Datenpanne – Was Sie als Mitarbeiter tun sollten
Sie haben aus Versehen eine E-Mail mit Lohnlisten an einen Kunden geschickt? Ein USB-Stick mit Kundendaten ist weg? Sie haben auf einen Phishing-Link geklickt und sind unsicher, ob etwas passiert ist? Das ist eine Datenpanne, und Sie sollten sie melden – sofort.
Diese Anleitung zeigt, wie. Ohne Juristendeutsch, ohne Schuldzuweisung.
Was ist eine Datenpanne?
Abschnitt betitelt „Was ist eine Datenpanne?“Eine Datenpanne ist alles, was dazu führt, dass personenbezogene Daten (also Daten von Mitarbeitern, Kunden, Lieferanten, Bewerbern) unbeabsichtigt zugänglich werden oder verloren gehen.
Beispiele aus dem Alltag:
- E-Mail mit Anhang an falschen Empfänger
- USB-Stick mit Daten vergessen, verloren, gestohlen
- Notebook im Zug liegen gelassen
- Klick auf Phishing-Link mit Eingabe von Login-Daten
- Falsch konfigurierter Cloud-Ordner (öffentlich statt privat)
- Papier-Akte aus dem Drucker mitgenommen, dann verloren
- Kalender-Einladung an „Alle” statt nur an einen
- Ungesicherten Bildschirm verlassen, Externer fotografiert mit
- Versehentlich Datei mit falscher Personengruppe geteilt
Was Sie als Mitarbeiter tun sollten – die ersten 60 Minuten
Abschnitt betitelt „Was Sie als Mitarbeiter tun sollten – die ersten 60 Minuten“Schritt 1: Keine Panik
Abschnitt betitelt „Schritt 1: Keine Panik“Datenpannen passieren. Auch erfahrenen Mitarbeitern. Auch Geschäftsführern. Wichtig ist nicht, dass es passiert ist – sondern wie Sie reagieren.
Schritt 2: Sofort melden
Abschnitt betitelt „Schritt 2: Sofort melden“Melden Sie es innerhalb der ersten Stunde an:
- Ihren Vorgesetzten und/oder
- Den Datenschutzbeauftragten (DSB) Ihrer Firma
⚠️ Wichtig: Verschweigen Sie es nicht. Wenn die Datenpanne später entdeckt wird (und das passiert oft), ist das Verschweigen schlimmer als der ursprüngliche Fehler. Eine sofortige Meldung wird niemand beruflich gegen Sie verwenden.
Schritt 3: Beweise sichern
Abschnitt betitelt „Schritt 3: Beweise sichern“Sammeln Sie alles, was später wichtig sein könnte:
- Screenshots der versehentlichen E-Mail oder des falsch geteilten Ordners
- Mail-Ausgangs-Header (für die forensische Analyse)
- Zeitpunkt des Vorfalls
- Name(n) der Empfänger
Senden Sie diese Beweise an Ihren Vorgesetzten oder den DSB.
Schritt 4: Schaden begrenzen
Abschnitt betitelt „Schritt 4: Schaden begrenzen“Wenn möglich, begrenzen Sie den Schaden sofort:
- E-Mail an falschen Empfänger → „Rückruf”-Funktion in Outlook/Gmail nutzen (selten erfolgreich, aber versuchen)
- Phishing-Link geklickt → Computer vom Netz trennen, IT informieren
- Cloud-Ordner versehentlich öffentlich → sofort wieder privat stellen, prüfen wer drauf war
- Notebook verloren → Passwort ändern, Fern-Sperre auslösen (wenn aktiviert)
Wie melde ich es konkret?
Abschnitt betitelt „Wie melde ich es konkret?“In den meisten Firmen gibt es ein internes Melde-Formular in Hugo DSB. Ihr Vorgesetzter oder DSB kennt den Link.
Im Formular tragen Sie ein:
- Was ist passiert? (in eigenen Worten, kurz)
- Wann wurde es entdeckt?
- Welche Daten sind betroffen? (geschätzt – „etwa 15 Lohndaten” reicht)
- Wer ist Empfänger oder Finder? (wenn bekannt)
- Was haben Sie schon getan?
Klicken Sie auf „Senden”. Die Meldung geht direkt an den DSB Ihrer Firma. Er übernimmt ab dann.
Was passiert dann?
Abschnitt betitelt „Was passiert dann?“Der DSB oder Ihre Geschäftsleitung prüft den Fall:
- Risikobewertung – wie ernst ist es?
- Wenn nötig: Meldung an die Datenschutzbehörde innerhalb 72 Stunden
- Wenn nötig: Information der Betroffenen (z. B. der Kunden, deren Daten betroffen sind)
- Interne Maßnahmen – wie verhindern wir das in Zukunft?
- Dokumentation in der Compliance-Akte
Sie selbst müssen nichts mehr tun – außer ggf. später noch Detailfragen beantworten.
Was Sie NICHT tun sollten
Abschnitt betitelt „Was Sie NICHT tun sollten“- ❌ Verschweigen. Macht alles schlimmer.
- ❌ Selbst kontaktieren. Rufen Sie nicht den falschen Empfänger an, schicken Sie keine eigene Erklärung. Das ist Sache des DSB.
- ❌ Daten löschen, um Spuren zu verwischen. Macht alles schlimmer.
- ❌ Andere Mitarbeiter informieren („damit alle Bescheid wissen”). Datenschutz ist eine Sache zwischen Ihnen und dem DSB.
- ❌ Auf Social Media erwähnen. Ja, das ist passiert. Nein, machen Sie das nicht.
Müssen Sie mit Konsequenzen rechnen?
Abschnitt betitelt „Müssen Sie mit Konsequenzen rechnen?“In den meisten Fällen: Nein. Eine versehentliche Datenpanne ist kein Kündigungsgrund. Was zu Konsequenzen führen kann, ist:
- Vorsätzliches Handeln (Daten absichtlich an Dritte geben)
- Wiederholte schwere Fahrlässigkeit (immer wieder dieselben Fehler)
- Verschweigen (das ist meistens schlimmer als der ursprüngliche Fehler)
Eine ehrliche, sofortige Meldung führt fast nie zu arbeitsrechtlichen Konsequenzen. Im Gegenteil: Viele Unternehmen würdigen es, dass Sie offen reagiert haben.
Praxis-Beispiel: Phishing-Klick
Abschnitt betitelt „Praxis-Beispiel: Phishing-Klick“Sie haben heute Morgen eine Mail bekommen mit dem Betreff „Ihre Bestellung”. Sie haben geklickt, eine Login-Seite kam, Sie haben Login und Passwort eingegeben. Dann haben Sie gemerkt: das war Phishing.
Was tun?
- Sofort den IT-Verantwortlichen anrufen (nicht mailen!)
- Den Computer vom Netz trennen (LAN-Kabel ziehen, WLAN aus)
- Passwörter aller relevanten Accounts ändern (von einem anderen Gerät)
- MFA aktivieren, falls noch nicht
- Den Vorfall im Hugo DSB Melde-Formular dokumentieren
„Muss ich die Datenpanne wirklich melden, auch wenn nichts passiert ist?” Ja. „Nichts passiert” ist eine Annahme. Der DSB muss bewerten, ob etwas passieren könnte. Eine Mail an einen Geschäftspartner ist anders zu bewerten als eine Mail an eine unbekannte Adresse.
„Was, wenn ich nicht weiß, wer mein DSB ist?” Fragen Sie Ihren Vorgesetzten. Wenn der es auch nicht weiß, fragen Sie Ihre Personalabteilung oder Geschäftsführung. In jedem Fall: Sprechen Sie mit jemandem. Schweigen Sie nicht.
„Was, wenn ich einen Kollegen bei einer Datenpanne erwische?” Sprechen Sie mit ihm. Wenn er den Fehler nicht melden will, melden Sie es selbst. Datenschutz ist nicht Verrat – es ist Verantwortung.