Zum Hauptinhalt springen
Datenschutz / DSGVO

Datenpanne / Data Breach

Eine Verletzung des Schutzes personenbezogener Daten, die gem. Art. 33 DSGVO innerhalb von 72 Stunden der Aufsichtsbehörde zu melden ist.

Eine Datenpanne (englisch: Data Breach) bezeichnet gemäß Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt. Datenpannen können technischer Natur sein – etwa durch Hacking-Angriffe, Ransomware oder Systemausfälle – oder durch menschliches Versagen entstehen, wie das versehentliche Versenden einer E-Mail mit Kundendaten an falsche Empfänger.

Bei einer Datenpanne gelten strenge Meldepflichten: Gemäß Art. 33 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde ohne unangemessene Verzögerung und wenn möglich innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren, sofern die Panne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung muss Art, Umfang und Folgen der Panne sowie die ergriffenen oder geplanten Abhilfemaßnahmen beschreiben. Darüber hinaus kann nach Art. 34 DSGVO eine Pflicht bestehen, die betroffenen Personen direkt zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Für Compliance Officer bedeutet dies: Ein effektives Datenpannen-Management erfordert klare interne Eskalationsprozesse, damit Vorfälle umgehend erkannt und bewertet werden können. Alle Datenpannen müssen nach Art. 33 Abs. 5 DSGVO intern dokumentiert werden – auch solche, die nicht meldepflichtig sind. Diese Dokumentation schützt das Unternehmen und ermöglicht die spätere Nachvollziehbarkeit der getroffenen Entscheidungen. Regelmäßige Notfallübungen und ein etablierter Incident-Response-Prozess sind zentrale Bestandteile eines reifen Datenschutz-Managementsystems.

Rechtliche Grundlage

Art. 33, 34 DSGVO

Praxisbeispiel

An einem Freitagabend um 22 Uhr meldet Ihre IT-Abteilung, dass ein Laptop eines Außendienstmitarbeiters gestohlen wurde. Das Gerät enthält unverschlüsselte Kundendaten von rund 300 Personen, darunter Namen, Adressen und Vertragsnummern. Als Compliance Officer bewerten Sie umgehend das Risiko: Da personenbezogene Daten betroffen sind und ein Zugangsrisiko für Unbefugte besteht, liegt eine meldepflichtige Datenpanne vor. Sie informieren noch am Wochenende die zuständige Aufsichtsbehörde über das Online-Meldeformular, dokumentieren den Vorfall intern und prüfen, ob eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist. Zugleich leiten Sie Sofortmaßnahmen ein: Remote-Sperrung des Geräts, Strafanzeige und Überprüfung der Verschlüsselungsrichtlinie für mobile Endgeräte.

Häufige Fragen

Eine Datenpanne ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt. Dazu zählen Hacking-Angriffe, verlorene Laptops, versehentlich an falsche Empfänger gesendete E-Mails und ähnliche Vorfälle.
Eine Datenpanne ist der Aufsichtsbehörde innerhalb von 72 Stunden zu melden, wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Ist das Risiko voraussichtlich gering – etwa weil die Daten verschlüsselt waren –, entfällt die Meldepflicht, die interne Dokumentation bleibt aber Pflicht.
Ja, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, müssen diese nach Art. 34 DSGVO unverzüglich benachrichtigt werden. Die Benachrichtigung muss in klarer Sprache erfolgen und Informationen über Art der Panne, Kontakt des DSB, wahrscheinliche Folgen und ergriffene Maßnahmen enthalten.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Betroffenenrechte Technische und organisatorische Maßnahmen (TOMs) Sicherheitsvorfall (Security Incident) Meldepflicht nach NIS2 Datenschutzbeauftragter (DSB)
Zurück zum Glossar