DAllgemein

Datenschutzverletzung (Data Breach) & Meldepflicht (Art. 33/34 DSGVO)

Meldung an Behörde binnen 72h; ggf. Betroffene informieren.
1 Aufrufe

Eine Datenschutzverletzung (Data Breach) ist ein Sicherheitsvorfall, bei dem personenbezogene Daten versehentlich oder unrechtmäßig vernichtet, verändert, verloren, unbefugt offengelegt oder zugänglich gemacht werden. Nach Art. 33 DSGVO muss der Verantwortliche solche Vorfälle in der Regel binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde melden; nach Art. 34 DSGVO müssen ggf. auch betroffene Personen informiert werden.

Was bedeutet „Datenschutzverletzung“ im Sinne der DSGVO?

Die DSGVO meint nicht nur „Hackerangriff“. Eine Datenschutzverletzung kann auch passieren, wenn ein Laptop mit Kundendaten gestohlen wird, eine E-Mail mit Gehaltslisten an den falschen Empfänger geht, ein Cloud-Ordner versehentlich öffentlich freigegeben ist oder ein Mitarbeiter unberechtigt Zugriff auf CRM-Daten erhält. Entscheidend ist: Es geht um personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Gesundheitsdaten, Mitarbeiterdaten) und um eine Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit.

Wie funktioniert die Meldepflicht nach Art. 33/34 DSGVO (praxisnah)?

  • 1) Vorfall erkennen & eindämmen: Zugänge sperren, Passwörter/Keys rotieren, Systeme isolieren, Backups prüfen, Beweise sichern (Logs).
  • 2) Schnell bewerten: Welche Daten sind betroffen? Wie viele Personen? Welche Folgen drohen (Identitätsdiebstahl, Betrug, Rufschaden)? War Verschlüsselung aktiv?
  • 3) 72-Stunden-Frist starten: Die Uhr läuft ab dem Zeitpunkt, an dem ihr „Kenntnis“ habt (nicht erst nach Abschluss der Forensik). Wenn noch nicht alles klar ist, ist eine gestufte Meldung möglich: erst melden, dann nachreichen.
  • 4) Meldung an die Aufsichtsbehörde (Art. 33): Wenn ein Risiko für Rechte/Freiheiten natürlicher Personen wahrscheinlich ist, müsst ihr melden. Inhalt typischerweise: Art des Vorfalls, Kategorien/Umfang der Daten, mögliche Folgen, ergriffene Maßnahmen, Kontakt (z. B. Datenschutzbeauftragter).
  • 5) Information der Betroffenen (Art. 34): Wenn ein hohes Risiko besteht, müsst ihr Betroffene „unverzüglich“ und in klarer Sprache informieren – inkl. Empfehlungen (z. B. Passwort ändern, Phishing beachten). Ausnahmen können greifen, z. B. wenn Daten stark verschlüsselt waren oder wirksame Maßnahmen das hohe Risiko nachträglich beseitigt haben.
  • 6) Dokumentation (immer!): Auch wenn ihr nicht meldet, müsst ihr den Vorfall intern dokumentieren (Nachweisbarkeit).

Warum ist das für KMU in Deutschland besonders wichtig?

KMU sind häufig Ziel von Phishing, Ransomware und Fehlkonfigurationen – und haben oft weniger Ressourcen für Incident Response. Eine saubere Melde- und Entscheidungsroutine reduziert Bußgeld- und Haftungsrisiken und hilft, Schäden zu begrenzen. Praktisch bewährt: ein kurzer Incident-Runbook, klare Zuständigkeiten (IT, Geschäftsführung, Datenschutz), Vorlagen für Behörden- und Kundenkommunikation sowie technische Basismaßnahmen wie MFA, Backup-Strategie und Rechtekonzepte.

Beispiele aus dem Alltag

  • Falscher E-Mail-Empfänger: Angebot mit personenbezogenen Daten an falsche Adresse → Risikoabwägung, ggf. Meldung; Betroffene informieren, wenn sensible Daten betroffen sind.
  • Gestohlenes Notebook: Gerät mit Kundenliste, aber Festplatte verschlüsselt → oft keine Betroffeneninformation nötig, trotzdem dokumentieren und ggf. melden je nach Risiko.
  • Ransomware: Systeme verschlüsselt, Daten ggf. exfiltriert → häufig meldepflichtig; Betroffeneninfo bei hohem Risiko (z. B. Identitätsmissbrauch).

Wenn ihr KI-Tools im Unternehmen nutzt (z. B. ChatGPT oder Generative KI (Generative AI)) kann eine Datenschutzverletzung auch durch falsch konfigurierte Freigaben, unzulässiges Prompt-/Datei-Teilen oder kompromittierte Zugänge entstehen. Dann gelten dieselben Melde- und Dokumentationspflichten – ergänzt um sauberes Zugriff- und Secrets-Management.

Zahlen & Fakten

0h
Meldepflicht FristUnternehmen müssen eine Datenschutzverletzung in der Regel binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde melden, sofern ein Risiko für Betroffene besteht.
0 Mio. €
Maximales BußgeldBei schweren DSGVO-Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, was besonders für KMU erhebliche Risiken schafft.
0%
Menschlicher FehlerEin erheblicher Teil von Datenschutzverletzungen in Unternehmen geht auf Fehlversand, Fehlkonfigurationen oder andere menschliche Fehler zurück, was den Bedarf an klaren Melde- und Reaktionsprozessen erhöht.

Anwendungsfälle in der Praxis

Kundenservice
72-Stunden-Notfallprozess nach Phishing-Angriff im Kundenservice auslösen
Ein KMU im Kundenservice stellt fest, dass durch ein kompromittiertes E-Mail-Konto Kundendaten eingesehen wurden. Der praktische Anwendungsfall besteht darin, intern sofort einen Data-Breach-Prozess zu starten, den Vorfall zu bewerten, Beweise zu sichern und die Meldung an die Aufsichtsbehörde fristgerecht innerhalb von 72 Stunden vorzubereiten. Wenn ein hohes Risiko für die Betroffenen besteht, werden betroffene Kunden zusätzlich mit klaren Handlungshinweisen informiert.

Bist du bereit für den Umgang mit Datenschutzverletzungen und die Meldepflicht nach Art. 33/34 DSGVO?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du intern definiert, was in deinem Unternehmen als Datenschutzverletzung gilt?
Gibt es bei dir einen klaren Prozess, wie Vorfälle sofort erkannt und intern gemeldet werden?
Kannst du innerhalb von 72 Stunden bewerten, ob eine Meldung an die Aufsichtsbehörde erforderlich ist?
Hast du Vorlagen oder feste Abläufe, um betroffene Personen bei hohem Risiko korrekt zu informieren?
Dokumentierst du Datenschutzverletzungen vollständig, auch wenn keine Meldung an die Behörde erfolgt?

Bist du auf eine Datenschutzverletzung technisch und organisatorisch vorbereitet?

Bei einer Datenschutzverletzung zählen klare Prozesse, saubere Systemübersichten und schnelle Reaktionswege, damit die 72-Stunden-Frist nach Art. 33 DSGVO eingehalten werden kann. Mit dem Tech-Gutachten analysiere ich deine Tool-Landschaft, Verantwortlichkeiten und Datenflüsse, damit Risiken und Meldewege sichtbar werden. So erkennst du früh, wo Informationslücken, Schatten-Tools oder unklare Zuständigkeiten im Ernstfall zum Problem werden. Du bekommst konkrete Empfehlungen, wie du dein Setup besser auf Vorfälle, Dokumentation und schnelle Entscheidungen ausrichtest.

Häufig gestellte Fragen

Was ist eine Datenschutzverletzung (Data Breach) nach DSGVO?
Eine Datenschutzverletzung ist ein Vorfall, bei dem personenbezogene Daten unbefugt offengelegt, verändert, gelöscht oder unzugänglich werden (z. B. Hackerangriff, Fehlversand, Verlust eines Laptops). Maßgeblich ist, ob Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten betroffen ist.