T2-B09-06 tactics

Datenpanne als Krisen-Kommunikations-Trigger — Art. 33/34 DSGVO im Mandatsträger-Alltag

Eine Datenpanne (gestohlener Laptop, fehlversendete Email-Liste, Phishing-Erfolg) ist Krisen-Kommunikations-Trigger. Art. 33 DSGVO: 72-Stunden-Meldepflicht an Aufsichtsbehörde. Art. 34: Benachrichtigungspflicht an Betroffene bei hohem Risiko. Die operative Routine 2026.

Eine Datenpanne (gestohlener Laptop, fehlversendete Email-Liste, Phishing-Erfolg) ist Krisen-Kommunikations-Trigger. Art. 33 DSGVO: 72-Stunden-Meldepflicht an Aufsichtsbehoerde. Art. 34: Benachrichtigungspflicht an Betroffene bei hohem Risiko.^[1] Die operative Routine 2026.

Vier typische Datenpannen-Szenarien

— Geraete-Verlust. Mandatstraeger-Laptop oder Handy verloren, mit Buerger-Kontakten. — Fehl-Versand. Newsletter mit offenem CC statt BCC. — Phishing-Erfolg. Mitarbeiter-Zugang kompromittiert. — Plattform-Daten-Leak. Drittanbieter-Tool-Konto exfiltriert Daten.

Die Art. 33-Linie

— Meldepflicht an Aufsichtsbehoerde binnen 72 Stunden nach Bekanntwerden. — Inhalt: Art der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen, ergriffene Massnahmen. — Aufsicht: Landes-Datenschutzbehoerde des Mandatstraeger-Sitzes.

Die Art. 34-Linie

— Benachrichtigung der Betroffenen bei “voraussichtlich hohem Risiko.” — Hoehe-Risiko-Indikatoren: sensible Daten (Art. 9 DSGVO), grosse Anzahl Betroffener, Risiko-Identitaetsdiebstahl. — Benachrichtigungs-Form: in klarer und einfacher Sprache.

Operative Routine (Stunde 0 bis 72)

— Stunde 0-2: Eingrenzung. Quelle der Panne identifizieren, weitere Datenfluesse stoppen. — Stunde 2-12: Pruefung. Betroffenen-Kreis abschaetzen, Risiko-Niveau bestimmen. — Stunde 12-48: Meldung vorbereiten. Aufsichtsbehoerde-Anschreiben formulieren, intern Stakeholder informieren. — Stunde 48-72: Meldung absenden. Aufsichtsbehoerde-Meldung. Bei hohem Risiko: Betroffene benachrichtigen.

Public-Communication-Linie

Datenpannen werden in der Regel oeffentlich — Medien recherchieren. Die operative Linie: lieber selbst kommunizieren als von Medien gefragt werden. Klares, faktenbasiertes Statement: was passiert, was unternommen wird, welche Konsequenzen.

Sanktionen

Bei DSGVO-Verstoss: Bußgelder bis 20 Mio. EUR oder 4% des Vorjahresumsatzes (Art. 83 DSGVO). Aber: rechtzeitige und korrekte Meldung mindert Risiko.

Status-Hinweis

Stand 19.05.2026: Pre-Launch-Compliance-Review abgeschlossen. Bei konkretem Anwendungs- oder Streitfall ist die Konsultation eines spezialisierten Fachanwalts weiterhin empfohlen. Bei konkretem Datenpanne-Verdacht sofort Datenschutz-Beauftragten und Fachanwalt fuer Datenschutzrecht hinzuziehen.

Wo das hingehoert

Tiefe-1 Krisenkommunikation: T1-B09. Weitere Krisen-Vertiefungen T2-B09-01 bis T2-B09-05.

Codex Wahlkampf Sektion 10.

Quellen

DSGVO, Art. 33, 34 — Meldung von Datenpannen, Permalink, Abruf 18.05.2026.
DSK, Kurzpapier Nr. 18 — Datenpannen-Meldung, Permalink, Abruf 18.05.2026.