24.01.2024

Wann ein Datenverlust meldepflichtig wird (und wann nicht)

Sicherheit & IT-Sicherheit
Kurze Missgeschicke können zu einer folgenschweren Datenpanne führen. Der Mitarbeiter hat den Firmen - Laptop im Zug liegen lassen oder eine Mitarbeiterin hat auf einen infizierten Link geklickt. All dies kann dazu führen, dass kundenbezogene Informationen oder Betriebsinterna in fremde Hände gelangen. Kommt es zu einer solchen Datenpanne, müssen Maßnahmen ergriffen werden. Lesen Sie hier, wann was zu tun ist.
Data
Data

Eine Datenpanne muss gemeldet werden, wenn eine "Verletzung des Schutzes personenbezogener Daten" vorliegt und ein "Risiko für die Rechte und Freiheiten natürlicher Personen" besteht. Das betrifft Sicherheitsbrüche, die zu einer Vernichtung, einem Verlust, einer Veränderung oder einer unbefugten Offenlegung bzw. einem unbefugten Zugang zu personenbezogenen Daten geführt haben, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Die Meldung muss unverzüglich, spätestens jedoch binnen 72 Stunden nach Feststellung des Vorfalls an die zuständige Datenschutzbehörde erfolgen. In Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Telefon: +49 611 1408-0E-Mail: poststelle@datenschutz.hessen.de

Website: https://datenschutz.hessen.de/

Rechtliches: Eine Datenpanne bezieht sich auf eine Sicherheitsverletzung, bei der Daten gestohlen oder unrechtmäßig Dritten offengelegt werden, siehe Art. 4 Nr. 12 DSGVO.

Eine Meldung ist nicht erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiele für Situationen, in denen keine Meldepflicht besteht, sind:

  • Wenn Daten für eine gewisse Dauer offen im Internet einsehbar waren, aber nachweislich kein Zugriff stattfand (konkrete Belege wie Logfiles erforderlich).
  • Wenn die Daten ohnehin öffentlich verfügbar sind oder wirksam verschlüsselt waren und daher kein Risiko besteht.
  • Wenn der einzige Datenträger verloren wurde, aber wirksame Backups vorhanden sind.

Prävention vor Datendiebstahl

Oft sind Datenverluste auf eine unbedachte Handlung zurückzuführen. Ein falscher Link ist schnell geklickt und die Folgen erst deutlich später Absehbar. Darum ist es wichtig einige Grundlagen zur Prävention zu schaffen. Es hängt im eigenen Ermessen der Geschäftsführung, wie weit diese allgemeinen Regeln im Handelsbetrieb umgesetzt werden.

1. Mitarbeitende sollten für die Risiken von Datendiebstahl sensibilisiert und in Sicherheitsverfahren geschult werden, um unbeabsichtigte Handlungen zu vermeiden 

2. Die Etablierung eines umfassenden Datenschutz-Managements, einschließlich IT-Sicherheit, Datensicherheitskonzepten und der Bestellung eines Datenschutzbeauftragten, kann dazu beitragen, Datendiebstahl zu verhindern und im Eintrittsfall schnell zu reagieren.

3. Verantwortliche Benennen und IT-Sicherheitsvorfälle proben , um den Ernstfall zu trainieren.

4. Die Implementierung von Zugriffsbeschränkungen und die Gewährung des minimal notwendigen Zugriffs auf Daten können das Risiko von Datendiebstahl verringern

5. Sichere Verbindungen und Archivierung: Die Nutzung sicherer Verbindungen, wie etwa Secure File Transfer Protocol (SFTP) und das regelmäßige Sichern und Archivieren von Daten sind wichtige Schutzmaßnahmen, um Datenverlust zu verhindern. Für die sichere Archivierung von Daten gibt es verschiedene Verfahren, die unter dem Namen Data Masking zusammengefasst werden. 

6. Überprüfung von Datenlecks: Die regelmäßige Überprüfung, ob persönliche Daten in Datenlecks enthalten sind, kann dabei helfen, frühzeitig auf einen möglichen Diebstahl von Daten aufmerksam zu werden. Eine einfache und erste Methode hierfür ist der kostenfreie Onlineservice: https://haveibeenpwned.com/

7. Updates und Patches automatisch durchführen, von Betriebssystem und Software.

8. Verbot der privaten Nutzung von Firmencomputern und Accounts.

9. Nur Dienstprogramme dürfen installiert werden, Software von Dritten ist zu verbieten.

"Fortgeschrittene IT bedeutet auch fortgeschritte Sicherheitskonzepte zum Einsatz bringen zu müssen."
Marcel Rösel, Projektleiter handel.digital

Beispiel für sichere Verbindungen

SASE (Secure Access Service Edge) ist ein Konzept, das Netzwerk-und Sicherheitsfunktionen in die Cloud verlagert, um einen sicheren und direkten Zugriff auf die benötigten Anwendungen und Daten für Benutzer zu gewährleisten. ZTNA (Zero-Trust Network Access) ist ein Sicherheitsansatz, bei dem Benutzer nur den minimal notwendigen Zugriff auf Anwendungen und Daten erhalten, unabhängig davon, ob sie sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden. Sowohl SASE als auch ZTNA können dazu beitragen, Datenverletzungen zu verhindern, indem sie eine granulare Zugriffskontrolle und Sicherheitsüberwachung bieten

Checkliste: Datenpanne im Handel

Meldepflicht prüfen
□ Bei einer Verletzung des Schutzes personenbezogener Daten besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko.

Tipp: Erste Hilfe erhalten Sie rund um die Uhr bei der Notfall-Hotline des Hessen Cyber Competence Center (H3C): o0611 353 9900

Rechtzeitigkeit der Meldung
□ Die Meldung muss unverzüglich, spätestens nach 72 Stunden nach Kenntnisnahme von den erheblichen Tatsachen, erfolgen.

□ Die Meldung an die Aufsichtsbehörde, in Hessen dem Hessischen Datenschutzbeauftragten. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Telefon: +49 611 1408-0 E-Mail: poststelle@datenschutz.hessen.de

Inhalt der Meldung
□ Die Meldung muss bestimmte Inhalte enthalten, wie die Art des Datenpanne, den Umfang der Daten, die Identifizierbarkeit der Betroffenen und die zu erwartenden Konsequenzen. Sind nicht alle Informationen sofort verfügbar, muss die Meldung schrittweise erfolgen, und fehlende Informationen sind nachzureichen.

Risikoabschätzung
□ Es muss eine Abschätzung des Risikosdurchgeführt werden, basierend auf Kriterien wie der Art des Datenpanne, dem Umfang der betroffenen Daten, der Identifizierbarkeit der Betroffenen und den zu erwartenden Konsequenzen.

Umgang mit eigenen Fehlern
□ Auch menschliches Versagen, das zu Datenpannen führt, muss berücksichtigt werden. Geeignete Schutzmaßnahmen sollten ergriffen werden, um menschliche Fehler zu vermeiden.

Dokumentation
□ Konkrete Belege wie Logfiles sind wichtig, um das Ausbleiben eines Zugriffs zu belegen. Im Zweifel ist davon auszugehen, dass eine Sicherheitslücke eine Datenpannebedeutet.

Technische und organisatorische Maßnahmen
□ Es sollte überprüft werden, ob die bestehenden Maßnahmen ausreichend sind und gegebenenfalls sollten diese angepasst werden.

Grenzüberschreitender Bezug
□ Bei EU-Auslandskunden müssen alle Aufsichtsbehörden informiert werden, in deren Zuständigkeitsbereich die Kunden ihren Wohnsitz haben.

Zusammenfassung

Kundendaten können schnell in falsche Hände geraten. Etwa wenn ein Firmenlaptop in der Bahn vergessen oder ausversehen ein Ransomware-Link geklicktwird. Unternehmen müssen bei einem Datenleck unverzüglich, spätestens jedoch innerhalb von 72 Stunden, die Datenschutzbehörde informieren, wenn personenbezogene Daten betroffen sind und ein Risiko für Betroffene besteht. In Hessen ist der Hessische Beauftragte für Datenschutz zuständig. Ein Vorfall ist nicht meldepflichtig, wenn er keine Risiken für die Rechte der betroffenen Personen birgt. Unternehmen sollten in Sicherheitsmaßnahmen investieren, Mitarbeiter schulen und technische Lösungen wie SASE und ZTNA einsetzen, um solche Vorfälle zu verhindern. Im Falle einer Datenpanne sind eine Überprüfung der Meldepflicht, eine Risikoabschätzung, eine angemessene Reaktion und eine Dokumentation des Vorfalls notwendig.

Zurück
Weiterlesen im Wissenshub
  • IT-Sicherheit: Wo 2026 die größten IT-Risiken liegen – und wie Sie sich schützen können

    IT-Sicherheit: Wo 2026 die größten IT-Risiken liegen – und wie Sie sich schützen können

    Montagmorgen im Geschäft: Die erste Kundin steht an der Kasse, doch das System startet nicht. Gleichzeitig meldet der Online-Shop eine Fehlermeldung und ein Mitarbeiter berichtet, dass mehrere Dateien im gemeinsamen Ordner nicht mehr geöffnet werden können. Solche Situationen sind längst keine Ausnahme mehr. Cyberangriffe betreffen heute nicht nur große Konzerne, sondern zunehmend auch kleine und mittelständische Unternehmen (KMU). Gerade weil Händlerinnen und Händler heute mit vielen digitalen Systemen arbeiten (Onlineshops, SharePoint oder auch WhatsApp) entstehen neue potenzielle Sicherheitslücken. Wer diese Risiken kennt, kann jedoch gezielt gegensteuern.
    Weiterlesen
  • Cyber-Realitätscheck: Warum viele Unternehmen sich in falscher Sicherheit wiegen

    Cyber-Realitätscheck: Warum viele Unternehmen sich in falscher Sicherheit wiegen

    Die fortschreitende Digitalisierung bringt enorme Chancen für Unternehmen mit sich – aber auch Risiken. Gerade Händlerinnen und Händler investieren zunehmend in Technologien, um Prozesse effizienter zu gestalten, Kundinnen und Kunden besser zu erreichen oder neue Absatzkanäle zu erschließen. Doch im Bereich IT-Sicherheit herrscht oft eine gefährliche Illusion: Viele Unternehmen glauben, besser geschützt zu sein, als sie tatsächlich sind. Aktuelle Studien decken genau diesen Widerspruch auf und zeigen, wie groß die Lücken zwischen Selbstwahrnehmung und Realität sind.
    Weiterlesen
  • Warum BCMs für die IT-Sicherheit unverzichtbar sind

    Warum BCMs für die IT-Sicherheit unverzichtbar sind

    Business Continuity Management (BCM) ist längst kein reines Krisen- oder Notfallthema mehr. In Zeiten zunehmender Cyberangriffe und Naturkatastrophen stärkt ein funktionierendes BCM die Resilienz, verbindet IT-Sicherheit mit anderen Fachbereichen und ermöglicht ein Weiterarbeiten im Krisenfall.
    Weiterlesen
  • DeepSeek: Ein Blick auf die neue KI-Technologie

    DeepSeek: Ein Blick auf die neue KI-Technologie

    DeepSeek steht verstärkt im Fokus von Analysen. Doch was unterscheidet sie von anderen KI-Technologien? Die größten Bedenken gibt es im Bezug auf die umfangreiche Speicherung von Nutzerdaten, die potentielle Manipulierbarkeit der Anwendung für illegale Zwecke, sowie die Frage, ob und inwieweit chinesische Behörden Zugriff auf die gespeicherten Informationen haben.
    Weiterlesen
Ähnliche Veranstaltungen
  • 02Juni 2026, Di.
    handel.digital

    Sicherheit im Handel Offenbach

    09:30 - 11:45 Uhr Polizeipräsidium Südosthessen, Offenbach
    Präsenzkostenfrei
    Ladendiebstahl kostet den Handel Milliarden – und die Täter werden immer raffinierter. Wer nicht vorbereitet ist, riskiert finanzielle Verluste und gefährdet die Sicherheit von Mitarbeitenden sowie Kundinnen und Kunden. Doch wie erkennt man verdächtiges Verhalten rechtzeitig? Wie verhält man sich im Ernstfall richtig? Diese Veranstaltung gibt Ihnen das entscheidende Wissen, um Ihr Geschäft besser zu schützen.
    Weiterlesen
  • 12Mai 2026, Di.
    handel.digital

    Sicherheit im Handel Wiesbaden

    10:00 - 12:30 Uhr Heimathafen, Wiesbaden
    Präsenzkostenfrei
    Ladendiebstahl kostet den Handel Milliarden – und die Täter werden immer raffinierter. Wer nicht vorbereitet ist, riskiert finanzielle Verluste und gefährdet die Sicherheit von Mitarbeitenden sowie Kundinnen und Kunden. Doch wie erkennt man verdächtiges Verhalten rechtzeitig? Wie verhält man sich im Ernstfall richtig? Diese Veranstaltung gibt Ihnen das entscheidende Wissen, um Ihr Geschäft besser zu schützen.
    Weiterlesen
  • 21April 2026, Di.
    handel.digital

    So schützen Sie sich vor Phishing, Datenklau und digitalen Angriffen

    09:15 - 10:15 Uhr
    Digitalkostenfrei
    „Bitte überweisen Sie den Betrag noch heute – es ist dringend.“ Eine kurze E-Mail, scheinbar von der Geschäftsführung persönlich, und schon wird aus einem normalen Arbeitstag ein kostspieliger Cybervorfall. In dieser praxisnahen Veranstaltung erfahren Sie, wie Sie Phishing-Angriffe und andere digitale Bedrohungen frühzeitig erkennen und Ihr Unternehmen mit einfachen, wirksamen Maßnahmen zuverlässig schützen.
    Weiterlesen
  • 24Feb 2026, Di.
    handel.digital

    Auf geht's zur Euroshop nach Düsseldorf - zusammen Neues entdecken!

    13:00 - 16:00 Uhr Messe Düsseldorf, Düsseldorf
    Präsenzkostenfrei
    Kommen Sie mit uns auf die EuroShop 2026 in Düsseldorf. Wir führen Sie über die weltweit wichtigste Retail-Messe und zeigen Ihnen die Highlights.
    Weiterlesen
Weiterlesen in Nachrichten

  • Großangriff auf Cyberkriminelle: Tech-Giganten schmieden Allianz gegen Online-Betrug

    30.03.2026
    Sicherheit & IT-Sicherheit
    Online-Betrug ist für viele Menschen in Deutschland längst ein reales Risiko. Aktuelle Umfragen zeigen, dass zahlreiche Verbraucherinnen und Verbraucher bereits mit Betrugsversuchen im Netz in Berührung gekommen sind. Ob Fake-Shops, Identitätsdiebstahl oder Phishing – die Methoden der Kriminellen werden zunehmend professioneller. Darauf reagiert nun auch die Branche: Acht der weltweit einflussreichsten Technologieunternehmen schließen sich zusammen, um digitale Kriminalität gemeinsam zu bekämpfen.
    Weiterlesen

  • Hessenweiter Aktionstag: Gemeinsam gegen Ladendiebstahl und für mehr Sicherheit im Handel!

    20.11.2025
    In eigener Sache, Sicherheit & IT-Sicherheit
    Von 10:00 bis 13:00 Uhr findet am 21. November 2025 erstmals ein landesweiter Präventionstag statt. Mit dem Hessisches Ministerium des Innern, für Sicherheit und Heimatschutz, Hessisches Landeskriminalamt und den örtlichen Polizeidienststellen sensibilisieren wir für mehr Sicherheit im Handel direkt und vor Ort.
    Weiterlesen

  • Ransomware im Einzelhandel: So hoch sind die Kosten für Unternehmen

    11.09.2025
    Sicherheit & IT-Sicherheit
    Ein aktueller Sophos Report zeigt, wie stark der Einzelhandel unter Ransomware Attacken leidet und wie weit die Angriffe sich inzwischen weiterentwickelt haben. Daten aus Befragungen von über 3.400 IT- und Sicherheitsverantwortlichen weltweit zeichnen ein düsteres Bild.
    Weiterlesen

  • Produktsicherheit im Handel: Bundesnetzagentur kontrolliert

    15.07.2025
    Europa, Recht & Soziales, Sicherheit & IT-Sicherheit
    Die Bundesnetzagentur führt regelmäßig unangekündigte Kontrollen im Handel durch. Dabei stehen insbesondere Importwaren im Fokus.
    Weiterlesen
Projektträger
Projektträger: Handelsverband Hessen
Projektträger: Handelsverband Hessen
Förderer
Gefördert durch: Hessisches Ministerium für Wirtschaft, Energie, Verkehr und Wohnen
Gefördert durch: Hessisches Ministerium für Wirtschaft, Energie, Verkehr und Wohnen
 
Gefördert durch: Technologieland Hessen
Gefördert durch: Technologieland Hessen
Daten­schutz­ein­stel­lun­gen

Diese Website nutzt externe Medien, wie z.B. Karten, Videos, Podcasts, Buchungsformulare und Social Media Posts, welche alle dazu genutzt werden können, Daten über Ihr Verhalten zu sammeln. Dabei werden auch Cookies gesetzt. Die Einwilligung zur Nutzung der Cookies & Erweiterungen können Sie jederzeit anpassen bzw. widerrufen.
Eine Übersicht zu den Cookies und externen Medien finden Sie in unserer Datenschutzhinweisen.

Welche Cookies bzw. Erweiterungen möchten Sie erlauben?