Stand: 28.5.2026 · Thema: Datenpannen · Dokumentation · DSGVO Art. 33
Dokumentationspflicht bei Datenpannen (Art. 33 Abs. 5)
Jede Datenpanne muss dokumentiert werden — auch wenn keine Meldung an die Aufsicht erforderlich ist. Das interne Vorfallregister ist eine der ersten Unterlagen, die eine Aufsichtsbehörde anfordert, sobald eine Prüfung läuft.
Was ist eine „Datenpanne”?
Eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12):
- Vertraulichkeit: Unbefugter Zugriff (Hack, falscher Mailempfänger, vergessener Laptop).
- Integrität: Unbefugte Änderung von Daten.
- Verfügbarkeit: Verlust oder Vernichtung (gelöschte Backups, defekter Server ohne Restore).
Auch kleine Vorfälle fallen darunter — die Schwelle für die Meldepflicht liegt höher als die für die Dokumentationspflicht.
Pflichtinhalt der Dokumentation
Das Register muss nachvollziehbar zeigen:
- Sachverhalt: was ist passiert (kurz, präzise).
- Zeitpunkt der Verletzung — Beginn und Entdeckung.
- Betroffene Daten — Kategorien (Stamm, Kontakt, Zahlungs, Gesundheit …) und Mengen (Anzahl Personen, Anzahl Datensätze).
- Betroffene Personen — Kategorien (Kunden, Mitarbeiter, Bewerber …).
- Wahrscheinliche Folgen und Schadensbewertung.
- Ergriffene Maßnahmen zur Eindämmung und Abhilfe.
- Entscheidung über Meldung an die Aufsicht (ja/nein, mit Begründung).
- Entscheidung über Benachrichtigung der Betroffenen (ja/nein, mit Begründung).
Vorlage als Tabelle
| ID | Datum | Sachverhalt | Betr. Personen | Kategorien | Risiko | Meldung Aufsicht | Benachr. Betroffene | Status |
|---|---|---|---|---|---|---|---|---|
| DP-2026-001 | 2026-03-14 | Mail mit Bewerberliste an falschen Empfänger | 12 | Bewerberdaten (Lebenslauf) | mittel | nein (Empfänger gelöscht, bestätigt) | nein | abgeschlossen |
| DP-2026-002 | 2026-04-02 | Diebstahl eines verschlüsselten Notebooks | unbestimmt | gespeicherte Mails | gering | nein (Verschlüsselung) | nein | abgeschlossen |
Form und Aufbewahrung
- Format frei (Excel, Wiki, dediziertes Tool). Wichtig ist die Auffindbarkeit und Konsistenz.
- Aufbewahrung: solange Tätigkeitsnachweise verlangt werden können — empfohlen mind. 5 Jahre nach Abschluss.
- Versionssicherung — wer hat wann was eingetragen.
Risikobewertung als roter Faden
Schadens-Indikatoren zur Einordnung „Risiko” (Spalte):
- Gering: keine identifizierbare Person betroffen, oder ausschließlich verschlüsselte Daten, keine sensiblen Kategorien.
- Mittel: Stamm-/Kontaktdaten ohne Zahlungsbezug, Empfängerkreis begrenzt und kooperativ.
- Hoch: sensible Daten (Art. 9), Zahlungsdaten, vulnerable Gruppen, oder Veröffentlichungsrisiko.
Häufige Fehler
- Nur Vorfälle ab Meldepflicht dokumentiert — die Aufsicht erwartet alle Datenpannen, auch die nicht meldepflichtigen.
- „Wir haben noch nie eine Datenpanne gehabt” wirkt im Audit unglaubwürdig — bei jedem Betrieb ab 10 Mitarbeitenden gibt es pro Jahr typischerweise 2-5 dokumentierbare Vorfälle.
- Kein Datum der Entdeckung vs. Datum des Eintritts — beide gehören erfasst.
- Keine Begründung der Nicht-Meldung — wenn Sie nicht melden, muss die Entscheidung nachvollziehbar sein.
Wenn wir DSB sind
Wir betreiben das Vorfallregister für den Mandanten in unserem Portal (Tickets der Kategorie „Datenpanne”), bewerten das Risiko und entscheiden gemeinsam mit dem Verantwortlichen über Meldung und Benachrichtigung. Das fertige Register kann jederzeit als ODT/PDF exportiert werden.