DAllgemein

Datenschutzverletzung (Data Breach) & Meldepflicht (Art. 33/34 DSGVO)

Meldung an Behörde binnen 72h; ggf. Betroffene informieren.

Eine Datenschutzverletzung (Data Breach) ist ein Sicherheitsvorfall, bei dem personenbezogene Daten versehentlich oder unrechtmäßig vernichtet, verändert, verloren, unbefugt offengelegt oder zugänglich gemacht werden. Nach Art. 33 DSGVO muss der Verantwortliche solche Vorfälle in der Regel binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde melden; nach Art. 34 DSGVO müssen ggf. auch betroffene Personen informiert werden.

Was bedeutet „Datenschutzverletzung“ im Sinne der DSGVO?

Die DSGVO meint nicht nur „Hackerangriff“. Eine Datenschutzverletzung kann auch passieren, wenn ein Laptop mit Kundendaten gestohlen wird, eine E-Mail mit Gehaltslisten an den falschen Empfänger geht, ein Cloud-Ordner versehentlich öffentlich freigegeben ist oder ein Mitarbeiter unberechtigt Zugriff auf CRM-Daten erhält. Entscheidend ist: Es geht um personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Gesundheitsdaten, Mitarbeiterdaten) und um eine Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit.

Wie funktioniert die Meldepflicht nach Art. 33/34 DSGVO (praxisnah)?

  • 1) Vorfall erkennen & eindämmen: Zugänge sperren, Passwörter/Keys rotieren, Systeme isolieren, Backups prüfen, Beweise sichern (Logs).
  • 2) Schnell bewerten: Welche Daten sind betroffen? Wie viele Personen? Welche Folgen drohen (Identitätsdiebstahl, Betrug, Rufschaden)? War Verschlüsselung aktiv?
  • 3) 72-Stunden-Frist starten: Die Uhr läuft ab dem Zeitpunkt, an dem ihr „Kenntnis“ habt (nicht erst nach Abschluss der Forensik). Wenn noch nicht alles klar ist, ist eine gestufte Meldung möglich: erst melden, dann nachreichen.
  • 4) Meldung an die Aufsichtsbehörde (Art. 33): Wenn ein Risiko für Rechte/Freiheiten natürlicher Personen wahrscheinlich ist, müsst ihr melden. Inhalt typischerweise: Art des Vorfalls, Kategorien/Umfang der Daten, mögliche Folgen, ergriffene Maßnahmen, Kontakt (z. B. Datenschutzbeauftragter).
  • 5) Information der Betroffenen (Art. 34): Wenn ein hohes Risiko besteht, müsst ihr Betroffene „unverzüglich“ und in klarer Sprache informieren – inkl. Empfehlungen (z. B. Passwort ändern, Phishing beachten). Ausnahmen können greifen, z. B. wenn Daten stark verschlüsselt waren oder wirksame Maßnahmen das hohe Risiko nachträglich beseitigt haben.
  • 6) Dokumentation (immer!): Auch wenn ihr nicht meldet, müsst ihr den Vorfall intern dokumentieren (Nachweisbarkeit).

Warum ist das für KMU in Deutschland besonders wichtig?

KMU sind häufig Ziel von Phishing, Ransomware und Fehlkonfigurationen – und haben oft weniger Ressourcen für Incident Response. Eine saubere Melde- und Entscheidungsroutine reduziert Bußgeld- und Haftungsrisiken und hilft, Schäden zu begrenzen. Praktisch bewährt: ein kurzer Incident-Runbook, klare Zuständigkeiten (IT, Geschäftsführung, Datenschutz), Vorlagen für Behörden- und Kundenkommunikation sowie technische Basismaßnahmen wie MFA, Backup-Strategie und Rechtekonzepte.

Beispiele aus dem Alltag

  • Falscher E-Mail-Empfänger: Angebot mit personenbezogenen Daten an falsche Adresse → Risikoabwägung, ggf. Meldung; Betroffene informieren, wenn sensible Daten betroffen sind.
  • Gestohlenes Notebook: Gerät mit Kundenliste, aber Festplatte verschlüsselt → oft keine Betroffeneninformation nötig, trotzdem dokumentieren und ggf. melden je nach Risiko.
  • Ransomware: Systeme verschlüsselt, Daten ggf. exfiltriert → häufig meldepflichtig; Betroffeneninfo bei hohem Risiko (z. B. Identitätsmissbrauch).

Wenn ihr KI-Tools im Unternehmen nutzt (z. B. ChatGPT oder Generative KI (Generative AI)) kann eine Datenschutzverletzung auch durch falsch konfigurierte Freigaben, unzulässiges Prompt-/Datei-Teilen oder kompromittierte Zugänge entstehen. Dann gelten dieselben Melde- und Dokumentationspflichten – ergänzt um sauberes Zugriff- und Secrets-Management.