Geschrieben am 18.12.2025 von:
Kevin Kraus
Legal Consultant | Informationssicherheitsbeauftragter (IHK) & Datenschutzauditor (DSA-TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
In den bisherigen Teilen hast du gesehen, wie eine rechtmäßige Verarbeitung aussieht: Rechtsgrundlagen, Rollen, Grundsätze sowie technische und organisatorische Maßnahmen. Trotzdem bleibt ein Restrisiko. Wenn etwas passiert, was nicht passieren soll, sprechen wir von einer Datenschutzverletzung – dann greifen Art. 33 und 34 DS-GVO.
Was ist eine Datenschutzverletzung?
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn Daten verloren gehen, unbefugt offengelegt, verändert oder zeitweise nicht verfügbar sind. Es geht also um Sicherheitsvorfälle mit Personenbezug – nicht nur um spektakuläre Hackerangriffe.
Betroffen sind vor allem die Grundsätze Integrität und Vertraulichkeit aus Art. 5 DS-GVO sowie deine Rechenschaftspflicht: Du musst nachweisen können, dass du angemessen geschützt hast (Art. 24, 32 DS-GVO) und wie du mit Vorfällen umgehst. Deshalb ist jeder Vorfall zu prüfen und zu dokumentieren – auch dann, wenn er am Ende nicht meldepflichtig ist.
Meldepflicht an die Aufsichtsbehörde (Art. 33 DS-GVO)
Art. 33 DS-GVO verpflichtet dich, eine Datenschutzverletzung „unverzüglich und möglichst binnen 72 Stunden“ nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden, wenn voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Bekanntwerden heißt: Eine zuständige Stelle in deinem Unternehmen erfährt von dem Vorfall.
In der Meldung beschreibst du sachlich, was passiert ist, welche Daten und Personengruppen betroffen sind, welche Folgen denkbar sind und welche Maßnahmen du getroffen hast oder planst. Schaffst du die Frist nicht, musst du die Verzögerung begründen. Ergibt eine strukturierte Bewertung, dass kein oder nur ein sehr geringes Risiko vorliegt, meldest du nicht – musst diese Entscheidung aber nachvollziehbar dokumentieren.
Benachrichtigung der Betroffenen (Art. 34 DS-GVO)
Art. 34 kommt hinzu, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Das ist naheliegend, wenn sensible Daten (z. B. Gesundheitsdaten) offengelegt wurden, Zugangsdaten kompromittiert sind oder finanzielle Schäden bzw. Identitätsdiebstahl drohen.
Dann musst du die betroffenen Personen in klarer, verständlicher Sprache informieren. Sie sollen verstehen, was passiert ist, welche Folgen möglich sind und was sie selbst tun können (z. B. Passwörter ändern, aufmerksam bei verdächtigen Nachrichten sein). Ausnahmen – etwa bei wirksam verschlüsselten Daten – sind eng auszulegen und ebenfalls zu dokumentieren.
Praktischer Ablauf im Unternehmen
Damit du im Ernstfall nicht improvisieren musst, brauchst du einen festen Prozess: Mitarbeitende müssen wissen, an wen sie sich wenden. Eine zentrale Meldestelle (z. B. Datenschutzteam oder Informationssicherheit) und ein einfaches Formular helfen, schnell alle nötigen Informationen zu sammeln.
Gemeinsam mit der IT klärst du, welche Systeme und Daten betroffen sind, triffst Sofortmaßnahmen zur Eindämmung und führst eine Risikobewertung durch (Datenkategorien, Betroffenengruppen, mögliche Schäden). Auf dieser Grundlage entscheidest du über Meldung an die Aufsicht und ggf. Information der Betroffenen. Auftragsverarbeiter müssen Vorfälle unverzüglich melden, damit du deine Pflichten als Verantwortlicher erfüllen kannst. Alles – vom ersten Verdacht bis zu „Lessons Learned“ – gehört in eine saubere Dokumentation.
Typische Fehler und wie du sie vermeidest
Häufige Probleme sind: gar nicht oder zu spät melden, ohne Prüfung reflexartig alles melden, Vorfälle als reines IT-Thema behandeln oder sich auf Dienstleister verlassen. Abhilfe schaffen klare Zuständigkeiten, ein einfacher Ablauf, Vorgaben im AV-Vertrag und regelmäßige Sensibilisierung (z. B. Fehlversand, Geräteverlust, Phishing).
Fazit
Datenschutzverletzungen lassen sich nie vollständig ausschließen. Entscheidend ist, dass du sie erkennst, strukturiert bewertest und angemessen reagierst. Ein schlanker, geübter Prozess ist ein zentraler Baustein deines Datenschutzmanagements und ergänzt Verzeichnis, TOMs und ggf. DSFA. Wenn du deine internen Abläufe überprüfen oder aufbauen möchtest, wende dich an uns über contact@morgenstern-privacy.com.