Datenschutz­verletzungen richtig melden: Ein komplexes Thema für Unternehmen

…müssen Unternehmen Datenschutzverletzungen unter bestimmten Bedingungen an die zuständige Aufsichtsbehörde melden. Das betrifft vor allem Fälle, in denen personenbezogene Daten betroffen sind und ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Artikel 33 und 34 der DSGVO regeln dabei sowohl die Meldepflicht gegenüber der Behörde als auch die Informationspflicht gegenüber den betroffenen Personen.

Warum vielen Unternehmen die Umsetzung schwerfällt

Gerade kleine und mittlere Unternehmen (KMU) stehen unter Druck: unklare Rechtsbegriffe, technische Komplexität und knappe Ressourcen erschweren eine korrekte Umsetzung. Hinzu kommt die 72-Stunden-Frist für Meldungen – ein Zeitfenster, das ohne professionelle Vorbereitung kaum einzuhalten ist. Dabei drohen empfindliche Bußgelder, sollten Unternehmen gegen die Meldepflicht verstoßen.

Typische Unsicherheiten: Was ist meldepflichtig?

Die DSGVO spricht von „Verletzungen des Schutzes personenbezogener Daten“ – eine Formulierung mit Interpretationsspielraum. Wann ein hohes Risiko für Betroffene besteht, ist nicht immer klar. Um Unternehmen Sicherheit zu geben, hat der Europäische Datenschutzausschuss 18 konkrete Fallbeispiele veröffentlicht, die praxisnah aufzeigen, wann eine Meldung notwendig ist – und wann nicht.

Praxisbeispiele: Melden oder nicht?

Im Folgenden drei realitätsnahe Fälle, die zeigen, wie unterschiedlich Datenschutzverletzungen ausfallen können – und wie wichtig eine differenzierte Bewertung ist:

Fall 1: Ransomware im Krankenhaus

Ein mittelgroßes Krankenhaus wird Opfer eines Ransomware-Angriffs. Die Angreifer verschlüsseln Patientenakten, Mitarbeiterdaten und Finanzdokumente. Zwar gelingt die Wiederherstellung der Daten durch ein aktuelles Backup, doch eine forensische Analyse zeigt: Die Angreifer hatten vor der Verschlüsselung Zugriff auf sensible Gesundheitsdaten.

Bewertung:

• Meldepflicht: Ja
• Informationspflicht gegenüber Patienten: Ja
• Dokumentation erforderlich: Ja

 
Das Risiko für die Rechte und Freiheiten der betroffenen Personen ist hoch, da medizinische Daten betroffen sind. Eine schnelle Meldung an die Aufsichtsbehörde und transparente Kommunikation mit den Betroffenen sind Pflicht.

Fall 2: Fehlgeleitete E-Mail mit Bewerberdaten

Ein Personalmitarbeiter eines Industrieunternehmens verschickt versehentlich eine Excel-Datei mit Bewerberinformationen (inkl. Adressen, Telefonnummern und Geburtsdaten) an einen falschen Empfänger. Der Empfänger meldet sich umgehend, versichert die Löschung und es gibt keine Hinweise auf Weitergabe oder Missbrauch.

Bewertung:

• Meldepflicht: Ja
• Informationspflicht gegenüber Bewerbern: Nein
• Dokumentation erforderlich: Ja

 
Obwohl keine Gesundheitsdaten betroffen sind und der Empfänger vertrauensvoll reagiert, ist die Meldung an die Behörde erforderlich. Die betroffenen Personen müssen nur dann informiert werden, wenn ein hohes Risiko besteht – was hier nicht der Fall ist.

Fall 3: Gehashte Passwörter durch Sicherheitslücke entwendet

Durch eine SQL-Injection erhalten Unbekannte Zugriff auf eine Datenbank mit 5.000 Kundenkonten. Die Passwörter sind jedoch stark gehasht und der Salt wurde nicht kompromittiert. Keine weiteren personenbezogenen Daten wurden ausgelesen.

Bewertung:

• Meldepflicht: Nein
• Informationspflicht gegenüber Kunden: Nein
• Dokumentation erforderlich: Ja

 
Da die Passwörter technisch ausreichend geschützt waren und keine Gefahr für die Betroffenen besteht, ist keine Meldung notwendig. Dennoch verlangt die DSGVO eine interne Dokumentation des Vorfalls.

Wichtig: In jedem Fall – unabhängig von Melde- oder Informationspflicht – muss der Vorfall nach Artikel 33 DSGVO dokumentiert werden. – auch wenn keine Meldepflicht besteht, muss der Vorfall nachvollziehbar protokolliert werden.
Dokumentation des Vorfalls nach Artikel 33 DSGVO

Passende Lösung: Active Cyber Defense Service von Allgeier CyRis

Gerade bei Angriffen wie Ransomware oder Datenextraktion zählt schnelle Reaktion. Der Active Cyber Defense Service von Allgeier CyRis unterstützt Unternehmen mit:

• Threat Hunting & Angriffserkennung in Echtzeit
• Incident Response & Forensik durch erfahrene Experten
• 24/7-Monitoring, auch ohne eigenes SOC

 
So können Sicherheitsvorfälle frühzeitig erkannt, bewertet und DSGVO-konform gemeldet werden.

Checkliste: Wie Sie DSGVO-Meldepflichten korrekt umsetzen

• Interne Prozesse zur Vorfallserkennung und -bewertung etablieren
• Verantwortliche benennen und in Artikel 33/34 DSGVO schulen
• Sofortige Dokumentation aller Datenschutzvorfälle sicherstellen
• Risikoeinschätzung und Betroffenheitsanalyse standardisieren
• Fristen einhalten: 72 Stunden für Behördenmeldung, sofortige Information bei hohem Risiko
• Externe Unterstützung einplanen (z. B. durch Allgeier CyRis)

Fazit: Reaktionsfähigkeit statt Panik

Nicht jeder Cyberangriff ist automatisch meldepflichtig – aber jeder muss analysiert und dokumentiert werden. Wer im Ernstfall vorbereitet ist, reduziert nicht nur das Risiko hoher Bußgelder, sondern erhöht auch das Vertrauen von Kunden und Partnern. Mit strukturierten Prozessen und passenden Services wie dem Active Cyber Defense Service sichern Sie Ihre Organisation nachhaltig ab.

Jetzt handeln: DSGVO sicher umsetzen!

Sie sind unsicher, ob Ihre Prozesse im Fall einer Datenschutzverletzung greifen? Unsere Experten von Allgeier CyRis helfen Ihnen gerne mit einer Erstberatung oder technischen Analyse.