von Haus aus

Umgang mit datenschutzrelevanten Vorkommnissen

Handlungsplan für sogenannte Datenpannen

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“ So Art. 33, Absatz 1 der DSGVO.

In Art. 33, 34 DSGVO ist die „Meldung einer Verletzung des Schutzes personenbezogener Daten“ (sog. Datenpanne) gesetzlich geregelt.

Soweit die Theorie, doch was ist in der Praxis zu tun? Natürlich hat jeder Mitarbeitende schon von Datenpannen gehört und nahezu 100% davon werden auch ein Beispiel anführen können. Doch was habe ich zu tun, wenn es mir passiert? Ab wann muss ich es überhaupt jemandem melden? Und wem überhaupt?


Die folgenden chronologisch aufgebauten Punkte helfen Ihnen bei einer Lösung:

Feststellung einer Datenpanne

Mit einer Datenpanne wird jede Verletzung des Schutzes personenbezogener Daten bezeichnet. Das ist gleichbedeutend mit einem Verstoß gegen das Datenschutzrecht. Der Begriff umfasst folgende Verletzungssituationen personenbezogener Daten:

  • Vernichtung: jede Form der Datenlöschung, dieDaten unwiederbringlich machen, gleich obrechtlich unzulässig oder unbeabsichtigt
  • Verlust: Daten gehen verloren, unabhängig davon,ob sie temporär oder dauerhaft verloren sind
  • Veränderung: Daten erhalten neuenInformationsgehalt und werden verfälscht
  • unbefugte Offenlegung oder Weitergabe:E-Mail-Irrläufer, Fehler beim Adressaten, unbefugte Veröffentlichung auf Webseiten/Social Media.
  • unbefugter Zugang: aufgrund fehlender oderfehlerhafter Berechtigungskonzepte könnenDatenpannen entstehen


Beispiele für solche Fälle sind Verlust von Speicher- medien (z. B. Laptops, USB-Sticks), Cyberangriffe, Versand von E-Mails und Briefen an falsche Empfänger, Einbruch und Diebstahl von Hardware oder Einblicke von Unbefugten in Daten (Dokumente, PCs).

Sofern ein solcher Fall bemerkt wird, ist der Fall an Ihre interne Datenschutz-Koordination oder an den internen oder externen Datenschutzbeauftragten zu melden.

Liegt wirklich eine Datenpanne vor?

Zur Beurteilung des Vorfalls sind genaue Informationen über den Vorfall erforderlich. Dazu können weitere Fachbereiche eingebunden oder die Datenpanne rekonstruiert werden. Die Beurteilung sollte durch die Datenschutz-Koordination (DSK) oder bzw. mit dem Datenschutzbeauftragten (DSB) erfolgen.

Wichtig: Datenpannen müssen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, der Aufsichtsbehörde gemeldet werden – sofern es sich um eine meldepflichtige Datenpanne handelt (siehe Punkt 4). Die Frist von 72 Stunden läuft unabhängig davon, ob es ein Werk-, Wochenend- oder Feiertag ist.

Deshalb ist es wichtig, schnell mit der DSK bzw. dem DSB in Kontakt zu treten, wenn man Kenntnisse über eine potenzielle Datenpanne erlangt.

Rechtliche Prüfung gem. Art. 33, 34 DSGVO

Sofern der DSB nicht bereits in Punkt 2 kontaktiert wurde, sollte dieser nochmal bei der Bewertung hinzugezogen werden bzw. zur Bewertung der DSK Stellung nehmen. Nachdem alle erforderlichen Informationen zusammengetragen wurden, müssen folgende Kriterien geprüft werden: 

  • Ist der Vorfall als Datenpanne einzustufen, d. h. ist eine Verletzung personenbezogener Daten gegeben oder zu befürchten?   
  • Wenn dies der Fall ist, muss weiterhin Folgendes bewertet werden: ob die Verletzung der personenbezogenen Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Bewertung von Risiken erfolgt, indem man die Höhe eines möglichen Schadens und die Wahrscheinlichkeit des Eintritts einschätzt.  

Schäden können z. B. Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschäden oder körperliche Nachteile sein. Dabei wird auch geprüft, wie die Daten verarbeitet werden, und ob z. B. sensible Daten wie Gesundheitsinformationen betroffen sind, oder ob besonders schützenswerte Personen wie Kinder oder Minderjährige betroffen sind und letztlich auch wie viele Personen und Datensätze betroffen sind. Abhängig vom Ergebnis dieser Ermittlungen wird die mögliche Höhe des Schadens eingeschätzt.

Zur Ermittlung der Eintrittswahrscheinlichkeit eines möglichen Schadens wird geprüft, unter welchen Umständen ein Schaden eintreten kann. Die Wahrscheinlichkeit des Eintritts dieser Umstände wird realistisch eingeschätzt. Die Eintrittswahrscheinlichkeit kann in einer Bewertung reduziert werden, indem schnell und den Umständen entsprechend reagiert wird, z. B. indem man einen Empfänger auffordert, versehentlich erhaltene Briefe zu vernichten, also durch gezielte Aktionen versucht, einen potenziellen Schaden zu verhindern.

Das tatsächliche Risiko für die betroffenen Personen, das aus der Verletzung des Schutzes personenbezogener Daten resultiert, ergibt sich insgesamt aus dem potenziellen Schaden einer Datenpanne und dessen Eintrittswahrscheinlichkeit.  

Für die Bewertung des Risikos kann folgende Abbildung hinzugezogen werden.

Handlungsbedarf gemäß Art. 33, 34 DSGVO

Abhängig von dem Ergebnis einer Bewertung einer Datenpanne sind weitere gesetzlich festgelegte Maßnahmen gem. Art. 33, 34 DSGVO einzuleiten. Mindestens (Ermitteltes Risiko liegt im „grünen“ Bereich) ist eine interne Dokumentation des Vorfalls erforderlich. Bei einem mittleren Risiko im „gelben“ Bereich ist es zusätzlich zur vorgeschriebenen Dokumentation erforderlich, auch die zuständige Aufsichtsbehörde zu informieren.

Dieses kann über das Online-Formular des Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen) erfolgen:  

Ist durch die Datenpanne potenziell sogar ein hohes Risiko für die Betroffenen entstanden („roter“ Bereich), müssen die betroffenen Personen darüber schriftlich informiert werden. Ist dieses im Einzelfall nicht direkt möglich, muss u. U. die Information über öffentliche Publikationen erfolgen (Webseite, Zeitung, …).  

Zur Orientierung über die konkret erforderliche Vorgehensweise kann folgende Tabelle genutzt werden:

Risiko/Pflichten
Interne Dokumentationspflicht (Art. 33, Abs. 5 DS-GVO)Meldepflicht an zuständige Aufsichtsbehörde (Art. 33, Abs. 1 DS-GVO)
Benachrichtigungspflicht gegenüber den betroffenen Personen (Art. 34 DS-GVO)
​Voraussichtlich kein bzw. nur geringes Risiko
​ja
​​nein
​nein
​Risiko
​ja
​ja
​nein
​Hohes Risiko
​ja
​ja
​ja

Maßnahmen, um Vorfälle zu begrenzen und zu verhindern

Zusätzlich sollten die Ursachen des Vorfalls untersucht und passende Maßnahmen festgelegt werden, um ähnliche Vorfälle in Zukunft zu verhindern. Maßnahmen können bspw. die Sensibilisierung der Beschäftigten sein, Anweisungen zum Umgang mit Dokumenten oder die vorzugsweise Nutzung digitaler statt analoger Dokumente. Weiterhin kann es erforderlich sein, technische Geräte, die Datenpannen verursachen, zu erneuern, z. B. Kuvertiermaschinen.

Es wird außerdem empfohlen, eine entsprechende dokumentierte Anweisung für den Umgang mit datenschutzrelevanten Vorfällen zu erstellen.

Informationssicherheit – „Das ist uns zu teuer“
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)