Datenpannen
Datenpannen treffen Organisationen oft unvorbereitet – und doch ist das Datenpannenmanagement einer der am genauesten geregelten Bereiche der DSGVO. Die schwierigen Fragen entstehen meist nicht bei den klaren Fällen (verschlüsselter Stick verloren, kein Risiko) oder den eindeutigen Fällen (Ransomware mit nachgewiesener Exfiltration), sondern in der Mitte: Wann läuft die 72-Stunden-Frist? Müssen die Betroffenen benachrichtigt werden? Wie weit reicht das Bußgeldprivileg für öffentliche Stellen wirklich? Diese Seite ordnet das Prüfsystem nach Art. 33 und 34 DSGVO, beschreibt die Risikobewertung, die Schnittstellen zu NIS-2, DORA und KI-VO und geht auf die Besonderheiten für öffentliche Stellen in Sachsen-Anhalt ein.
Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung: Diese Seite dient der fachlichen Orientierung und kann eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Sie stellt keine individuelle Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Für konkrete Fragen wenden Sie sich bitte an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.
Persönliche fachliche Auffassung: Ich bin hauptberuflich als Datenschutzmanager an einer öffentlichen Hochschule in Sachsen-Anhalt tätig. Die hier veröffentlichten Inhalte geben ausschließlich meine persönliche fachliche Auffassung wieder und stellen keine offizielle Position meines Arbeitgebers dar.
Praxisbeispiele als didaktische Fallgruppen: Die auf dieser Seite enthaltenen Praxisbeispiele sind didaktische Fallgruppen zur Veranschaulichung typischer Konstellationen. Sie ersetzen keine Bewertung des konkreten Einzelfalls; abweichende Sachverhaltsmerkmale können zu einer anderen rechtlichen Würdigung führen.
Was ist eine Datenschutzverletzung?
Nach Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
Die Definition erfasst drei Verletzungstypen. Der Europäische Datenschutzausschuss systematisiert sie in seinen Leitlinien 9/2022 zur Meldung von Datenpannen (Vorgängerleitlinie WP 250 der Art.-29-Datenschutzgruppe):
- Verletzung der Vertraulichkeit: unbefugte oder versehentliche Offenlegung oder unbefugter Zugriff – etwa Phishing, Fehlversand, Verlust unverschlüsselter Datenträger.
- Verletzung der Integrität: unbefugte oder versehentliche Veränderung – etwa Manipulation durch Schadsoftware, ungeplante Datenveränderung in Datenbanken.
- Verletzung der Verfügbarkeit: unbefugter oder versehentlicher Verlust des Zugriffs oder der Existenz – etwa Ransomware, irreversibles Löschen, längerer Ausfall kritischer Systeme.
Die Pflichten nach Art. 33 und 34 DSGVO knüpfen an eine bereits eingetretene Verletzung des Schutzes personenbezogener Daten an. Bei reinen Verdachtslagen – etwa einem bestätigten Phishing-Versuch mit Klick auf den Link, aber ohne Hinweis auf einen Datenabfluss – stehen zunächst Aufklärung, technische Sicherung und eine vorgelagerte Risikoprüfung im Vordergrund. Verdichten sich die Anhaltspunkte zu einer Verletzung der Sicherheit, beginnt der Lauf der Meldefrist; maßgeblich ist nicht erst der bewiesene Schaden, sondern die mit hinreichender Sicherheit feststehende Verletzung der Sicherheit selbst. Art. 4 Nr. 12, Art. 33, 34 DSGVO; ErwGr 85, 87; EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß DSGVO, Version 2.0 (angenommen am 28.03.2023)
Die zwei Meldewege nach Art. 33 und 34 DSGVO
Die DSGVO unterscheidet zwischen zwei voneinander unabhängigen Pflichten:
| Pflicht | Voraussetzung | Frist | Adressat |
|---|---|---|---|
| Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) |
Verletzung des Schutzes personenbezogener Daten – ausgenommen Fälle, in denen die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. | Unverzüglich, möglichst binnen 72 Stunden ab Kenntnis. | Zuständige Aufsichtsbehörde – z. B. für Hochschulen und sonstige öffentliche Stellen Sachsen-Anhalts die Landesbeauftragte für den Datenschutz Sachsen-Anhalt; sonst die jeweils nach Art. 55 ff. DSGVO örtlich und sachlich zuständige Aufsichtsbehörde. |
| Benachrichtigung der Betroffenen (Art. 34 DSGVO) |
Verletzung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. | Unverzüglich. | Die betroffenen Personen direkt – mit klarer und einfacher Sprache. |
| Interne Dokumentation (Art. 33 Abs. 5 DSGVO) |
Jede Verletzung – auch ohne Meldepflicht. | Laufend. | Eigene Akten / Datenpannen-Register. |
Die Pflichten greifen unabhängig voneinander: Eine Aufsichtsmeldung allein entbindet nicht von der Benachrichtigung der Betroffenen, und auch eine ohne Meldung gebliebene Verletzung muss interne Dokumentation auslösen.
Wann entfällt die Benachrichtigung der Betroffenen?
Art. 34 Abs. 3 DSGVO sieht drei Ausnahmetatbestände vor:
- Daten waren durch Stand-der-Technik-Schutzmaßnahmen wirksam unzugänglich gemacht (insbesondere durch starke Verschlüsselung mit beim Verantwortlichen verbleibendem Schlüssel).
- Der Verantwortliche hat anschließend Maßnahmen ergriffen, die das hohe Risiko zuverlässig nachträglich entfallen lassen.
- Die individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden – dann ist eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme zu wählen.
Diese Ausnahmen sind eng auszulegen. Die Aufsichtsbehörde kann nach Art. 34 Abs. 4 DSGVO eine Benachrichtigung ausdrücklich anordnen.
Risikobewertung als Kern der Meldeentscheidung
Die Meldeentscheidung steht und fällt mit der Bewertung des Risikos für die Rechte und Freiheiten natürlicher Personen. ErwGr 75 DSGVO nennt typische Schadenstypen: Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit besonderer Kategorien personenbezogener Daten, unbefugte Aufhebung der Pseudonymisierung, Diskriminierung, soziale Nachteile.
Methodisch hat sich eine zweidimensionale Bewertung etabliert: Eintrittswahrscheinlichkeit der konkreten Schadensfolgen und Schwere der erwartbaren Auswirkungen. Beides kann jeweils auf einer Skala (z. B. 1–4 oder 1–5) erfasst werden; die Multiplikation ergibt eine Risikoklasse mit Schwellenwerten für „kein Risiko", „Risiko" (Meldung Art. 33) und „hohes Risiko" (zusätzlich Benachrichtigung Art. 34).
Faktoren, die das Risiko erhöhen
- Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder strafrechtliche Daten (Art. 10).
- Hohe Anzahl betroffener Personen.
- Identifizierbarkeit oder einfache Re-Identifizierung der Betroffenen.
- Vulnerable Gruppen (Beschäftigte mit Abhängigkeitsverhältnis, Studierende, Patientinnen und Patienten, Minderjährige).
- Möglichkeit von Folgeangriffen (Phishing, Identitätsmissbrauch, Erpressung).
- Unklare oder verlorene Datenintegrität bei Forschungs- oder Diagnosedaten.
- Längere Dauer der Verfügbarkeitsstörung bei kritischen Funktionen.
Wer ein konkretes Bewertungsraster im Verfahrensverzeichnis verankert, sollte es methodisch transparent dokumentieren – die Aufsichtsbehörde verlangt nicht ein bestimmtes Modell, aber Nachvollziehbarkeit und Konsistenz. ErwGr 75, 76 DSGVO; ENISA „Recommendations for a methodology of the assessment of severity of personal data breaches" (2013); EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß DSGVO, Version 2.0 (angenommen am 28.03.2023)
Die 72-Stunden-Frist im Detail
Art. 33 Abs. 1 DSGVO knüpft den Fristbeginn an die Kenntnisnahme. Maßgeblich ist nicht der Zeitpunkt des Vorfalls selbst, sondern der Zeitpunkt, in dem der Verantwortliche mit hinreichender Sicherheit davon ausgeht, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt.
Die Frist von 72 Stunden läuft in Stunden, nicht in Werktagen. Wochenenden und Feiertage zählen mit. Wer nicht innerhalb der Frist meldet, muss die Verzögerung in der Meldung begründen.
Schrittweise Meldung (Art. 33 Abs. 4 DSGVO)
Wo zum Zeitpunkt der Erstmeldung noch nicht alle Informationen vorliegen, sieht Art. 33 Abs. 4 DSGVO ausdrücklich die schrittweise Meldung vor. Empfohlen wird:
- Erstmeldung mit den verfügbaren Informationen, ergänzt um konkrete Angabe noch fehlender Punkte.
- Nachreichung weiterer Informationen ohne unangemessene weitere Verzögerung.
- Dokumentation der Ermittlungsschritte und Erkenntnisstände im internen Datenpannen-Register.
Im Zweifel zugunsten der Meldung: Eine vorsorgliche oder frühe Meldung wird in der Aufsichtspraxis häufig nicht negativ bewertet, sofern die Bewertung sachgerecht dokumentiert und die Meldung nicht inhaltlich leichtfertig erfolgt. Die Aufsichtsbehörde nimmt typischerweise zur Kenntnis und schließt nach Aufklärung ohne weitere Maßnahmen ab; die Meldung ersetzt aber keine korrekte Bewertung und keine fortlaufende Aufarbeitung.
Pflichtinhalt der Meldung nach Art. 33 Abs. 3 DSGVO: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, Name und Kontaktdaten der oder des DSB, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.
Schnittstellen zu weiteren Meldepflichten
Datenpannen können je nach Rolle der Einrichtung, Art der betroffenen Daten und eingesetzter Systeme parallele Meldepflichten in anderen Regimes auslösen. Diese Pflichten sind kontextabhängig: NIS-2/BSIG, DORA und KI-VO greifen nur, wenn die Einrichtung in den persönlichen Anwendungsbereich fällt und der Vorfall die jeweiligen Schwellenwerte erreicht. Die folgende Übersicht ist eine Orientierungshilfe, kein Anwendbarkeits-Automatismus:
| Regelwerk | Anwendungsbereich | Frist / Adressat |
|---|---|---|
| DSGVO Art. 33/34 | Personenbezogene Daten | 72 h / Aufsichtsbehörde; bei hohem Risiko zusätzlich Betroffene. |
| NIS-2-Richtlinie / BSI-Gesetz (BSIG-neu) |
Betreiber wesentlicher und wichtiger Einrichtungen; erhebliche Sicherheitsvorfälle. | Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 1 Monat / BSI bzw. nationale CSIRT. |
| DORA, VO (EU) 2022/2554 | Finanzunternehmen (für Hochschulen typischerweise nur mittelbar relevant, etwa über kooperierende Finanzdienstleister). | Frühwarnung, Zwischen- und Abschlussbericht / zuständige Finanzaufsicht. |
| KI-VO Art. 73 | Anbieter von Hochrisiko-KI-Systemen: schwerwiegende Vorfälle. | Unverzüglich; je nach Vorfallsschwere innerhalb von 2, 10 oder 15 Tagen / nationale Marktüberwachungsbehörde. |
| KI-VO Art. 26 Abs. 5 | Betreiberpflicht: Information des Anbieters und – bei Hochrisikosystemen – der Marktüberwachungsbehörde, wenn die Nutzung des Systems zu einem Risiko i. S. d. Art. 79 Abs. 1 KI-VO (i. V. m. Art. 3 Nr. 19 VO (EU) 2019/1020) führen kann. | Unverzüglich / KI-Anbieter und ggf. Marktüberwachungsbehörde. |
| TKG / TDDDG | Telekommunikationsdienste, Fernmeldegeheimnis, digitale Dienste (seit Umbenennung des TTDSG in TDDDG mit Wirkung zum 14.05.2024). | Spezifische Pflichten gegenüber BNetzA und Betroffenen. |
Für Hochschulen und vergleichbare öffentliche Stellen ist stets die DSGVO einschlägig. Zusätzliche Meldepflichten nach dem BSIG – seit Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 06.12.2025 (BGBl. I 2025 Nr. 301) als Umsetzung der NIS-2-Richtlinie – kommen nur in Betracht, wenn die Einrichtung im konkreten Fall in den persönlichen und sachlichen Anwendungsbereich der Sicherheitsgesetzgebung fällt; eine pauschale Einbeziehung von Hochschulen ist damit nicht verbunden. DORA betrifft Hochschulen meist nur mittelbar (z. B. über kooperierende Finanzdienstleister). KI-VO-Meldepflichten greifen, sobald Hochrisiko-KI-Systeme eingesetzt werden. Treffen mehrere Meldepflichten parallel zusammen, bestehen unterschiedliche Fristen und Adressaten nebeneinander; die 24-Stunden-, 72-Stunden- und etwaigen Abschlussmeldungen sind deshalb in einem integrierten Vorfallprozess aufeinander abzustimmen. RL (EU) 2022/2555 (NIS-2); BSIG; VO (EU) 2022/2554 (DORA); Art. 26, 73 KI-VO; § 169 TKG; TDDDG (vormals TTDSG, umbenannt zum 14.05.2024)
Praxismaxime: In dubio pro Meldung
Aus der Häufung paralleler Meldepflichten folgt in der Praxis eine schlichte Faustregel: Im Zweifel meldet die verantwortliche Stelle einmal zu viel statt einmal zu wenig. Drei Gründe sprechen dafür:
- Asymmetrie der Sanktionen: Eine verspätete oder unterbliebene Meldung gefährdet die Erfüllung der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO; im öffentlichen Bereich Sachsen-Anhalts greift zwar § 31 Abs. 2 Satz 1 DSAG LSA für das DSGVO-Bußgeld, nicht aber für Schadensersatzansprüche nach Art. 82 DSGVO, aufsichtsbehördliche Maßnahmen oder reputationsbezogene Folgen.
- Bessere Verteidigungsposition: Eine ordnungsgemäß und zeitnah gemeldete Verletzung wird in der aufsichtsbehördlichen Praxis – ebenso wie nach den EDSA-Leitlinien – als aktive Risikobeherrschung gewertet; das Unterlassen einer Meldung dagegen als eigenständiger Verstoß.
- Kohärenz parallele Regime: NIS-2, KI-VO und DSGVO greifen mit unterschiedlichen Fristen (24 h, 72 h, gestaffelt) und verschiedenen Adressaten ineinander; eine einheitliche, früh eskalierte Erstmeldung verhindert widersprüchliche Sachverhaltsschilderungen in den unterschiedlichen Verfahren.
Voraussetzung der Maxime bleibt allerdings eine belastbare Risikobewertung nach Art. 33 Abs. 1 DSGVO. „In dubio pro Meldung" rechtfertigt keine ungeprüfte Reflex-Meldung jedes Verdachtsfalls, sondern die zügige Meldung tatsächlich eingetretener Verletzungen, auch wenn deren Schweregrad noch nicht vollständig feststeht; die Möglichkeit der schrittweisen Meldung nach Art. 33 Abs. 4 DSGVO ist dafür gedacht. Art. 33 Abs. 1, Abs. 4, Art. 82 DSGVO; § 31 Abs. 2 Satz 1 DSAG LSA; EDSA, Leitlinien 9/2022, Version 2.0 (28.03.2023)
Öffentliche Stellen und das Bußgeldprivileg
Sachsen-Anhalt nutzt die Öffnungsklausel des Art. 83 Abs. 7 DSGVO. § 31 Abs. 2 DSAG LSA bestimmt: „Geldbußen können durch den Landesbeauftragten für den Datenschutz gegenüber öffentlichen Stellen nicht verhängt werden. Satz 1 gilt nicht, soweit öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen." Öffentliche Stellen i. S. d. § 2 DSAG LSA sind insbesondere Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes sowie der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts. Hochschulen des Landes Sachsen-Anhalt sind im Regelfall hiervon erfasst – vorbehaltlich der Einordnung im konkreten Funktionszusammenhang, insbesondere wenn die Hochschule ausnahmsweise als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt (§ 31 Abs. 2 Satz 2 DSAG LSA).
Was das Bußgeldprivileg nicht heißt
- Die Pflicht zur Meldung nach Art. 33 und zur Benachrichtigung nach Art. 34 DSGVO bleibt unberührt – § 31 Abs. 2 DSAG LSA betrifft allein die Bußgeldfähigkeit.
- Die Aufsichtsbehörde kann Anordnungen, Anweisungen und Untersagungsverfügungen nach Art. 58 DSGVO treffen.
- Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO bleiben anwendbar; auch immaterielle Schäden sind ersatzfähig, wenn ein konkreter Schaden nachgewiesen wird (vgl. EuGH, Urteil v. 04.05.2023 – C-300/21 „Österreichische Post"; einschränkender Maßstab in EuGH, Urteil v. 25.01.2024 – C-687/21 „Saturn").
- Disziplinar-, beamten- und strafrechtliche Konsequenzen für handelnde Personen sind nicht ausgeschlossen – auf Bundesebene insbesondere § 42 BDSG und § 203 StGB; auf Landesebene Sachsen-Anhalts §§ 32, 33 DSAG LSA als bereichsspezifische Straf- und Bußgeldnormen.
- Reputationsfolgen und Medienöffentlichkeit treten unabhängig vom Bußgeld ein.
Praktisch entlastet das Bußgeldprivileg die Hochschule, nicht aber das Datenschutzmanagement im organisatorischen Sinn. Die Aufsichtspraxis der LfD LSA dürfte die Vorlage der internen Aufarbeitung, der ergriffenen Folgenmaßnahmen sowie der Anpassungen an Prozessen, Schulungen und technischen Maßnahmen einfordern. Art. 58, 82, 83 Abs. 7 DSGVO; § 31 Abs. 2 Satz 1 DSAG LSA; § 42 BDSG; § 203 StGB
Typische Fallgruppen
Die folgende Übersicht ordnet die häufigsten Konstellationen ein. Sie ersetzt keine Einzelfallprüfung – die konkrete Bewertung hängt von den Umständen ab.
| Fall | Meldung Art. 33 | Benachrichtigung Art. 34 |
|---|---|---|
| Verlust eines mit Stand-der-Technik verschlüsselten USB-Sticks bei vorhandenem Backup | regelmäßig nein | regelmäßig nein |
| Kurzer Stromausfall ohne Datenverlust und ohne Beeinträchtigung Betroffener | nein | nein |
| Phishing-Befall einzelnes Konto, sofort gesperrt, kein erkennbarer Datenabfluss | regelmäßig ja | meist nein |
| Ransomware mit nachgewiesener Exfiltration personenbezogener Daten | ja | ja |
| Ransomware ohne Exfiltration, vollständige Wiederherstellung aus Backup | ja | einzelfallabhängig |
| Fehlversand einer E-Mail an einen falschen Adressaten (geringer Umfang, kein sensibler Inhalt) | einzelfallabhängig | meist nein |
| Falsche Briefzuordnung im Postversand mit Sozialdaten oder Gesundheitsdaten | ja | einzelfallabhängig |
| Veröffentlichung interner Dokumente auf falsch konfigurierter SharePoint- oder Webseite | ja | abhängig vom Personenbezug und Risiko |
| Diebstahl eines verschlüsselten Notebooks ohne nachgewiesenen Schlüsselzugriff | regelmäßig nein | nein |
| Lehrender verliert Klausuren auf USB-Stick (unverschlüsselt) mit Matrikelnummern und Bewertungen | ja | einzelfallabhängig (Folgewirkung Examen, Studierende) |
| Diebstahl eines verschlüsselten USB-Sticks aus dem Büro, vollständiges Backup vorhanden, kein bekannter Schlüsselzugriff | regelmäßig nein | nein |
| Kurzfristiger Stromausfall ohne Datenverlust, alle Systeme nach Wiederanlauf konsistent | nein | nein |
Die Fallgruppen folgen in Auswahl und Bewertungsmaßstab den Beispielen aus EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten, Version 2.0 (28.03.2023), Anlage. Die EDSA-Beispiele eignen sich als Quervergleich, ersetzen aber nicht die einzelfallbezogene Risikobewertung nach Art. 33 Abs. 1 DSGVO.
Praxisbeispiele aus dem Hochschulalltag
Erfolgreiches Phishing eines Beschäftigtenkontos
Eine Mitarbeiterin der Verwaltung klickt auf einen Phishing-Link und gibt ihre Zugangsdaten auf einer gefälschten Login-Seite ein. Das Sicherheitsteam erkennt die Anomalie nach drei Stunden und sperrt das Konto.
Bewertungsansatz: Es liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor. Eine Meldung an die LfD LSA innerhalb von 72 Stunden empfiehlt sich – auch dann, wenn ein Datenabfluss nicht nachgewiesen werden kann, weil die abstrakte Risikolage mehr als „kein Risiko" begründet. Eine Benachrichtigung der Betroffenen ist erst geboten, wenn konkrete Hinweise auf Datenabfluss oder Folgeangriffe bestehen.
Ransomware in einer Forschungsgruppe
Ein Server einer Forschungsgruppe wird verschlüsselt; die Angreifer drohen mit Veröffentlichung. Personenbezogene Forschungsdaten Studierender und Probandinnen sind betroffen.
Bewertungsansatz: Eine Meldung nach Art. 33 DSGVO ist hier zwingend; angesichts der Drohung mit Veröffentlichung kommt typischerweise auch eine Benachrichtigung der Betroffenen nach Art. 34 in Betracht. Parallel ist eine Meldung an das BSI nach NIS-2 denkbar, sofern die Hochschule als wesentliche oder wichtige Einrichtung erfasst ist. Die Beteiligung der LfD LSA und der Strafverfolgungsbehörden ist abzustimmen.
Fehlversand von Notenlisten an einen externen Verteiler
Eine Mitarbeiterin versendet eine Excel-Liste mit Matrikelnummern und Klausurnoten an den falschen E-Mail-Verteiler eines anderen Studiengangs.
Bewertungsansatz: Verletzung der Vertraulichkeit. Eine Meldung an die LfD LSA ist in der Regel zu empfehlen, weil die Daten an einen größeren Empfängerkreis offengelegt wurden. Ob eine Benachrichtigung der Betroffenen erforderlich ist, hängt vom Empfängerkreis und davon ab, ob eine Rückrufaktion erfolgreich war.
Massenversand mit allen Adressen im To- statt im BCC-Feld
Eine Mitarbeiterin versendet eine Information an 350 Studierende eines Studiengangs und setzt versehentlich alle Adressen ins To-Feld – nicht ins BCC. Alle Empfangenden sehen alle Adressen.
Bewertungsansatz: Datenpanne mit unbefugter Offenlegung von E-Mail-Adressen. Zwei Schwellen sind sauber zu trennen: Die Meldepflicht an die Aufsichtsbehörde nach Art. 33 DSGVO greift bereits, wenn ein Risiko für die Rechte und Freiheiten der Betroffenen nicht auszuschließen ist – bei der unbefugten Offenlegung von 350 E-Mail-Adressen regelmäßig anzunehmen; die 72-Stunden-Frist beginnt ab Kenntnisnahme. Die Benachrichtigung der Betroffenen nach Art. 34 DSGVO setzt dagegen ein voraussichtlich hohes Risiko voraus und ist bei Standardstudiengangs-Adressen ohne erkennbare Sensibilität regelmäßig nicht erfüllt. Korrektive Maßnahmen: Sensibilisierung, technische Verteilerlösung statt manueller To-Eingabe, BCC-Standardvoreinstellung für Massenversand, ggf. Wechsel auf eine echte Listen-Software (vgl. Themenseite Mailinglisten und Newsletter).
SharePoint-Site versehentlich auf „Jeder mit Link" gestellt
Eine Lehrstuhl-Site enthält Personalakten von Beschäftigten und wurde im Rahmen einer Microsoft-365-Umstellung versehentlich auf „Jeder im Tenant mit Link" konfiguriert. Die Fehlkonfiguration wird nach drei Wochen entdeckt.
Bewertungsansatz: Die Verletzung wird zwar nicht klassisch durch Angriff verursacht, sondern durch Fehlkonfiguration – sie ist aber genauso meldepflichtig. Pflichtinhalt der Meldung: Anzahl betroffener Beschäftigter, Datenkategorien, Dauer der Fehlkonfiguration, technische Ursachenanalyse, ergriffene Maßnahmen. Benachrichtigung der Betroffenen je nach Sensitivität der Personalakte (Art. 9-Kategorien?) und Re-Identifizierungsrisiko.
Was beim Datenpannen-Management schiefgeht
Acht Muster, die in der Praxis immer wiederkehren – und an denen sich Compliance-Lücken aufmachen:
- Späte Eskalation: Verletzungen werden in der Linie versucht, „lokal zu lösen". Die 72-Stunden-Frist läuft währenddessen ab. Empfohlen wird eine niedrigschwellige Meldepflicht innerhalb der Organisation („Bei Zweifel sofort an DSB").
- Verwechslung Kenntnisnahme/Vorfallzeitpunkt: Die 72-Stunden-Frist beginnt mit hinreichender Sicherheit über das Vorliegen einer Verletzung – nicht mit dem technischen Vorfall.
- Unterlassene interne Dokumentation: Art. 33 Abs. 5 DSGVO verlangt Aufzeichnung jeder Verletzung – auch wenn keine Meldung erfolgt. Empfohlen wird ein Datenpannen-Register mit fester Vorlage.
- Risikobewertung „aus dem Bauch": Wer keine dokumentierte Methodik anwendet, läuft regelmäßig in Begründungsschwierigkeiten gegenüber der Aufsichtsbehörde.
- Überschätzung des Bußgeldprivilegs: § 31 Abs. 2 Satz 1 DSAG LSA schließt nur Geldbußen durch die LfD LSA aus, nicht Aufsichtsanordnungen, Schadensersatz und disziplinarische Folgen. Bei wirtschaftlicher Tätigkeit der öffentlichen Stelle als „öffentlich-rechtliches Unternehmen am Wettbewerb" greift nach § 31 Abs. 2 Satz 2 DSAG LSA das Privileg nicht.
- Übersehen paralleler Pflichten: NIS-2, KI-VO Art. 73, TKG/TDDDG, ggf. ärztliche Schweigepflicht – jeweils eigene Adressaten und Fristen.
- Unklare Sprache in Betroffenenbenachrichtigung: Art. 34 Abs. 2 DSGVO verlangt klare und einfache Sprache. Standardfloskeln genügen nicht – die Benachrichtigung muss verständlich machen, was passiert ist und was die betroffene Person tun kann.
- Fehlendes Lessons-Learned: Eine Datenpanne ist nicht erst mit Meldung abgeschlossen – die Anpassung von Prozessen, technischen Maßnahmen und Schulungen ist Teil der Rechenschaftspflicht.
Vertiefende Quellen
Rechtsquellen
- Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 12 (Begriff Datenschutzverletzung); Art. 32 (Sicherheit); Art. 33 (Meldung an die Aufsicht); Art. 34 (Benachrichtigung Betroffener).
- Datenschutz-Grundverordnungs-Ausfüllungsgesetz Sachsen-Anhalt (DSAG LSA) – § 2 (öffentliche Stellen); § 23 (Aufgaben und Befugnisse der Landesbeauftragten für den Datenschutz als Adressatin der Meldung nach Art. 33 DSGVO); § 31 Abs. 2 Satz 1 und 2 (Anwendung der Vorschriften über das Bußgeld- und Strafverfahren; insb. Bußgeldausschluss gegenüber Behörden und sonstigen öffentlichen Stellen nach Maßgabe der Öffnungsklausel des Art. 83 Abs. 7 DSGVO; Rückausnahme für am Wettbewerb teilnehmende öffentliche Stellen).
- NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – 24-Stunden-Erstmeldepflicht an das BSI; Verkündung im BGBl. I 2025, Nr. 301.
- Verordnung (EU) 2022/2554 (DORA) – sektorspezifische Meldepflichten im Finanzsektor.
Rechtsprechung
- EuGH, Urteil v. 14.12.2023 – C-340/21 (Natsionalna agentsia za prihodite) – Beweislast und Maßstab für TOMs nach einem Datenleck.
- EuGH, Urteil v. 04.05.2023 – C-300/21 (Österreichische Post) – Voraussetzungen des immateriellen Schadensersatzes nach Datenpannen.
Aufsichtspraxis und Standards
- EDPB, Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß DSGVO, Version 2.0 (PDF, deutsch) – maßgebliche Auslegungsgrundlage zu Art. 33/34 DSGVO (Übersichtsseite).
- ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches (2013) – methodische Grundlage der Schweregradbewertung.
- ISO/IEC 27035 – Information Security Incident Management – Standard für Vorfall- und Pannenmanagement.
- LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.
Querverweise auf eigene Themenseiten
- Technisch-organisatorische Maßnahmen (TOMs) – Wirksamkeit der TOMs als Pannen-Indikator.
- Microsoft 365 an öffentlichen Hochschulen – Pannenrisiken in zentralen Cloud-Plattformen.
- Generative KI in Standard-Software (Schatten-KI) – KI-induzierte Pannenkonstellationen.
Stand: Q2/2026 · letzte inhaltliche Pflege; anbieter- und produktbezogene Aussagen sind dynamisch und vor produktiver Nutzung an aktuellen Primärquellen zu prüfen.
Interaktiv: Datenpannen-Frist-Wizard
★ Interaktiv – Datenpannen-Frist-Wizard
Der Datenpannen-Frist-Wizard steht jetzt als eigene Seite im Werkzeugkasten zur Verfügung. Eingaben bleiben lokal im Browser; am Ende erzeugt der Wizard ein druckfertiges Workpaper für die Akte.
Weitere Themenseiten zu Datenschutz, KI-Verordnung und Informationssicherheit.
Zur ThemenübersichtFragen zu dieser Seite?
Hinweise, Fehlerkorrekturen oder Anregungen zur Erweiterung dieser Seite nehme ich gerne entgegen.
kontakt@dennisawinkler.de