BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 02 November 2025

Datenpanne: wann melden, wann nicht, innerhalb von 72 Stunden

Nicht jeder Vorfall ist eine Datenpanne. Nicht jede Datenpanne muss der Aufsichtsbehörde gemeldet werden. Hier der Entscheidungsbaum und eine Muster-Meldevorlage.

Eine Datenpanne (Breach) ist eine Verletzung der Datensicherheit, bei der personenbezogene Daten vernichtet, verloren, verändert, unbefugt offengelegt oder zugänglich gemacht wurden. Wann muss gemeldet werden?

\n \n

Entscheidungsbaum

\n
    \n
  1. Handelt es sich um eine Datenpanne? Im Zweifel: ja.
    2. \n
  2. Risiko für Betroffene? Daten öffentlich zugänglich? Finanzieller Schaden möglich? Gefahr von Identitätsbetrug?
    3. \n
  3. Geringes Risiko (z. B. verschlüsseltes Gerät verloren): keine Meldepflicht gegenüber der Aufsichtsbehörde, aber intern im Vorfallsprotokoll dokumentieren.
    4. \n
  4. Erhebliches Risiko: innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden.
    5. \n
  5. Hohes Risiko für Betroffene: Betroffene zusätzlich unverzüglich informieren.
    6. \n
\n \n

Was melden?

\n
    \n
  • Art der Datenpanne.
    • \n
  • Kategorien und Anzahl der betroffenen Personen.
    • \n
  • Kategorien und Anzahl der betroffenen personenbezogenen Daten.
    • \n
  • Folgen der Datenpanne.
    • \n
  • Ergriffene oder geplante Maßnahmen.
    • \n
  • Kontaktdaten des Datenschutzbeauftragten oder einer Ansprechperson.
    • \n
\n \n

Die 72-Stunden-Uhr

\n

Die Frist beginnt in dem Moment, in dem Sie Kenntnis erhalten haben – nicht ab dem Zeitpunkt des Vorfalls selbst. Wochenenden zählen mit. Eine vorläufige Meldung ist zulässig und kann später ergänzt werden.

\n \n

Wo melden?

\n

In Deutschland: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die zuständige Landesbehörde – Online-Meldeformular für Datenpannen. Bewahren Sie eine Kopie auf.

\n \n

Was innerhalb der Organisation zu tun ist

\n
    \n
  • Team aktivieren: Security-Verantwortlicher, Geschäftsführung, Kommunikation.
    • \n
  • Untersuchung: Was ist genau passiert?
    • \n
  • Eindämmung: Datenpanne stoppen.
    • \n
  • Forensische Dokumentation: Beweise für die weitere Untersuchung sichern.
    • \n
  • Kommunikation vorbereiten: intern, extern, Medien.
    • \n
\n \n

Siehe auch: Vorfallsprotokoll einrichten, Incident Response.

Onderwerpen

#avg #datalek #incident #ap

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

DSGVO-Compliance für KMU: das praktische Minimum

DSGVO kostet nicht €10.000 und erfordert keinen DSB bis zu einer bestimmten Unternehmensgröße. Das ist, was jedes KMU mindestens vorweisen sollte — basierend auf dem, was die Aufsichtsbehörden tatsächlich prüfen.

2 min
AVG & privacy

IP-Adressen protokollieren unter DSGVO: Pseudonym, personenbezogene Daten – was ist erlaubt?

Eine IP-Adresse gilt unter der DSGVO als personenbezogenes Datum. Security-Logs benötigen sie oft wochenlang oder monatelang. Wie lässt sich das mit den Grundsätzen zur Datenspeicherung vereinbaren?

2 min
AVG & privacy

Aufbewahrungsfristen nach Datenkategorie im KMU

Wie lange darf man Kundendaten, Bewerbungsunterlagen, Rechnungen oder CCTV-Aufnahmen aufbewahren? Die wichtigsten Kategorien auf einen Blick – mit Quellenangabe je Frist.

2 min
AVG & privacy

Marketing-Einwilligung: E-Mail, WhatsApp, Retargeting — was ist noch erlaubt?

Ihr Newsletter, Ihre Angebots-Mails, Ihre Retargeting-Pixel — all das braucht eine Einwilligungsgrundlage. Hier die konkreten Regeln pro Kanal.

2 min
AVG & privacy

Betroffenenrechte: Auskunft, Berichtigung, Löschung — ein praxistaugliches Verfahren

Ein Kunde möchte seine Daten einsehen oder löschen lassen. Sie haben 30 Tage. Hier das Verfahren, das funktioniert — ohne dass eine Anfrage eine halbe Woche verschlingt.

2 min
AVG & privacy

Sub-Auftragsverarbeiter außerhalb der EU: Was das Schrems-II-Urteil noch immer fordert

Nutzt du AWS, Google oder Microsoft? Dann fließen Teile deiner Daten durch die USA. Seit Schrems II ist das nicht mehr ohne Weiteres erlaubt. Hier erfährst du, was jetzt funktioniert.

2 min
← Alle artikelen in "AVG & privacy"