Datenpanne im Betreuungsbüro: Dein 72-Stunden-Fahrplan nach Artikel 33/34 DSGVO

USB-Stick im Taxi, Ransomware am nächsten Tag

Stell dir vor: Nach einem Hausbesuch lässt du einen USB-Stick mit Klient:innenlisten im Taxi liegen – unverschlüsselt. Am nächsten Tag trifft dein Büro eine Ransomware-Attacke, Akten sind vorübergehend nicht lesbar, zum Glück hast du Backups. Genau in solchen Momenten läuft die Uhr: Artikel 33 der Datenschutz-Grundverordnung (DSGVO) gibt dir maximal 72 Stunden Zeit, um eine mögliche Meldung an die Aufsichtsbehörde abzusetzen, Artikel 34 regelt zusätzlich die Benachrichtigung der betroffenen Personen.

Gerade kleine Betreuungsbüros haben selten eine eigene Datenschutzabteilung. Gleichzeitig arbeiten sie täglich mit höchst sensiblen Daten: Gesundheitsinformationen, Vermögensverhältnisse, Sozialdaten, familiäre Konflikte. Eine „Datenpanne“ bedeutet nach Artikel 4 Nummer 12 DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Dazu gehören also nicht nur Hackerangriffe, sondern auch Fehlversand, Verlust von Unterlagen oder vorübergehende Nichtverfügbarkeit wichtiger Daten.

Die gute Nachricht: Mit einem klaren 72-Stunden-Fahrplan und einem einfachen Pannenjournal kannst du auch als Ein-Personen-Büro souverän reagieren. Dieser Leitfaden basiert auf den Leitlinien 9/2022 des Europäischen Datenschutzausschusses (European Data Protection Board, EDPB) und den Beispielen aus den Leitlinien 01/2021 sowie auf Hinweisen deutscher Aufsichtsbehörden, unter anderem der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen), des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) und der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

In diesem Artikel liest du

Bevor wir in die einzelnen Schritte einsteigen, lohnt sich ein kurzer Überblick über das, was dich erwartet. So kannst du schnell prüfen, welche Teile du für deinen aktuellen Fall direkt brauchst und was du dir für später merken möchtest.

• Was du in den ersten Stunden nach einer Datenpanne unbedingt tun solltest – noch bevor du an Formulare denkst.
• Wie du das Risiko für die Rechte der betroffenen Personen systematisch einschätzt, statt „aus dem Bauch“ zu entscheiden.
• Wann eine Meldung an die Aufsichtsbehörde erforderlich ist und welche Inhalte dort nicht fehlen dürfen.
• Wann zusätzlich eine Benachrichtigung der betroffenen Personen nötig ist – und wann gerade nicht.
• Wie du ein schlankes Pannenjournal führst, das sowohl der DSGVO genügt als auch deiner eigenen Qualitätssicherung dient.

Wenn du diese Punkte beherrschst, kannst du Datenpannen strukturiert bearbeiten, ohne in Panik zu geraten – und du reduzierst das Risiko von Bußgeldern und Haftungsansprüchen deutlich.

Schritt 1: Erkennen und Eindämmen (0–4 Stunden)

Am Anfang jeder Datenpanne steht die einfache Frage: „Ist das noch ein normaler Fehler – oder ist das schon eine Verletzung des Schutzes personenbezogener Daten?“ Je früher du diese Frage stellst, desto besser kannst du reagieren. Oft kommen Hinweise eher beiläufig: eine verblüffte Rückfrage einer betreuten Person, eine Fehlermeldung beim Zugriff auf Daten oder eine E-Mail, die „komisch“ aussieht.

Für diesen ersten Schritt brauchst du noch keine perfekte juristische Einordnung. Wichtig ist, dass du das Ereignis überhaupt als potenzielle Datenpanne erkennst und die Uhr innerlich startest. Ab diesem Moment laufen die 72 Stunden aus Artikel 33 DSGVO.

• Notiere Zeitpunkt und Art des Vorfalls: Was ist genau passiert, wer hat es bemerkt, wann wurde es bemerkt?
• Eindämmen: Sperre Zugänge, ändere Passwörter, trenne betroffene Geräte vom Netz, sichere erste Log-Dateien oder Screenshots.
• Betroffene Daten grob einordnen: Um welche Personengruppen geht es (eine Person, mehrere, viele)? Welche Datenbereiche sind betroffen (Gesundheit, Finanzen, Sozialdaten, Ausweisdaten etc.)?
• Team informieren: Falls du Mitarbeitende oder eine Verwaltungskraft hast, stelle sicher, dass alle auf demselben Stand sind und keine weiteren Kopien oder Fehlsendungen entstehen.

Dieser erste Schritt schafft die Grundlage für alles Weitere. Du stellst sicher, dass der Schaden nicht größer wird, und sammelst die Mindestinformationen, die du für die weitere Risikoprüfung und eine mögliche Meldung brauchst.

Schritt 2: Risiko prüfen (4–24 Stunden)

Im zweiten Schritt geht es darum, das Risiko für die Rechte und Freiheiten der betroffenen Personen zu bewerten. Der Europäische Datenschutzausschuss empfiehlt, nicht nur auf die Art des Vorfalls zu schauen, sondern auf die Kombination aus Datenarten, Umfang, Identifizierbarkeit und bestehenden Schutzmaßnahmen.

• Datenarten: Handelt es sich um „sensible“ Inhalte wie Gesundheitsdaten, psychische Erkrankungen, Vermögensverhältnisse oder Details zu familiären Konflikten?
• Umfang: Betrifft der Vorfall eine Person, eine kleine Gruppe oder eine große Zahl an Betroffenen?
• Identifizierbarkeit: Kann aus den Daten direkt oder durch Verknüpfung auf konkrete Personen geschlossen werden?
• Schutzmaßnahmen: Waren die Daten verschlüsselt, pseudonymisiert oder durch starke Zugangskontrollen abgesichert?
• Wahrscheinliche Folgen: Sind Diskriminierung, finanzieller Schaden, Stigmatisierung oder andere schwerwiegende Nachteile realistisch zu erwarten?

Viele Aufsichtsbehörden – etwa die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) – konkretisieren die Meldeschwelle als „mehr als geringes Risiko“. Das bedeutet: Wenn du begründet annehmen kannst, dass die betroffene Person durch den Vorfall tatsächlich Nachteile erleiden könnte, spricht vieles für eine Meldung.

Schritt 3: Meldeentscheidung (spätestens bis 72 Stunden)

Auf Basis der Risikoprüfung triffst du die eigentliche Meldeentscheidung. Eine Meldepflicht nach Artikel 33 DSGVO besteht, wenn der Vorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei völlig geringem Risiko kannst du auf eine Meldung verzichten – musst die Entscheidung aber dokumentieren.

• Meldepflicht bejahst du, wenn sensible Daten betroffen sind, der Kreis der Betroffenen größer ist oder ein Missbrauch der Daten naheliegt (z. B. Fehlversand mit Gesundheitsdaten an falsche Empfänger:innen, unverschlüsselter USB-Stick mit Klient:innenlisten).
• Bei technisch gut abgesicherten Szenarien (z. B. Verlust eines vollverschlüsselten Laptops mit starkem Login, ohne Zugriffsmöglichkeit für Dritte) kann das Risiko so gering sein, dass keine Meldung erforderlich ist – auch das musst du begründet festhalten.
• Wenn du unsicher bist, tendiere eher zur Meldung und lege deine Risikoabwägung offen dar. Die Aufsichtsbehörden betonen, dass Transparenz und Dokumentation wichtiger sind als „Gar-nicht-Melden“ aus Angst.

Unabhängig davon gilt: Jede Panne musst du dokumentieren – auch dann, wenn du dich gegen eine Meldung entscheidest. Artikel 33 Absatz 5 DSGVO verpflichtet dich, den Vorfall, seine Folgen und deine Maßnahmen so zu dokumentieren, dass die Aufsicht die Einhaltung der Regeln überprüfen kann.

Schritt 4: Betroffene informieren (wenn hohes Risiko vorliegt)

Neben der Meldung an die Aufsichtsbehörde kann eine zweite Entscheidung anstehen: Müssen die betroffenen Personen selbst benachrichtigt werden? Artikel 34 DSGVO verlangt eine Benachrichtigung, wenn ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

• Benachrichtige Betroffene, wenn der Vorfall dazu führen kann, dass Dritte intime Details erfahren (z. B. Gesundheitsdaten, Schulden, strafrechtliche Vorwürfe) oder wenn Identitätsdiebstahl, Betrug oder andere gravierende Folgen drohen.
• Die Information muss in klarer, einfacher Sprache erfolgen und erklären, was passiert ist, welche Folgen drohen und welche Maßnahmen du bereits ergriffen hast.
• Artikel 34 nennt außerdem Ausnahmen: Wenn die Daten durch geeignete technische Maßnahmen – typischerweise starke Verschlüsselung – unverständlich sind, kann eine Benachrichtigung entfallen.

Auch hier ist Transparenz zentral: Viele Betroffene reagieren deutlich entspannter, wenn du offen kommunizierst, was passiert ist, was du unternommen hast und wie sie selbst mit der Situation umgehen können. Eine gute Benachrichtigung kann Vertrauen erhalten, obwohl ein Fehler passiert ist.

Schritt 5: Dokumentieren und Lernen – dein Pannenjournal

Nach der akuten Phase ist die Arbeit noch nicht vorbei. Jede Datenpanne ist auch eine Chance, Abläufe im Betreuungsbüro zu verbessern. Gleichzeitig verlangt Artikel 33 Absatz 5 DSGVO eine belastbare Dokumentation.

• Lege ein Pannenjournal an, in dem du alle Vorfälle einträgst – auch solche ohne Meldepflicht.
• Nutze feste Felder: Zeitpunkt der Kenntnis, Beschreibung des Vorfalls, betroffene Daten und Personengruppen, Risikobewertung, Meldeentscheidung (ja/nein, warum), Maßnahmen und Lessons Learned.
• Bewahre Nachweise auf (z. B. Screenshots, E-Mails, Meldungsbestätigungen der Aufsicht), damit du im Zweifel zeigen kannst, wie du entschieden und gehandelt hast.

Ein gut geführtes Pannenjournal hilft dir nicht nur im Kontakt mit Aufsichtsbehörden, sondern auch intern: Du erkennst Muster (z. B. wiederkehrende Fehlversände an falsche Adressen) und kannst Schulungen oder technische Maßnahmen gezielt anpassen.

Entscheidungsmatrix: melden, nicht melden, benachrichtigen?

Um die abstrakten Regeln greifbarer zu machen, lohnt sich ein Blick auf typische Szenarien. Die folgenden Beispiele orientieren sich an den Praxisfällen aus den Leitlinien des Europäischen Datenschutzausschusses und lassen sich gut auf den Betreuungsalltag übertragen.

• Verlust eines vollverschlüsselten Notebooks mit starkem Login, der Schlüssel ist nicht kompromittiert: Das Risiko für die Betroffenen ist in der Regel sehr gering. Oft ist weder eine Meldung noch eine Benachrichtigung notwendig, sofern keine Hinweise auf einen tatsächlichen Zugriff durch Dritte vorliegen.
• Fehlversand einer E-Mail mit Gesundheitsdaten an eine falsche Empfängerin oder einen falschen Empfänger, Rückruf nicht möglich: Hier besteht typischerweise ein hohes Risiko. Eine Meldung an die Aufsicht und eine Benachrichtigung der betroffenen Person sind in der Regel erforderlich.
• Ransomware-Angriff, schnelle Wiederherstellung aus einem funktionierenden Backup, keine Anzeichen für Datenabfluss: Es liegt ein Risiko im Bereich der Verfügbarkeit vor. Häufig ist eine Meldung an die Aufsicht sinnvoll, eine Benachrichtigung der Betroffenen ist dagegen nicht immer notwendig, wenn keine weiteren Nachteile zu erwarten sind.
• Papierakte mit eher allgemeinen Inhalten wird kurzfristig von einer unbefugten Person eingesehen, ohne dass sensible Details betroffen sind: Je nach Kontext kann eine Meldung angezeigt sein, eine Benachrichtigung der betroffenen Person ist aber oft nicht erforderlich.

Wichtig ist, dass du in jedem Fall deine Einschätzung begründest und dokumentierst. Die Aufsichtsbehörden betonen, dass eine nachvollziehbare Risikoabwägung besser ist als ein reflexartiges „alles melden“ oder „nichts melden“.

Typische Fehler – und wie du sie vermeidest

In der Praxis stolpern viele Verantwortliche immer wieder über dieselben Probleme. Einige davon kannst du mit einfachen Routinen verhindern.

• Zu spätes Handeln: „Wir schauen uns das nächste Woche an.“ – Die 72-Stunden-Frist beginnt mit der Kenntnis, nicht mit der ersten internen Besprechung.
• Alles oder nichts: Entweder wird jeder Vorfall gemeldet oder gar keiner – ohne echte Risikoabschätzung. Besser ist eine dokumentierte Matrix, in der du Kriterien und Beispiele festhältst.
• Benachrichtigung vergessen: Die Meldung an die Aufsicht ersetzt nicht die Information der betroffenen Personen, wenn ein hohes Risiko vorliegt.
• Unvollständige Meldung: Pflichtangaben wie Art der Panne, Folgen und Maßnahmen nach Artikel 33 Absatz 3 DSGVO werden nur halbherzig beschrieben.
• Keine Dokumentation: Entscheidungen werden mündlich getroffen, ohne dass später nachvollziehbar ist, warum du dich so verhalten hast.

Wenn du diese Fehler im Blick behältst und deine Prozesse entsprechend anpasst, reduzierst du nicht nur rechtliche Risiken, sondern stärkst auch das Vertrauen deiner Klient:innen in deine Professionalität.