Datenpanne intern richtig melden in 7 Schritten

Von Michael Schlotter · 6 Min. Lesezeit
Datenpanne intern richtig melden in 7 Schritten

Ein verloren gegangenes Geschäftshandy, ein falsch adressierter E-Mail-Anhang oder ein unerwartet öffentlich erreichbarer Ordner: Wer eine Datenpanne intern richtig melden kann, gewinnt vor allem eines - Zeit für eine kontrollierte Reaktion. Gerade in KMU darf eine Auffälligkeit nicht zuerst in mehreren Abstimmungsschlaufen verschwinden. Mitarbeitende müssen wissen, wo sie sich melden, welche Informationen benötigt werden und dass eine frühe Meldung erwünscht ist.

Eine Datenpanne ist nicht nur ein Hackerangriff. Gemeint ist jede Sicherheitsverletzung, bei der Personendaten unbeabsichtigt verloren gehen, verändert, offenlegt oder unbefugt zugänglich werden. Das kann Kundendaten, Personaldossiers, Bewerbungen, Gesundheitsangaben, Zugangsdaten oder geschäftliche Kontaktdaten betreffen. Ob daraus eine Meldung an eine Behörde oder eine Information an betroffene Personen folgt, ist eine spätere Beurteilung. Der erste und entscheidende Schritt ist immer die interne Meldung.

Warum die interne Meldung über den weiteren Verlauf entscheidet

Unter dem seit dem 1. September 2023 geltenden Schweizer DSG müssen Unternehmen Verletzungen der Datensicherheit erkennen, beurteilen und bei Bedarf angemessen behandeln. Dazu braucht es belastbare Fakten. Fehlt ein definierter interner Prozess, bleiben zentrale Fragen oft zu lange offen: Was ist geschehen? Welche Daten sind betroffen? Ist der Zugriff noch möglich? Wer koordiniert technische, fachliche und kommunikative Massnahmen?

Eine frühe Meldung ist kein Schuldeingeständnis. Sie ist ein betrieblicher Sicherheitsmechanismus. Mitarbeitende sollen daher nicht erst dann informieren, wenn sie den Vorfall vollständig verstanden oder selbst gelöst haben. Gerade der Versuch, eine falsch versandte Datei zurückzurufen, ein kompromittiertes Konto still zu bereinigen oder ein Gerät eigenständig zu suchen, kann wertvolle Zeit kosten und Spuren verwischen.

Entscheidend ist auch die Abgrenzung: Nicht jede Unregelmässigkeit ist automatisch ein meldepflichtiger Vorfall gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Eine interne Meldung sollte hingegen bewusst niedrigschwellig sein. Das Unternehmen braucht zuerst die Möglichkeit, den Sachverhalt sauber einzuordnen und Risiken zu reduzieren.

Datenpanne intern richtig melden: Der Meldeweg muss einfach sein

Ein funktionierender Meldeweg besteht nicht aus einem langen Handbuch, das im Ernstfall niemand findet. Er braucht einen klaren Kanal, eine zuständige Stelle und eine Vertretung. Je nach Unternehmensgrösse kann die erste Meldung an IT, Compliance, die Datenschutzverantwortlichen oder eine zentrale Sicherheitsadresse gehen. Wichtig ist, dass Mitarbeitende nicht rätseln müssen, ob sie zuerst die direkte Führungskraft, den Helpdesk oder die Geschäftsleitung kontaktieren sollen.

Für viele KMU bewährt sich ein zentraler Meldekanal mit einer klaren Eskalationslogik. Ausserhalb der Geschäftszeiten sollte geregelt sein, wie kritische Vorfälle weitergeleitet werden. Eine allgemeine Support-Adresse genügt nur dann, wenn sie tatsächlich überwacht wird und die zuständigen Personen den Vorfall rasch erkennen können.

Die Meldung sollte möglichst sofort erfolgen - auch wenn einzelne Angaben noch fehlen. Ein kurzes Formular oder ein standardisiertes Ticket hilft, ohne Mitarbeitende mit juristischen Begriffen zu überfordern. Es sollte vor allem diese vier Punkte erfassen:

  • Was wurde festgestellt und wann?
  • Welche Systeme, Dateien, Geräte oder Konten könnten betroffen sein?
  • Welche Personendaten und Personengruppen sind nach aktuellem Wissen involviert?
  • Welche Sofortmassnahmen wurden bereits ergriffen?

Zusätzlich hilfreich sind Kontaktangaben der meldenden Person, Screenshots, Fehlermeldungen oder Angaben zu Empfängerinnen und Empfängern einer fehlgeleiteten E-Mail. Dabei gilt: Fakten festhalten, keine Vermutungen als Tatsachen darstellen. Wenn unklar ist, ob ein externer Zugriff stattgefunden hat, gehört genau diese Unsicherheit in die Meldung.

Beispiel: Die E-Mail an den falschen Empfänger

Eine HR-Mitarbeiterin sendet eine Tabelle mit Abwesenheitsdaten versehentlich an eine externe Kontaktperson. Sie stellt den Fehler nach wenigen Minuten fest. Die interne Meldung sollte nicht erst nach einem Rückruf beim Empfänger erfolgen. Sie hält fest, wann die E-Mail versandt wurde, welche Datei angehängt war, wer sie erhalten hat und ob eine Rückruf- oder Löschanfrage bereits ausgelöst wurde.

Das Incident-Team kann danach beurteilen, ob der Empfänger erreichbar ist, ob die Datei geschützt war, welche Informationen sichtbar waren und welche weiteren Schritte erforderlich sind. Die HR-Mitarbeiterin muss diese Beurteilung nicht selbst vorwegnehmen. Ihre Aufgabe ist die schnelle, vollständige Weitergabe der verfügbaren Informationen.

Die ersten Stunden: Eindämmen, sichern, dokumentieren

Nach Eingang der Meldung braucht es eine Person oder ein kleines Team, das den Vorgang führt. Bei technischen Vorfällen steht zunächst die Eindämmung im Vordergrund: Zugänge sperren, Passwörter zurücksetzen, Freigaben entfernen, kompromittierte Geräte vom Netz trennen oder den Versand weiterer Daten stoppen. Diese Massnahmen müssen verhältnismässig sein. Ein breit angelegtes Abschalten kann einen Angriff begrenzen, aber auch den Betrieb unnötig beeinträchtigen. Die IT und die Fachverantwortlichen sollten deshalb abgestimmt handeln.

Parallel dazu werden Belege gesichert. Log-Dateien, Zeitangaben, relevante E-Mails, Screenshots und Systeminformationen helfen später, den Ablauf nachzuvollziehen. Wer voreilig Daten löscht oder Systeme verändert, erschwert die Analyse. Das bedeutet nicht, dass ein unsicheres System unverändert bleiben soll. Es bedeutet, dass Sicherung und Bereinigung koordiniert erfolgen müssen.

Eine laufende Ereignisdokumentation schafft Klarheit. Darin gehören die erste Meldung, die bekannten Tatsachen, Entscheidungen, Zuständigkeiten, getroffene Massnahmen und offene Fragen. Diese Dokumentation ist nicht bloss Ablage. Sie verhindert, dass bei einem Personalwechsel oder während einer hektischen Lage wichtige Informationen verloren gehen.

Rollen vor dem Vorfall festlegen

Viele Verzögerungen entstehen nicht wegen fehlender Technik, sondern wegen unklarer Verantwortung. Die IT kann den Zugang sperren, weiss aber nicht, welche Geschäftsprozesse betroffen sind. HR kennt den Inhalt eines Dossiers, darf jedoch keine externe Kommunikation freigeben. Die Geschäftsleitung muss unter Umständen entscheiden, erhält aber nur fragmentierte Informationen.

Ein praxistauglicher Ablauf trennt daher Meldung, technische Analyse, Risikobeurteilung und Kommunikation. In kleineren Unternehmen können mehrere Rollen bei derselben Person liegen. Trotzdem sollte eindeutig geregelt sein, wer bei Abwesenheit übernimmt und wer Entscheide verbindlich freigibt. Bei Auftragsbearbeitern, etwa einem externen IT-Provider oder Cloud-Dienstleister, gehört auch eine Kontakt- und Eskalationsregelung in die Vereinbarung und in den Notfallprozess.

Datenschutzverantwortliche oder externe Fachpersonen können die Beurteilung begleiten, insbesondere wenn sensible Daten, viele betroffene Personen oder internationale Bezüge im Spiel sind. Die operative Verantwortung bleibt jedoch im Unternehmen verankert. Ein externes Gutachten ersetzt keinen funktionierenden internen Alarmweg.

Risiken beurteilen, ohne vorschnell zu kommunizieren

Sobald der Vorfall eingedämmt und der Sachverhalt genügend geklärt ist, wird das Risiko für die betroffenen Personen bewertet. Dabei zählen nicht nur die Datenmenge oder die Anzahl Datensätze. Relevant sind auch die Art der Angaben, die Möglichkeit einer Identifizierung, die Dauer und Reichweite eines unbefugten Zugriffs sowie mögliche Folgen wie Identitätsmissbrauch, Diskriminierung oder finanzielle Nachteile.

Je nach Ergebnis kann eine Meldung an den EDÖB erforderlich sein, insbesondere wenn ein voraussichtlich hohes Risiko für Persönlichkeit oder Grundrechte der betroffenen Personen besteht. Unter Umständen kann auch eine Information der betroffenen Personen angezeigt sein. Bei Datenbearbeitungen mit EU-Bezug können zusätzlich Anforderungen der DSGVO relevant werden. Diese Entscheide brauchen eine nachvollziehbare Grundlage und sollten nicht allein aufgrund eines Bauchgefühls getroffen werden.

Kommunikation nach aussen ist sorgfältig zu steuern. Eine voreilige Nachricht mit ungesicherten Angaben kann Vertrauen zusätzlich belasten. Umgekehrt darf die Klärung nicht als Vorwand dienen, notwendige Informationen aufzuschieben. Gute Vorbereitung hilft: Vorlagen für interne Lageupdates, Zuständigkeiten für Medien- oder Kundenanfragen und abgestimmte Freigaben verkürzen die Reaktionszeit erheblich.

Aus jedem Vorfall eine konkrete Verbesserung ableiten

Nach dem akuten Teil endet die Arbeit nicht. Ein kurzer Abschlussreview zeigt, ob der Prozess funktioniert hat und was angepasst werden muss. Vielleicht war der Meldekanal unbekannt, eine Stellvertretung fehlte oder ein Berechtigungskonzept war zu grosszügig. Häufig sind kleine organisatorische Verbesserungen wirksamer als ein neues, umfangreiches Regelwerk.

Schulungen sollten reale Alltagssituationen aufnehmen: falsch adressierte E-Mails, verlorene Geräte, verdächtige Login-Meldungen, Papierunterlagen am falschen Ort oder unerwartete Zugriffe auf gemeinsame Laufwerke. Mitarbeitende brauchen keine vertiefte Rechtsausbildung. Sie müssen erkennen, was sie melden sollen, wie sie schnell handeln und weshalb Offenheit im Unternehmen erwünscht ist.

Ein gepflegtes Datenschutzmanagementsystem unterstützt dabei, Vorfälle, Verantwortlichkeiten, technische und organisatorische Massnahmen sowie Verbesserungen nachvollziehbar zu dokumentieren. Entscheidend bleibt aber die gelebte Praxis: Ein Meldeprozess funktioniert erst dann, wenn eine Mitarbeiterin am Freitag kurz vor Feierabend ohne Zögern weiss, wen sie bei einer Auffälligkeit kontaktiert. Genau diese Klarheit macht aus einem unerwarteten Ereignis einen steuerbaren Prozess.

Lieber gemeinsam mit Profis?

Unser Team kennt DSG und DSGVO aus der täglichen Beratungspraxis — und macht daraus umsetzbare Massnahmen für Ihr KMU. Auch beim Thema «Datenpanne intern richtig melden in 7 Schritten» unterstützen wir Sie gern konkret.

Unverbindlich Termin buchen
← Zurück zur Blog-Übersicht