Datenpanne in Deutschland (Rechtsratgeber 2026) — Regeln und Anforderungen
About this article
In einfacher Sprache geschrieben, um allgemeines Verständnis zu fördern. Dies ist ein Bildungsangebot und keine Rechtsberatung. Basierend auf deutschem Bundesrecht (Grundgesetz, BGB, StGB, Sozialgesetzbücher und weiteren Bundesgesetzen). Jeder Artikel wird vor der Veröffentlichung auf Richtigkeit geprüft. Unser redaktioneller Prozess
Was ist dieses Recht?
Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") ist nach Art. 33 DSGVO vom Verantwortlichen unverzüglich, in der Regel binnen 72 Stunden, an die zuständige Aufsichtsbehörde zu melden — es sei denn, ein Risiko für die Rechte und Freiheiten natürlicher Personen ist unwahrscheinlich.
Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche die betroffenen Personen nach Art. 34 DSGVO unverzüglich, in klarer und einfacher Sprache, benachrichtigen. Ausnahmen: Daten verschlüsselt und unverwertbar, das hohe Risiko ist nachträglich entfallen, oder eine Einzelbenachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden (dann öffentliche Bekanntmachung).
Als Betroffener haben Sie das Recht zu wissen, was passiert ist — und können auch selbst eine Aufsichtsbeschwerde einreichen, wenn Sie befürchten, dass eine Datenpanne nicht gemeldet wurde.
Wann gilt es?
Anwendbar bei jeder unzulässigen Offenlegung oder Veränderung Ihrer personenbezogenen Daten:
- Hacking, Datenleck, unbefugter Zugriff durch Mitarbeiter oder Dritte.
- Versand einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger.
- Verlust eines mobilen Endgeräts mit unverschlüsselten personenbezogenen Daten.
- Veröffentlichung von SCHUFA-Daten oder Bonitätsinformationen an Unbefugte.
Was tun nach einer Datenpanne in Deutschland
- Bewahren Sie die Benachrichtigung des Verantwortlichen auf (E-Mail, SMS, Brief) — mit Datum und Uhrzeit.
- Ändern Sie sofort betroffene Passwörter und alle wiederverwendeten Passwörter. Aktivieren Sie Zwei-Faktor-Authentifizierung.
- Wenn Finanzdaten betroffen sind: Karten und Online-Banking sperren (Sperr-Hotline 116 116), Bank schriftlich informieren (siehe Kategorie Betrug).
- Bestellen Sie eine kostenlose Selbstauskunft bei der SCHUFA über meineschufa.de — ein Mal jährlich kostenfrei (DSGVO Art. 15) — und prüfen Sie auf unbekannte Einträge.
- Bei Untätigkeit oder Verharmlosung durch den Verantwortlichen: Beschwerde bei der zuständigen Aufsichtsbehörde.
- Bei nachweisbarem materiellen oder immateriellen Schaden: Klage nach Art. 82 DSGVO auf Schadensersatz vor dem Landgericht.
- Wenn der Datenleak strafrechtlich relevant ist (§§ 202a–202d StGB): Anzeige bei der Polizei / ZAC (siehe Kategorie Betrug).
Was sollten Sie NICHT tun?
- Klicken Sie nicht auf Links in der Benachrichtigungs-E-Mail. Rufen Sie die Webseite des Verantwortlichen direkt auf.
- Warten Sie nicht mit der Passwort-Änderung. Datenbanken aus Leaks zirkulieren innerhalb von Stunden in einschlägigen Foren.
- Bezahlen Sie keinen "Identitätsschutz-Dienst", der gegen monatliches Entgelt "Überwachung" anbietet. Die SCHUFA-Auskunft erhält jeder einmal jährlich kostenlos.
- Nehmen Sie eine Mitteilung "keine Passwörter betroffen" nicht als Entwarnung. Auch E-Mail, Name und Anschrift reichen für Phishing.
About Datenschutz und digitale Rechte in Deutschland
Deutschland wendet die EU-Datenschutz-Grundverordnung (DSGVO) direkt seit dem 25. Mai 2018 an, ergänzt durch das Bundesdatenschutzgesetz (BDSG-neu). Aufsichtsbehörden sind die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikationsanbieter sowie die 16 Landesdatenschutzbeauftragten für alle übrigen Verantwortlichen — je nach Hauptniederlassung des Verantwortlichen. Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO). Bei Cybervorfällen ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Zentralstelle, ergänzt durch das BKA Cybercrime und die Zentralen Ansprechstellen Cybercrime (ZAC) der Länder. Für nicht einvernehmliche Intimbildnisse greift § 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen) mit bis zu zwei Jahren Freiheitsstrafe; bei minderjährigen Personen greift zusätzlich § 184b StGB.
Häufige Fragen
What is the datenpanne — meldepflicht und eigene rechte right in Deutschland?
Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") ist nach Art. 33 DSGVO vom Verantwortlichen unverzüglich, in der Regel binnen 72 Stunden, an die zuständige Aufsichtsbehörde zu melden — es sei denn, ein Risiko für die Rechte und Freiheiten natürlicher Personen ist unwahrscheinlich.Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche die betroffenen Personen nach Art. 34 DSGVO unverzüglich, in klarer und einfacher Sprache, benachrichtigen. Ausnahmen: Daten verschlüsselt und unverwertbar, das hohe Risiko ist...
Wann gilt es — datenpanne — meldepflicht und eigene rechte?
Anwendbar bei jeder unzulässigen Offenlegung oder Veränderung Ihrer personenbezogenen Daten:Hacking, Datenleck, unbefugter Zugriff durch Mitarbeiter oder Dritte.Versand einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger.Verlust eines mobilen Endgeräts mit unverschlüsselten personenbezogenen Daten.Veröffentlichung von SCHUFA-Daten oder Bonitätsinformationen an Unbefugte.
Was tun, wenn ein Unternehmen in Deutschland meine personenbezogenen Daten verloren hat?
Bewahren Sie die Benachrichtigung des Verantwortlichen auf (E-Mail, SMS, Brief) — mit Datum und Uhrzeit.Ändern Sie sofort betroffene Passwörter und alle wiederverwendeten Passwörter. Aktivieren Sie Zwei-Faktor-Authentifizierung.Wenn Finanzdaten betroffen sind: Karten und Online-Banking sperren (Sperr-Hotline 116 116), Bank schriftlich informieren (siehe Kategorie Betrug).Bestellen Sie eine kostenlose Selbstauskunft bei der SCHUFA über meineschufa.de — ein Mal jährlich kostenfrei (DSGVO Art. 15) — und prüfen Sie auf unbekannte Einträge.Bei Untätigkeit oder Verharmlosung durch den...
Was sollten Sie NICHT tun — datenpanne — meldepflicht und eigene rechte?
Klicken Sie nicht auf Links in der Benachrichtigungs-E-Mail. Rufen Sie die Webseite des Verantwortlichen direkt auf.Warten Sie nicht mit der Passwort-Änderung. Datenbanken aus Leaks zirkulieren innerhalb von Stunden in einschlägigen Foren.Bezahlen Sie keinen "Identitätsschutz-Dienst", der gegen monatliches Entgelt "Überwachung" anbietet. Die SCHUFA-Auskunft erhält jeder einmal jährlich kostenlos.Nehmen Sie eine Mitteilung "keine Passwörter betroffen" nicht als Entwarnung. Auch E-Mail, Name und Anschrift reichen für Phishing.