Cybernotfall
Pillar-Ratgeber Datenpanne · Stand: Juni 2026

Betroffene benachrichtigen nach Art. 34 DSGVO: hohes Risiko bewerten

Bei einer Datenpanne mit voraussichtlich hohem Risiko sind die Betroffenen unverzüglich zu benachrichtigen. Risikoanalyse, Form, Inhalt, Ausnahmen und der Umgang mit Massendatensätzen im strukturierten Überblick.

Die Schwelle: voraussichtlich hohes Risiko

Art. 34 DSGVO verlangt die Benachrichtigung der Betroffenen nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten auslöst. Diese Schwelle liegt über der Meldeschwelle des Art. 33 DSGVO, die ein einfaches Risiko ausreichen lässt. In der Praxis lässt sich das hohe Risiko an vier Indikatoren festmachen: erstens die Sensibilität der betroffenen Datenkategorien (Gesundheits-, Finanz-, Identifikationsdaten), zweitens der Umfang des Vorfalls (große Anzahl Betroffener, vollständige Datensätze), drittens die Schutzbedürftigkeit der Betroffenen (Kinder, Patienten, Geflüchtete), viertens die realistische Möglichkeit konkreter Schäden (Identitätsdiebstahl, Finanzbetrug, Diskriminierung).

Risikoanalyse: dokumentiert, nicht intuitiv

Die Risikoanalyse ist keine Bauchentscheidung des Datenschutzbeauftragten, sondern eine dokumentationspflichtige Bewertung des Verantwortlichen. In der Beratungspraxis hat sich eine Vorlage bewährt, die für jeden Vorfall die vier genannten Indikatoren bewertet und das Ergebnis in einer dreistufigen Skala (kein Risiko, Risiko, hohes Risiko) zusammenführt. Diese Bewertung wird im internen Verzeichnis nach Art. 33 Abs. 5 DSGVO abgelegt — sie ist im Aufsichtsverfahren das wichtigste Argument für oder gegen die Auslösung der Art. 34-Pflicht.

Inhalt der Benachrichtigung

Art. 34 Abs. 2 DSGVO legt den Mindestinhalt fest: Beschreibung der Art der Verletzung in klarer und einfacher Sprache, Name und Kontaktstelle des Datenschutzbeauftragten oder einer anderen Anlaufstelle, Beschreibung der wahrscheinlichen Folgen der Verletzung und Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Auswirkungen. In der Praxis empfehlen wir, zusätzlich konkrete Schutzempfehlungen aufzunehmen (Passwortwechsel, Kontobeobachtung, Identitätsdiebstahl-Monitoring) — sie reduzieren das Risiko und dokumentieren die Schadensminderungspflicht.

Form: individuell, klar, nachweisbar

Die Benachrichtigung ist grundsätzlich individuell zu adressieren. Eine bloße Veröffentlichung auf der Unternehmenswebsite genügt regelmäßig nicht. Zulässige Kanäle sind E-Mail (bei bekannten und gepflegten Adressen), Brief (insbesondere bei sensiblen Sachverhalten oder älteren Betroffenen) und SMS oder Push-Nachricht (bei mobilen Diensten). Bei Massendatensätzen empfiehlt sich eine Kombination aus E-Mail-Versand, Brief-Backup für nicht erreichbare Betroffene und einer Telefon-Hotline für Rückfragen. Die Versanddokumentation gehört in das Vorfallverzeichnis.

Ausnahmen: eng auszulegen

Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen vor: erstens, wenn die betroffenen Daten durch geeignete technische Maßnahmen (insbesondere Verschlüsselung) für Unbefugte unzugänglich sind; zweitens, wenn der Verantwortliche nachträgliche Maßnahmen ergriffen hat, die das hohe Risiko nicht mehr wahrscheinlich machen; drittens, wenn die Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre — in diesem Fall hat eine öffentliche Bekanntmachung zu erfolgen. Die Aufsichtsbehörden legen die Ausnahmen restriktiv aus; insbesondere die Verschlüsselungs-Ausnahme greift nur bei Stand-der-Technik-Verschlüsselung mit wirksamem Schlüsselmanagement.

Schadensersatz und Reputationsmanagement

Eine sorgfältig formulierte Art-34-Benachrichtigung ist kein reines Compliance-Dokument, sondern ein zentrales Reputationsinstrument. Sie wirkt sich auf die Erfolgsaussichten von Schadensersatzansprüchen nach Art. 82 DSGVO aus — eine schlechte oder unterlassene Benachrichtigung erhöht das Klagerisiko, eine gute Benachrichtigung reduziert es. Die Geschäftsleitung sollte deshalb die Benachrichtigung gemeinsam mit der Krisen-PR vorbereiten und sich nicht auf eine rein juristische Formulierung beschränken.

Häufige Fragen

Wann ist das Risiko 'hoch'?
Bei sensiblen Datenkategorien (Gesundheit, Finanzen, Identitätsdaten), bei großem Datenumfang, bei besonders schutzbedürftigen Betroffenen oder bei realistischer Möglichkeit von Identitätsdiebstahl, Betrug oder Diskriminierung.
Welche Form hat die Benachrichtigung?
Sie muss in klarer und einfacher Sprache erfolgen, individuell adressiert sein und Mindestinhalte enthalten: Beschreibung des Vorfalls, wahrscheinliche Folgen, ergriffene Maßnahmen, Kontaktstelle.
Wann darf öffentlich statt individuell benachrichtigt werden?
Nur ausnahmsweise, wenn die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordert. Die Aufsichtsbehörden legen diesen Ausnahmetatbestand restriktiv aus.
Können wir die Benachrichtigung über E-Mail vornehmen?
Ja, sofern die E-Mail-Adresse aktuell und der Empfang gesichert ist. Bei Massendatensätzen kann eine Kombination aus E-Mail, Brief und Telefon-Hotline sinnvoll sein.
Müssen wir entgangene Verträge oder Schäden erstatten?
Die Benachrichtigung selbst löst keine Erstattungspflicht aus. Schadensersatzansprüche nach Art. 82 DSGVO bestehen aber unabhängig davon und werden durch eine ordentliche Benachrichtigung tendenziell entschärft.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil