet werden – sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

In Deutschland ist je nach Bundesland und Unternehmensdomizil die jeweilige Landesdatenschutzbehörde zuständig, z. B.:

• Berliner Beauftragte für Datenschutz und Informationsfreiheit (für Unternehmen mit Sitz in Berlin)
• Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
• Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Die Meldung muss folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

• Beschreibung der Art der Datenschutzverletzung
• Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen der Verletzung
• Beschreibung der ergriffenen oder geplanten Maßnahmen

„Stehen nicht alle Informationen innerhalb von 72 Stunden zur Verfügung, kann die Meldung schrittweise erfolgen – entscheidend ist, dass die erste Meldung fristgerecht abgesetzt wird.”

Wann müssen betroffene Personen informiert werden? (Art. 34 DSGVO)

Wenn eine Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, müssen die Betroffenen unverzüglich direkt benachrichtigt werden. Dies gilt zum Beispiel bei:

• Diebstahl von Passwörtern, Bankdaten oder Gesundheitsdaten
• Offenlegung besonders sensibler Kategorien personenbezogener Daten (Art. 9 DSGVO)
• Daten, die für Identitätsdiebstahl oder Betrug genutzt werden könnten

Von einer Benachrichtigung kann abgesehen werden, wenn die Daten wirksam verschlüsselt waren oder wenn die hohe Risikolage durch nachfolgende Maßnahmen beseitigt wurde. Die Entscheidung hierüber ist sorgfältig zu dokumentieren.

Der 5-Schritte-Notfallplan für die ersten 72 Stunden

Schritt 1: Vorfall identifizieren und eindämmen (0–2 Stunden)
Stellen Sie den Vorfall fest und ergreifen Sie sofortige Eindämmungsmaßnahmen: Systeme isolieren, Zugang sperren, betroffene Dienste vorübergehend abschalten. Sichern Sie Beweismittel, ohne Spuren zu verwischen.

Schritt 2: Internen Krisenstab einberufen (0–4 Stunden)
Informieren Sie umgehend Ihre IT-Abteilung, die Geschäftsführung, Ihren Datenschutzbeauftragten (sofern vorhanden) und ggf. externe IT-Forensiker. Dokumentieren Sie alle Maßnahmen und Erkenntnisse mit Zeitstempeln.

Schritt 3: Risikobeurteilung vornehmen (2–12 Stunden)
Analysieren Sie: Welche Daten sind betroffen? Wie viele Personen? Wie hoch ist das Risiko? Ist die Panne meldepflichtig? Ist eine Benachrichtigung der Betroffenen erforderlich? Diese Einschätzung bildet die Grundlage aller weiteren Schritte.

Schritt 4: Behördenmeldung absetzen (bis Stunde 72)
Erstatten Sie fristgerecht Meldung bei der zuständigen Datenschutzbehörde. Nutzen Sie die Online-Meldeformulare der Landesbehörden. Auch eine unvollständige Erstmeldung ist besser als eine verspätete vollständige Meldung.

Schritt 5: Betroffene benachrichtigen und Maßnahmen dokumentieren
Informieren Sie bei hohem Risiko die Betroffenen klar und verständlich. Dokumentieren Sie alle Maßnahmen lückenlos in Ihrem Verarbeitungsverzeichnis und bereiten Sie eine abschließende interne Analyse vor.

Die Rolle des Datenschutzbeauftragten

Unternehmen, die einen Datenschutzbeauftragten (DSB) haben – sei es intern oder extern –, müssen diesen sofort einschalten. Der DSB koordiniert die Reaktion auf den Vorfall, berät bei der Risikobewertung und unterstützt bei der Behördenmeldung. Für viele kleine und mittelständische Unternehmen lohnt sich ein externer Datenschutzbeauftragter, der im Krisenfall sofort handlungsfähig ist.

Besuchen Sie auch unsere Leistungsseite, um mehr über unsere Datenschutz-Beratung und den externen Datenschutzbeauftragten zu erfahren, den die Kanzlei Wetzel anbietet.

Datenpannen und NIS-2: Doppelte Meldepflichten für betroffene Unternehmen

Für Unternehmen, die unter das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) fallen, gelten seit dem 6. Dezember 2025 zusätzliche Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI):

• Erstmeldung: Innerhalb von 24 Stunden nach Bekanntwerden des Sicherheitsvorfalls
• Zwischenmeldung: Innerhalb von 72 Stunden (mit ersten Ergebnissen)
• Abschlussbericht: Innerhalb eines Monats

Wenn bei einem NIS-2-relevanten Sicherheitsvorfall auch personenbezogene Daten betroffen sind, müssen also parallel das BSI (nach BSIG) und die Datenschutzbehörde (nach DSGVO) informiert werden. Die Kanzlei Wetzel unterstützt Sie bei der Koordination beider Meldestränge. Weitere Informationen finden Sie in unserem Beitrag zur NIS-2-Registrierungsfrist.

Sanktionen bei Verstößen gegen die Meldepflicht

Wer eine Datenpanne nicht, nicht rechtzeitig oder nicht vollständig meldet, riskiert erhebliche Konsequenzen:

• Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
• Reputationsschäden und Vertrauensverlust bei Kunden und Partnern
• Zivilrechtliche Schadensersatzansprüche der Betroffenen (Art. 82 DSGVO)
• Verschärfte Aufsichtsmaßnahmen durch die Datenschutzbehörde

Wichtig: Auch wenn kein Schaden eingetreten ist, kann der bloße Verstoß gegen die Meldepflicht sanktioniert werden.

So hilft die Kanzlei Wetzel bei Datenpannen

Als auf IT-Recht und Datenschutz spezialisierte Kanzlei unterstützt die Kanzlei Wetzel Unternehmen in Berlin und bundesweit in allen Phasen eines Datenschutzvorfalls:

• Sofortberatung: Erste rechtliche Einschätzung, ob eine Meldepflicht besteht
• Behördenmeldung: Vorbereitung und Einreichung der DSGVO-Meldung bei der Aufsichtsbehörde
• Betroffenenkommunikation: Formulierung rechtskonformer Benachrichtigungsschreiben
• Dokumentation: Rechtssichere Dokumentation des Vorfalls und der Reaktionsmaßnahmen
• Externer Datenschutzbeauftragter: Dauerhafter Schutz durch unsere DSB-Dienstleistung
• Prävention: Erstellung von Datenschutz-Notfallplänen und Mitarbeiterschulungen

Besuchen Sie auch unseren „Blog – Recht einfach”, in dem wir juristisch fundierte, aber allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!

Häufige Fragen (FAQ)