Datenpanne
Verletzung des Schutzes personenbezogener Daten — 72h-Meldepflicht
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Eine Datenpanne (Data Breach) nach Art. 4 Nr. 12 DSGVO ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Bei voraussichtlich Risiko: 72h-Meldepflicht an Aufsicht (Art. 33). Bei voraussichtlich hohem Risiko: zusätzliche Information der Betroffenen (Art. 34).
Was ist Datenpanne?
Drei Kategorien Datenpannen:
- Vertraulichkeit: unbefugter Zugriff (Hack, Phishing, Diebstahl)
- Integrität: unbefugte Veränderung (manipulierte Daten, Ransomware)
- Verfügbarkeit: Verlust, Zerstörung (Server-Crash ohne Backup, vernichtete Akten)
Praxisbeispiel
Praxis-Beispiele:
- Phishing-Vorfall mit kompromittierten Mitarbeiter-Credentials → Vertraulichkeit
- Falsch zugesendete E-Mail mit personenbezogenen Daten → Vertraulichkeit
- Ransomware-Angriff mit verschlüsselten Datenbanken → Verfügbarkeit + Integrität
- Verlust eines unverschlüsselten Laptops → Vertraulichkeit
Häufig gestellte Fragen
Greift die 72h-Frist auch nachts und am Wochenende?
Ja. Frist beginnt mit Kenntnis (nicht ab Vorfall). Praktisch: 24/7-Erreichbarkeit von DSB + IT-Security ist Pflicht.
Was, wenn ich erst nach 72h Klarheit habe?
Trotzdem melden mit dem Stand des Wissens — Art. 33 Abs. 4 erlaubt schrittweise Meldung.
Muss ich Betroffene immer informieren?
Nur bei voraussichtlich hohem Risiko (Art. 34). Sonst genügt Aufsichts-Meldung + interne Dokumentation.