Zwei Milliarden E-Mail-Adressen, 1,3 Milliarden Passwörter, eine 72-Stunden-Uhr, die tickt – und Bußgelder, die existenzbedrohend werden können. Datenlecks sind kein Randproblem mehr. Sie sind der neue Normalzustand. Was das für Ihre Incident-Response-Strategie bedeutet, lesen Sie hier.
Was ein Datenleck nach DSGVO überhaupt bedeutet
Klingt technisch, ist aber brutal simpel: Eine Verletzung des Schutzes personenbezogener Daten liegt immer dann vor, wenn Sicherheit verletzt wird und dadurch Daten verloren gehen, verändert, unbefugt gespeichert oder weitergegeben werden. Name, E-Mail, Passwort, Anschrift, Mobilnummer – je nach Datenprofil des betroffenen Unternehmens kann die Liste sehr lang werden.
Das Pikante daran: Viele Unternehmen denken beim Begriff Datenleck noch immer an spektakuläre Hacks mit Filmreif-Faktor. Die Realität ist nüchterner. Fehlkonfigurierte Cloud-Buckets. Unverschlüsselte Backup-Archive. Ein Dienstleister ohne ausreichende technische und organisatorische Maßnahmen. Alles Datenlecks. Alle meldepflichtig – sofern ein Risiko für Rechte und Freiheiten der Betroffenen entsteht.
Was die Dimensionen des Problems illustriert: Die Datenschutzbehörde Mecklenburg-Vorpommern verwies auf einen Datensatz, der durch neu aufgetauchte Datensammlungen rund zwei Milliarden E-Mail-Adressen und etwa 1,3 Milliarden Passwörter in die Datenbank von „Have I Been Pwned“ einspeiste. Nicht ein einzelner Hack. Eine Kumulation aus Dutzenden früherer Leaks – gebündelt, wiederverwertet, sofort einsatzbereit für Credential-Stuffing-Angriffe. Plot Twist: Das „neue“ Datenleck ist häufig das alte, das niemand vergessen hat außer dem betroffenen Unternehmen.
Die 72-Stunden-Frist: Schöner Wunsch oder echte Pflicht?
Art. 33 DSGVO ist klar. Unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden einer Datenschutzverletzung muss der Verantwortliche die zuständige Aufsichtsbehörde informieren – sofern ein Risiko besteht. Was die Meldung enthalten muss, ist ebenfalls definiert: Art der Verletzung, ungefähre Zahl der betroffenen Personen und Datensätze, Kategorien der Daten, Kontakt des Datenschutzbeauftragten, wahrscheinliche Folgen, ergriffene und geplante Maßnahmen.
Wer glaubt, 72 Stunden sei komfortabel viel Zeit, hat noch nie einen echten Incident erlebt. Forensik läuft. Systeme müssen isoliert werden. Die Geschäftsführung will Briefings. Die Rechtsabteilung diskutiert noch, ob überhaupt ein Risiko vorliegt. Parallel rattert die Uhr. In dieser Gemengelage scheitern Unternehmen nicht an der Frist selbst, sondern daran, dass sie vorher keinen Incident-Response-Plan hatten.
Noch sportlicher wird es im Telekommunikationsbereich. § 169 TKG gibt Anbietern öffentlich zugänglicher Telekommunikationsdienste nur 24 Stunden nach Feststellung, um an Bundesnetzagentur und BfDI zu melden. Und wenn von der Verletzung schwerwiegende Beeinträchtigungen zu erwarten sind, müssen zusätzlich die Betroffenen unverzüglich benachrichtigt werden. Nachmeldungen offener Punkte sind spätestens nach drei Tagen fällig. Eine detaillierte Übersicht der Meldepflichten hält die Bundesnetzagentur zu Datenschutzverletzungen bereit. Wer das alles ad hoc orchestrieren will, ohne vorher geprobt zu haben, macht sich das Leben unnötig schwer.
Wenig überraschend: Die meisten Unternehmen, die an Fristen scheitern, scheitern nicht an bösem Willen, sondern an unklaren internen Zuständigkeiten. Wer meldet? Wer entscheidet, ob ein Risiko vorliegt? Wer hat den Draht zur Aufsichtsbehörde? Diese Fragen müssen vor dem Incident beantwortet sein.
DSGVO-Bußgelder: Kein Konzernproblem
Brisant ist die weit verbreitete Fehlannahme, DSGVO-Bußgelder träfen nur Konzerne. Der gesetzliche Rahmen aus Art. 83 DSGVO gilt für alle Verantwortlichen: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist. Die Höhe wird an Größe, Schwere des Verstoßes und Grad der Kooperation angepasst. Für ein mittelständisches Unternehmen mit fünf Millionen Euro Umsatz bedeutet vier Prozent aber immer noch 200.000 Euro. Das ist keine Randnotiz.
Die Bemessungskriterien sind in Art. 83 Abs. 2 DSGVO aufgelistet: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, welche Kategorien personenbezogener Daten betroffen waren, ob das Unternehmen kooperiert hat, ob es bereits frühere Verstöße gab. Wer bei einem Datenleck gar nicht oder verspätet meldet, potenziert das Risiko. Wer dagegen nachweislich geeignete technische und organisatorische Maßnahmen getroffen und transparent kommuniziert hat, senkt es.
Meiner Einschätzung nach unterschätzen vor allem mittelgroße Unternehmen, wie stark das Eigenverhalten nach einem Vorfall die Bußgeldhöhe beeinflusst. Aufsichtsbehörden schauen sehr genau hin, ob ein Unternehmen aktiv mitgearbeitet hat oder ob Behörden die Fakten mühsam selbst zusammentragen mussten.
Art. 32 DSGVO: Technische und organisatorische Maßnahmen sind keine Checkbox
Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Das klingt abstrakt. In der Aufsichtspraxis bedeutet es: Pseudonymisierung und Verschlüsselung, Vertraulichkeit, Integrität und Belastbarkeit der Systeme, die Fähigkeit zur raschen Wiederherstellung nach einem Vorfall – und regelmäßige Überprüfung der Wirksamkeit dieser Maßnahmen.
Der Clou liegt im letzten Punkt. Regelmäßige Überprüfung. Wer seine Sicherheitsarchitektur einmal aufgesetzt und seitdem nicht mehr angefasst hat, erfüllt Art. 32 DSGVO nicht. Das BSI und zahlreiche Datenschutzbehörden empfehlen inzwischen Penetrationstests als konkretes Instrument zum Nachweis dieser Wirksamkeitsprüfung. Sicherheitslücken finden, bevor Angreifer sie finden – das ist der eigentliche Zweck. Und ja, ein bestandener Pentest ist auch im Gespräch mit der Aufsichtsbehörde nach einem Vorfall ein relevantes Argument.
Fachleute aus dem Datenschutzbereich bezeichnen Penetrationstests heute nicht mehr als optionales Extra, sondern als unverzichtbares Instrument für Datenschutz und Cybersicherheit. In der Kombination aus DSGVO, NIS-2 und verschärfter Behördenpraxis ist das kein Trend mehr, sondern gelebter Erwartungsrahmen.
Zu den Mindestmaßnahmen, die aus dem Zusammenspiel von Art. 32 DSGVO und aktueller Aufsichtspraxis ableitbar sind: Verschlüsselung sensibler Datenkategorien, Netzwerksegmentierung, mehrstufige Authentifizierung für privilegierte Zugänge, regelmäßige Schwachstellenscans und Penetrationstests, dokumentierte Wiederherstellungsprozesse sowie klare Rollen und Eskalationspfade im Incident-Response-Plan.
Incident Response: Was im Ernstfall wirklich zählt
Ein Datenleck ist kein IT-Problem. Es ist ein Unternehmensproblem. Und der Incident-Response-Plan muss das abbilden. Das bedeutet: Technisches Team, Datenschutzbeauftragte, Rechtsabteilung, Kommunikation und Geschäftsführung müssen wissen, wer wann was tut. Stichworte: Krisenstab, dokumentierte Eskalationskette, definierte Meldewege zu den Aufsichtsbehörden.
Was in der Praxis regelmäßig schiefläuft: Die Forensik beginnt, bevor Beweise gesichert wurden. Das Kommunikationsteam erfährt vom Vorfall aus der Presse. Die Rechtsabteilung wird erst konsultiert, wenn die Frist schon zur Hälfte abgelaufen ist. Alle drei Szenarien sind vermeidbar – mit einem vorher getesteten Plan.
Krisenkommunikation ist dabei kein weicher Faktor. Datenschutzexperten betonen, dass verzögerte oder beschönigende Kommunikation nach einem Datenleck regelmäßig zu einem zweiten Reputationsschaden führt – selbst wenn die technische Ursache längst behoben ist. Proaktiv, transparent, zielgruppengerecht: Das sind die drei Parameter, an denen Krisenkommunikation gemessen wird. Betroffene Personen informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht – Art. 34 DSGVO macht das zur Pflicht, kein Goodwill.
Ein Punkt, der in der Hitze des Moments oft vergessen wird: Alle Datenschutzverletzungen müssen intern dokumentiert werden – auch jene, die kein Risiko darstellen und deshalb nicht meldepflichtig sind. Die Aufsichtsbehörde kann diese Dokumentation einfordern. Wer nichts aufgeschrieben hat, hat nichts zu zeigen.
Tabletop-Übungen: Den Ernstfall proben, bevor er eintrifft
Ein Incident-Response-Plan, der nur auf Papier existiert, ist in der Krise wertlos. Erfahrene Sicherheitsteams und Datenschutzbeauftragte empfehlen deshalb sogenannte Tabletop-Übungen – strukturierte Planspiele, bei denen ein Datenleck-Szenario durchgespielt wird, ohne dass echte Systeme betroffen sind. Dabei sitzt das gesamte relevante Team zusammen: IT-Sicherheit, Datenschutzbeauftragter, Rechtsabteilung, Kommunikation, Geschäftsführung. Ein Moderator schildert den Vorfall schrittweise, die Beteiligten entscheiden, was als Nächstes zu tun ist.
Was diese Übungen regelmäßig aufdecken: Zuständigkeitslücken, die im Alltag unsichtbar waren. Fehlende Kommunikationskanäle zwischen Abteilungen. Unklarheit darüber, ab welchem Schwellenwert ein Risiko für Rechte und Freiheiten der Betroffenen anzunehmen ist. Und immer wieder: Unkenntnis über die konkreten Meldeformulare und Ansprechpartner der zuständigen Aufsichtsbehörde. Solche Lücken kosten im Ernstfall genau die Zeit, die nicht zur Verfügung steht.
Empfehlenswert ist mindestens eine Tabletop-Übung pro Jahr sowie nach jeder wesentlichen Änderung der IT-Infrastruktur oder des Dienstleistungsportfolios. Unternehmen, die NIS-2-pflichtig sind, sollten Übungen sogar in ihren regulatorischen Kalender integrieren, da die Nachweispflicht gegenüber Behörden sonst schwer zu erfüllen ist.
Was Betroffene tun können – und was nicht
Für Menschen, deren Daten in einem Datenleck aufgetaucht sind, läuft die erste praktische Maßnahme immer über Passwörter. Passwort auf dem betroffenen Dienst sofort ändern. Alle weiteren Dienste prüfen, bei denen dieselbe Kombination aus E-Mail und Passwort genutzt wurde – diese ebenfalls ändern. Idealerweise nie wieder dieselbe Kombination zweimal verwenden. Passwortmanager lösen dieses Problem strukturell. Zwei-Faktor-Authentifizierung ist kein Luxus, sondern Pflichtprogramm.
Ob die eigene E-Mail-Adresse in einer bekannten Leak-Sammlung auftaucht, lässt sich über Dienste wie „Have I Been Pwned“ prüfen – von Datenschutzbehörden ausdrücklich empfohlen. Die Kumulation aus zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörtern in einer einzigen Sammlung zeigt, wie lange abgeflossene Daten in der Angriffs-Infrastruktur zirkulieren. Ein Passwort, das vor drei Jahren geleakt wurde, kann heute noch für Credential-Stuffing genutzt werden.
Phishing-Mails nach einem bekannt gewordenen Datenleck sind kein hypothetisches Risiko. Angreifer wissen, dass Betroffene nervös sind und auf Mails reagieren, die angeblich vom betroffenen Unternehmen stammen. Absender genau prüfen. Keine Links öffnen. Keine sensiblen Daten eingeben. Und: Misstrauen ist hier keine Paranoia, sondern gesunder Menschenverstand.
Meldepflichten koordinieren: DSGVO, TKG, NIS-2
Wer mehrere regulatorische Pflichten gleichzeitig erfüllen muss, hat ein Koordinationsproblem. Die DSGVO gibt 72 Stunden. Das TKG gibt Telekommunikationsanbietern 24 Stunden. NIS-2 hat eigene Meldefristen und betrifft Betreiber kritischer Infrastrukturen sowie wichtige und besonders wichtige Einrichtungen. Diese Fristen laufen nicht sequenziell, sondern parallel.
Der Clou: Ein Unternehmen, das gleichzeitig Telekommunikationsdienste anbietet und unter NIS-2 fällt, muss potenziell mehrere Behörden gleichzeitig informieren – mit unterschiedlichen Formaten und unterschiedlichem Umfang. Wer das erst beim Incident herausfindet, verliert Zeit, die er nicht hat. Die Lösung ist keine Rocket Science: Meldepflichten im Vorfeld kartieren, Zuständigkeiten fixieren, Meldeformulare kennen, Behördenkontakte im System haben.
Einen guten Überblick zu den rechtlichen Verzahnungen und zur Krisenkommunikation unter DSGVO und NIS-2 bietet der Praxisleitfaden von Consense Communications zu Datenleck und Krisenkommunikation. Für den internen Incident-Response-Plan ist die Volltext-Fassung von Art. 33 DSGVO bei dsgvo-gesetz.de die erste Pflichtlektüre. Wie stark das regulatorische Umfeld in Europa insgesamt an Schärfe gewinnt, zeigt auch der aktuelle Report zur Cybersicherheit in Europa 2025, der den wachsenden Druck auf Unternehmen aller Größenklassen dokumentiert.
Was Cyberangriffe mit Datenlecks zu tun haben – und warum der Mittelstand besonders exponiert ist
Datenlecks entstehen nicht immer durch externe Angriffe. Aber in einem erheblichen Teil der Fälle steckt ein Cyberangriff dahinter – Ransomware, die Daten exfiltriert, bevor sie verschlüsselt, Phishing, das Zugangsdaten abgreift, kompromittierte Dienstleister als Einfallstor. Studien und Lageberichte zeigen konsistent: Zwei Drittel der deutschen Unternehmen sehen ihre Existenz durch Cyberangriffe bedroht. Der Mittelstand ist überproportional betroffen, weil Angreifer wissen, dass dort oft weniger Ressourcen für Abwehr bereitstehen als bei Großkonzernen.
Malware-Kampagnen, die auf den Mittelstand zielen, folgen dabei einem bekannten Muster: Erstinfektion über Phishing oder ungepatchte Schwachstellen, laterale Bewegung im Netzwerk, Exfiltration sensibler Daten, im schlimmsten Fall Ransomware-Deployment. Wer zu diesem Zeitpunkt kein Netzwerk-Monitoring, keine Endpoint-Detection und keinen getesteten Incident-Response-Plan hat, bemerkt den Einbruch oft erst, wenn es zu spät ist. Das BSI hat wiederholt auf die Malware-Bedrohung für den Mittelstand hingewiesen und konkrete Schutzmaßnahmen empfohlen.
Meine persönliche Einschätzung: Unternehmen, die Security immer noch primär als Kostenstelle betrachten, werden diese Perspektive spätestens beim ersten ernsthaften Datenleck revidieren – nur dann mit deutlich höherem Preisschild als vorher. Prävention ist billiger als Forensik, Bußgeld, Reputationsschaden und Kundenkommunikation kombiniert.
Dienstleister als Schwachstelle: Auftragsverarbeitung und Haftung
Ein blinder Fleck in vielen Incident-Response-Konzepten ist die Lieferkette. Wenn ein externer Dienstleister – ein Cloud-Anbieter, ein E-Mail-Marketing-Tool, ein Lohnbuchhaltungsdienstleister – ein Datenleck verursacht, bleibt der datenschutzrechtlich Verantwortliche trotzdem in der Pflicht. Meldepflicht, Betroffenenkommunikation, Dokumentation: All das liegt beim Auftraggeber, nicht allein beim Dienstleister.
Die Konsequenz für die Praxis ist eindeutig: Auftragsverarbeitungsverträge nach Art. 28 DSGVO müssen nicht nur existieren, sondern auch klare Regelungen zur Incident-Meldung des Dienstleisters an den Auftraggeber enthalten – mit konkreten Fristen, die so bemessen sind, dass der Auftraggeber die 72-Stunden-Frist der DSGVO noch einhalten kann. Wer seinem Cloud-Anbieter 48 Stunden gibt, um einen Vorfall zu melden, hat rechnerisch nur noch 24 Stunden für die eigene Reaktion. Das ist kein theoretisches Szenario – es ist gelebte Praxis in zahlreichen Unternehmen, die diese Zeitkette nie durchgerechnet haben.
Empfehlenswert ist deshalb eine regelmäßige Überprüfung aller Auftragsverarbeitungsverträge mit Blick auf Incident-Response-Klauseln, Meldepflichten des Dienstleisters und Audit-Rechte. Wer hier Lücken schließt, stärkt nicht nur seine regulatorische Compliance, sondern auch seine tatsächliche Reaktionsfähigkeit im Ernstfall.
Was bleibt – und was Sie jetzt tun
Die Regulierung zieht an. DSGVO-Bußgelder sind kein theoretisches Konstrukt. Fristen sind hart. Meldewege müssen vorher definiert sein. Und das Datenleck, das gerade keine Schlagzeilen macht, könnte das nächste sein, das Ihre Daten enthält.
Drei Fragen, die Sie sich heute stellen sollten: Wissen alle relevanten Stellen in Ihrem Unternehmen, was bei einem Datenleck in den ersten zwei Stunden zu tun ist? Haben Sie in den letzten zwölf Monaten geprüft, ob Ihre technischen und organisatorischen Maßnahmen noch dem aktuellen Risikoprofil entsprechen? Und: Könnten Sie im Ernstfall innerhalb von 72 Stunden eine vollständige, belegbare Meldung an die Aufsichtsbehörde abliefern?
Wenn die Antwort auf eine dieser Fragen zögernd ausfällt – welchen konkreten Schritt setzen Sie diese Woche, um das zu ändern?
Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.