Datenpanne melden — Meldung an den HmbBfDI in Hamburg

Inhalt in Kürze

• Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO) muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
• In Hamburg ist der HmbBfDI (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Leitung: Thomas Fuchs) die zuständige Aufsichtsbehörde für die Meldung einer Datenschutzverletzung.
• Die Nichtmeldung oder verspätete Meldung ist ein eigenständiger Bußgeldtatbestand — bis zu 10 Mio. € oder 2 % des Jahresumsatzes.
• frag.hugo bietet Soforthilfe bei Datenpannen: Risikobewertung, Behördenkommunikation und Schadensbegrenzung — auch am Wochenende.

72 Stunden – die kritischste Frist im Datenschutz

Eine Datenpanne kann jedes Unternehmen treffen – unabhängig von Größe oder Branche. Der entscheidende Unterschied liegt darin, wie Sie reagieren. Die DSGVO gibt Ihnen genau 72 Stunden ab Bekanntwerden, um die Datenpanne bei der zuständigen Aufsichtsbehörde zu melden. In Hamburg ist das der HmbBfDI (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit).

72 Stunden klingt nach viel – ist es aber nicht. Denn die Frist beginnt ab dem Moment, in dem eine Person in Ihrem Unternehmen von der Panne Kenntnis erlangt. Nicht erst, wenn die Geschäftsführung informiert ist. Nicht erst am nächsten Werktag. Sofort.

Was ist eine Datenpanne?

Art. 4 Nr. 12 DSGVO definiert eine Datenpanne als „Verletzung des Schutzes personenbezogener Daten”. Solche Datenschutzverletzungen umfassen drei Kategorien:

• Vertraulichkeitsverletzung: Unbefugte Personen erhalten Zugang zu Daten (z. B. Hackerangriff, E-Mail an falschen Empfänger). Der Verantwortliche muss prüfen, ob die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die betroffene Person darstellt.
• Integritätsverletzung: Daten werden unbeabsichtigt oder unbefugt verändert (z. B. Manipulation von Datenbankeinträgen). Auch versehentliche Änderungen durch Mitarbeitende zählen als Datenschutzverletzungen.
• Verfügbarkeitsverletzung: Daten sind nicht mehr zugänglich (z. B. Ransomware, Serverausfall ohne Backup). Selbst wenn kein Datenabfluss stattfindet, liegt eine meldepflichtige Verletzung des Schutzes personenbezogener Daten vor.

Typische Datenpannen in Hamburger Unternehmen

In unserer Beratungspraxis sehen wir regelmäßig folgende Vorfälle:

E-Mail-Fehlversand: Eine E-Mail mit Kundenliste, Bewerbungsunterlagen oder Vertragsdaten wird an den falschen Empfänger gesendet. Der häufigste Datenschutzvorfall überhaupt – und er passiert in Unternehmen jeder Größe.

Phishing-Angriff: Ein Mitarbeiter klickt auf einen Phishing-Link und gibt seine Zugangsdaten ein. Der Angreifer erhält Zugriff auf E-Mail-Postfächer, SharePoint oder CRM-Systeme mit personenbezogenen Daten.

Ransomware: Schadsoftware verschlüsselt Unternehmensdaten. Auch wenn kein Datenabfluss nachweisbar ist, liegt eine Verfügbarkeitsverletzung vor – und damit eine meldepflichtige Datenpanne.

Verlorene Geräte: Ein Laptop, Smartphone oder USB-Stick mit personenbezogenen Daten geht verloren oder wird gestohlen. Ohne Verschlüsselung ist das eine meldepflichtige Panne.

Offene Datenbanken: Durch Fehlkonfiguration sind Datenbanken, Cloud-Speicher oder Backup-Systeme öffentlich zugänglich.

Fehlkonfiguration von Zugriffsrechten: Mitarbeitende erhalten Zugriff auf Daten, die sie nicht sehen sollten – z. B. Personalakten oder Gesundheitsdaten aus BEM-Verfahren.

Der Meldeprozess Schritt für Schritt

Schritt 1: Vorfall erkennen und dokumentieren (sofort)

Sobald ein Datenschutzvorfall bekannt wird, starten Sie die Dokumentation:

• Was ist passiert? (Art des Vorfalls)
• Wann wurde der Vorfall entdeckt? (Beginn der 72-Stunden-Frist)
• Welche Daten sind betroffen?
• Wie viele Personen sind betroffen?
• Welche Maßnahmen wurden sofort ergriffen?

Schritt 2: Risikobewertung durchführen (innerhalb von Stunden)

Bewerten Sie das Risiko für die betroffenen Personen. Kriterien:

• Art der Daten: Bankdaten, Gesundheitsdaten oder Zugangsdaten sind hochsensibel
• Umfang: Wie viele Personen sind betroffen?
• Kontext: Können die Daten für Identitätsdiebstahl, Betrug oder Diskriminierung missbraucht werden?
• Beherrschbarkeit: Können Sie den Schaden begrenzen? (z. B. E-Mail-Rückruf, Passwortreset)

Ergebnis der Bewertung:

• Kein Risiko → Keine Meldepflicht, aber interne Dokumentation erforderlich
• Risiko → Meldung an den HmbBfDI innerhalb von 72 Stunden
• Hohes Risiko → Meldung an HmbBfDI UND Benachrichtigung der betroffenen Personen

Schritt 3: Meldung an den HmbBfDI (innerhalb von 72 Stunden)

Die Meldung an den HmbBfDI muss folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl betroffener Personen
• Kategorien und ungefähre Anzahl betroffener Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Gegenmaßnahmen

Wichtig: Wenn Sie innerhalb der 72 Stunden noch nicht alle Informationen haben, melden Sie trotzdem – und liefern Sie fehlende Details nach. Eine unvollständige, fristgerechte Meldung ist besser als eine vollständige, verspätete.

Schritt 4: Betroffene benachrichtigen (bei hohem Risiko)

Wenn ein hohes Risiko für die Betroffenen besteht, müssen Sie diese direkt informieren. Die Benachrichtigung muss enthalten:

• Beschreibung des Vorfalls in verständlicher Sprache
• Kontaktdaten des DSB für Rückfragen
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen Maßnahmen
• Empfehlungen für die Betroffenen (z. B. Passwort ändern, Konto überwachen)

Schritt 5: Nachbereitung und Lessons Learned

Nach der akuten Phase:

• Ursachenanalyse durchführen
• Maßnahmen zur Verhinderung ähnlicher Vorfälle umsetzen
• Dokumentation vervollständigen
• Ggf. Prozesse und Schulungen anpassen
• Nachbericht an den HmbBfDI, falls angefordert

Warum ein dokumentierter Prozess entscheidend ist

In der Hektik einer Datenpanne zählt jede Stunde. Wenn Sie erst im Ernstfall überlegen, wer zuständig ist, wo man den Vorfall meldet und was dokumentiert werden muss, verlieren Sie wertvolle Zeit – und riskieren eine Fristüberschreitung.

Ein vorbereiteter Datenpannen-Prozess definiert vorab:

• Wer nimmt Meldungen entgegen? (z. B. IT-Hotline, DSB)
• Wer bewertet das Risiko? (DSB, Geschäftsführung)
• Wer meldet an den HmbBfDI? (DSB oder Geschäftsführung)
• Wer benachrichtigt die Betroffenen? (Kommunikationsabteilung, DSB)
• Wo wird alles dokumentiert? (zentrale Plattform)

Wo melde ich eine Datenpanne in Hamburg?

Die zuständige Aufsichtsbehörde für Hamburger Unternehmen ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Seit 2015 leitet Thomas Fuchs die Behörde. Die Meldung der Datenschutzverletzung erfolgt über das Online-Meldeformular auf datenschutz-hamburg.de.

Welche Aufsichtsbehörde ist zuständig?

Die Zuständigkeit richtet sich nach dem Sitz des Unternehmens (Bundesland):

• Hamburg: HmbBfDI — datenschutz-hamburg.de
• Schleswig-Holstein: ULD — datenschutzzentrum.de
• Niedersachsen: LfD Niedersachsen — lfd.niedersachsen.de
• Bremen: LfDI Bremen — datenschutz.bremen.de

Bei grenzüberschreitenden Verarbeitungen mit Niederlassungen in mehreren EU-Ländern gilt das One-Stop-Shop-Prinzip: Die federführende Aufsichtsbehörde am Hauptsitz koordiniert das Verfahren mit den Datenschutz-Aufsichtsbehörden der anderen Mitgliedstaaten.

Meldefrist: Wann beginnen die 72 Stunden?

Die Meldefrist nach Art. 33 Abs. 1 DSGVO beginnt ab Kenntnis der Datenpanne — nicht ab Bestätigung. Entscheidend ist der Zeitpunkt, zu dem eine Person im Unternehmen von dem Datenschutzvorfall erfährt. Ein IT-Administrator, der einen unautorisierten Zugriff bemerkt, löst die Frist aus — auch wenn die Geschäftsführung noch nicht informiert ist.

Umgang mit Datenpannen: Prävention statt Reaktion

Der professionelle Umgang mit Datenschutzvorfällen beginnt vor dem Ernstfall. Richten Sie jetzt einen dokumentierten Incident-Response-Prozess ein, der Fristen, Zuständigkeiten und Kommunikationswege klar definiert. Als Ihr externer Datenschutzbeauftragter stellen wir sicher, dass Ihr Unternehmen auf eine Datenpanne vorbereitet ist.

So hilft Hugo DSB bei Datenpannen

Hugo DSB gibt Ihnen die Struktur und Unterstützung, die Sie im Ernstfall brauchen:

• Vorbereiteter Meldeprozess mit klaren Zuständigkeiten und Checklisten
• Risikobewertungsmatrix zur schnellen Einschätzung der Meldepflicht
• Vorlagen für die HmbBfDI-Meldung und die Betroffenenbenachrichtigung
• Dokumentationsplattform für lückenlose Nachweisführung
• Persönliche Unterstützung durch Nils – auch im Ernstfall schnell erreichbar
• Nachbereitung mit Ursachenanalyse und Maßnahmenplanung

Warten Sie nicht auf den Ernstfall. Buchen Sie ein kostenloses Erstgespräch und stellen Sie sicher, dass Ihr Unternehmen auf eine Datenpanne vorbereitet ist.

Wie schnell muss man eine Datenpanne melden?

Die Meldung einer Datenschutzverletzung muss innerhalb von 72 Stunden nach Bekanntwerden erfolgen (Art. 33 Abs. 1 DSGVO). Die Frist beginnt ab dem Moment der Kenntnis — nicht ab Bestätigung durch die IT oder Freigabe durch die Geschäftsführung.

Wenn Sie innerhalb der 72 Stunden noch nicht alle Informationen zusammengetragen haben, melden Sie trotzdem. Art. 33 Abs. 4 DSGVO erlaubt ausdrücklich eine schrittweise Meldung: Erst die Erstmeldung mit den verfügbaren Informationen, dann die Nachmeldung mit ergänzenden Details.

Für Unternehmen, die unter NIS2 fallen, gelten noch kürzere Fristen: 24 Stunden für die Erstmeldung an das BSI, 72 Stunden für die detaillierte Meldung.

Prüfen Sie jetzt, ob Ihre Website datenschutzkonform ist — mit dem kostenlosen Hugo Check. Denn eine unsichere Website ist eine häufige Ursache für Datenpannen.

Wo muss ich eine Datenpanne melden?

Eine Datenpanne muss gemäß Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde gemeldet werden — in Hamburg ist das der HmbBfDI. Der Verantwortliche meldet die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde. Die Meldung erfolgt über das Online-Formular auf datenschutz-hamburg.de. Bei grenzüberschreitenden Datenschutzverletzungen koordiniert die federführende Aufsichtsbehörde das Verfahren mit den anderen Mitgliedstaaten.

Wann ist eine Datenpanne meldepflichtig?

Nicht jede Datenschutzverletzung ist meldepflichtig. Die Meldepflicht besteht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Bei der Bewertung des Risikos berücksichtigen Sie die Art der Daten, die Anzahl betroffener Personen, die Schwere der möglichen Folgen und die Wahrscheinlichkeit eines Schadens. Nur wenn kein Risiko vorliegt — etwa weil die Daten verschlüsselt waren und der Schlüssel nicht kompromittiert wurde — entfällt die Meldepflicht. Im Zweifel gilt: Melden Sie die Datenpanne unverzüglich und möglichst binnen 72 Stunden.

Meldepflicht und Datenschutzkonferenz: Einheitliche Standards für Datenpannen

Die Datenschutzkonferenz (DSK) — das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder — hat einheitliche Empfehlungen zum Umgang mit Verletzungen des Schutzes personenbezogener Daten veröffentlicht. Diese Empfehlungen bilden die Grundlage für die Bewertung, ob eine Datenpanne meldepflichtig ist. Der Verantwortliche muss bei jeder Verletzung des Schutzes personenbezogener Daten prüfen, ob ein Risiko für die betroffenen Personen besteht.

Für datenverarbeitende Stellen in Hamburg gilt: Das Landesamt — in Hamburg vertreten durch den HmbBfDI — erwartet eine professionelle und fristgerechte Meldung. Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich dokumentiert und bewertet werden. Dabei ist es unerheblich, ob die Verletzung durch einen externen Angriff, menschliches Versagen oder einen technischen Defekt verursacht wurde. Jede datenverarbeitende Stelle muss über einen Prozess verfügen, der sicherstellt, dass Verletzungen des Schutzes personenbezogener Daten erkannt, bewertet und innerhalb der 72-Stunden-Frist gemeldet werden.

Umgang mit Datenpannen: Verantwortliche und Datenschutz-Aufsichtsbehörden

Der professionelle Umgang mit Datenpannen und Datenschutzvorfällen erfordert klare Prozesse. Der Verantwortliche — das ist nach der DSGVO die natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet — muss jede Verletzung des Schutzes personenbezogener Daten unverzüglich bewerten. Die Datenschutzaufsichtsbehörden des Bundes und der Länder — in Hamburg der HmbBfDI unter Leitung von Thomas Fuchs — erwarten eine professionelle Meldung der Datenschutzverletzung. Für datenverarbeitende Stellen gilt: Die Meldung einer Datenschutzverletzung muss innerhalb von 72 Stunden nach Bekanntwerden erfolgen, unabhängig davon, ob die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Der Umgang mit Datenschutzvorfällen unterscheidet sich je nach Bundesland — die zuständige Aufsichtsbehörde zu identifizieren und korrekt zu melden ist entscheidend. Die Datenschutzkonferenz (DSK) hat einheitliche Standards für die Bewertung und Meldung von Verletzungen des Schutzes personenbezogener Daten veröffentlicht, an denen sich alle Datenschutz-Aufsichtsbehörden orientieren.

Wo melde ich Verstöße gegen Datenschutz?

Wenn Sie als betroffene Person einen Verstoß gegen den Datenschutz festgestellt haben, können Sie sich direkt an die zuständige Aufsichtsbehörde wenden. In Hamburg ist der HmbBfDI Ansprechpartner für Beschwerden. Jede betroffene Person hat gemäß Art. 77 DSGVO das Recht, eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde prüft den Fall und kann gegenüber dem Verantwortlichen Maßnahmen anordnen.