Datenpannen
Datenpannen treffen Organisationen oft unvorbereitet – und doch ist das Datenpannenmanagement einer der am genauesten geregelten Bereiche der DSGVO. Die schwierigen Fragen entstehen meist nicht bei den klaren Fällen (verschlüsselter Stick verloren, kein Risiko) oder den eindeutigen Fällen (Ransomware mit nachgewiesener Exfiltration), sondern in der Mitte: Wann läuft die 72-Stunden-Frist? Müssen die Betroffenen benachrichtigt werden? Wie weit reicht das Bußgeldprivileg für öffentliche Stellen wirklich? Diese Seite ordnet das Prüfsystem nach Art. 33 und 34 DSGVO, beschreibt die Risikobewertung, die Schnittstellen zu NIS-2, DORA und KI-VO und geht auf die Besonderheiten für öffentliche Stellen in Sachsen-Anhalt ein.
Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung: Diese Seite dient der fachlichen Orientierung und kann eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Sie stellt keine individuelle Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Für konkrete Fragen wenden Sie sich bitte an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.
Persönliche fachliche Auffassung: Ich bin hauptberuflich als Datenschutzmanager an einer öffentlichen Hochschule in Sachsen-Anhalt tätig. Die hier veröffentlichten Inhalte geben ausschließlich meine persönliche fachliche Auffassung wieder und stellen keine offizielle Position meines Arbeitgebers dar.
Praxisbeispiele als didaktische Fallgruppen: Die auf dieser Seite enthaltenen Praxisbeispiele sind didaktische Fallgruppen zur Veranschaulichung typischer Konstellationen. Sie ersetzen keine Bewertung des konkreten Einzelfalls; abweichende Sachverhaltsmerkmale können zu einer anderen rechtlichen Würdigung führen.
Was ist eine Datenschutzverletzung?
Nach Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
Die Definition erfasst drei Verletzungstypen. Der Europäische Datenschutzausschuss systematisiert sie in seinen Leitlinien 9/2022 zur Meldung von Datenpannen (Vorgängerleitlinie WP 250 der Art.-29-Datenschutzgruppe):
- Verletzung der Vertraulichkeit: unbefugte oder versehentliche Offenlegung oder unbefugter Zugriff – etwa Phishing, Fehlversand, Verlust unverschlüsselter Datenträger.
- Verletzung der Integrität: unbefugte oder versehentliche Veränderung – etwa Manipulation durch Schadsoftware, ungeplante Datenveränderung in Datenbanken.
- Verletzung der Verfügbarkeit: unbefugter oder versehentlicher Verlust des Zugriffs oder der Existenz – etwa Ransomware, irreversibles Löschen, längerer Ausfall kritischer Systeme.
Die Pflichten nach Art. 33 und 34 DSGVO knüpfen an eine bereits eingetretene Verletzung des Schutzes personenbezogener Daten an. Bei reinen Verdachtslagen – etwa einem bestätigten Phishing-Versuch mit Klick auf den Link, aber ohne Hinweis auf einen Datenabfluss – stehen zunächst Aufklärung, technische Sicherung und eine vorgelagerte Risikoprüfung im Vordergrund. Verdichten sich die Anhaltspunkte zu einer Verletzung der Sicherheit, beginnt der Lauf der Meldefrist; maßgeblich ist nicht erst der bewiesene Schaden, sondern die mit hinreichender Sicherheit feststehende Verletzung der Sicherheit selbst. Art. 4 Nr. 12, Art. 33, 34 DSGVO; ErwGr 85, 87; EDSA-Leitlinien 9/2022 (jeweils aktuelle Fassung)
Die zwei Meldewege nach Art. 33 und 34 DSGVO
Die DSGVO unterscheidet zwischen zwei voneinander unabhängigen Pflichten:
| Pflicht | Voraussetzung | Frist | Adressat |
|---|---|---|---|
| Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) |
Verletzung des Schutzes personenbezogener Daten – ausgenommen Fälle, in denen die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. | Unverzüglich, möglichst binnen 72 Stunden ab Kenntnis. | Zuständige Aufsichtsbehörde – z. B. für Hochschulen und sonstige öffentliche Stellen Sachsen-Anhalts die Landesbeauftragte für den Datenschutz Sachsen-Anhalt; sonst die jeweils nach Art. 55 ff. DSGVO örtlich und sachlich zuständige Aufsichtsbehörde. |
| Benachrichtigung der Betroffenen (Art. 34 DSGVO) |
Verletzung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. | Unverzüglich. | Die betroffenen Personen direkt – mit klarer und einfacher Sprache. |
| Interne Dokumentation (Art. 33 Abs. 5 DSGVO) |
Jede Verletzung – auch ohne Meldepflicht. | Laufend. | Eigene Akten / Datenpannen-Register. |
Die Pflichten greifen unabhängig voneinander: Eine Aufsichtsmeldung allein entbindet nicht von der Benachrichtigung der Betroffenen, und auch eine ohne Meldung gebliebene Verletzung muss interne Dokumentation auslösen.
Wann entfällt die Benachrichtigung der Betroffenen?
Art. 34 Abs. 3 DSGVO sieht drei Ausnahmetatbestände vor:
- Daten waren durch Stand-der-Technik-Schutzmaßnahmen wirksam unzugänglich gemacht (insbesondere durch starke Verschlüsselung mit beim Verantwortlichen verbleibendem Schlüssel).
- Der Verantwortliche hat anschließend Maßnahmen ergriffen, die das hohe Risiko zuverlässig nachträglich entfallen lassen.
- Die individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden – dann ist eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme zu wählen.
Diese Ausnahmen sind eng auszulegen. Die Aufsichtsbehörde kann nach Art. 34 Abs. 4 DSGVO eine Benachrichtigung ausdrücklich anordnen.
Risikobewertung als Kern der Meldeentscheidung
Die Meldeentscheidung steht und fällt mit der Bewertung des Risikos für die Rechte und Freiheiten natürlicher Personen. ErwGr 75 DSGVO nennt typische Schadenstypen: Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit besonderer Kategorien personenbezogener Daten, unbefugte Aufhebung der Pseudonymisierung, Diskriminierung, soziale Nachteile.
Methodisch hat sich eine zweidimensionale Bewertung etabliert: Eintrittswahrscheinlichkeit der konkreten Schadensfolgen und Schwere der erwartbaren Auswirkungen. Beides kann jeweils auf einer Skala (z. B. 1–4 oder 1–5) erfasst werden; die Multiplikation ergibt eine Risikoklasse mit Schwellenwerten für „kein Risiko", „Risiko" (Meldung Art. 33) und „hohes Risiko" (zusätzlich Benachrichtigung Art. 34).
Faktoren, die das Risiko erhöhen
- Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder strafrechtliche Daten (Art. 10).
- Hohe Anzahl betroffener Personen.
- Identifizierbarkeit oder einfache Re-Identifizierung der Betroffenen.
- Vulnerable Gruppen (Beschäftigte mit Abhängigkeitsverhältnis, Studierende, Patientinnen und Patienten, Minderjährige).
- Möglichkeit von Folgeangriffen (Phishing, Identitätsmissbrauch, Erpressung).
- Unklare oder verlorene Datenintegrität bei Forschungs- oder Diagnosedaten.
- Längere Dauer der Verfügbarkeitsstörung bei kritischen Funktionen.
Wer ein konkretes Bewertungsraster im Verfahrensverzeichnis verankert, sollte es methodisch transparent dokumentieren – die Aufsichtsbehörde verlangt nicht ein bestimmtes Modell, aber Nachvollziehbarkeit und Konsistenz. ErwGr 75, 76 DSGVO; ENISA „Recommendations for a methodology of the assessment of severity of personal data breaches" (2013); EDSA-Leitlinien 9/2022 (jeweils aktuelle Fassung)
Die 72-Stunden-Frist im Detail
Art. 33 Abs. 1 DSGVO knüpft den Fristbeginn an die Kenntnisnahme. Maßgeblich ist nicht der Zeitpunkt des Vorfalls selbst, sondern der Zeitpunkt, in dem der Verantwortliche mit hinreichender Sicherheit davon ausgeht, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt.
Die Frist von 72 Stunden läuft in Stunden, nicht in Werktagen. Wochenenden und Feiertage zählen mit. Wer nicht innerhalb der Frist meldet, muss die Verzögerung in der Meldung begründen.
Schrittweise Meldung (Art. 33 Abs. 4 DSGVO)
Wo zum Zeitpunkt der Erstmeldung noch nicht alle Informationen vorliegen, sieht Art. 33 Abs. 4 DSGVO ausdrücklich die schrittweise Meldung vor. Empfohlen wird:
- Erstmeldung mit den verfügbaren Informationen, ergänzt um konkrete Angabe noch fehlender Punkte.
- Nachreichung weiterer Informationen ohne unangemessene weitere Verzögerung.
- Dokumentation der Ermittlungsschritte und Erkenntnisstände im internen Datenpannen-Register.
Im Zweifel zugunsten der Meldung: Eine vorsorgliche oder frühe Meldung wird in der Aufsichtspraxis regelmäßig nicht negativ bewertet, sofern die Bewertung sachgerecht dokumentiert und die Meldung nicht inhaltlich leichtfertig erfolgt. Die Aufsichtsbehörde nimmt typischerweise zur Kenntnis und schließt nach Aufklärung ohne weitere Maßnahmen ab; die Meldung ersetzt aber keine korrekte Bewertung und keine fortlaufende Aufarbeitung.
Pflichtinhalt der Meldung nach Art. 33 Abs. 3 DSGVO: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, Name und Kontaktdaten der oder des DSB, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.
Schnittstellen zu weiteren Meldepflichten
Datenpannen können je nach Rolle der Einrichtung, Art der betroffenen Daten und eingesetzter Systeme parallele Meldepflichten in anderen Regimes auslösen. Diese Pflichten sind kontextabhängig: NIS-2/BSIG, DORA und KI-VO greifen nur, wenn die Einrichtung in den persönlichen Anwendungsbereich fällt und der Vorfall die jeweiligen Schwellenwerte erreicht. Die folgende Übersicht ist eine Orientierungshilfe, kein Anwendbarkeits-Automatismus:
| Regelwerk | Anwendungsbereich | Frist / Adressat |
|---|---|---|
| DSGVO Art. 33/34 | Personenbezogene Daten | 72 h / Aufsichtsbehörde; bei hohem Risiko zusätzlich Betroffene. |
| NIS-2-Richtlinie / BSI-Gesetz (BSIG-neu) |
Betreiber wesentlicher und wichtiger Einrichtungen; erhebliche Sicherheitsvorfälle. | Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 1 Monat / BSI bzw. nationale CSIRT. |
| DORA, VO (EU) 2022/2554 | Finanzunternehmen (für Hochschulen typischerweise nur mittelbar relevant, etwa über kooperierende Finanzdienstleister). | Frühwarnung, Zwischen- und Abschlussbericht / zuständige Finanzaufsicht. |
| KI-VO Art. 73 | Anbieter von Hochrisiko-KI-Systemen: schwerwiegende Vorfälle. | Unverzüglich; je nach Vorfallsschwere innerhalb von 2, 10 oder 15 Tagen / nationale Marktüberwachungsbehörde. |
| KI-VO Art. 26 Abs. 5 | Betreiberpflicht: Information des Anbieters und – bei Hochrisikosystemen – der Marktüberwachungsbehörde, wenn die Nutzung des Systems zu einem Risiko i. S. d. Art. 79 KI-VO führen kann. | Unverzüglich / KI-Anbieter und ggf. Marktüberwachungsbehörde. |
| TKG / TDDDG | Telekommunikationsdienste, Fernmeldegeheimnis, digitale Dienste (seit Umbenennung des TTDSG in TDDDG mit Wirkung zum 14.05.2024). | Spezifische Pflichten gegenüber BNetzA und Betroffenen. |
Für Hochschulen und vergleichbare öffentliche Stellen sind in der Regel DSGVO und – mit Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) – das BSIG einschlägig. DORA betrifft Hochschulen meist nur mittelbar (z. B. über kooperierende Finanzdienstleister). KI-VO-Meldepflichten greifen, sobald Hochrisiko-KI-Systeme eingesetzt werden. Eine integrierte Vorfall-Reaktionskette spart Zeit und stellt Konsistenz der Aussagen sicher. RL (EU) 2022/2555 (NIS-2); BSIG; VO (EU) 2022/2554 (DORA); Art. 26, 73 KI-VO; § 169 TKG; TDDDG (vormals TTDSG, umbenannt zum 14.05.2024)
Öffentliche Stellen und das Bußgeldprivileg
Sachsen-Anhalt nutzt die Öffnungsklausel des Art. 83 Abs. 7 DSGVO. § 31 Abs. 2 DSAG LSA bestimmt: „Geldbußen können durch den Landesbeauftragten für den Datenschutz gegenüber öffentlichen Stellen nicht verhängt werden. Satz 1 gilt nicht, soweit öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen." Öffentliche Stellen i. S. d. § 2 DSAG LSA sind insbesondere Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes sowie der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts. Hochschulen des Landes Sachsen-Anhalt sind im Regelfall hiervon erfasst – vorbehaltlich der Einordnung im konkreten Funktionszusammenhang, insbesondere wenn die Hochschule ausnahmsweise als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt (§ 31 Abs. 2 Satz 2 DSAG LSA).
Was das Bußgeldprivileg nicht heißt
- Die Pflicht zur Meldung nach Art. 33 und zur Benachrichtigung nach Art. 34 DSGVO bleibt unberührt – § 31 Abs. 2 DSAG LSA betrifft allein die Bußgeldfähigkeit.
- Die Aufsichtsbehörde kann Anordnungen, Anweisungen und Untersagungsverfügungen nach Art. 58 DSGVO treffen.
- Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO bleiben uneingeschränkt anwendbar – auch immateriell (vgl. EuGH, Urteil v. 04.05.2023 – C-300/21 „Österreichische Post").
- Disziplinar-, beamten- und strafrechtliche Konsequenzen für handelnde Personen sind nicht ausgeschlossen (insb. § 42 BDSG, § 203 StGB).
- Reputationsfolgen und Medienöffentlichkeit treten unabhängig vom Bußgeld ein.
Praktisch dürfte das Bußgeldprivileg die Hochschule entlasten, nicht aber das Datenschutzmanagement im organisatorischen Sinn. Die Aufsichtspraxis der LfD LSA dürfte regelmäßig die Vorlage der internen Aufarbeitung, der ergriffenen Folgenmaßnahmen sowie der Anpassungen an Prozessen, Schulungen und technischen Maßnahmen einfordern. Art. 58, 82, 83 Abs. 7 DSGVO; § 31 Abs. 2 DSAG LSA; § 42 BDSG; § 203 StGB
Typische Fallgruppen
Die folgende Übersicht ordnet die häufigsten Konstellationen ein. Sie ersetzt keine Einzelfallprüfung – die konkrete Bewertung hängt von den Umständen ab.
| Fall | Meldung Art. 33 | Benachrichtigung Art. 34 |
|---|---|---|
| Verlust eines mit Stand-der-Technik verschlüsselten USB-Sticks bei vorhandenem Backup | regelmäßig nein | regelmäßig nein |
| Kurzer Stromausfall ohne Datenverlust und ohne Beeinträchtigung Betroffener | nein | nein |
| Phishing-Befall einzelnes Konto, sofort gesperrt, kein erkennbarer Datenabfluss | regelmäßig ja | meist nein |
| Ransomware mit nachgewiesener Exfiltration personenbezogener Daten | ja | ja |
| Ransomware ohne Exfiltration, vollständige Wiederherstellung aus Backup | ja | einzelfallabhängig |
| Fehlversand einer E-Mail an einen falschen Adressaten (geringer Umfang, kein sensibler Inhalt) | einzelfallabhängig | meist nein |
| Falsche Briefzuordnung im Postversand mit Sozialdaten oder Gesundheitsdaten | ja | einzelfallabhängig |
| Veröffentlichung interner Dokumente auf falsch konfigurierter SharePoint- oder Webseite | ja | abhängig vom Personenbezug und Risiko |
| Diebstahl eines verschlüsselten Notebooks ohne nachgewiesenen Schlüsselzugriff | regelmäßig nein | nein |
| Lehrender verliert Klausuren auf USB-Stick (unverschlüsselt) mit Matrikelnummern und Bewertungen | ja | einzelfallabhängig (Folgewirkung Examen, Studierende) |
Praxisbeispiele aus dem Hochschulalltag
Erfolgreiches Phishing eines Beschäftigtenkontos
Eine Mitarbeiterin der Verwaltung klickt auf einen Phishing-Link und gibt ihre Zugangsdaten auf einer gefälschten Login-Seite ein. Das Sicherheitsteam erkennt die Anomalie nach drei Stunden und sperrt das Konto.
Bewertungsansatz: Es liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor. Eine Meldung an die LfD LSA innerhalb von 72 Stunden empfiehlt sich – auch dann, wenn ein Datenabfluss nicht nachgewiesen werden kann, weil die abstrakte Risikolage typischerweise mehr als „kein Risiko" begründet. Eine Benachrichtigung der Betroffenen ist regelmäßig erst geboten, wenn konkrete Hinweise auf Datenabfluss oder Folgeangriffe bestehen.
Ransomware in einer Forschungsgruppe
Ein Server einer Forschungsgruppe wird verschlüsselt; die Angreifer drohen mit Veröffentlichung. Personenbezogene Forschungsdaten Studierender und Probandinnen sind betroffen.
Bewertungsansatz: Eine Meldung nach Art. 33 DSGVO ist regelmäßig zwingend; angesichts der Drohung mit Veröffentlichung kommt typischerweise auch eine Benachrichtigung der Betroffenen nach Art. 34 in Betracht. Parallel ist eine Meldung an das BSI nach NIS-2 denkbar, sofern die Hochschule als wesentliche oder wichtige Einrichtung erfasst ist. Die Beteiligung der LfD LSA und der Strafverfolgungsbehörden ist abzustimmen.
Fehlversand von Notenlisten an einen externen Verteiler
Eine Mitarbeiterin versendet eine Excel-Liste mit Matrikelnummern und Klausurnoten an den falschen E-Mail-Verteiler eines anderen Studiengangs.
Bewertungsansatz: Verletzung der Vertraulichkeit. Eine Meldung an die LfD LSA ist regelmäßig zu empfehlen, weil die Daten an einen größeren Empfängerkreis offengelegt wurden. Ob eine Benachrichtigung der Betroffenen erforderlich ist, hängt vom Empfängerkreis und davon ab, ob eine Rückrufaktion erfolgreich war.
SharePoint-Site versehentlich auf „Jeder mit Link" gestellt
Eine Lehrstuhl-Site enthält Personalakten von Beschäftigten und wurde im Rahmen einer Microsoft-365-Umstellung versehentlich auf „Jeder im Tenant mit Link" konfiguriert. Die Fehlkonfiguration wird nach drei Wochen entdeckt.
Bewertungsansatz: Die Verletzung wird zwar nicht klassisch durch Angriff verursacht, sondern durch Fehlkonfiguration – sie ist aber genauso meldepflichtig. Pflichtinhalt der Meldung: Anzahl betroffener Beschäftigter, Datenkategorien, Dauer der Fehlkonfiguration, technische Ursachenanalyse, ergriffene Maßnahmen. Benachrichtigung der Betroffenen je nach Sensitivität der Personalakte (Art. 9-Kategorien?) und Re-Identifizierungsrisiko.
Was beim Datenpannen-Management schiefgeht
Acht Muster, die in der Praxis immer wiederkehren – und an denen sich Compliance-Lücken aufmachen:
- Späte Eskalation: Verletzungen werden in der Linie versucht, „lokal zu lösen". Die 72-Stunden-Frist läuft währenddessen ab. Empfohlen wird eine niedrigschwellige Meldepflicht innerhalb der Organisation („Bei Zweifel sofort an DSB").
- Verwechslung Kenntnisnahme/Vorfallzeitpunkt: Die 72-Stunden-Frist beginnt mit hinreichender Sicherheit über das Vorliegen einer Verletzung – nicht mit dem technischen Vorfall.
- Unterlassene interne Dokumentation: Art. 33 Abs. 5 DSGVO verlangt Aufzeichnung jeder Verletzung – auch wenn keine Meldung erfolgt. Empfohlen wird ein Datenpannen-Register mit fester Vorlage.
- Risikobewertung „aus dem Bauch": Wer keine dokumentierte Methodik anwendet, läuft regelmäßig in Begründungsschwierigkeiten gegenüber der Aufsichtsbehörde.
- Überschätzung des Bußgeldprivilegs: § 31 Abs. 2 DSAG LSA schließt nur Geldbußen durch die LfD LSA aus, nicht Aufsichtsanordnungen, Schadensersatz und disziplinarische Folgen. Bei wirtschaftlicher Tätigkeit der öffentlichen Stelle als „öffentlich-rechtliches Unternehmen am Wettbewerb" greift das Privileg nicht.
- Übersehen paralleler Pflichten: NIS-2, KI-VO Art. 73, TKG/TDDDG, ggf. ärztliche Schweigepflicht – jeweils eigene Adressaten und Fristen.
- Unklare Sprache in Betroffenenbenachrichtigung: Art. 34 Abs. 2 DSGVO verlangt klare und einfache Sprache. Standardfloskeln genügen nicht – die Benachrichtigung muss verständlich machen, was passiert ist und was die betroffene Person tun kann.
- Fehlendes Lessons-Learned: Eine Datenpanne ist nicht erst mit Meldung abgeschlossen – die Anpassung von Prozessen, technischen Maßnahmen und Schulungen ist Teil der Rechenschaftspflicht.
Weitere Themenseiten zu Datenschutz, KI-Verordnung und Informationssicherheit.
Zur ThemenübersichtFragen zu dieser Seite?
Hinweise, Fehlerkorrekturen oder Anregungen zur Erweiterung dieser Seite nehme ich gerne entgegen.
kontakt@dennisawinkler.de