Datenschutzvorfall rechtlich einordnen

Datenpannen-Check: 72-Stunden-Frist, Risiko und Sofortmaßnahmen strukturiert prüfen

Der Datenpannen-Check hilft Unternehmen, einen möglichen Datenschutzvorfall schnell zu strukturieren: Was ist passiert, welche Daten sind betroffen, wie groß ist der Kreis, welche Melde- und Informationspflichten kommen in Betracht und welche Nachweise sollten sofort gesichert werden?

DSGVO Art. 33/34
72-Stunden-Prüfung
Incident-Akte
Betroffeneninfo-Gate
Stand: 24. Mai 2026

Für akute und unklare Datenschutzvorfälle

Geeignet für Hacking, Ransomware, Fehlversand, verlorene Geräte, offene Links, Fehlkonfigurationen und Dienstleistermeldungen. Der Check ersetzt keine Einzelfallprüfung, liefert aber eine belastbare Vorstruktur für Datenschutz, IT-Security, Management und anwaltliche Abstimmung.

Fristen, Datenarten, Betroffenenkreis und Eindämmung zusammenführen.
Vorläufige Risikostufe und nächste Prüfschwerpunkte ableiten.
Kopierbaren Kurzüberblick für eine Anfrage oder interne Incident-Akte erzeugen.

Incident-Countdown

72-Stunden-Fenster, Risikoampel und Betroffeneninfo-Gate

Die Visualisierung zeigt den typischen Prüfpfad nach Bekanntwerden: Sofort sichern, innerhalb des 72-Stunden-Fensters über eine Meldung an die Aufsichtsbehörde entscheiden und bei voraussichtlich hohem Risiko zusätzlich die Information betroffener Personen prüfen.

ZeitfensterNoch nicht bewertet

RisikodruckNoch nicht bewertet

Nächster SchwerpunktFragen beantworten

Orientierung: fünf Schritte nach Bekanntwerden

Bei Datenschutzverletzungen zählt nicht nur der technische Befund. Entscheidend sind Zeitpunkt der Kenntnisnahme, Risiko für betroffene Personen, Eindämmung, Dokumentation und die Frage, ob Aufsichtsbehörde oder Betroffene zu informieren sind.

1SichernZugriffe stoppen, Systeme isolieren, Beweise, Logs und Kommunikationsstände sichern.
2KlärenDatenarten, betroffene Personen, Ursachen, Dienstleister und tatsächliche Kenntnisnahme festhalten.
3BewertenRisiko für Rechte und Freiheiten natürlicher Personen prüfen und begründen.
4EntscheidenMeldung an Aufsicht, Benachrichtigung Betroffener und mögliche Nachmeldung vorbereiten.
5NachweisenIncident-Akte, Maßnahmen, Fristen, Verantwortliche und Folgekontrollen dokumentieren.

Was dieser Check leistet

Der Check ist für Unternehmen, Vereine, Agenturen, Plattformen, Arbeitgeber, SaaS-Anbieter, Cloud-Nutzer und sonstige Verantwortliche gedacht, die einen möglichen Verlust, unbefugten Zugriff, Fehlversand oder Dienstleistervorfall einordnen müssen.

Was wird geprüft?

Geprüft werden Vorfallsart, Datenkategorien, Umfang, Zeitpunkt, Eindämmung, Nachweise, Dienstleisterbezug und typische Schnittstellen zu IT-Sicherheit, Datenschutzaufsicht, Betroffenenkommunikation, Vertragslage und Reputationsrisiken.

Wann ist der Check relevant?

Relevant ist der Check insbesondere bei Hacking, Ransomware, offen erreichbaren Verzeichnissen, Fehlversand, verlorenen Geräten, kompromittierten Konten, falsch gesetzten Berechtigungen oder Meldungen eines Auftragsverarbeiters.

Welche Grenzen hat der Check?

Die Auswertung ist eine strukturierte Ersteinschätzung. Eine belastbare Entscheidung hängt von konkreten Datenflüssen, technischen Nachweisen, Risikoauswirkungen, Zuständigkeiten, Ländern, Vertragsrollen und dem genauen Zeitpunkt der Kenntnisnahme ab.

Anliegen auswählen

Wählen Sie den naheliegenden Einstieg. Die Auswahl setzt erste Prüfpunkte im Formular, kann danach aber jederzeit angepasst werden.

Akuter Angriff, Ransomware oder Erpressung Für laufende Angriffe, Exfiltration, Veröffentlichung, Verschlüsselung oder Drohung mit Datenveröffentlichung.

Fehlversand, falscher Empfänger oder offener Link Für E-Mails, Dateien, Briefe, Portale, Links oder Berechtigungen, die falschen Personen zugänglich wurden.

Meldung eines Dienstleisters oder Auftragsverarbeiters Für Vorfälle bei Hosting, SaaS, Newsletter, IT-Support, Agentur, Cloud, Payroll oder sonstigen Dienstleistern.

Unklare Lage mit möglichem Personenbezug Für Verdachtsfälle, bei denen Datenarten, Zugriff, Umfang oder tatsächliche Risiken noch nicht sicher eingegrenzt sind.

Interaktiver Fragebogen

Datenpanne strukturiert einordnen

Beantworten Sie die folgenden Schritte. Das Ergebnis bewertet die Angaben vorsichtig nach Risikosignalen, Fristdruck, Datenarten und bereits erfolgten Maßnahmen.

Schritt 1 von 5

1. Was ist passiert?

Wählen Sie den Schwerpunkt des Vorfalls. Bei mehreren Ursachen zählt zunächst der kritischste Befund.

Hacking, unbefugter Zugriff oder kompromittierter AccountEin Konto, System, Postfach, Adminzugang oder Dienst wurde möglicherweise durch Dritte genutzt. Ransomware, Exfiltration oder ErpressungDaten wurden verschlüsselt, kopiert, veröffentlicht oder mit Veröffentlichung gedroht. Fehlversand oder falscher EmpfängerE-Mail, Brief, Datei, Link, Export oder Portalzugang ging an falsche Empfänger. Verlorenes Gerät, Datenträger oder UnterlagenLaptop, Smartphone, USB-Stick, Akten, Ausdrucke oder Sicherungsmedien sind verloren gegangen. Fehlkonfiguration, offener Link oder öffentliches VerzeichnisDaten waren öffentlich oder für zu viele interne oder externe Personen abrufbar. Vorfall bei Dienstleister oder AuftragsverarbeiterEin Anbieter meldet Sicherheitsvorfall, Datenzugriff, Verlust, Fehlkonfiguration oder Servicekompromittierung.

2. Welche Daten sind betroffen?

Mehrfachauswahl ist möglich. Wenn die Datenarten noch unklar sind, wählen Sie zunächst „Unklar“.

Kontakt-, Kunden- oder NutzerdatenName, Adresse, E-Mail, Telefonnummer, Kundennummer, Accountdaten oder Nutzungsdaten. Login-, Passwort-, Token- oder ZugangsdatenPasswörter, API-Keys, Session-Tokens, MFA-Daten, Recovery-Codes oder Adminzugänge. Finanz-, Zahlungs- oder VertragsdatenIBAN, Zahlungsstatus, Rechnungen, Verträge, Bonität, Bestellungen oder Abrechnungsdaten. Besondere Kategorien oder sehr sensible DatenGesundheit, biometrische oder genetische Daten, Religion, Gewerkschaft, Sexualleben, politische Meinung oder vergleichbar sensible Informationen. Daten von Kindern, Beschäftigten oder vulnerablen PersonenMinderjährige, Beschäftigte, Bewerber, Patienten, Mandanten oder andere schutzbedürftige Gruppen. Vertrauliche Kommunikation oder GeschäftsgeheimnisseHR-Unterlagen, Strategie, Quellcode, Vertragsentwürfe, Anwaltspost, M&A, Produktdaten oder interne Kommunikation. Unklar oder noch nicht klassifiziertDerzeit ist noch nicht sicher bekannt, welche Daten genau betroffen sind.

3. Wie groß ist der mögliche Umfang?

Wählen Sie die derzeit belastbarste Schätzung. Wenn die Anzahl offen ist, sollte die Unsicherheit dokumentiert werden.

Weniger als 10 PersonenKleiner, konkret eingrenzbarer Vorfall. 10 bis 100 PersonenÜberschaubarer Kreis mit organisatorischem Prüfbedarf. 100 bis 1.000 PersonenGrößerer Vorfall mit möglicher Außenwirkung. Mehr als 1.000 PersonenGrößerer oder massenhafter Vorfall. Unbekannt oder noch offenDer Umfang lässt sich derzeit nicht sicher bestimmen.

4. Wann wurde der Vorfall bekannt?

Maßgeblich ist regelmäßig, wann die Organisation Kenntnis von einem möglichen Vorfall mit Personenbezug hatte und eine Risikoprüfung veranlassen konnte.

Vor weniger als 24 StundenDie interne Kenntnisnahme ist sehr frisch. Vor 24 bis 72 StundenDie Meldefrist kann bereits laufen. Vor mehr als 72 StundenDer Vorfall ist länger bekannt. Der Vorfall läuft noch oder ist nicht eingedämmtZugriff, Veröffentlichung, Fehlversand oder Angriff dauern möglicherweise an. Meldung kam von Kunde, Behörde, Presse oder DienstleisterDritte wissen bereits vom Vorfall oder fragen nach.

5. Welche Maßnahmen sind bereits erfolgt?

Mehrfachauswahl ist möglich. Wenn noch nichts strukturiert erfolgt ist, wählen Sie nur die letzte Option.

Vorfall technisch oder organisatorisch eingedämmtZugriff geschlossen, Systeme isoliert, Versand gestoppt oder Berechtigungen korrigiert. Verschlüsselung, Remote-Wipe oder Zugriffsschutz belegbarInsbesondere bei verlorenen Geräten, Datenträgern oder mobilen Endgeräten. Logs, Screenshots und Beweise gesichertTechnische und organisatorische Nachweise sind verfügbar. Datenschutz, Legal, IT-Security oder Management informiertDie interne Eskalation ist erfolgt. Betroffene Personen und Datenarten sind weitgehend bekanntBetroffenenkreis und Datenkategorien sind eingegrenzt. Behörde oder Betroffene wurden bereits informiertEs gab bereits Meldung, Information oder Kontaktaufnahme. Noch keine strukturierten MaßnahmenEs wurde noch nicht dokumentiert, bewertet, eingedämmt oder gemeldet.

Fristen, Risiken und Maßnahmen

Die Tabelle dient der Einordnung typischer Prüfpfade. Sie ersetzt keine Einzelfallentscheidung, hilft aber bei Priorisierung, Dokumentation und Vorbereitung der Anfrage.

Prüfpunkt	Typischer Auslöser	Frist / Zeitpunkt	Erste Maßnahme	Priorität
Meldung an Aufsichtsbehörde	Risiko für Rechte und Freiheiten natürlicher Personen nicht auszuschließen	Möglichst binnen 72 Stunden nach Kenntnisnahme, Art. 33 DSGVO	Risikobewertung, Meldeentwurf, Begründung und etwaige Nachmeldung vorbereiten	Sofort
Benachrichtigung betroffener Personen	Voraussichtlich hohes Risiko, etwa durch sensible Daten, Zugangsdaten, Missbrauchsgefahr oder Veröffentlichung	Ohne unangemessene Verzögerung, Art. 34 DSGVO	Betroffenenkreis, Inhalt, Schutzempfehlungen und Kommunikationskanal prüfen	Sehr hoch
Dokumentation des Vorfalls	Jede personenbezogene Datenschutzverletzung, auch wenn nicht gemeldet wird	Laufend ab Bekanntwerden, Art. 33 Abs. 5 DSGVO	Incident-Akte mit Fakten, Bewertung, Entscheidung und Maßnahmen anlegen	Hoch
Vorfall beim Auftragsverarbeiter	Dienstleister meldet Sicherheitsvorfall oder Datenverlust	Unverzüglich an Verantwortlichen, Art. 33 Abs. 2 DSGVO; vertragliche Fristen zusätzlich prüfen	AVV, Subprozessoren, technische Details und Zeitpunkte anfordern	Hoch
Schnittstelle Cybersecurity	Signifikanter Sicherheitsvorfall, kritische Dienste, NIS2-/BSIG-Scope oder Produkt mit digitalem Element	Je nach Rolle zusätzliche Melde- und Berichtspflichten prüfen	NIS2-, CRA-, DORA- oder Vertragsmeldewege parallel mit Datenschutz abstimmen	Vertiefung

Nächste sinnvolle Schritte

Verwandte ITMR-Checker und Anschlussprüfungen

DSGVO-Rollen-SimulatorKlären, ob Verantwortlicher, Auftragsverarbeiter oder gemeinsame Verantwortlichkeit betroffen ist. AVV-/DPA-CheckDienstleister, Subprozessoren, Meldeketten und Datenschutzverträge nach einem Vorfall prüfen. DSFA-CheckPrüfen, ob Verarbeitung, Datenarten oder Schutzmaßnahmen auf ein hohes Risiko hinweisen. NIS-2-CheckCybersecurity-Betroffenheit, Meldewege und Managementpflichten parallel zur DSGVO bewerten. Dokumenten-Dossier BuilderIncident-Akte, Nachweise, Logs, Kommunikation und Entscheidungsvorlagen strukturiert vorbereiten. Bewertungs-/RufschädigungscheckReputationsrisiken, Presseanfragen, Plattformmeldungen oder öffentliche Vorwürfe nach einem Vorfall einordnen.

Kurzüberblick für die Anfrage

Der Kurzüberblick fasst die Angaben für eine strukturierte Anfrage zusammen. Ergänzen Sie konkrete Zeiten, Systeme, Ansprechpartner und Unterlagen, bevor Sie ihn versenden.

Bitte beantworten Sie zuerst die Prüffragen. Danach erscheint hier ein kopierbarer Kurzüberblick.

Anfrage starten

Kontakt und Vertiefung

Bei laufendem Angriff, möglicher 72-Stunden-Frist, sensiblen Daten, Zugangsdaten, Veröffentlichung, Dienstleistermeldung oder Behördenkontakt sollte die rechtliche Einordnung kurzfristig mit technischer Beweissicherung und Kommunikationsplanung verbunden werden.

Datenpanne rechtlich einordnen lassen Allgemeinen Kontakt öffnen

Der Check dient der ersten Orientierung. Die konkrete rechtliche Einordnung hängt von Sachverhalt, Fristen, Datenflüssen, Vertragslage, Ländern, Zielgruppen und technischer Umsetzung ab.

Datenpannen-Check: 72-Stunden-Frist, Risiko und Sofortmaßnahmen strukturiert prüfen

72-Stunden-Fenster, Risikoampel und Betroffeneninfo-Gate

Orientierung: fünf Schritte nach Bekanntwerden

Was dieser Check leistet

Anliegen auswählen

Datenpanne strukturiert einordnen

Fristen, Risiken und Maßnahmen

Auswertung

Nächster Schwerpunkt

Warum dieses Ergebnis?

Empfohlene nächste Prüfpunkte

Sinnvoll vorzubereitende Unterlagen

Nächste sinnvolle Schritte

Kurzüberblick für die Anfrage

Kontakt und Vertiefung