Wann Meldepflicht bei personenbezogenen Datenpannen greift und was als Naechstes zu tun ist
Kurzantwort
Die Meldepflicht greift, wenn ein Vorfall personenbezogene Daten betrifft und unter der DSGVO oder im Kundenvertrag eine Benachrichtigungspflicht entstehen kann. Oeffnen Sie zuerst einen Bewertungsdatensatz, klaeren Sie Rollen, sichern Sie Nachweise und entscheiden Sie, wer informiert werden muss.
Wen das betrifft: Datenschutzteams, Compliance-Leads, Produktmanager, Rechtsteams, Sicherheitsteams und SaaS-Gruender
Was jetzt zu tun ist
- Eroeffnen Sie einen Bewertungsdatensatz, sobald personenbezogene Daten betroffen sein koennten.
- Trennen Sie Aufsichtsbehoerde, betroffene Personen, Kunden und interne Stakeholder.
- Bewahren Sie Zeitlinie, Risikoanalyse, Entscheidung und Abhilfemassnahmen zentral auf.
Die Meldepflicht bei personenbezogenen Datenpannen ist kein reines Rechtsthema. Fuer SaaS-Teams ist sie ein Zeit-, Rollen- und Nachweisprozess. Sobald ein Sicherheitsvorfall personenbezogene Daten betreffen koennte, sollte das Team einen Bewertungsdatensatz oeffnen, die betroffenen Systeme klaeren, Verantwortliche benennen und festhalten, welche Fakten noch fehlen.
Nach Artikel 33 DSGVO muss ein Verantwortlicher die zustaendige Aufsichtsbehoerde ohne unangemessene Verzoegerung und moeglichst binnen 72 Stunden informieren, sofern die Verletzung nicht voraussichtlich ohne Risiko fuer Rechte und Freiheiten natuerlicher Personen bleibt. Auftragsverarbeiter muessen den Verantwortlichen ohne unangemessene Verzoegerung informieren. Artikel 34 verlangt eine gesonderte Information betroffener Personen, wenn voraussichtlich ein hohes Risiko besteht.
Praktisch bedeutet das: Pruefen Sie zuerst, ob personenbezogene Daten betroffen sind, welche Rolle das Unternehmen fuer jedes Dataset hat und welche Risiken fuer Menschen entstehen koennen. Ein SaaS-Anbieter kann fuer Account- oder Marketingdaten Verantwortlicher sein und fuer Kundendaten zugleich Auftragsverarbeiter.
Dokumentieren Sie Erkennungszeitpunkt, moeglichen Bewusstseinszeitpunkt, betroffene Systeme, Datenkategorien, betroffene Personen oder Datensaetze, Subunternehmer, Eindammung, wahrscheinliche Folgen, Abhilfemassnahmen und die Entscheidung ueber Benachrichtigungen. Kundenpflichten aus DPA oder Vertrag gehoeren in dieselbe Akte.
Benachrichtigungen haben verschiedene Zielgruppen. Die Aufsichtsbehoerde, betroffene Personen, Kunden und interne Teams brauchen nicht dieselbe Nachricht. Bewerten Sie Risiko und hohes Risiko getrennt. Wenn Informationen noch fehlen, koennen Angaben schrittweise ergaenzt werden; die Entscheidung und die offenen Punkte muessen aber nachvollziehbar bleiben.
Haeufige Fehler sind Warten auf vollstaendige Sicherheit, falsche Rollenzuordnung, Gleichsetzung von Risiko und hohem Risiko, blindes Vertrauen auf Verschluesselung oder Eindammung und verstreute Nachweise. Die beste Reaktion verbindet Incident Response, Datenschutzbewertung, Kundenpflichten und Remediation in einem Workflow.
FAQ
Muss jede Datenpanne gemeldet werden?
Nein. Wenn kein Risiko fuer Rechte und Freiheiten natuerlicher Personen wahrscheinlich ist, kann eine Meldung entfallen. Die Fakten, Bewertung und Entscheidung sollten dennoch dokumentiert werden.
Was sollte zuerst passieren?
Oeffnen Sie den Bewertungsdatensatz, sichern Sie die Zeitlinie, klaeren Sie Daten, Rollen und Kundenpflichten und benennen Sie Entscheider.
Primärquellen
- General Data Protection RegulationEuropean Union · Abgerufen 9. Mai 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Abgerufen 9. Mai 2026
- Personal data breaches - a guideInformation Commissioner's Office · Abgerufen 9. Mai 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Abgerufen 9. Mai 2026
Verwandte Hubs entdecken
Ähnliche Artikel
Verwandte Glossarbegriffe
Bereit, Ihre Compliance sicherzustellen?
Warten Sie nicht, bis Verstöße Ihr Unternehmen lahmlegen. Holen Sie sich in wenigen Minuten Ihren umfassenden Compliance-Bericht.
Website jetzt kostenlos scannen