Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenpannen · DSGVO Art. 34, 33

Benachrichtigung Betroffener nach Art. 34 DSGVO

Anders als die Meldepflicht an die Aufsicht (Art. 33, immer ab Meldeschwelle) ist die Benachrichtigung der Betroffenen erst ab hohem Risiko Pflicht. Die Schwelle ist deutlich höher — entsprechend muss die Bewertung sauber dokumentiert sein.

Wann ist eine Benachrichtigung Pflicht?

Wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Indikatoren:

  • Sensible Datenkategorien (Art. 9 — Gesundheit, sexuelle Orientierung, Gewerkschaft, Religion, Biometrie).
  • Identitäts- oder Zahlungsdaten in einer Form, die direkten Missbrauch ermöglicht (Kreditkartennummer + CVC, Passwort im Klartext).
  • Erpressungsrisiko durch Veröffentlichungsdrohung (Ransomware mit Datendiebstahl).
  • Diskriminierungs- oder Reputationsschaden (Mitarbeiterliste eines Suchtkliniken-Betreibers, Mitgliederliste eines politischen Vereins).
  • Vulnerable Gruppen (Kinder, Patienten, Geflüchtete).

Wann KEINE Benachrichtigung nötig ist (Art. 34 Abs. 3)

  • Wirksame Verschlüsselung, die Datenzugriff durch Unbefugte unmöglich macht (Stand der Technik: AES-256 mit nicht kompromittiertem Schlüssel).
  • Folgemaßnahmen haben das hohe Risiko abgewendet (z.B. sofortiges Passwort-Reset bei allen Betroffenen, Sperrung der betroffenen Konten).
  • Unverhältnismäßiger Aufwand — dann statt Einzelinformation eine öffentliche Bekanntmachung in vergleichbar wirksamer Form.

Pflichtinhalt der Benachrichtigung

Nach Art. 34 Abs. 2:

  • Klare, einfache Sprache (keine Juristensprache).
  • Beschreibung der Art der Verletzung.
  • Name + Kontakt von DSB oder anderer Auskunftsstelle.
  • Wahrscheinliche Folgen der Verletzung.
  • Ergriffene oder vorgeschlagene Maßnahmen zur Begrenzung der Folgen.

Sprachregeln

  • Konkret statt vage: „Ihre E-Mail-Adresse und Ihr Passwort wurden offengelegt” statt „möglicherweise wurden personenbezogene Daten betroffen”.
  • Handlungsaufforderung am Anfang: „Bitte ändern Sie umgehend Ihr Passwort und prüfen Sie, ob Sie dasselbe Passwort auf anderen Diensten verwenden.”
  • Keine Beschönigungen wie „aus Vorsicht”, wenn die Benachrichtigung gesetzlich vorgeschrieben ist.
  • Kein Verkaufstext — Hinweise auf Premium-Sicherheitspakete o.ä. wirken zynisch.

Form

  • Direkt an die betroffene Person über den üblichen Kommunikationskanal (Mail, Post). Nicht: nur Pressemitteilung.
  • Bei großen Vorfällen zusätzlich Website-Hinweis und Pressemitteilung, aber als Ergänzung.
  • Versand und Empfang dokumentieren.

Fristen

Es gibt keine harte Frist wie die 72 Stunden für Art. 33. Aber „unverzüglich” heißt: ohne schuldhaftes Zögern, sobald die Risikobewertung steht. In der Praxis: zeitgleich oder kurz nach der Aufsichtsmeldung.

Wenn wir DSB sind

Wir fertigen einen Entwurf der Benachrichtigung, der die Sprachregeln einhält, und die Risikobewertung pro Fallgruppe (welche Daten waren betroffen → welches Risiko → benachrichtigen ja/nein). Der Verantwortliche unterzeichnet und versendet.

Quelle: FS/CS GmbH