Donnerstag, 28. Mai 2026

Hinweise zum Vorgehen bei Datenpannen

Was ist eine Datenpanne?

Der umgangssprachliche Begriff „Datenpanne“ findet sich in Art. 33 Datenschutz-Grundverordnung (im Folgenden DSGVO) als „Verletzung des Schutzes personenbezogener Daten“ wieder. Eine derartige Verletzung führt dazu, dass personenbezogene Daten vernichtet, verloren, verändert oder unbefugt offengelegt bzw. zugänglich wurden. Regelmäßig führen Cyberangriffe zu entsprechenden Datenpannen, wobei die Angreifer unbefugt Zugang zu personenbezogenen Daten erlangen und diese löschen oder verschlüsseln bzw. eine Veröffentlichung der erlangten Daten als Druckmittel für Lösegeldforderungen verwenden. Auf den folgenden Abschnitten haben wir für Sie Informationen zusammengestellt, die sowohl für die Seite der verantwortlichen Stellen als auch für betroffene Personen bei Vorliegen einer Datenpanne weiterhelfen können.

1. Wann ist eine Meldung nach Art. 33 DSGVO durch den Verantwortlichen notwendig?

Nach Art. 4 Nr. 7 DSGVO ist der Verantwortliche „jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Darüber hinaus kann auch ein Auftragsverarbeiter tätig werden, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Die Meldung nach Art. 33 DSGVO erfolgt immer über den Verantwortlichen – kommt es bei einem Auftragsverarbeiter zur einer Datenpanne, muss dieser den Vorfall so schnell wie möglich untersuchen, Sofortmaßnahmen zur Eingrenzung und Behebung treffen und den Auftraggeber (Verantwortlichen) über die Datenpanne informieren. Die Meldung des Verantwortlichen an die zuständige Aufsichtsbehörde nach Art. 55 DSGVO hat dabei innerhalb von 72 Stunden zu erfolgen. Bei noch andauernden Untersuchen kann auch eine schrittweise Meldung umgesetzt werden. Die Meldepflicht entfällt nur, wenn voraussichtlich kein Risiko für die Rechte und Freiheiten betroffener Personen vorliegt, wobei in diesen Fällen dennoch eine Dokumentationsp

Ablaufdiagramm zur Meldepflicht bei Verletzung des Schutzes personenbezogener Daten. Ausgangspunkt ist eine „Verletzung des Schutzes personenbezogener Daten" (symbolisiert durch eine Lupe mit Ausrufezeichen). Ein Pfeil führt nach unten zur „Meldung durch den Verantwortlichen (kann schrittweise erfolgen)" (symbolisiert durch eine erhobene Hand mit Ausrufezeichen). Von dort zeigen zwei Pfeile nach links: einer zur „An die gem. Art. 55 zuständige Aufsichtsbehörde" (Gebäude-Symbol) und einer nach oben links zu „Innerhalb von 72 Stunden" (Sanduhr-Symbol), die die Meldefrist angibt. Ein weiterer Pfeil führt von der Meldung nach rechts mit dem Hinweis „außer" zu der Ausnahme: „Voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt" (symbolisiert durch eine Person, die durch eine Tür geht). Das bedeutet: Führt die Datenschutzverletzung voraussichtlich zu keinem Risiko für betroffene Personen, ist keine Meldung erforderlich.
Ablaufdiagramm zur Meldepflicht bei Verletzung des Schutzes personenbezogener Daten.

 

Innerhalb der ersten Prüfung des Vorfalls muss daher zunächst eine Risikobewertung durchgeführt werden. Hierbei wird neben der Schwere des Schadens die Eintrittswahrscheinlichkeit dokumentiert und eingeschätzt. Eine hilfreiche Unterstützung bietet hierbei das Kurzpapier der DSK zur Risikobewertung für die Rechte und Freiheiten natürlicher Personen [Extern]. Schäden können dabei physisch, materiell oder immateriell sein (z.B. finanzieller Verlust, wirtschaftliche Nachteile, Identitätsdiebstahl, gesellschaftliche Nachteile, Rufschädigung, Diskriminierung). Die Eintrittswahrscheinlichkeit eines Risikos beschreibt, mit welcher Wahrscheinlichkeit ein bestimmtes Ereignis (das selbst auch ein Schaden sein kann) eintritt und mit welcher Wahrscheinlichkeit es zu Folgeschäden kommen kann.

Diagramm zur Risikobewertung: Oben mittig ist der Begriff „Risikobewertung" mit einem Tachometer-Symbol abgebildet, das einen Warnhinweis zeigt. Zwei Pfeile führen von dort nach unten links zur „Schwere des Schadens" (dargestellt durch ein Dokument mit Warnsymbol) und nach unten rechts zur „Eintrittswahrscheinlichkeit" (dargestellt durch ein Diagramm mit steigender Kurve). Die Grafik zeigt, dass die Risikobewertung aus den zwei Faktoren Schwere des Schadens und Eintrittswahrscheinlichkeit besteht.
Diagramm zur Risikobewertung

 

Je nach Einstufung der beiden Aspekte erfolgt eine Eingruppierung der Risikobereiche:

Risikomatrix zur Risikobewertung nach DSGVO mit den Achsen „Schwere des möglichen Schadens" (vertikal) und „Eintrittswahrscheinlichkeit" (horizontal). Die farbigen Felder zeigen drei Risikobereiche: Grün = Geringes Risiko, Gelb = Risiko, Rot = Hohes Risiko.

Risikomatrix zur Risikobewertung nach DSGVO
Quelle: Kurzpapier Nr. 18 der DSK
„Risiko für die Rechte und Freiheiten natürlicher Personen“

 

Meldepflichten nach Risikobereich

Ablaufdiagramm „Meldepflichten nach Risikobereich": Eine Verletzung des Schutzes personenbezogener Daten führt zur Risikobewertung. Je nach Ergebnis bestehen drei Pflichten: Benachrichtigung der betroffenen Person, Meldung durch den Verantwortlichen an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden sowie Dokumentation der Verletzung gemäß Art. 33 Abs. 5 DSGVO.
Ablaufdiagramm „Meldepflichten nach Risikobereich"

 

a) Kein Risiko für die Rechte und Freiheiten natürlicher Personen

Führt die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, entfällt die Meldepflicht an die Aufsichtsbehörde. Nach Art. 33 (5) DSGVO muss die Verletzung allerdings dokumentiert werden.

b) Mehr als geringes Risiko für die Rechte und Freiheiten natürlicher Personen

Liegt ein mehr als geringes Risiko vor, muss der Verantwortliche die Datenpanne unverzüglich (möglichst innerhalb von 72 Stunden nach dem Bekanntwerden) an die zuständige Datenschutzaufsichtsbehörde melden (für Verantwortliche mit Hauptsitz in Schleswig-Holstein i.d.R. das ULD). Erfolgt die Meldung nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Den Link zum Meldeformular finden Sie hier: Meldungen an das ULD

c) Hohes Risiko für die Rechte und Freiheiten natürlicher Personen

Liegt ein hohes Risiko vor, muss der Verantwortliche die Datenpanne unverzüglich (möglichst innerhalb von 72 Stunden nach dem Bekanntwerden) an die zuständige Datenschutzaufsichtsbehörde melden (für Verantwortliche mit Hauptsitz in Schleswig-Holstein i.d.R. das ULD). Erfolgt die Meldung nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Den Link zum Meldeformular finden Sie hier: Meldungen an das ULD

Zudem muss eine unverzügliche Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erfolgen. Sofern es für den Verantwortlichen möglich und zumutbar ist, sollte die Benachrichtigung individuell erfolgen. Ist dies nicht möglich oder zumutbar, kann die Benachrichtigung über eine öffentliche Bekanntmachung erfolgen.

Dabei muss die Benachrichtigung mindestens folgende Informationen beinhalten:

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Datenpanne;
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne – und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen Auswirkungen

Konkrete Angaben zu den betroffenen Datensätzen sieht die DSGVO in der Benachrichtigung nicht vor. Die Betroffenen sollten allerdings über die betroffenen Kategorien personenbezogener Daten informiert werden, um selbst Schutzmaßnahmen treffen zu können.

Sollten Betroffene weitere Informationen zur Datenpanne, beispielsweise zu ihrer konkreten Betroffenheit, den Gründen, warum ihre personenbezogenen Daten (noch) beim Verantwortlichen vorlagen, und der Rechtsgrundlage sowie den Zwecken der Verarbeitung benötigen, sollten sie sich an den Datenschutzbeauftragten bzw. die in der Benachrichtigung genannte Anlaufstelle wenden. Zudem besteht für Betroffene die Möglichkeit, vom Verantwortlichen eine Auskunft über die Verarbeitung ihrer Daten zu verlangen (Art. 15 DSGVO).

 

2. Was macht das ULD mit den Meldungen nach Art. 33 DSGVO?

Geht die Meldung nach Art. 33 DSGVO beim ULD ein, prüfen wir unter anderem die folgenden Punkte:

  • Besteht eine Benachrichtigungspflicht nach Art. 34 DSGVO und wurde diese umgesetzt?
  • Besteht unabhängig von der Pflicht zur Benachrichtigung eine angemessene Notwendigkeit zur Benachrichtigung betroffener Personen?
  • Wurde der Vorfall fristgerecht gemeldet (72 Stunden) und ggf. Prüfung der Begründung für eine Verzögerung?
  • Wurde der Umfang der Datenpanne und ihre möglichen Auswirkungen für die betroffenen Personen angemessen erfasst?
  • Wurde das Risiko für die Rechte und Freiheiten natürlicher Personen in angemessenem Umfang analysiert?
  • Wurden ausreichende technische und organisatorische Maßnahmen getroffen, um die Datenpanne zu beheben und die nachteiligen Folgen für betroffene Personen abzumildern?
  • Wurden angemessene und geeignete Maßnahmen getroffen, um eine solche Datenpanne künftig zu verhindern?

Gegebenenfalls erhält der Verantwortliche seitens des ULD ein Schreiben, in welchem ergänzende Informationen (z.B. forensische Berichte) angefordert werden, um die Prüfung vollumfänglich abschließen zu können. Zudem können wir Empfehlungen für ergänzende Maßnahmen zur Behebung, Abmilderung oder Prävention aussprechen und diese Maßnahmen auch anordnen.

Für Inhalte, die im Rahmen einer Meldung oder einer Benachrichtigung zwingend mitzuteilen sind, gilt ein Verwertungsverbot (§ 42 Absatz 4 und § 43 Absatz 4 Bundesdatenschutzgesetz). Das bedeutet: Meldungen (nach Artikel 33 DS-GVO) und Benachrichtigungen (nach Artikel 34 Absatz 1 DS-GVO) dürfen in Straf- und Ordnungswidrigkeitenverfahren gegen Meldepflichtige und Benachrichtigende oder ihre Angehörigen nur mit deren Zustimmung verwendet werden.

 

3. Ich bin eine betroffene Person einer Datenpanne – was kann ich tun?

3.1. Muss ich eine Meldung an das ULD schicken?

a) Ich habe als betroffene Person eine Benachrichtigung nach Art. 34 DSGVO erhalten

Für betroffene Personen besteht keine Pflicht zur Meldung einer Datenpanne. Diese Pflicht besteht für den Verantwortlichen (siehe 1. Wann ist eine Meldung nach Art. 33 DSGVO durch den Verantwortlichen notwendig?) Wenn Sie vom Verantwortlichen eine Benachrichtigung erhalten haben, liegt der zuständigen Aufsichtsbehörde hierzu in der Regel bereits die Meldung des Verantwortlichen vor. Häufig weisen Verantwortliche in ihren Benachrichtigungen bereits daraufhin, dass die zuständige Aufsichtsbehörde informiert wurde. Dies liegt daran, dass im Falle einer Benachrichtigungspflicht immer auch eine Meldepflicht besteht.

b) Ich habe auf anderem Wege von einer Datenpanne erfahren

Sollten Sie auf einem anderen Weg von der Datenpanne erfahren haben und Zweifel bestehen, dass der Verantwortliche seinen Pflichten nachgekommen ist, können Sie uns dies als Beschwerde mitteilen. Das Beschwerdeformular finden Sie hier: Meldungen an das ULD

 

3.2 Welche Schutzmaßnahmen kann ich selbst treffen?

Um mögliche Folgen der Datenpanne zu verhindern oder abzumildern, gibt es zahlreiche Schutzmaßnahmen, die Sie je nach betroffener Datenkategorie ergreifen können:

a) Zugangsdaten (insbesondere Passwörter) ändern

Wenn Passwörter oder Passwort-Hashes entwendet wurden, sollten diese umgehend geändert werden. Aber auch wenn Zugangskennungen (bspw. Ihre E-Mail-Adresse) betroffen sind, sollten Sie die Sicherheit Ihrer Online-Konten prüfen. Für jedes Online-Konto sollten Sie ein unterschiedliches und starkes Passwort verwenden. Wenn der Dienste-Anbieter bzw. Plattformbetreiber eine Zwei-Faktor-Authentifizierung anbietet (wie dies beim Online-Banking bereits verpflichtender Standard ist), sollten Sie diese zum Schutz des Zugangs einrichten.

b) Kontobewegungen auf Girokonten und Kreditkarten prüfen

Wenn Zahlungsinformationen wie Kreditkartendaten oder IBAN betroffen sind, sollten Sie Ihre Kontobewegungen prüfen. Dritte könnten diese Daten nutzen, um unbefugt Bestellungen bspw. auf Lastschrift durchzuführen. Bei unbefugten Abbuchungen sollten Sie diese widerrufen bzw. Ihr Geldinstitut hierüber informieren. Ein Zugang zu Ihrem Konto ist in der Regel über die Zahlungsinformationen allein nicht möglich.

c) Ungewöhnliche Post prüfen

Mahnungen, Inkassobriefe oder Rechnungen für nicht selbst bestellte Ware sollten Sie nicht einfach ignorieren. Sofern es sich augenscheinlich um authentische Schreiben handelt, sollten Sie sich an den Absender wenden und klarstellen, dass Sie die Bestellung nicht veranlasst haben.

d) Bei E-Mails und Anrufen wachsam sein

Hinsichtlich möglicher Phishing- und Schadmails oder entsprechender Anrufe, in denen man aufgefordert wird, (auf einer externen Webseite) Zugangsdaten oder andere Informationen preiszugeben oder verschlüsselte Dateianhänge zu öffnen, ist Wachsamkeit geboten. Im Zweifel sollten Sie sich über einen anderen Kommunikationskanal (beispielsweise eine bekannte oder offizielle Telefonnummer) die Plausibilität der E-Mail oder des Anrufs bestätigen lassen, bevor Sie Informationen preisgeben oder Dateien öffnen. Weitere Informationen zur Erkennung von Phishing- und Spammails stellt das Bundesamt für Sicherheit in der Informationstechnik bereit:

e) Bei Betrug Strafanzeige erstatten

Liegt ein Betrug oder der Verdacht auf einen Betrug vor, können Sie bei der Polizei Anzeige erstatten. Für die Ermittlung und Verfolgung der Täter ist die Polizei bzw. die Staatsanwaltschaft zuständig. Anzeige kann unter anderem über die Internetwache der Polizei SH erstattet werden:

https://www.schleswig-holstein.de/DE/landesregierung/ministerien-behoerden/POLIZEI/Onlinewache [Extern]

f) Allgemeine IT-Sicherheitsmaßnahmen beachten

Auch unabhängig von Datenpannen sollten Sie Ihre Endgeräte und verwendeten Dienste durch Selbstschutzmaßnahmen schützen. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik Basistipps zur IT-Sicherheit zusammengestellt:

BSI - Wie kann ich meine IT zuhause absichern? [Extern]

 

3.3. Habe ich als betroffene Personen einen Anspruch auf Schadenersatz und wie kann ich ihn geltend machen?

Sofern Ihnen wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften ein Schaden entstanden ist, besteht die Möglichkeit, Ersatz zu verlangen (Art. 82 DS-GVO). Dafür ist dann nicht die Aufsichtsbehörde zuständig, sondern das Zivilgericht. Hierfür können Sie eine entsprechende anwaltliche Beratung hinzuziehen.


 

Tags für diesen Artikel: ,
Artikel mit ähnlichen Themen: