Datenpanne im Unternehmen: Die 72-Stunden-Frist und der richtige Notfallplan
Ein falsch adressierter Serienbrief, ein gehacktes Postfach, ein verlorener Laptop oder ein Ransomware-Angriff: Eine Datenpanne ist schneller passiert, als viele denken. Ab dem Moment der Kenntnis läuft eine harte Frist: 72 Stunden für die Meldung an die Datenschutz-Aufsichtsbehörde (Art. 33 DSGVO) – Wochenende inklusive.
Wer richtig reagiert, kommt in aller Regel ohne Bußgeld davon. Wer vertuscht, zu spät meldet oder chaotisch kommuniziert, riskiert empfindliche Sanktionen und Schadensersatzforderungen der Betroffenen. Dieser Ratgeber zeigt den Notfallplan Schritt für Schritt.
Dieser Ratgeber wurde von Rechtsanwalt Demirel von der Kanzlei MANDATI in Essen auf Grundlage der aktuellen Gesetzeslage und Rechtsprechung erstellt. Die Kanzlei berät Unternehmen, Start-ups und Verbraucher im IT-Recht – vor Ort im Ruhrgebiet und bundesweit digital.
1. Was gilt rechtlich als Datenpanne?
Die DSGVO spricht von einer „Verletzung des Schutzes personenbezogener Daten“: jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt – ob versehentlich oder vorsätzlich. Darunter fallen deutlich mehr Alltagsfälle, als vielen Unternehmen bewusst ist:
Typische Datenpannen aus der Praxis
- E-Mail mit Kundendaten an den falschen Empfänger, offener CC-Verteiler
- Ransomware-Angriff oder gehacktes E-Mail-Konto
- Verlust von Laptop, Smartphone oder USB-Stick ohne Verschlüsselung
- Fehlkonfigurierte Cloud-Speicher oder Datenbanken, die öffentlich erreichbar sind
- Einbruch mit Diebstahl von Akten oder Hardware
- Fehlversand von Gehaltsabrechnungen oder Patientenunterlagen
2. Melden oder nicht melden? Die Risikoabwägung
Nicht jede Panne ist meldepflichtig. Die Meldung an die Aufsichtsbehörde ist nur entbehrlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Bei hohem Risiko müssen zusätzlich die Betroffenen selbst benachrichtigt werden (Art. 34 DSGVO).
| Risikostufe | Beispiel | Pflicht |
|---|---|---|
| Kein Risiko | Verlust eines vollständig verschlüsselten Laptops mit sicherem Schlüssel | Nur interne Dokumentation |
| Risiko | Fehlversand einer Kundenliste an einen Dritten | Meldung an Aufsichtsbehörde binnen 72 h |
| Hohes Risiko | Leak von Gesundheits- oder Kontodaten, Ransomware mit Datenabfluss | Meldung + Benachrichtigung der Betroffenen |
Dokumentationspflicht auch ohne Meldung: Jede Datenpanne – auch die nicht meldepflichtige – muss intern dokumentiert werden (Art. 33 Abs. 5 DSGVO). Diese Dokumentation ist Ihre Verteidigung, falls die Behörde später Fragen stellt.
3. Der 72-Stunden-Notfallplan
Stunde 0–4: Eindämmen
Zugänge sperren, Systeme isolieren, Passwörter ändern. IT-Forensik sichern – nichts löschen, was den Vorfall aufklären kann.
Stunde 4–24: Bewerten
Welche Daten, wie viele Betroffene, welches Risiko? Datenschutzbeauftragten und – spätestens jetzt – anwaltliche Unterstützung einbinden.
Stunde 24–72: Melden
Meldung über das Online-Portal der zuständigen Landesdatenschutzbehörde (in NRW: LDI NRW). Lieber fristgerecht mit Teilinformationen melden und nachreichen, als die Frist zu reißen.
Danach: Nacharbeiten
Betroffene informieren (falls nötig), Ursache beheben, Prozesse anpassen, Dokumentation abschließen – und auf Rückfragen der Behörde professionell antworten.
4. Bußgeld und Haftung: Was droht wirklich?
Verstöße gegen die Meldepflichten können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis honorieren die Behörden kooperatives, transparentes Verhalten deutlich: Wer fristgerecht meldet, den Vorfall sauber aufarbeitet und Konsequenzen zieht, hat gute Chancen, ohne oder mit geringem Bußgeld davonzukommen. Hinzu kommt das zivilrechtliche Risiko: Betroffene können Schadensersatz nach Art. 82 DSGVO verlangen – professionelle Betroffenenkommunikation senkt auch dieses Risiko.
5. Vorbeugung: Der Incident-Response-Plan
Die 72-Stunden-Frist ist nur zu halten, wenn die Abläufe vorher feststehen. Ein schlanker Incident-Response-Plan regelt: Wer erkennt und eskaliert Vorfälle? Wer bewertet das Risiko? Wer meldet an die Behörde, wer kommuniziert mit Betroffenen und Presse? Zusammen mit technischen Basics – Verschlüsselung, Backups, Zwei-Faktor-Authentifizierung – ist das der wirksamste Schutz vor dem Ernstfall. Wir erstellen solche Pläne für Mandanten als kompaktes Paket; einen Überblick über unsere Leistungen finden Sie auf der Seite IT-Recht bei MANDATI.
Das Wichtigste in Kürze
Bei einer Datenpanne zählt Struktur statt Panik: eindämmen, Risiko bewerten, binnen 72 Stunden melden, dokumentieren. Auch nicht meldepflichtige Vorfälle gehören ins interne Register. Wer transparent mit der Aufsichtsbehörde kommuniziert, minimiert Bußgeld- und Haftungsrisiken erheblich – und mit einem vorbereiteten Notfallplan wird aus dem Krisenfall ein beherrschbarer Prozess.
Datenpanne entdeckt? Die Uhr läuft.
Rufen Sie uns sofort an – wir bewerten das Risiko, formulieren die Meldung und übernehmen die Kommunikation mit der Aufsichtsbehörde.
Beratung anfragen →6. Häufige Fragen (FAQ)
Ab wann läuft die 72-Stunden-Frist?
Ab dem Zeitpunkt, zu dem das Unternehmen von der Verletzung Kenntnis erlangt – also sobald ein Mitarbeiter mit entsprechender Verantwortung den Vorfall bemerkt. Wochenenden und Feiertage zählen mit. Verspätete Meldungen müssen begründet werden.
An wen melde ich eine Datenpanne in NRW?
Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Die Meldung erfolgt am einfachsten über das Online-Meldeportal der Behörde. Wir übernehmen die Formulierung und Kommunikation auf Wunsch vollständig.
Muss ich bei jedem Vorfall auch die Betroffenen informieren?
Nein, nur bei voraussichtlich hohem Risiko für die Betroffenen – etwa wenn Konto-, Gesundheits- oder Zugangsdaten abgeflossen sind. Die Benachrichtigung muss in klarer Sprache erfolgen und Empfehlungen zum Selbstschutz enthalten.
Was passiert, wenn ich die Meldung unterlasse?
Das Unterlassen ist selbst bußgeldbewehrt – unabhängig vom Ausgangsvorfall. Kommt die Panne später ans Licht, etwa durch Betroffenenbeschwerden, wiegt die unterlassene Meldung besonders schwer. Transparenz ist fast immer die bessere Strategie.
Schützt mich die Meldung vor Schadensersatzforderungen der Betroffenen?
Nicht automatisch, aber sie hilft: Eine saubere Reaktion begrenzt den Schaden, dokumentiert Verantwortungsbewusstsein und entzieht überzogenen Forderungen die Grundlage. Betroffene müssen zudem einen konkreten Schaden darlegen.
Brauche ich für die Meldung einen Anwalt?
Pflicht ist es nicht – aber die Formulierung der Meldung stellt Weichen: Sie ist Grundlage für alle späteren Rückfragen und ein etwaiges Bußgeldverfahren. Wir formulieren Meldungen so, dass sie vollständig und zugleich nicht selbstbelastend über das Erforderliche hinaus sind.
7. Ihre Kanzlei für Datenpannen-Management und Behördenkommunikation in Essen und ganz NRW
Die Kanzlei MANDATI in Essen berät Unternehmen, Start-ups und Verbraucher im IT-Recht – von der DSGVO-Compliance über IT-Verträge bis zur Abwehr von Abmahnungen. Persönlich in Essen oder vollständig digital, bundesweit.
MANDATI Rechtsanwälte – Ihr Anwalt für Datenpannen-Management und Behördenkommunikation in Essen und dem gesamten Ruhrgebiet. Persönliche Beratung vor Ort oder mandatsbezogen bundesweit.
Hindenburgstr. 23, 45127 Essen, Nordrhein-Westfalen
Telefon: 0201 – 890 722 40 · E-Mail: [email protected]
Öffnungszeiten: Mo–Fr 9–18 Uhr
Einzugsgebiete / „in der Nähe":
- Essen
- Bochum
- Dortmund
- Düsseldorf
- Duisburg
- Mülheim a. d. Ruhr
- Oberhausen
- Gelsenkirchen
- Köln
Kanzlei MANDATI
Hindenburgstr. 23
45127 Essen
Nordrhein-Westfalen
Telefon: 0201 – 890 722 40
E-Mail: [email protected]
Beratung im IT-Recht: vor Ort in Essen · bundesweit digital per Video und Telefon
Incident-Response-Plan für Ihr Unternehmen
Vorbereitet statt überrascht: Wir erstellen Ihren Datenpannen-Notfallplan als kompaktes Festpreis-Paket.
Beratung anfragen →
