Datenpanne im Betrieb:
die 72-Stunden-Uhr und die erste Stunde
Ein verlorener Laptop, eine Mail an den falschen Verteiler, ein gehacktes Postfach. Ab dem Moment, in dem klar ist, dass Daten betroffen sind, beginnt eine Frist zu laufen — und die erste Stunde entscheidet, wie geordnet der Rest verläuft.
Eine Datenpanne kündigt sich selten an. Sie passiert beiläufig: Ein Mitarbeiter verliert ein Notebook in der Bahn, ein Angebot geht versehentlich an den falschen Empfänger, jemand klickt auf eine täuschend echte Mail und gibt Zugangsdaten preis. In diesem Moment beginnt nicht nur ein technisches Problem, sondern auch eine rechtliche Uhr zu ticken.
Die meisten Betriebe wissen, dass es eine Meldepflicht gibt. Was im Ernstfall fehlt, ist nicht das Wissen um die Pflicht, sondern ein geordneter Ablauf: Wer wird sofort informiert, was wird zuerst getan, ab wann läuft die Frist und wann muss überhaupt gemeldet werden? Dieser Beitrag ordnet die Schritte — als Vorbereitung, nicht als Rechtsberatung. Die Bewertung einer konkreten Panne gehört in fachkundige Hände.
Die Uhr von der Kenntnis bis zur Meldung
Vier Phasen, die nahtlos ineinandergreifen müssen
Wer die erste Stunde geordnet übersteht, gewinnt Zeit und Übersicht für alle weiteren Schritte
Was als Datenpanne zählt
Der Begriff klingt nach großem Hacker-Angriff — in der Praxis ist eine Datenpanne meist banaler. Gemeint ist jede Verletzung des Schutzes personenbezogener Daten, die dazu führt, dass diese Daten unbeabsichtigt offengelegt, verändert, verloren oder unzugänglich werden. Das schließt Versehen genauso ein wie Angriffe.
Typische Fälle im Mittelstand
- Verlust oder Diebstahl: ein Notebook, ein Smartphone, ein USB-Stick mit Kundendaten
- Fehlversand: eine Mail mit offenem Verteiler oder falschem Anhang an den falschen Empfänger
- Kompromittiertes Konto: ein Postfach oder Zugang, in den sich ein Fremder eingeloggt hat
- Verschlüsselung durch Schadsoftware: Daten sind plötzlich gesperrt und nicht mehr erreichbar
- Fehlkonfiguration: ein Ordner oder eine Datenbank, die versehentlich öffentlich erreichbar war
Wichtig ist die Einsicht: Auch ein Datenverlust ohne fremden Zugriff ist eine meldepflichtige Verletzung — wenn etwa Daten unwiederbringlich weg sind und keine Sicherung existiert. Es geht nicht nur darum, dass jemand etwas sieht, das er nicht sehen sollte, sondern auch darum, dass Daten nicht mehr verfügbar sind.
Viele unterschätzen den Fehlversand per Mail, weil „ja nichts gehackt wurde". Ein offener Verteiler, über den hundert Empfänger die Adressen aller anderen sehen, ist aber eine klassische, meldepflichtige Panne. Gerade die alltäglichen, unspektakulären Fälle werden am häufigsten falsch eingeschätzt.
Die 72-Stunden-Uhr: ab wann sie läuft
Die zentrale Regel: Eine meldepflichtige Datenpanne muss der zuständigen Aufsichtsbehörde ohne unangemessene Verzögerung gemeldet werden, möglichst innerhalb von 72 Stunden. Diese Frist steht in Artikel 33 der Datenschutz-Grundverordnung und ist der Punkt, an dem im Ernstfall die meiste Unsicherheit herrscht.
Der Startpunkt ist die Kenntnis, nicht der Vorfall
Die 72 Stunden beginnen nicht, wenn die Panne passiert, sondern wenn der Betrieb von ihr Kenntnis erlangt — also hinreichend sicher weiß, dass personenbezogene Daten betroffen sind. Ein verlorenes Notebook, das erst nach zwei Tagen vermisst wird, startet die Uhr erst mit dem Vermissen, nicht mit dem Verlust.
Verdacht darf kurz geprüft werden
Ein vager, ungeklärter Verdacht löst die Frist noch nicht aus. Eine kurze Prüfung, ob überhaupt eine Verletzung vorliegt, ist zulässig — sie darf aber nicht zur Verschleppung missbraucht werden. Sobald die Verletzung feststeht, läuft die Uhr, und sie läuft auch über Wochenenden und Feiertage.
Frist verpasst — was dann?
Wird die 72-Stunden-Marke überschritten, ist die Meldung trotzdem nachzuholen, dann mit einer Begründung für die Verzögerung. Eine verspätete Meldung ist deutlich besser als gar keine. Wer schweigt und hofft, dass nichts auffällt, riskiert die schwerwiegendere Bewertung.
Was in der ersten Stunde zählt
Bevor irgendjemand an Formulare denkt, geht es um Schadensbegrenzung. Die erste Stunde nach der Kenntnis entscheidet, ob der Vorfall klein bleibt oder größer wird — und sie schafft die Grundlage für die spätere Bewertung.
- Verantwortliche Person rufen: Es gibt eine vorher benannte Person, bei der alle Fäden zusammenlaufen — nicht erst im Ernstfall suchen.
- Zugang eindämmen: Kompromittiertes Konto sperren, Passwort ändern, betroffenes Gerät vom Netz nehmen — die Blutung zuerst stoppen.
- Spuren sichern, nicht löschen: Verdächtige Mails, Protokolle und Bildschirmfotos aufbewahren. Wer vorschnell aufräumt, vernichtet Beweise.
- Umfang grob klären: Welche Daten, welche Personen, wie viele? Eine erste Einschätzung genügt — sie wird später verfeinert.
- Erste Notizen mit Uhrzeit: Wann wurde was bemerkt, wer hat was getan? Diese Chronik ist später Gold wert.
Wer hier strukturiert vorgeht, hat den Vorfall bereits zur Hälfte im Griff. Viele dieser Reflexe überschneiden sich mit dem, was ein durchdachter Website-Notfallplan ohnehin vorsieht — Sperren, Sichern, Wiederanlauf sind dieselben Grundbewegungen.
Legen Sie eine einseitige Notfall-Karte an: Name und Nummer der verantwortlichen Person, die ersten fünf Schritte, der Kontakt zur fachkundigen Stelle für die rechtliche Bewertung. Im Ernstfall denkt niemand klar — eine vorbereitete Karte ersetzt das Nachdenken durch Abarbeiten.
Melden oder nicht? Die Abwägung
Nicht jede Datenpanne ist meldepflichtig. Die Schwelle ist das Risiko für die Rechte und Freiheiten der betroffenen Personen. Führt die Verletzung voraussichtlich zu einem solchen Risiko, ist zu melden — ist ein Risiko unwahrscheinlich, kann die Meldung entfallen.
Wann ein Risiko naheliegt
Sobald sensible Daten betroffen sind — Gesundheits-, Finanz- oder Zugangsdaten — oder eine größere Zahl von Personen, liegt ein Risiko meist auf der Hand. Auch Daten, mit denen sich jemand ausgeben oder schädigen ließe, sprechen klar für die Meldung.
Wann die Meldung entfallen kann
War der betroffene Datenbestand wirksam verschlüsselt und der Schlüssel sicher, ist ein Risiko oft unwahrscheinlich — die Daten sind für den Finder wertlos. Diese Einschätzung muss aber sauber begründet und dokumentiert werden. Verschlüsselung ist damit nicht nur Schutz, sondern auch die beste Entlastung im Ernstfall.
Die Abwägung im Einzelfall ist anspruchsvoll und hängt an Details. Genau hier gehört eine fachkundige Stelle hinzugezogen — die Faustregel für den Betrieb lautet: bei unklarer Risikolage im Zweifel melden, statt die Frist verstreichen zu lassen.
Wann Betroffene informiert werden müssen
Die Meldung an die Aufsichtsbehörde ist die eine Pflicht — die Benachrichtigung der betroffenen Personen die zweite, eigenständige. Sie greift, wenn die Verletzung voraussichtlich ein hohes Risiko für die Betroffenen bedeutet, und ist in Artikel 34 der Datenschutz-Grundverordnung geregelt.
Was die Benachrichtigung leisten muss
Sie ist in klarer, verständlicher Sprache zu halten — kein Juristendeutsch. Sie benennt, was passiert ist, welche Folgen wahrscheinlich sind und was die Betroffenen selbst tun können: Passwörter ändern, auf verdächtige Mails achten, Kontobewegungen prüfen. Eine ehrliche, hilfreiche Information schützt am Ende auch das Vertrauen in den Betrieb.
Wann sie entfallen kann
Waren die Daten wirksam verschlüsselt oder haben nachträgliche Maßnahmen das hohe Risiko wieder beseitigt, kann die direkte Benachrichtigung entfallen. Wäre sie nur mit unverhältnismäßigem Aufwand möglich, tritt an ihre Stelle eine öffentliche Information. Auch hier gilt: Die Entscheidung gehört dokumentiert.
Wer Betroffene früh, ehrlich und mit konkreten Empfehlungen informiert, wirkt verantwortungsvoll — nicht schwach. Der Reputationsschaden entsteht selten durch die Panne selbst, sondern durch den Eindruck, sie sei verschwiegen worden. Wie stark der erste Eindruck im Netz wiegt, zeigt der Beitrag zur eigenen Online-Reputation.
Dokumentation: auch der Beinahe-Fall zählt
Eine oft übersehene Pflicht: Jede Datenpanne ist intern zu dokumentieren — auch die, die am Ende nicht gemeldet werden musste. Festgehalten werden der Sachverhalt, die Auswirkungen und die getroffenen Maßnahmen. Diese Dokumentation muss der Aufsichtsbehörde auf Verlangen vorgelegt werden können.
Der Grund ist nachvollziehbar: Die Behörde muss prüfen können, ob die Entscheidung gegen eine Meldung richtig war. Wer einen Vorfall „still" behandelt, ohne die Abwägung zu dokumentieren, kann später nicht belegen, dass er sorgfältig gehandelt hat — und steht damit schlechter da als jemand, der den Fall offen aufgearbeitet hat.
Praktisch heißt das: ein einfaches, durchgängig geführtes Verzeichnis von Vorfällen, mit Datum, Hergang, Bewertung und Konsequenz. Es muss kein aufwendiges System sein — es muss nur existieren und im Ernstfall vorzeigbar sein.
Vorbeugen: was den Ernstfall entschärft
Die beste Vorbereitung sorgt dafür, dass eine Panne entweder gar nicht erst entsteht oder im Ernstfall folgenlos bleibt. Vier Hebel wirken besonders stark — und sie zahlen sich auch im Alltag aus, lange bevor etwas passiert.
Verschlüsselung als Sicherheitsnetz
Verschlüsselte Notebooks, Datenträger und Backups verwandeln einen Geräteverlust von einer Katastrophe in eine Randnotiz: Wer das Gerät findet, kann mit den Daten nichts anfangen. Verschlüsselung ist die Maßnahme mit dem besten Verhältnis von Aufwand zu Wirkung.
Saubere Zugänge
Ein großer Teil der Pannen beginnt mit einem übernommenen Konto. Persönliche Zugänge, starke Passwörter und ein zweiter Faktor senken dieses Risiko deutlich — warum geteilte Passwörter dabei das größte Einfallstor sind, vertieft der Beitrag zu geteilten Passwörtern im Betrieb.
Backups, die wirklich funktionieren
Gegen Datenverlust und Verschlüsselung durch Schadsoftware hilft nur eine Sicherung, die getrennt aufbewahrt und regelmäßig auf Wiederherstellbarkeit geprüft wird. Ein Backup, das im Ernstfall nicht zurückspielbar ist, ist kein Backup.
Klare Rollen und ein geprobter Ablauf
Eine benannte verantwortliche Person, eine Notfall-Karte, ein einmal durchgespielter Ablauf — das ist der Unterschied zwischen geordnetem Reagieren und Panik. Diese Vorbereitung lässt sich gut in das jährliche Jahres-Audit integrieren.
Jeder weiß, wen er bei Verdacht sofort informiert
Ein Verlust bleibt dadurch im Zweifel folgenlos
Erste Schritte und Kontakte auf einer Seite, nicht im Kopf
Auch der nicht gemeldete Fall wird nachvollziehbar dokumentiert
Die fünf häufigsten Fehler im Ernstfall
Wenn eine Panne aus dem Ruder läuft, liegt es selten am Vorfall selbst — sondern an der Reaktion. Diese Muster wiederholen sich.
Die Frist verstreicht, weil niemand entscheidet — der schwerste Fehler
Wer „aufräumt", vernichtet die Beweise für die spätere Bewertung
Wird sie später bekannt, wiegt das Verschweigen schwerer als der Vorfall
Auch die Entscheidung gegen eine Meldung muss belegbar sein
Im Ernstfall wird erst gesucht, wer überhaupt entscheiden darf
Fehler 1 und 3 sind die teuersten — sie verwandeln einen beherrschbaren Vorfall in ein vermeidbares Problem.
Häufig gestellte Fragen
Die Frist beginnt nicht mit dem Vorfall selbst, sondern mit dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung Kenntnis erlangt — also hinreichend sicher weiß, dass personenbezogene Daten betroffen sind. Ein bloßer, noch ungeklärter Verdacht löst die Uhr noch nicht aus, eine kurze Prüfung zur Bestätigung ist zulässig. Sobald die Verletzung aber feststeht, zählt jede der 72 Stunden, einschließlich Wochenende und Feiertag. Wird die Frist überschritten, ist die Meldung trotzdem nachzuholen, dann mit Begründung der Verzögerung.
Nein. Gemeldet werden muss eine Verletzung an die zuständige Aufsichtsbehörde nur dann, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Ist ein Risiko unwahrscheinlich — etwa weil die Daten wirksam verschlüsselt waren und der Schlüssel sicher ist —, kann eine Meldung entfallen. Diese Einschätzung muss aber dokumentiert und begründet werden. Im Zweifel und bei unklarer Risikolage ist die Meldung der sichere Weg.
Eine zusätzliche Benachrichtigung der Betroffenen ist nötig, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten bedeutet — etwa bei Gesundheits-, Finanz- oder Zugangsdaten. Diese Information muss klar und verständlich sein, die wahrscheinlichen Folgen benennen und konkrete Empfehlungen geben, etwa Passwörter zu ändern. Sie kann entfallen, wenn nachträglich Maßnahmen das hohe Risiko wieder beseitigt haben oder die Daten von vornherein wirksam verschlüsselt waren.
Die unterlassene oder verspätete Meldung ist selbst ein eigenständiger Verstoß und kann empfindliche Bußgelder nach sich ziehen — unabhängig davon, wie schwer die ursprüngliche Panne war. Aufsichtsbehörden bewerten dabei häufig milder, wenn ein Vorfall offen gemeldet und sauber aufgearbeitet wurde, und strenger, wenn versucht wurde, ihn zu verschweigen. Transparenz im Ernstfall ist also nicht nur Pflicht, sondern auch die risikoärmere Wahl.
Ob eine Pflicht zur Benennung besteht, hängt von Art und Umfang der Datenverarbeitung ab und ist im Einzelfall zu prüfen. Unabhängig davon braucht jeder Betrieb für den Ernstfall eine klar benannte verantwortliche Person und einen festen Ablauf. Die rechtliche Bewertung einer konkreten Panne und die Formulierung der Meldung gehören in fachkundige Hände — dieser Beitrag ersetzt keine rechtliche Beratung, sondern hilft, vorbereitet zu sein.
Vorbereitet sein schlägt schnell sein
Die 72-Stunden-Frist klingt knapp — und ist sie auch, wenn man im Ernstfall erst überlegt, wer eigentlich zuständig ist. Sie ist gut zu schaffen, wenn die Grundlagen stehen: eine benannte Person, ein klarer erster Ablauf, verschlüsselte Geräte und ein einfaches Vorfall-Verzeichnis.
Der Ernstfall lässt sich nicht verhindern, aber entschärfen. Wer einmal eine halbe Stunde in eine Notfall-Karte und die Verschlüsselung der wichtigsten Geräte investiert, verwandelt eine potenzielle Katastrophe in einen geordneten Vorgang. Die rechtliche Bewertung der konkreten Panne bleibt dabei Aufgabe einer fachkundigen Stelle — dieser Beitrag schafft die Voraussetzung, im richtigen Moment ruhig handeln zu können.
Wir prüfen in 2 Werktagen, wie gut Ihr Betrieb auf eine Datenpanne vorbereitet ist — Zugänge, Verschlüsselung, Backups und der erste Ablauf.