Es beginnt oft unspektakulär: eine falsch adressierte E-Mail mit Kundendaten, ein gestohlenes Notebook, ein Ransomware-Angriff. Plötzlich steht die Frage im Raum: Müssen wir das melden? Die Antwort hängt von der Art der Datenschutzverletzung ab — aber die Uhr tickt vom Moment der Entdeckung.

Was ist eine Datenschutzverletzung?

Art. 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt". Das umfasst:

  • Vertraulichkeitsverletzungen — unbefugter Zugriff auf oder Weitergabe von Daten
  • Integritätsverletzungen — unbefugte oder unbeabsichtigte Veränderung von Daten
  • Verfügbarkeitsverletzungen — Datenverlust oder -vernichtung (z. B. durch Ransomware oder Hardwarefehler ohne Backup)

Die 72-Stunden-Regel (Art. 33 DSGVO)

Stellt ein Unternehmen eine Datenschutzverletzung fest, muss es diese unverzüglich, spätestens binnen 72 Stunden nach Bekanntwerden der österreichischen Datenschutzbehörde (DSB) melden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Wann besteht kein Risiko? Beispielsweise bei verschlüsselten Daten, auf die keine unbefugten Dritten zugreifen konnten, oder bei internen Fehlern ohne Datenweitergabe nach außen. Im Zweifel gilt: lieber melden.

Was muss die Meldung enthalten?

Art. 33 Abs. 3 DSGVO schreibt vor, dass die Meldung mindestens enthält:

  1. Eine Beschreibung der Art der Verletzung — betroffene Kategorien, ungefähre Anzahl der Betroffenen und Datensätze
  2. Name und Kontaktdaten des Datenschutzbeauftragten (oder einer anderen Anlaufstelle)
  3. Beschreibung der wahrscheinlichen Folgen der Verletzung
  4. Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung
  5. Ggf. Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen

Sind nicht alle Informationen sofort verfügbar, darf die Meldung in Etappen erfolgen — eine erste Kurzmeldung mit den bekannten Fakten, gefolgt von einer vollständigen Meldung sobald die Untersuchung abgeschlossen ist.

Wann müssen Betroffene informiert werden?

Art. 34 DSGVO verlangt eine direkte Benachrichtigung der betroffenen Personen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten mit sich bringt. Typische Fälle: Kreditkartendaten, Gesundheitsdaten, Passwörter oder Informationen, die für Identitätsdiebstahl genutzt werden könnten.

Die häufigsten Fehler in der Praxis

  • Zu langes Warten: Die 72 Stunden laufen ab dem Moment, in dem das Unternehmen (nicht die IT) von der Verletzung weiß. Interne Eskalationspfade müssen daher klar definiert sein
  • Unvollständige Meldungen: Eine pauschale Meldung ohne Risikobewertung oder Gegenmaßnahmen wird von der DSB nachgefordert — mit weiteren Fristen
  • Keine Dokumentation von Near-Misses: Art. 33 Abs. 5 verlangt die Protokollierung aller Verletzungen — auch solcher, die nicht gemeldet wurden, mit Begründung
  • Fehlender Prozess: Ohne vordefinierten Incident-Response-Plan kostet die Reaktion wertvolle Stunden
Praxistipp: Richten Sie ein internes Datenpannen-Register ein — auch für nicht meldepflichtige Vorfälle. Die DSB kann dieses bei einer Prüfung anfordern. Fehlendes Register kann als Verstoß gegen Art. 5 Abs. 2 (Rechenschaftspflicht) gewertet werden.