Datenleak im Unternehmen: Meldepflichten und Haftung nach DSGVO und NIS2
Ein Datenleck löst innerhalb weniger Stunden ein engmaschiges Netz aus Meldepflichten gegenüber Aufsichtsbehörden, Betroffenen und sektorspezifischen Stellen aus. Dieser Beitrag analysiert die Pflichten aus Art. 33 und 34 DSGVO, die NIS2-Meldekaskade gegenüber dem BSI sowie die Haftungsrisiken nach Art. 82 DSGVO und § 43 GmbHG analog. Verantwortliche erhalten eine strukturierte Handlungsanleitung für die ersten 24 Stunden.
Ein Datenleck löst innerhalb weniger Stunden ein engmaschiges Netz aus Meldepflichten gegenüber Aufsichtsbehörden, Betroffenen und sektorspezifischen Stellen aus. Dieser Beitrag analysiert die Pflichten aus Art. 33 und 34 DSGVO, die NIS2-Meldekaskade gegenüber dem BSI sowie die Haftungsrisiken nach Art. 82 DSGVO und § 43 GmbHG analog. Verantwortliche erhalten eine strukturierte Handlungsanleitung für die ersten 24 Stunden.
Begriff der Verletzung des Schutzes personenbezogener Daten
Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Tatbestand ist denkbar weit gefasst und erfasst nicht nur klassische Hacker-Angriffe, sondern auch Fehlversände, verlorene Dienstgeräte, fehlerhafte Berechtigungsvergaben oder Ransomware-Vorfälle.
Die Artikel-29-Datenschutzgruppe, deren Leitlinien WP 250 durch den Europäischen Datenschutzausschuss bestätigt wurden, unterscheidet drei Kategorien: die Verletzung der Vertraulichkeit (unbefugte Kenntnisnahme), die Verletzung der Integrität (unbefugte Änderung) sowie die Verletzung der Verfügbarkeit (Verlust oder Vernichtung). Diese Differenzierung ist für die Risikobewertung entscheidend, da unterschiedliche Verletzungsformen unterschiedliche Folgen für Betroffene haben können.
Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO
Nach Art. 33 Abs. 1 DSGVO meldet der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung nicht binnen 72 Stunden, ist eine Begründung für die Verzögerung beizufügen.
Der Begriff der Kenntnis ist von der Aufsichtspraxis konkretisiert worden. Maßgeblich ist nicht der erste Verdacht, sondern der Zeitpunkt, in dem der Verantwortliche mit hinreichender Sicherheit von einer Verletzung ausgeht. Eine kurze interne Verifikationsphase ist zulässig und entspricht der Erwartung der Datenschutzkonferenz, die in ihrer Kurzpapier-Reihe (Nr. 18) ausdrücklich auf eine angemessene Triage-Zeit hinweist. Die 72-Stunden-Frist beginnt zu laufen, sobald die Verifikation abgeschlossen ist. Eine bewusste Verzögerung der Verifikation zur Fristumgehung ist nach Art. 5 Abs. 2 DSGVO unzulässig und kann selbständig sanktioniert werden.
Die Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens die Art der Verletzung, die Kategorien und ungefähre Zahl der betroffenen Personen, die Kategorien und ungefähre Zahl der betroffenen Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Bei nicht abschließender Erkenntnislage erlaubt Art. 33 Abs. 4 DSGVO eine schrittweise Übermittlung. Die zuständige Aufsichtsbehörde stellt regelmäßig ein Online-Formular bereit, etwa der LfDI Baden-Württemberg unter https://www.baden-wuerttemberg.datenschutz.de oder der BlnBDI in Berlin unter https://www.datenschutz-berlin.de.
Benachrichtigung der Betroffenen nach Art. 34 DSGVO
Art. 34 Abs. 1 DSGVO verpflichtet den Verantwortlichen darüber hinaus zur unverzüglichen Benachrichtigung der betroffenen Personen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Die Schwelle des hohen Risikos liegt oberhalb der einfachen Risikoschwelle des Art. 33 DSGVO und erfordert eine eigenständige, dokumentierte Bewertung. Indikatoren sind unter anderem die Sensibilität der betroffenen Daten (Gesundheitsdaten, Finanzdaten, Identitätsdaten), die Möglichkeit der Identifizierung, die Schwere der Konsequenzen sowie die Anzahl der Betroffenen.
Die Benachrichtigung muss nach Art. 34 Abs. 2 DSGVO in klarer und einfacher Sprache die Art der Verletzung beschreiben sowie mindestens die nach Art. 33 Abs. 3 lit. b bis d DSGVO genannten Informationen enthalten. Eine Benachrichtigung kann unterbleiben, wenn der Verantwortliche geeignete Schutzmaßnahmen wie eine starke Verschlüsselung implementiert hatte, die die Daten für Unbefugte unzugänglich machen, oder wenn die Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre, dann jedoch durch eine öffentliche Bekanntmachung zu ersetzen ist.
NIS2-Meldekaskade an das BSI
Mit Inkrafttreten des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes greift für wichtige und wesentliche Einrichtungen ein eigenständiges, gestuftes Meldesystem an das Bundesamt für Sicherheit in der Informationstechnik. Die Meldekaskade ist in Art. 23 NIS2-RL angelegt und im deutschen Recht durch entsprechende Vorschriften umgesetzt. Sie verläuft in drei Stufen: eine Frühwarnung binnen 24 Stunden, eine Sicherheitsvorfallmeldung binnen 72 Stunden sowie ein Abschlussbericht binnen eines Monats nach der ersten Meldung.
Die 24-Stunden-Frühwarnung soll dem BSI die Einleitung von Schutzmaßnahmen für andere betroffene Einrichtungen ermöglichen. Inhaltlich genügt eine kurze Mitteilung, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben kann. Die 72-Stunden-Meldung enthält eine erste Bewertung des Vorfalls einschließlich Schwere, Auswirkungen und gegebenenfalls Indikatoren für eine Kompromittierung. Der Abschlussbericht innerhalb eines Monats umfasst die detaillierte Beschreibung des Vorfalls, die wahrscheinliche Ursache, die ergriffenen Abhilfemaßnahmen sowie eine Bewertung der Wirksamkeit.
KRITIS-Spezifika und § 8b BSIG
Für Betreiber Kritischer Infrastrukturen im Sinne des § 2 Abs. 10 BSIG bestand bereits vor NIS2 nach § 8b Abs. 4 BSIG eine eigenständige Meldepflicht für erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme. Diese Pflicht wird durch das NIS2-Umsetzungsgesetz erweitert und in eine einheitliche Meldekaskade überführt. Die Schwelle der Erheblichkeit ist anhand der KRITIS-Verordnung sektorspezifisch definiert, etwa in den Sektoren Energie, Gesundheit, Wasser oder Transport.
KRITIS-Betreiber müssen darüber hinaus nach § 8a BSIG den Stand der Technik bei der Sicherung ihrer Systeme einhalten und alle zwei Jahre einen Nachweis über die Erfüllung gegenüber dem BSI erbringen. Bei einem Datenleck überlagern sich damit drei Meldepflichten: gegenüber der Datenschutzaufsicht nach Art. 33 DSGVO, gegenüber dem BSI nach NIS2 sowie sektorspezifisch nach BSIG. Verantwortliche müssen sicherstellen, dass die Meldungen inhaltlich konsistent sind, da Aufsichtsbehörden untereinander Informationen austauschen können.
Schadenersatz nach Art. 82 DSGVO und die Beweislastumkehr
Art. 82 Abs. 1 DSGVO begründet einen unmittelbaren Anspruch jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, gegen den Verantwortlichen oder den Auftragsverarbeiter auf Schadenersatz. Die Norm ist anspruchsbegründend und schließt die nationalen Vorschriften nicht aus, sondern überlagert sie. Die Beweislast für die Erfüllung der DSGVO-Pflichten trägt nach Art. 5 Abs. 2 DSGVO und Art. 82 Abs. 3 DSGVO der Verantwortliche, was eine faktische Beweislastumkehr bewirkt.
Der EuGH hat in seinem Urteil vom 04.05.2023 (C-300/21, Österreichische Post) klargestellt, dass für den Anspruch nach Art. 82 DSGVO ein Verstoß, ein Schaden und ein Kausalzusammenhang erforderlich sind, jedoch keine Erheblichkeitsschwelle existiert. Auch bagatellhafte immaterielle Schäden sind ersatzfähig. Im Urteil vom 14.12.2023 (C-340/21, Natsionalna agentsia za prihodite) hat der EuGH ergänzend entschieden, dass auch die bloße Befürchtung eines möglichen Datenmissbrauchs einen ersatzfähigen immateriellen Schaden begründen kann. Der BGH hat diese Rechtsprechung in mehreren Entscheidungen rezipiert, etwa BGH, Urteil vom 18.11.2024 (VI ZR 10/24).
Die Höhe des Schadenersatzes liegt in der Praxis bei einfachen Fällen häufig zwischen 100 und 1.000 Euro pro betroffener Person, kann jedoch bei besonders sensiblen Daten oder schwerwiegenden Folgen erheblich höher liegen. Bei Massendatenlecks mit hunderttausenden Betroffenen entstehen Sammelklagerisiken, die sich in den Verbandsklagen nach dem Verbraucherrechtedurchsetzungsgesetz nach RL (EU) 2020/1828 manifestieren.
Pflichtinhalte der Meldungen
Die folgende Tabelle systematisiert die maßgeblichen Meldepflichten und ihre rechtlichen Grundlagen.
| Frist | Adressat | Inhalt | Gesetz |
|---|---|---|---|
| 24 Stunden | BSI | Frühwarnung mit Bewertung böswilliger Ursache und grenzüberschreitender Auswirkungen | NIS2 Art. 23 Abs. 4 lit. a |
| 72 Stunden | Aufsichtsbehörde Datenschutz | Art und Umfang der Verletzung, Kategorien Betroffener, Maßnahmen | Art. 33 Abs. 1 DSGVO |
| 72 Stunden | BSI | Sicherheitsvorfallmeldung mit erster Bewertung | NIS2 Art. 23 Abs. 4 lit. b |
| Unverzüglich | Betroffene Personen | Klare Beschreibung bei hohem Risiko | Art. 34 DSGVO |
| 1 Monat | BSI | Abschlussbericht mit Ursache und Abhilfemaßnahmen | NIS2 Art. 23 Abs. 4 lit. c |
| Sektorspezifisch | Sektorbehörde (BNetzA, BaFin) | Sektorspezifische Meldung bei KRITIS | § 8b BSIG, sektorspezifisch |
| Intern dauerhaft | Verantwortlicher selbst | Dokumentation aller Verletzungen | Art. 33 Abs. 5 DSGVO |
Handlungsschema für die ersten 24 Stunden
Die ersten 24 Stunden nach Verdacht eines Datenlecks sind organisatorisch und rechtlich entscheidend. Verantwortliche sollten ein vorab definiertes Incident-Response-Verfahren aktivieren, das die folgenden Schritte umfasst. In der ersten Stunde erfolgt die Aufnahme des Vorfalls in das interne Ticket-System und die Aktivierung des Krisenstabs. Beteiligte sind regelmäßig die IT-Sicherheit, der Datenschutzbeauftragte, die Geschäftsführung sowie die Rechtsabteilung. Eine technische Erstanalyse zur Eingrenzung des betroffenen Systems und zur Sicherung von Logs ist parallel einzuleiten.
In der zweiten bis sechsten Stunde steht die forensische Beweissicherung im Vordergrund. Speicherabbilder betroffener Systeme sind nach BSI-Standard 100-4 zu erstellen, Logdateien zu sichern und unveränderbar zu archivieren. Eine vorzeitige Bereinigung der Systeme würde Beweismittel vernichten, die in einem späteren Bußgeld- oder Zivilverfahren erforderlich sind. Parallel ist eine erste rechtliche Bewertung durchzuführen: Liegt eine Verletzung im Sinne von Art. 4 Nr. 12 DSGVO vor? Welches Risiko folgt für Betroffene?
In der sechsten bis vierundzwanzigsten Stunde wird die Meldekaskade vorbereitet. Bei NIS2-pflichtigen Einrichtungen ist die 24-Stunden-Frühwarnung an das BSI zwingend zu übermitteln. Bei nur DSGVO-pflichtigen Verantwortlichen verbleibt mehr Zeit für die Meldungsvorbereitung, jedoch sollte das Meldeformular der Aufsichtsbehörde bereits ausgefüllt werden. Parallel sind betroffene Personen und Geschäftspartner zu identifizieren und die Krisenkommunikation gegenüber Medien vorzubereiten.
Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO
Unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erforderlich war, verpflichtet Art. 33 Abs. 5 DSGVO den Verantwortlichen zur Dokumentation aller Verletzungen des Schutzes personenbezogener Daten. Die Dokumentation muss die Fakten der Verletzung, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen und dient der Aufsichtsbehörde zur Überprüfung der Einhaltung der DSGVO. Auch nicht meldepflichtige Vorfälle sind zu protokollieren, da die Aufsichtsbehörde die Bewertung des Verantwortlichen nachvollziehen können muss.
Die Aufsichtsbehörden, insbesondere die DSK und der EDSA, empfehlen die Pflege eines internen Datenpannenregisters mit standardisierten Eingabefeldern. Bei einem späteren Audit oder einer aufsichtsbehördlichen Prüfung dient das Register als Nachweis der Compliance. Eine fehlende oder lückenhafte Dokumentation kann selbständig nach Art. 83 Abs. 4 lit. a DSGVO sanktioniert werden, da sie eine Verletzung von Art. 33 Abs. 5 DSGVO darstellt.
Sanktionsrahmen und konkrete Bußgeldverfahren
Verstöße gegen die Meldepflichten nach Art. 33 und 34 DSGVO sind nach Art. 83 Abs. 4 lit. a DSGVO mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes sanktionierbar. Die niederländische Aufsichtsbehörde hat 2021 gegen Booking.com ein Bußgeld in Höhe von 475.000 Euro verhängt, weil die Meldung erst 22 Tage nach Kenntnis der Verletzung erfolgte. Die irische Datenschutzkommission DPC hat in mehreren Verfahren gegen Plattformbetreiber Bußgeldverfahren wegen verspäteter oder unvollständiger Meldungen geführt.
In Deutschland hat die LfDI Baden-Württemberg in ihrem Tätigkeitsbericht 2023 mehrere Bußgeldverfahren wegen Verstößen gegen Art. 33 DSGVO dokumentiert. Die Berliner Beauftragte hat 2019 gegen die Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt, das zwar primär auf Art. 25 DSGVO gestützt war, in der Begründung jedoch auch die Meldekultur des Unternehmens kritisierte. Verantwortliche sollten daher nicht ausschließlich die Meldefristen, sondern auch die Qualität und Vollständigkeit der Meldungen sicherstellen.
Die Pflichten in der Praxis
Die Vorbereitung auf einen Datenleck-Vorfall ist eine kontinuierliche Aufgabe. Verantwortliche sollten ein schriftliches Incident-Response-Konzept führen, das die Verantwortlichkeiten, Eskalationswege, Meldepflichten und Kommunikationsprozesse dokumentiert. Das Konzept ist regelmäßig durch Tabletop-Übungen zu testen, in denen typische Szenarien wie Ransomware-Angriff, fehlerhafte Berechtigungsvergabe oder Phishing-Vorfall durchgespielt werden. Die Übungen schulen nicht nur die IT-Sicherheit, sondern auch die Geschäftsführung und die Rechtsabteilung.
Die zuständige Aufsichtsbehörde ist vorab zu identifizieren. Bei multinationalen Unternehmen mit Hauptniederlassung in einem anderen EU-Mitgliedstaat greift das One-Stop-Shop-Verfahren nach Art. 56 DSGVO. Die federführende Aufsichtsbehörde ist diejenige der Hauptniederlassung. Bei rein deutschen Verantwortlichen ist die Landesdatenschutzbehörde des Sitzes zuständig, etwa die LfDI Baden-Württemberg für Verantwortliche mit Sitz in Stuttgart oder der Hamburgische Beauftragte für Hamburg. Eine vorab gepflegte Liste der Kontaktdaten beschleunigt die Meldung im Ernstfall.
Schließlich ist die Schnittstelle zur Cyber-Versicherung zu klären. Viele Versicherungen verlangen eine sofortige Meldung des Vorfalls an den Versicherer und eine Einbeziehung der vom Versicherer benannten Forensik- und Rechtsdienstleister. Eine Meldung an die Aufsichtsbehörde ohne vorherige Abstimmung mit dem Versicherer kann den Versicherungsschutz gefährden, wenn die Vertragsbedingungen eine vorrangige Versichererinformation vorsehen. Verantwortliche sollten daher die Versicherungsbedingungen mit dem Incident-Response-Plan abgleichen und Konflikte vorab durch Vertragsanpassung lösen. Die Investition in eine durchdachte Meldekette zahlt sich im Ernstfall durch geringere Bußgelder, weniger Schadenersatzansprüche und einen deutlich besseren Schutz der Reputation aus.
Häufige Fragen
Wann beginnt die 72-Stunden-Frist nach Art. 33 DSGVO genau?
Die Frist beginnt mit der Kenntnis des Verantwortlichen von der Verletzung. Maßgeblich ist nach den Leitlinien des Europäischen Datenschutzausschusses (WP 250) der Zeitpunkt, in dem der Verantwortliche mit hinreichender Sicherheit von einer Verletzung ausgeht, nicht der erste Verdacht. Eine angemessene Verifikationsphase von wenigen Stunden ist zulässig, wenn sie nicht missbräuchlich zur Fristverlängerung eingesetzt wird. Erfolgt die Meldung später als 72 Stunden, ist nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen. Die Datenschutzkonferenz hat in Kurzpapier Nr. 18 klargestellt, dass auch Wochenenden und Feiertage in die Frist einberechnet werden.
Müssen Betroffene immer informiert werden?
Nein. Die Pflicht zur Benachrichtigung der Betroffenen nach Art. 34 Abs. 1 DSGVO entsteht nur bei einem voraussichtlich hohen Risiko für deren Rechte und Freiheiten. Die Schwelle ist höher als die einfache Risikoschwelle des Art. 33 DSGVO. Indikatoren sind die Sensibilität der betroffenen Daten, die Identifizierbarkeit, die Schwere möglicher Folgen sowie die Anzahl der Betroffenen. Art. 34 Abs. 3 DSGVO enthält drei Ausnahmen: starke Verschlüsselung der betroffenen Daten, nachträglich ergriffene wirksame Schutzmaßnahmen oder unverhältnismäßiger Aufwand, der durch eine öffentliche Bekanntmachung zu ersetzen ist. Die Aufsichtsbehörde kann nach Art. 34 Abs. 4 DSGVO die Benachrichtigung anordnen.
Wie hoch ist der Schadenersatz nach Art. 82 DSGVO typischerweise?
Es existiert keine pauschale Bemessung. Der EuGH hat im Urteil vom 04.05.2023 (C-300/21, Österreichische Post) klargestellt, dass keine Erheblichkeitsschwelle besteht und auch bagatellhafte immaterielle Schäden ersatzfähig sind. In der deutschen Rechtsprechung haben sich für einfache Fälle Schadenersatzbeträge zwischen 100 und 1.000 Euro pro Person etabliert, etwa LAG Hamm, Urteil vom 14.05.2024 (17 SLa 1116/23). Bei Gesundheitsdaten oder besonders schweren Folgen sind deutlich höhere Beträge zulässig. Bei Massendatenlecks summieren sich die individuellen Ansprüche zu siebenstelligen Gesamtsummen. Verbandsklagen nach dem Verbraucherrechtedurchsetzungsgesetz erhöhen das Risiko zusätzlich.
Was bedeutet die Beweislastumkehr für den Verantwortlichen?
Die Beweislastumkehr folgt aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) und Art. 82 Abs. 3 DSGVO. Im Schadenersatzprozess muss der Verantwortliche beweisen, dass er für den Verstoß in keinerlei Hinsicht verantwortlich ist. Praktisch bedeutet das, dass eine bloße Behauptung des Verantwortlichen nicht ausreicht. Erforderlich ist eine vollständige Dokumentation der Sicherheitsmaßnahmen, der Risikoanalyse, der Mitarbeiterschulung und der Umsetzung des Stands der Technik. Fehlt diese Dokumentation, gilt der Vortrag des Geschädigten faktisch als unbestritten. Der EuGH hat im Urteil vom 14.12.2023 (C-340/21) ergänzend klargestellt, dass auch die alleinige Tatsache eines Hackerangriffs den Verantwortlichen nicht entlastet, sondern dieser den Nachweis geeigneter Schutzmaßnahmen führen muss.
Welche Strafen drohen bei verspäteter Meldung an das BSI nach NIS2?
Verstöße gegen die NIS2-Meldekaskade sind nach § 60 NIS2UmsuCG mit erheblichen Bußgeldern bewehrt. Wesentliche Einrichtungen müssen mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes rechnen. Wichtige Einrichtungen tragen ein Risiko von bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Zusätzlich kann die Aufsichtsbehörde nach Art. 32 NIS2-RL Zwangsgelder verhängen, Audits anordnen oder die Geschäftstätigkeit beschränken. Nach § 64 NIS2UmsuCG ist sogar ein temporäres Tätigkeitsverbot für Leitungsorgane möglich, wenn diese ihren Cybersicherheitspflichten beharrlich nicht nachkommen. Verspätete oder unterlassene Meldungen werden in der Aufsichtspraxis regelmäßig als erschwerender Umstand gewertet.
Verwendete Quellen
- https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679
- https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
- https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/BSI-Gesetz/bsi-gesetz_node.html
Stand: 2026-05-04. Korrektur-Hinweise an info@akara-solutions.de oder über die Methodik-Seite.