Ratgeber · 28. Mai 2026
Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan
Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO ist eine der wenigen Vorschriften der DSGVO mit harter Frist und harten Konsequenzen. Wer sie verpasst, zahlt nicht nur das Bußgeld für die ursprüngliche Datenpanne — sondern obendrein für die unterlassene Meldung. In der Aufsichtspraxis erhöht sich das Basis-Bußgeld typisch um 50 bis 100 %, wenn die Meldung verschleppt wurde.
Was als Datenpanne zählt
Eine Datenpanne (“Verletzung des Schutzes personenbezogener Daten” nach Art. 4 Nr. 12 DSGVO) liegt vor, wenn personenbezogene Daten in einer der drei Dimensionen kompromittiert werden:
- Vertraulichkeit verletzt: Daten gelangen in falsche Hände — Hackerangriff, Mail an falschen Empfänger, gestohlener Laptop, fremder Zugriff auf Personalakte.
- Integrität verletzt: Daten werden unbeabsichtigt geändert oder zerstört — Software-Fehler überschreibt Datenbank, versehentliche Löschung.
- Verfügbarkeit verletzt: Daten sind temporär oder dauerhaft nicht zugänglich — Ransomware, Server-Crash mit Datenverlust.
Was nicht zählt: Beinahe-Pannen, blockierte Phishing-Mails, Versuche ohne tatsächlichen Zugriff. Aber Achtung — die Schwelle ist niedrig. Eine Mail mit Kunden-Bestelldaten an den falschen Verteiler ist bereits eine meldepflichtige Datenpanne.
Die 72-Stunden-Frist: ab wann sie läuft
Die Frist beginnt, wenn das Unternehmen Kenntnis von der Datenpanne hat. Kenntnis bedeutet: ein für den Vorgang verantwortlicher Mitarbeiter weiß, dass eine Verletzung stattgefunden hat — nicht nur, dass es einen Verdacht gibt.
In der Praxis stellt sich oft die Frage, ab wann genau die Frist läuft. Faustregel:
- Klare Fälle (Hacker-Mail mit erfolgreichem Login, falsch versendete Mail) — Frist startet sofort.
- Verdachts-Fälle (verdächtiger Datenabfluss, ungewöhnlicher Server-Zugriff) — Frist startet nach interner Prüfung mit Bestätigung des Verdachts. Diese Prüfung darf nicht ewig dauern, in der Aufsichtspraxis sind 24 Stunden vertretbar.
- Wochenend-Fälle: Die Frist kennt kein Wochenende. Wer am Freitag um 18 Uhr eine Panne entdeckt, muss am Montag um 18 Uhr gemeldet haben.
Die Aufsicht ist hier strenger geworden — Argumente wie “wir haben erst Montag gemerkt, dass die IT am Wochenende nicht erreichbar war” gelten nicht.
Schritt-für-Schritt-Notfallplan
Wenn eine Datenpanne entdeckt wird, lauten die Schritte für die ersten 72 Stunden:
Stunde 0–4: Erstreaktion
- Eskalieren: Information an Geschäftsführung und DSB. Wer es entdeckt, meldet — keine Hierarchie-Spielchen.
- Sofort-Maßnahmen: Was kann den Schaden begrenzen? Account sperren, Mail zurückziehen, Backup einspielen, Datenträger sichern.
- Spurensicherung: Logs, Mail-Header, Zugriffsprotokolle, betroffene Datensätze identifizieren und einfrieren.
Stunde 4–24: Bewertung
- Risiko-Einschätzung: Wer ist betroffen, welche Daten, welcher Schaden? Diese Bewertung entscheidet, ob die Meldung an die Aufsicht raus muss (immer) und ob auch die Betroffenen informiert werden (nur bei hohem Risiko, Art. 34).
- Externe Beratung: DSB anrufen. Anwalt bei großen Pannen. IT-Forensik bei Hacker-Verdacht.
- Doku starten: Alles, was passiert, mit Zeit und Verantwortlichkeit dokumentieren. Diese Doku ist Beweismittel.
Stunde 24–72: Meldung
- Meldung an die Aufsicht: In Baden-Württemberg an den LfDI BW über das Online-Formular auf baden-wuerttemberg.datenschutz.de oder per signierter Mail. Die Meldung muss mindestens enthalten: Art der Panne, betroffene Personen, mögliche Folgen, ergriffene Maßnahmen, DSB-Kontaktdaten.
- Betroffene benachrichtigen (falls hohes Risiko): Klare Sprache, ohne Verharmlosung. Was ist passiert, welche Daten sind betroffen, was sollte der Betroffene tun?
- Interne Information: Mitarbeiter informieren, soweit für die Aufarbeitung nötig.
Tag 4 und folgende: Aufarbeitung
- Ursachen-Analyse: Wie konnte das passieren? Welche TOM hat versagt?
- Lessons Learned: Welche Maßnahme verhindert Wiederholung? Schulung, Prozess-Änderung, Tool-Wechsel?
- Nachmeldung: Innerhalb von 30 Tagen sollten die Untersuchungs-Ergebnisse nachgereicht werden. Die Aufsicht erwartet das.
Wie die Meldung aussieht
Das Online-Formular des LfDI BW fragt strukturiert ab:
- Verantwortlicher (Name, Anschrift, Vertreter)
- DSB (Name, Kontaktdaten)
- Art und Zeitpunkt der Verletzung
- Kategorien und Anzahl Betroffener
- Kategorien und Anzahl betroffener Datensätze
- Wahrscheinliche Folgen
- Getroffene und vorgeschlagene Maßnahmen
Wenn am Tag der Meldung nicht alle Angaben vorliegen, dürfen Lücken bleiben — Hauptsache, die Meldung ist fristgerecht raus. Die fehlenden Angaben können binnen 4 Wochen nachgereicht werden.
Wann auch die Betroffenen informiert werden müssen
Nach Art. 34 DSGVO müssen die Betroffenen direkt informiert werden, wenn die Datenpanne ein “hohes Risiko für die persönlichen Rechte und Freiheiten” zur Folge hat. Hohes Risiko liegt typisch vor bei:
- Verlust von Gesundheitsdaten, Finanzdaten, Passwörtern, Personalakten
- Hacker-Übernahme von Kunden-Accounts
- Identitätsdiebstahl-Risiko
- Verlust von Daten aus besonderen Kategorien nach Art. 9 DSGVO
Kein hohes Risiko liegt typisch vor bei:
- Mail an falsche Person, aber Inhalt nur Routine-Daten
- Verschlüsselte Datenträger gestohlen, kein Zugriff möglich
- Daten gelöscht, aber aus Backup wiederhergestellt
Die Bewertung sollte der DSB schriftlich treffen und im Notfall-Ordner ablegen.
Bußgelder bei verpasster Meldung
Aus der Aufsichtspraxis lassen sich folgende Muster ableiten:
| Konstellation | Typisches Bußgeld KMU |
|---|---|
| Datenpanne ohne Meldung, gering | 5.000 – 12.000 € |
| Datenpanne ohne Meldung, mittleres Risiko | 15.000 – 35.000 € |
| Datenpanne ohne Meldung, Art. 9 Daten | 25.000 – 80.000 € |
| Meldung verspätet (innerhalb 2 Wochen nachgeholt) | Aufschlag 30–50 % |
| Meldung verspätet (mehr als 2 Wochen) | Aufschlag 60–100 % |
| Betroffene nicht informiert trotz hohem Risiko | Zusätzliches Bußgeld 5.000–25.000 € |
Mehr zu konkreten Bußgeldhöhen unter DSGVO-Strafe Kleinunternehmen und DSGVO-Bußgelder 2026.
Die häufigsten Datenpannen-Typen im KMU
Aus über 30 begleiteten Datenpannen-Meldungen in der Region kristallisieren sich vier Typen heraus, die zusammen rund 80 % aller Fälle abdecken:
Typ 1: Mail an falschen Empfänger. Klassiker: Auto-Vervollständigung schlägt zu, eine Bewerbungsdaten-Mail geht an einen Lieferanten statt an die HR-Kollegin. Wahrscheinlichkeit für hohes Risiko: niedrig bis mittel — abhängig vom Inhalt. Doku-Aufwand: 1–2 Stunden. Bußgeld-Erwartung bei sauberer Meldung: meist nur Verwarnung.
Typ 2: Verloren gegangener Datenträger. Laptop im Zug vergessen, USB-Stick im Hotel, externe Festplatte beim Umzug verschwunden. Risiko hängt an der Verschlüsselung — wer verschlüsselt hat, meldet trotzdem, aber das Risiko ist niedriger. Doku-Aufwand: 2–4 Stunden inkl. IT-Recherche.
Typ 3: Phishing-Mail aufgemacht und Login eingegeben. Damit hat der Angreifer Zugang zum Mail-Konto, ggf. weiter ins ERP. Schnelle Reaktion zwingend: Passwort ändern, Sessions beenden, Logs prüfen. Doku-Aufwand: 6–10 Stunden, oft mit IT-Forensiker.
Typ 4: Ransomware-Befall. Schwerster Fall — Daten verschlüsselt, mglw. exfiltriert. Hier greifen mehrere Pflichten parallel: Datenpanne-Meldung an Aufsicht, ggf. Strafanzeige, BSI-Meldung, Krisen-Kommunikation an Kunden. Doku-Aufwand: 20+ Stunden.
Die ersten drei Typen sind im DSB-Mandat häufig in 1 bis 2 Tagen abgewickelt. Der Ransomware-Fall braucht oft eine Woche oder mehr.
Der Notfallplan auf einer A4-Seite
Was im Ernstfall hilft, ist nicht das 40-seitige Handbuch, sondern die A4-Seite an der Pinnwand des DSB. Inhalt:
- Telefonnummer DSB (mit Vertretung)
- Telefonnummer Geschäftsführung
- Telefonnummer IT-Dienstleister mit 24/7-Erreichbarkeit
- Link Online-Meldeformular LfDI BW
- Mindest-Inhalte der Meldung (Checkliste)
- Eskalations-Reihenfolge: Wer entscheidet was, wann?
- Doku-Vorlage: Wer hat wann was getan
Ein solcher Notfallplan ist Bestandteil jedes DSB-Mandats bei Kowoll und wird im Onboarding individuell auf den Betrieb angepasst.
Was Sie konkret tun sollten
Wenn Sie aktuell keinen klaren Notfallplan haben, sind das die drei ersten Schritte:
- Notfall-Plan A4 erstellen mit den oben genannten Inhalten. Pinnwand im DSB-Büro plus digitale Kopie im Geschäftsführer-Postfach.
- Tabletop-Übung: Einmal pro Jahr durchspielen — was tun, wenn morgen früh eine Phishing-Mail aufgemacht wurde? 90 Minuten Aufwand, hoher Lerneffekt.
- Externe Beratung sichern: Wer keinen DSB hat, sollte spätestens nach der ersten Panne einen externen DSB binden. Im Ernstfall ist die externe Hotline unbezahlbar.
Bei akuter Datenpanne: sofort unter +49 7071 770371 anrufen — auch am Wochenende. Bei laufendem Mandat ist die 24-Stunden-Notfall-Hotline im Festpreis enthalten. Mehr zu Notfall-Setup und Leistungen, zu konkreten Preisbeispielen und zur BAFA-Förderung für den Aufbau.
Weiterlesen
- Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
- Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht? Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.
- Datenschutz-Kosten senken — 6 konkrete Hebel für KMU Datenschutz Kosten senken im KMU: 6 erprobte Hebel von Festpreis bis BAFA — mit realistischen Ersparnissen je Maßnahme.