# Meldepflicht bei einer Datenpanne

**Wann muss ich eine Datenpanne melden?**

Die Meldepflicht bei einer Datenpanne verlangt, eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Bekanntwerden an die Datenschutzbehörde zu melden (Artikel 33 DSGVO). Bei voraussichtlich hohem Risiko sind auch die betroffenen Personen zu verständigen (Artikel 34).

Eine Datenpanne ist im Gesetz die Verletzung des Schutzes personenbezogener Daten. Darunter fallen die Vernichtung, der Verlust und die Veränderung solcher Daten sowie die unbefugte Offenlegung von oder der unbefugte Zugang zu ihnen. Im Alltag sind das der verlorene Firmenlaptop, der Rundmail-Verteiler mit sichtbaren Adressen aller Empfänger, das übernommene E-Mail-Postfach, ein Angriff mit Ransomware, also mit Schadsoftware, die Kundendaten verschlüsselt, oder die Rechnung an den falschen Empfänger.

Die Frist von 72 Stunden läuft ab dem Zeitpunkt, zu dem der Betrieb von der Verletzung Kenntnis erlangt. Sie läuft auch über Wochenenden und Feiertage. Eine spätere Meldung ist möglich, die Verzögerung muss dann begründet werden. Liegen noch nicht alle Fakten vor, darf die Meldung in Etappen erfolgen. Die Datenschutzbehörde stellt für die Meldung Formulare bereit.

Eine Meldung entfällt, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Diese Einschätzung ist zu dokumentieren. Artikel 33 Absatz 5 verlangt, dass der Betrieb jede Verletzung intern festhält, mit den Fakten, den Auswirkungen und den ergriffenen Abhilfemaßnahmen. Ist ein hohes Risiko wahrscheinlich, etwa weil Gesundheits- oder Zahlungsdaten abgeflossen sind, sind die Betroffenen unverzüglich zu verständigen.

Arbeitet ein Dienstleister als Auftragsverarbeiter, verarbeitet er also Daten im Auftrag des Betriebs, meldet er eine Verletzung unverzüglich an das beauftragende Unternehmen. Die Meldung an die Behörde bleibt Sache dieses Unternehmens. In jeden Vertrag mit einem IT-Dienstleister gehört daher eine klare Regelung, wie rasch und an welche Stelle er einen Vorfall meldet.

Ob die 72 Stunden reichen, entscheidet sich vor dem Ereignis. Zwei Fragen sind zentral. Wer im Betrieb entscheidet über die Meldung, und lässt sich technisch feststellen, welche Daten betroffen sind. Ohne Protokolldaten aus Servern, Firewall und E-Mail-System bleibt der Umfang eines Vorfalls unklar, und die Meldung wird zur Schätzung. Der IT-Check prüft unter anderem, ob Protokollierung und Sicherungen so eingerichtet sind, dass sich ein Vorfall im Nachhinein nachvollziehen lässt. Für Einrichtungen im Anwendungsbereich von NIS2 gelten eigene Meldefristen zusätzlich zur DSGVO.

## Verwandte Begriffe
- [DSGVO](https://vetosec.at/it-sicherheit/dsgvo/)
- [Datenleck](https://vetosec.at/it-sicherheit/datenleck/)
- [Notfallplan](https://vetosec.at/it-sicherheit/notfallplan/)
- [Monitoring und Protokollierung](https://vetosec.at/it-sicherheit/monitoring-logging/)

## Quelle
https://vetosec.at/it-sicherheit/meldepflicht-datenpanne/ (vetosec, recht)
