Was eine Datenpanne aus juristischer Sicht ausmacht
Der Begriff der „Datenpanne" hat sich in der Praxis eingebürgert, das Gesetz spricht von einer „Verletzung des Schutzes personenbezogener Daten" (Art. 4 Nr. 12 DSGVO). Erfasst sind drei Schadensszenarien: die Vernichtung oder der Verlust von Daten, die unbefugte Offenlegung oder der unbefugte Zugang sowie die unbefugte Veränderung. In allen drei Fällen können die Pflichten aus Art. 33 (Meldung an die Aufsichtsbehörde) und Art. 34 DSGVO (Benachrichtigung der Betroffenen) ausgelöst werden — je nach Risiko für die betroffenen Personen.
Dieser Themenbereich bündelt sechs Beiträge zu den Fragen, die in der Beratungspraxis nach einer Datenpanne fast immer aufkommen: Wann läuft die 72-Stunden-Frist? Wann sind Betroffene zu benachrichtigen? Wie ist die interne Dokumentation aufzubauen? Welche Bußgeldbemessung droht? Und wie geht man mit Mitarbeiterfehlern um?
Beiträge in diesem Themenbereich
- Beitragverfügbar
Datenpanne melden: Fristen, Inhalt, Beweissicherung
Wann eine Datenschutzverletzung an die Aufsichtsbehörde gemeldet werden muss und was in die Meldung gehört.
- Beitragverfügbar
Die 72-Stunden-Frist nach Art. 33 DSGVO: Wann läuft sie wirklich?
Kenntniserlangung, ‚unverzüglich' und ‚nach Möglichkeit': der Fristbeginn in der aufsichtsbehördlichen Praxis.
- Beitragverfügbar
Betroffene benachrichtigen nach Art. 34 DSGVO: hohes Risiko bewerten
Risikoanalyse, Inhalt der Benachrichtigung, Ausnahmen und der Umgang mit Massendatensätzen.
- Beitragverfügbar
Datenpannen-Dokumentation nach Art. 33 Abs. 5 DSGVO
Was im internen Verzeichnis stehen muss, wie lange aufzubewahren ist und welche Prüfpraxis Aufsichtsbehörden anlegen.
- Beitragverfügbar
Bußgeld nach Datenpanne: Bemessung, Verteidigung, Selbstanzeige-Effekt
Wie Aufsichtsbehörden Bußgelder kalkulieren und welche Faktoren das Bußgeld mindern oder erhöhen.
- Beitragverfügbar
Datenpanne durch Mitarbeiterfehler: Pflichten, Haftung, Schulung
Verantwortlichkeit des Verantwortlichen, Regress beim Mitarbeiter, Beweislage zur Schulungspflicht.
Anschluss an die anderen Themenbereiche
Eine Datenpanne ist in der Praxis selten ein isolierter DSGVO-Vorgang. Ransomware löst fast immer auch eine Meldepflicht nach Art. 33 aus (siehe Ransomware-Themenbereich), und bei NIS2-betroffenen Unternehmen kommt zusätzlich die NIS2-Meldekette hinzu (siehe NIS2-Themenbereich). Wer diese Pflichten parallel führt, vermeidet Doppelarbeit und widersprüchliche Sachverhaltsdarstellungen gegenüber Behörden.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
