Eine gehackte Webseite, ein im Zug vergessenes Notebook, ein Newsletter mit allen Empfängern im offenen An-Feld: So unterschiedlich diese Pannen wirken, sie haben eines gemeinsam. Sobald personenbezogene Daten in falsche Hände geraten oder verloren gehen, läuft eine Uhr.
Die Datenschutz-Grundverordnung nennt dafür eine Frist: 72 Stunden, um die zuständige Aufsichtsbehörde zu informieren. Das klingt nach Stress, ist aber gut zu schaffen, wenn Du weißt, was zu tun ist.
Hier bekommst Du einen ruhigen Notfallplan: Du erkennst, was überhaupt als Datenpanne gilt, was die Frist bedeutet und in welcher Reihenfolge Du handelst.
Was als Datenpanne zählt
Eine Datenpanne ist jeder Vorfall, bei dem personenbezogene Daten verloren gehen, zerstört, verändert oder unbefugt offengelegt werden. Personenbezogen heißt: Die Daten lassen sich einer Person zuordnen. Name, Adresse, E-Mail, Telefonnummer, Bestellhistorie, Bewerbungsunterlagen.
Der Klassiker ist die gehackte Website mit ausgelesener Kundendatenbank. Aber die meisten Pannen im Alltag sind banaler:
- Verlorene Hardware: Notebook, Smartphone oder USB-Stick mit Kundendaten gehen verloren oder werden gestohlen.
- Fehlversand: Eine E-Mail mit sensiblen Daten geht an den falschen Empfänger, oder ein Newsletter zeigt alle Adressen im offenen Verteiler.
- Falsch entsorgt: Ausdrucke mit Kundendaten landen ungeschreddert im Papiermüll.
- Verschlüsselt durch Schadsoftware: Ein Verschlüsselungstrojaner sperrt Dich aus Deinen eigenen Daten aus.
Meldepflichtig ist auch der bloße Verlust, ganz ohne fremdes Zutun. Wenn Dein einziges Backup kaputtgeht und Kundendaten unwiederbringlich weg sind, ist das eine meldepflichtige Panne.
Die 72-Stunden-Regel — was sie bedeutet
Die Frist steht in Artikel 33 der DSGVO. Sie verlangt, dass Du eine Datenpanne der zuständigen Aufsichtsbehörde meldest, sobald Du davon erfährst.
Wichtig ist der Startpunkt: Die 72 Stunden laufen ab dem Moment, in dem Du von der Panne Kenntnis erlangst, nicht ab dem Zeitpunkt, an dem sie passiert ist. Entdeckst Du am Montagmorgen einen Einbruch vom Freitag, beginnt die Frist am Montag.
Zuständig ist die Datenschutz-Aufsichtsbehörde Deines Bundeslandes. Jedes Land hat eine eigene, und alle bieten ein Online-Formular für die Meldung an. Du musst nicht alles sofort wissen: Eine Erstmeldung mit dem, was Du bis dahin weißt, ist zulässig. Details darfst Du nachreichen.
Eine kleine Entwarnung: Nicht jede Panne ist meldepflichtig. Wenn ein Risiko für die betroffenen Personen unwahrscheinlich ist, etwa weil die Daten sicher verschlüsselt und damit unlesbar waren, entfällt die Meldung. Diese Einschätzung solltest Du aber dokumentieren, damit Du sie später begründen kannst.
Dein Notfallplan Schritt für Schritt
Im Ernstfall hilft eine feste Reihenfolge. Sie verhindert, dass Du in der Aufregung den falschen Schritt zuerst machst. Wie Du diese Reihenfolge über die Datenpanne hinaus in einen kompletten Notfallplan für Deine Website gießt, zeigt Dir der passende Beitrag dazu.
- Eindämmen: Stoppe zuerst den weiteren Schaden. Zugänge sperren, betroffenes Gerät vom Netz nehmen, kompromittierte Passwörter ändern.
- Dokumentieren: Halte fest, wann Du was bemerkt hast und welche Daten betroffen sind. Diese Notizen brauchst Du für die Meldung und als Nachweis.
- Risiko einschätzen: Frage Dich, was den betroffenen Personen drohen kann. Geht es um Adressen oder um Bankdaten und Passwörter? Davon hängt ab, ob und wie dringend Du meldest.
- Aufsichtsbehörde melden: Fülle das Online-Formular Deiner Landesbehörde aus, sobald Risiko besteht. Lieber eine vorläufige Meldung als eine verpasste Frist.
- Betroffene informieren: Wenn ein hohes Risiko besteht, benachrichtige zusätzlich die betroffenen Personen (mehr dazu im nächsten Abschnitt).
- Ursache schließen: Erst danach geht es um die saubere Wiederherstellung. Bei einem Einbruch überlässt Du diesen Teil den Profis.
Die technische Seite eines Einbruchs ist ein eigenes Thema. Wie Du eine kompromittierte Seite stabilisierst und wiederherstellst, beschreibt der Beitrag zum Hackerangriff auf Deine Webseite im Detail.
Wann Du auch die Betroffenen informieren musst
Die Meldung an die Aufsichtsbehörde ist die eine Pflicht. Die zweite kommt hinzu, wenn die Panne ein hohes Risiko für die betroffenen Personen bedeutet. Dann musst Du auch diese Menschen direkt informieren.
Hohes Risiko liegt vor, wenn aus den Daten ernsthafter Schaden entstehen kann. Greifbare Beispiele:
- Zugangsdaten: Veröffentlichte Passwörter oder Login-Daten ermöglichen Identitätsdiebstahl.
- Finanzdaten: Bank- oder Zahlungsdaten eröffnen die Möglichkeit für Betrug.
- Sensible Inhalte: Gesundheitsdaten oder andere besonders schützenswerte Informationen geraten an die Öffentlichkeit.
Die Information an die Betroffenen sollte klar und ohne Fachjargon sein: Was ist passiert, welche Daten sind betroffen, was rätst Du den Menschen jetzt zu tun, etwa ein Passwort zu ändern. Ehrlichkeit erhält das Vertrauen besser als Schweigen.
Bei der Frage, ob ein hohes Risiko vorliegt, bewegst Du Dich an einer rechtlichen Grenze. Im Zweifel hilft die Aufsichtsbehörde weiter, und bei größeren Vorfällen ist anwaltlicher Rat sinnvoll. Dieser Beitrag ersetzt keine Rechtsberatung.
Was Du jetzt vorbereitest
Die 72 Stunden sind nur dann machbar, wenn Du im Ernstfall nicht bei null anfängst. Etwas Vorbereitung nimmt den Druck aus dem Moment.
Notiere Dir vorab, welche Aufsichtsbehörde für Dich zuständig ist und wo ihr Meldeformular liegt. Lege eine kurze Liste an, welche personenbezogenen Daten Du überhaupt speicherst und wo. Wer das vorher weiß, kann den Schaden im Ernstfall schneller einschätzen.
Technisch zahlen sich zwei Dinge besonders aus: saubere Backup-Strategien, damit ein Datenverlust nicht gleich endgültig ist, und ein abgesicherter Zugang über starke Passwörter. Beides verkleinert die Angriffsfläche und macht aus einer großen Panne oft eine kleine.
Fazit
Eine Datenpanne ist unangenehm, aber kein Weltuntergang, wenn Du der Frist mit einem Plan begegnest. Eindämmen, dokumentieren, Risiko einschätzen, melden: Diese Reihenfolge trägt Dich durch die ersten Stunden.
Leg Dir heute die zwei Bausteine zurecht, die im Ernstfall zählen: die zuständige Behörde mit ihrem Formular und eine Übersicht Deiner Daten. Dann bleibt die 72-Stunden-Meldepflicht ein machbarer Vorgang statt ein Schreckgespenst.