Datenpanne in 72 Stunden melden: Schritt-für-Schritt-Anleitung für Hamburger Unternehmen

Es war ein Sonntagabend im Oktober. Anruf eines Mandanten, IT-Dienstleister mit 15 Mitarbeitern aus Hamburg-Bahrenfeld. Der Geschäftsführer:

„Nils, wir glauben, wir sind gehackt worden. Mein Postfach verschickt seit Stunden E-Mails an alle unsere Geschäftspartner.”

Das war ein klassischer Microsoft-365-Phishing-Fall — und der Beginn von 72 Stunden, in denen man jeden Schritt richtig machen muss.

Was zählt überhaupt als „Datenpanne”?

Die DSGVO spricht in Art. 4 Nr. 12 von einer „Verletzung des Schutzes personenbezogener Daten”:

„eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt”

Konkret meldepflichtig sind in der Praxis:

• Phishing-Angriff auf Mitarbeiterpostfächer mit erfolgreicher Anmeldung
• Diebstahl eines Laptops, USB-Sticks oder Smartphones mit Kundendaten
• Fehlversand einer E-Mail mit Kundendaten an den falschen Verteiler
• Cryptolocker / Ransomware mit Verschlüsselung von Personaldaten
• Fehlerhaft konfigurierte Cloud-Speicher mit öffentlichem Zugriff
• Insider-Vorfälle (z. B. ein gekündigter Mitarbeiter, der Daten mitnimmt)

Nicht jede „IT-Panne” ist auch eine Datenpanne nach DSGVO. Ein Server-Ausfall ohne Datenabfluss zählt nicht. Ein gehackter Webshop mit Kundendatenbank-Zugriff sehr wohl.

Die 72-Stunden-Frist: Wann läuft sie?

Wichtig: Die Frist beginnt nicht beim Angriff, sondern bei der Kenntnisnahme durch den Verantwortlichen. Im Hamburger M365-Fall:

• Sonntag 18:30 Uhr — Hacker übernimmt Postfach
• Montag 06:45 Uhr — Geschäftspartner ruft an („Habt ihr mir gerade eine OneDrive-Datei geschickt?”)
• Montag 06:45 Uhr — Frist beginnt
• Mittwoch 06:45 Uhr — Frist endet (72 Stunden später)

Innerhalb dieser Frist müssen Sie eine vollständige Meldung beim HmbBfDI einreichen. Vollständig heißt: Art und Umfang der Datenpanne, Zahl der Betroffenen, voraussichtliche Folgen, getroffene Maßnahmen.

Die ersten 60 Minuten: Was Sie sofort machen müssen

Hier die Checkliste, die wir Mandanten geben:

1. Eindämmen (Stunde 1)

• Bei M365-Phishing: Konto sperren, Sessions terminieren, MFA neu erzwingen
• Bei verlorenem Gerät: Remote-Wipe, MDM-Sperre, Passwort-Reset
• Bei Falsch-Versand: Empfänger sofort kontaktieren, Mail löschen lassen
• Bei Ransomware: System vom Netz, IT-Forensiker verständigen

2. Dokumentieren (Stunde 1–6)

• Wann genau wurde der Vorfall bemerkt? Von wem?
• Welche Daten waren betroffen? In welchem Umfang?
• Welche Maßnahmen wurden bereits getroffen?
• Welche Logs liegen vor (M365 Audit Log, Server-Logs, Firewall-Logs)?

3. DSB einbinden (Stunde 1)

• Mit externem DSB: anrufen, ab da läuft die Bewertung parallel
• Bei akuten Vorfällen erreichen Mandanten uns auch außerhalb der Geschäftszeiten unter < 4 Stunden

Die nächsten 71 Stunden: Strukturierter Ablauf

Stunde 6–24:

• Forensische Analyse: Was wurde tatsächlich abgegriffen?
• Risikobewertung: Welche Folgen drohen den Betroffenen (Identitätsdiebstahl, finanzielle Verluste, Reputationsschäden)?
• Entscheidung: Meldung an die Aufsichtsbehörde nach Art. 33 — und ggf. an die Betroffenen nach Art. 34?

Stunde 24–48:

• Ausformulieren der Meldung an den HmbBfDI (Online-Formular auf datenschutz-hamburg.de)
• Vorbereitung der Benachrichtigung der Betroffenen, falls erforderlich
• Implementierung kurzfristiger Schutzmaßnahmen (Passwort-Resets, Schulungen, MFA-Härtung)

Stunde 48–72:

• Einreichen der Meldung beim HmbBfDI
• Versand der Betroffenen-Benachrichtigungen (DSGVO Art. 34)
• Interne Dokumentation des Vorfalls für die VVT

Wann müssen die Betroffenen informiert werden?

Nach Art. 34 DSGVO immer dann, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Klassische Beispiele:

• Pflicht: Kreditkartendaten, Gesundheitsdaten, Bankdaten, Passwörter im Klartext
• Pflicht: Wenn Phishing-Mails von Ihrem Konto an Geschäftspartner gingen — die müssen wissen, dass die Mails NICHT von Ihnen waren
• Pflicht: Bei vollständigen Identitäten (Name + Adresse + Geburtsdatum + Kontaktdaten)
• Nicht zwingend: Bei verschlüsselten Daten ohne realistische Entschlüsselungschance (sog. „technischer Schutz”)

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen — keine juristischen Schachtelsätze. Sie muss enthalten: Beschreibung des Vorfalls, voraussichtliche Folgen, getroffene Maßnahmen, Kontaktstelle für Rückfragen.

Was kommt nach der Meldung? Der HmbBfDI antwortet

In aller Regel antwortet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit innerhalb von 2–6 Wochen mit Rückfragen. Typische Punkte:

• Wie konnte der Vorfall trotz vorhandener Maßnahmen passieren?
• Welche neuen TOMs (technisch-organisatorische Maßnahmen nach Art. 32 DSGVO) wurden eingeführt?
• Wurden Mitarbeiter in der Zwischenzeit geschult?
• Wurde der Vorfall ins Verzeichnis von Verarbeitungstätigkeiten aufgenommen?

In unserer Mandantschaft enden 95 % aller Datenpannen-Meldungen ohne Bußgeld. Voraussetzung: schnelle, ehrliche, vollständige Meldung. Die Aufsichtsbehörde unterscheidet sehr genau zwischen einem Unternehmen, das Fehler macht und transparent dazu steht, und einem, das Vertuschungsversuche unternimmt.

Was wir aus dem Hamburger Fall gelernt haben

Zurück zum M365-Fall vom Anfang. Verlauf:

• Sonntag 18:30: Hacker übernimmt Postfach via Token-Theft (MFA wurde umgangen, weil der Token gestohlen wurde)
• Montag 06:45: Geschäftspartner meldet Phishing-Mail
• Montag 07:00: Anruf bei uns, sofort Account-Sperre, MFA-Reset, Sessions terminiert
• Montag bis Mittwoch: Forensische Analyse zusammen mit IT-Dienstleister, Aufsichtsmeldung vorbereitet
• Mittwoch 16:30: Meldung beim HmbBfDI eingereicht — innerhalb der 72 Stunden
• Donnerstag: Betroffenen-Benachrichtigung an alle Geschäftspartner mit Hinweis: „Mails von uns vom Sonntag 18:30 bis Montag 07:00 sind NICHT von uns. Bitte Anhänge nicht öffnen, Links nicht klicken, beim leisesten Zweifel bei uns anrufen.”

Ergebnis: Bußgeld 0 €. Reputationsschaden minimal, weil die Geschäftspartner die transparente Information geschätzt haben. Folgemaßnahmen: Conditional Access in M365 (Token-Bindung an Gerät), Phishing-Awareness-Schulung für alle Mitarbeiter, neuer Notfallplan.

Was Sie jetzt tun sollten

Auch wenn Sie aktuell keine Datenpanne haben: Bereiten Sie sich vor.

• Klären Sie, wer im Ernstfall sofort informiert wird (intern und extern).
• Halten Sie eine Telefonliste bereit: IT-Dienstleister, externer DSB, Geschäftsführer, ggf. Anwalt.
• Sorgen Sie für Logging: M365 Audit Log mindestens 90 Tage, Firewall-Logs, Backup-Status.
• Üben Sie das Verfahren einmal pro Jahr — wir machen das mit unseren Mandanten als sogenannten „Tabletop-Exercise”.

Wenn Sie aktuell gerade einen Vorfall haben: 040 57308220-0. Wir sind erreichbar — auch außerhalb der regulären Geschäftszeiten unter 4 Stunden bei akuten Vorfällen.