Datenpanne in Deutschland (Rechtsratgeber 2026) — Regeln und Anforderungen

Last verified:

Quelle: Datenschutz-Grundverordnung (DSGVO), Art. 33 und 34 ; Bundesdatenschutzgesetz (BDSG-neu), § 40 ff. (Aufsichtsbehörden)

About this article

In einfacher Sprache geschrieben, um allgemeines Verständnis zu fördern. Dies ist ein Bildungsangebot und keine Rechtsberatung. Basierend auf deutschem Bundesrecht (Grundgesetz, BGB, StGB, Sozialgesetzbücher und weiteren Bundesgesetzen). Jeder Artikel wird vor der Veröffentlichung auf Richtigkeit geprüft. Unser redaktioneller Prozess

Deutsches Bundesrecht

Was ist dieses Recht?

Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") ist nach Art. 33 DSGVO vom Verantwortlichen unverzüglich, in der Regel binnen 72 Stunden, an die zuständige Aufsichtsbehörde zu melden — es sei denn, ein Risiko für die Rechte und Freiheiten natürlicher Personen ist unwahrscheinlich.

Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche die betroffenen Personen nach Art. 34 DSGVO unverzüglich, in klarer und einfacher Sprache, benachrichtigen. Ausnahmen: Daten verschlüsselt und unverwertbar, das hohe Risiko ist nachträglich entfallen, oder eine Einzelbenachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden (dann öffentliche Bekanntmachung).

Als Betroffener haben Sie das Recht zu wissen, was passiert ist — und können auch selbst eine Aufsichtsbeschwerde einreichen, wenn Sie befürchten, dass eine Datenpanne nicht gemeldet wurde.

Wann gilt es?

Anwendbar bei jeder unzulässigen Offenlegung oder Veränderung Ihrer personenbezogenen Daten:

  • Hacking, Datenleck, unbefugter Zugriff durch Mitarbeiter oder Dritte.
  • Versand einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger.
  • Verlust eines mobilen Endgeräts mit unverschlüsselten personenbezogenen Daten.
  • Veröffentlichung von SCHUFA-Daten oder Bonitätsinformationen an Unbefugte.

Was tun nach einer Datenpanne in Deutschland

  • Bewahren Sie die Benachrichtigung des Verantwortlichen auf (E-Mail, SMS, Brief) — mit Datum und Uhrzeit.
  • Ändern Sie sofort betroffene Passwörter und alle wiederverwendeten Passwörter. Aktivieren Sie Zwei-Faktor-Authentifizierung.
  • Wenn Finanzdaten betroffen sind: Karten und Online-Banking sperren (Sperr-Hotline 116 116), Bank schriftlich informieren (siehe Kategorie Betrug).
  • Bestellen Sie eine kostenlose Selbstauskunft bei der SCHUFA über meineschufa.de — ein Mal jährlich kostenfrei (DSGVO Art. 15) — und prüfen Sie auf unbekannte Einträge.
  • Bei Untätigkeit oder Verharmlosung durch den Verantwortlichen: Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Bei nachweisbarem materiellen oder immateriellen Schaden: Klage nach Art. 82 DSGVO auf Schadensersatz vor dem Landgericht.
  • Wenn der Datenleak strafrechtlich relevant ist (§§ 202a–202d StGB): Anzeige bei der Polizei / ZAC (siehe Kategorie Betrug).

Was sollten Sie NICHT tun?

  • Klicken Sie nicht auf Links in der Benachrichtigungs-E-Mail. Rufen Sie die Webseite des Verantwortlichen direkt auf.
  • Warten Sie nicht mit der Passwort-Änderung. Datenbanken aus Leaks zirkulieren innerhalb von Stunden in einschlägigen Foren.
  • Bezahlen Sie keinen "Identitätsschutz-Dienst", der gegen monatliches Entgelt "Überwachung" anbietet. Die SCHUFA-Auskunft erhält jeder einmal jährlich kostenlos.
  • Nehmen Sie eine Mitteilung "keine Passwörter betroffen" nicht als Entwarnung. Auch E-Mail, Name und Anschrift reichen für Phishing.

Häufige Fragen

What is the datenpanne — meldepflicht und eigene rechte right in Deutschland?

Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") ist nach Art. 33 DSGVO vom Verantwortlichen unverzüglich, in der Regel binnen 72 Stunden, an die zuständige Aufsichtsbehörde zu melden — es sei denn, ein Risiko für die Rechte und Freiheiten natürlicher Personen ist unwahrscheinlich.Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche die betroffenen Personen nach Art. 34 DSGVO unverzüglich, in klarer und einfacher Sprache, benachrichtigen. Ausnahmen: Daten verschlüsselt und unverwertbar, das hohe Risiko ist...

Wann gilt es — datenpanne — meldepflicht und eigene rechte?

Anwendbar bei jeder unzulässigen Offenlegung oder Veränderung Ihrer personenbezogenen Daten:Hacking, Datenleck, unbefugter Zugriff durch Mitarbeiter oder Dritte.Versand einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger.Verlust eines mobilen Endgeräts mit unverschlüsselten personenbezogenen Daten.Veröffentlichung von SCHUFA-Daten oder Bonitätsinformationen an Unbefugte.

Was tun, wenn ein Unternehmen in Deutschland meine personenbezogenen Daten verloren hat?

Bewahren Sie die Benachrichtigung des Verantwortlichen auf (E-Mail, SMS, Brief) — mit Datum und Uhrzeit.Ändern Sie sofort betroffene Passwörter und alle wiederverwendeten Passwörter. Aktivieren Sie Zwei-Faktor-Authentifizierung.Wenn Finanzdaten betroffen sind: Karten und Online-Banking sperren (Sperr-Hotline 116 116), Bank schriftlich informieren (siehe Kategorie Betrug).Bestellen Sie eine kostenlose Selbstauskunft bei der SCHUFA über meineschufa.de — ein Mal jährlich kostenfrei (DSGVO Art. 15) — und prüfen Sie auf unbekannte Einträge.Bei Untätigkeit oder Verharmlosung durch den...

Was sollten Sie NICHT tun — datenpanne — meldepflicht und eigene rechte?

Klicken Sie nicht auf Links in der Benachrichtigungs-E-Mail. Rufen Sie die Webseite des Verantwortlichen direkt auf.Warten Sie nicht mit der Passwort-Änderung. Datenbanken aus Leaks zirkulieren innerhalb von Stunden in einschlägigen Foren.Bezahlen Sie keinen "Identitätsschutz-Dienst", der gegen monatliches Entgelt "Überwachung" anbietet. Die SCHUFA-Auskunft erhält jeder einmal jährlich kostenlos.Nehmen Sie eine Mitteilung "keine Passwörter betroffen" nicht als Entwarnung. Auch E-Mail, Name und Anschrift reichen für Phishing.

You came here to know your rights — help someone else know theirs.

Support This Mission