Nach einem Datenleck entscheiden nicht die technischen Details, sondern die Klarheit der Kommunikation in den ersten 72 Stunden über Vertrauen, Bußgelder und Reputation.
Ein Datenleck im Unternehmenskontext bezeichnet jede Verletzung des Schutzes personenbezogener Daten, bei der Vertraulichkeit, Verfügbarkeit oder Integrität gefährdet ist – unabhängig davon, ob ein gezielter Cyberangriff, menschliches Versagen oder ein Konfigurationsfehler die Ursache ist. Nach Art. 33 DSGVO gilt eine Meldefrist von 72 Stunden an die zuständige Aufsichtsbehörde, parallel können NIS-2- und sektorspezifische Meldepflichten greifen. Krisenkommunikation übersetzt diese regulatorischen Pflichten in eine glaubwürdige öffentliche Sprache.
Datenpannen-Meldungen in Deutschland stiegen 2025 um 29 Prozent gegenüber dem Vorjahr (ULD-Datenschutzbericht 2026).
Im Durchschnitt gehen 65 Meldungen pro Monat bei einer einzelnen Aufsichtsbehörde ein – 2024 waren es 50 (ULD 2026).
Für die Meldung an die Aufsichtsbehörde gelten 72 Stunden ab Bekanntwerden der Verletzung (Art. 33 DSGVO).
Bei erheblichen Cybervorfällen läuft parallel die NIS-2-Frist von 24 Stunden zur Frühwarnung an das BSI (secjur 2026).
80 Prozent der Ransomware-Opfer in Deutschland sind kleine und mittlere Unternehmen (BSI-Lagebericht 2025).
Datenlecks entstehen in drei Hauptkategorien: gezielter Angriff, menschliches Versagen, struktureller Fehler – jede Kategorie verlangt eine andere Kommunikation.
Krisenkommunikation Datenleck: Vertrauen entsteht in den ersten 24 Stunden, in denen ein Unternehmen handelt – nicht in der Pressemitteilung am dritten Tag.
Wenn die IT-Leitung am Montagmorgen anruft, weil ein USB-Stick mit 12.000 Personalakten in einem Café zurückgeblieben ist, beginnt die Uhr. 72 Stunden später muss eine Meldung bei der Datenschutzaufsicht liegen – und idealerweise auch eine durchdachte Information aller Betroffenen.
Datenlecks sind 2026 keine Ausnahmesituation mehr. Laut ULD-Datenschutzbericht 2026 stieg die Zahl gemeldeter Datenpannen in Deutschland im vergangenen Jahr um 29 Prozent. 65 Meldungen pro Monat bei einer einzelnen Aufsichtsbehörde sind das neue Normal. Für Kommunikationsverantwortliche bedeutet das: Der Datenvorfall ist nicht mehr der Ausnahmefall, auf den ein Krisenstab einmal in fünf Jahren zugreifen muss, sondern ein Grundszenario, auf das jede Kommunikationsabteilung vorbereitet sein sollte.
Dieser Beitrag eröffnet die Serie Drei Szenarien, drei Playbooks – Krisenkommunikation für den Ernstfall. Die Serie behandelt drei Krisentypen mit je eigener Kommunikationslogik: den regulatorisch dichten Datenvorfall (Teil 1, dieser Beitrag), den operativ strukturierten Produktrückruf (Teil 2) und das moralisch-kulturell aufgeladene Managerfehlverhalten (Teil 3).
Datenlecks werden in der öffentlichen Wahrnehmung häufig als „Hackerangriff“ verkürzt. Tatsächlich entstehen die meisten dokumentierten Datenpannen ohne externen Angriff. Eine saubere Unterscheidung ist die Voraussetzung für die richtige kommunikative Antwort.
Definition: Ein Cybervorfall bezeichnet einen sicherheitsrelevanten Eingriff von außen – etwa Ransomware, Phishing oder ein gezielter Hack. Eine Datenpanne im Sinne der DSGVO umfasst hingegen jeden Vorfall, der die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten gefährdet – unabhängig von der Ursache.
Die erste Kategorie sind gezielte Angriffe von außen. Ransomware, Phishing, Supply-Chain-Kompromittierung. Die kommunikative Lage erlaubt eine Form der Solidarität: Das Unternehmen ist Geschädigter und muss handeln, kann aber den Vorfall klar einer kriminellen Tat zuordnen. Laut BSI-Lagebericht 2025 sind 80 Prozent der Ransomware-Opfer in Deutschland kleine und mittlere Unternehmen – die Annahme „uns trifft das nicht“ ist für Mittelstand & KMU 2026 widerlegt.
Die zweite Kategorie ist menschliches Versagen. Falsch adressierte E-Mails, verlorene Geräte, versehentlich offene Cloud-Ordner. Die kommunikative Lage ist unbequemer, weil die Verantwortung eindeutig im Unternehmen liegt. Hier verlangt die Kommunikation die Übernahme von Verantwortung – ohne in eine Schuldspirale zu verfallen, die Mitarbeitende öffentlich bloßstellt.
Die dritte Kategorie ist der strukturelle Fehler. Ein Software-Bug, eine fehlerhafte Konfiguration, ein zu weitreichendes Zugriffsrecht. Hier ist die Kommunikation am sachlichsten – aber zugleich am gefährlichsten, weil Stakeholder eine systemische Schwäche vermuten könnten. Die richtige Antwort ist meist technische Klarheit kombiniert mit der Darstellung der eingeleiteten strukturellen Konsequenzen.
Datenkrisen unterscheiden sich von anderen Krisenformen dadurch, dass mehrere Uhren gleichzeitig ticken. Wer eine Frist verpasst, riskiert nicht nur Bußgelder, sondern den schwerwiegendsten Reputationsschaden überhaupt: den Vorwurf der Vertuschung.
24 Stunden – NIS-2-Frühwarnung: Erhebliche Cyber-Sicherheitsvorfälle müssen über das BSI-Meldeportal an die Behörde gemeldet werden (secjur 2026). Eine abschließende Bewertung ist zu diesem Zeitpunkt noch nicht erforderlich.
72 Stunden – DSGVO-Meldung: Verletzungen des Schutzes personenbezogener Daten müssen an die zuständige Datenschutzaufsicht gemeldet werden – in Bayern das BayLDA. Die Pflicht greift, sobald ein Risiko für die Rechte der Betroffenen besteht (Art. 33 DSGVO). Parallel läuft die NIS-2-Vertiefung beim BSI.
Unverzüglich – Betroffenen-Information: Bei hohem Risiko für Betroffene gilt Art. 34 DSGVO – die direkte Information der betroffenen Personen. Der Begriff „unverzüglich“ bedeutet ohne schuldhaftes Zögern, in der Praxis meist binnen weniger Tage.
1 Monat – Abschlussbericht: NIS-2 verlangt einen abschließenden Bericht mit Maßnahmen, Lessons Learned und ggf. verbleibenden Risiken. Für börsennotierte Unternehmen kann zusätzlich Art. 17 der Marktmissbrauchsverordnung eine unverzügliche Ad-hoc-Meldung auslösen.
Seit der deutschen NIS-2-Umsetzung am 6. Dezember 2025 haftet die Geschäftsleitung persönlich für die Einhaltung der Meldepflichten (secjur 2026). Eine Delegation an die IT-Abteilung entbindet nicht von der Verantwortung auf Leitungsebene. Für die Kommunikationsabteilung folgt daraus: Sprachregelungen, Meldetexte und öffentliche Statements werden ab der ersten Stunde im Schulterschluss mit Recht und Geschäftsleitung erarbeitet, nicht im Anschluss freigegeben.
Die Information der Betroffenen nach Art. 34 DSGVO ist regulatorisch vorgegeben, kommunikativ aber der wichtigste Hebel. Wer hier formaljuristisch agiert, verliert in der Sekunde, in der die E-Mail im Postfach landet.
Definition: Eine Betroffenen-Information nach Art. 34 DSGVO ist verpflichtend, wenn ein Datenvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – etwa bei Gesundheitsdaten, Finanzdaten, Daten von Kindern oder bei Identitätsdiebstahl-Risiko.
Wirksame Betroffenen-Informationen folgen drei Prinzipien. Sie benennen den Sachverhalt klar und in Alltagssprache, ohne juristische Verharmlosung. Sie beschreiben konkret, welche Daten betroffen sind und welche Risiken daraus entstehen können. Und sie geben handlungsfähige Empfehlungen – Passwort ändern, Bankkonto überwachen, Identitätsdiebstahl-Schutz aktivieren.
Was vermieden werden sollte: passive Formulierungen („wurde festgestellt, dass …“), juristische Distanz („das Unternehmen kann nicht ausschließen, dass …“) und das Verschieben der Verantwortung auf den Angreifer („Wir wurden Opfer einer kriminellen Handlung“). Diese Sprache schafft kein Vertrauen, sondern provoziert die Frage, wer dann eigentlich Verantwortung trägt.
Bei sensiblen Datenkategorien – Gesundheitsdaten, Daten Minderjähriger, Finanzdaten – erhöht sich der Tonalitäts-Anspruch. Hier kann die Kommunikation nicht nur informieren, sondern muss erkennbar empathisch sein. Eine kurze persönliche Ansprache der Geschäftsleitung in Schriftform oder als Videobotschaft kann den Unterschied zwischen kontrolliertem Vorfall und Eskalationspotenzial für die Reputation bedeuten.
Aus der Beratungspraxis und aus den Aufsichts-Berichten der Datenschutzbehörden lassen sich vier wiederkehrende Muster identifizieren – Fehler, die sich nicht an der technischen Ursache des Lecks bemessen, sondern an der kommunikativen Reaktion.
Der erste und teuerste Fehler ist die verzögerte Meldung. Wer die 72-Stunden-Frist überschreitet, riskiert ein eigenständiges Bußgeldverfahren – auch dann, wenn das ursprüngliche Datenleck selbst nicht sanktionierbar gewesen wäre. Aus Aufsichtsperspektive ist eine fristgerechte unvollständige Meldung deutlich besser als eine perfekte zu spät.
Der zweite Fehler ist die inkonsistente Sprachregelung zwischen IT und Geschäftsleitung. Während die IT-Abteilung intern aus fachlicher Nüchternheit von einem „kontrollierbaren Vorfall“ spricht, bezeichnet die Geschäftsleitung ihn extern als „schwerwiegend“. Aufsichtsbehörden, Medien und betroffene Kund:innen lesen diese Dissonanz innerhalb von Stunden – und werten sie als Hinweis auf interne Unklarheit.
Der dritte Fehler ist die „Wir wurden Opfer“-Haltung. Sie wirkt verständlich, ist aber bei vielen Datenpannen sachlich falsch – und kommunikativ kontraproduktiv. Eine fehlerhafte Konfiguration oder ein fehlversandtes Dokument lassen sich nicht der Täterseite zuschreiben. Wer die Verantwortung verschiebt, untergräbt das Vertrauen in seine eigene Lernbereitschaft.
Der vierte Fehler ist die fehlende Dokumentation der Meldetexte. BSI- und DSGVO-Meldungen können im Nachgang Gegenstand aufsichtsrechtlicher Prüfungen werden (BDO Security 2026). Texte und Zeitstämpel müssen protokolliert und intern zugänglich sein. Ein in der Eile formulierter Meldetext ohne Abstimmung kann Monate später die Haftungsfrage zu Lasten der Geschäftsleitung verschieben.
Vorbereitung lässt sich auf vier Bausteine reduzieren, die sich in der Praxis bewährt haben – und die im Ernstfall mehrere Stunden Reaktionszeit sparen.
Erstens eine schriftliche Meldepflicht-Matrix, die nach NIS-2, DSGVO und sektorspezifischen Vorgaben strukturiert ist und jedem Schritt eine verantwortliche Person zuweist – inklusive Vertretungsregel. Diese Matrix gehört in das Krisenhandbuch und wird mindestens jährlich überprüft.
Zweitens vorformulierte Meldetexte. Die BSI-Frühwarnung lässt sich weitgehend als Template vorbereiten; nur die konkreten Vorfallsdaten werden in der Akutphase eingefügt. Ebenso eine erste Holding-Statement-Vorlage für die externe Kommunikation und ein Mustertext für die Betroffenen-Information nach Art. 34 DSGVO.
Drittens ein definierter Krisenkreis auf Entscheidungsebene, der zu jeder Uhrzeit innerhalb einer Stunde handlungsfähig ist. Die Besetzung umfasst üblicherweise Geschäftsleitung, IT-Leitung oder CISO, Rechtsabteilung, Datenschutzbeauftragte und Unternehmenskommunikation.
Viertens – und in der Praxis am häufigsten unterschätzt – die regelmäßige Simulation. Unternehmen, die mindestens einmal jährlich eine vollständige Krisensimulation durchlaufen, haben im Ernstfall signifikant kürzere Reaktionszeiten. Die Simulation deckt insbesondere Schwachstellen in der Schnittstelle zwischen IT und Kommunikation auf – dort, wo im Ernstfall die meisten Fehler passieren.
Meldepflichtig nach Art. 33 DSGVO ist jede Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Das umfasst Cyberangriffe ebenso wie Fehlversand, verlorene Geräte oder ungeschützte Cloud-Speicher (Dr. Datenschutz). Nicht meldepflichtig sind Vorfälle, bei denen voraussichtlich kein Risiko für Betroffene besteht – etwa wenn Daten erfolgreich verschlüsselt waren und der Schlüssel nicht kompromittiert wurde.
Nach NIS-2 gilt eine Frühwarnung an das BSI innerhalb von 24 Stunden, eine vertiefte Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Parallel greift Art. 33 DSGVO mit einer 72-Stunden-Frist an die Datenschutzaufsicht, sofern personenbezogene Daten betroffen sind. Bei börsennotierten Unternehmen kann zusätzlich Art. 17 der Marktmissbrauchsverordnung eine unverzügliche Ad-hoc-Meldung auslösen.
Art. 34 DSGVO verpflichtet zur direkten Information der Betroffenen, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht. Das ist in der Regel der Fall bei Gesundheitsdaten, Finanzdaten, Identitätsdiebstahl-Risiko oder Daten Minderjähriger. Die Information muss in klarer, einfacher Sprache erfolgen, die Risiken konkret benennen und handlungsfähige Empfehlungen geben.
Verstöße gegen die Meldepflicht nach Art. 33 DSGVO können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Sanktionen nach NIS-2 und – seit Dezember 2025 – persönliche Haftung der Geschäftsleitung (secjur 2026). Der reputatorische Schaden einer verspäteten Meldung übersteigt in der Regel den finanziellen.
Bei einem Cyberangriff kann das Unternehmen den Vorfall einer kriminellen Tat zuordnen und sich kommunikativ als Geschädigtes positionieren – ohne von Verantwortung freigesprochen zu sein. Bei einem internen Fehler liegt die Verantwortung eindeutig im Unternehmen, Verharmlosung wirkt sofort entlarvend. Die Tonalität ist in beiden Fällen empathisch und sachlich, der Fokus aber unterschiedlich: bei Angriffen auf den Schutz der Betroffenen und die strukturellen Lehren, bei internem Versagen auf die übernommene Verantwortung und die eingeleiteten Konsequenzen.
Die Geschäftsleitung ist seit der NIS-2-Umsetzung persönlich verantwortlich und damit operativ in den Krisenstab eingebunden. Sie entscheidet über Meldung, Sprachregelung und – bei kursrelevanten Unternehmen – über die Ad-hoc-Meldung. Sie ist gleichzeitig nicht zwingend Sprecher:in nach außen; in vielen Fällen ist eine erfahrene Pressesprecher:in oder die Datenschutzbeauftragte die wirksamere Stimme. Klar muss sein: Verantwortung wird nicht delegiert, Sprache wird sorgfältig zugewiesen.
Die Meldung nach Art. 33 DSGVO ist auch unvollständig zulässig und in der Praxis häufig unvollständig. Maßgeblich ist, dass das Unternehmen den bekannten Sachverhalt fristgerecht übermittelt und offene Punkte ausdrücklich als solche kennzeichnet. Eine Nachmeldung mit aktualisierten Erkenntnissen ist regulatorisch vorgesehen und keine Schwäche. Wer dagegen abwartet, bis alles geklärt ist, riskiert das Bußgeld für die Fristverletzung – und die Reputationsfrage, warum so lange geschwiegen wurde.
Datenkrisen sind regulatorisch dichter geregelt als jede andere Krisenform. Kommunikation ist in dieser Krise nicht der Kommentar zur Compliance, sondern Teil davon.
Die wichtigste Sprache nach einem Datenleck ist nicht juristisch, sondern empathisch. Wer betroffene Menschen wie Akten behandelt, verliert Vertrauen schneller als durch das Leck selbst.
Geschwindigkeit ist nicht Optimum, sondern Pflicht – aber sie darf nicht auf Kosten der Genauigkeit gehen. Eine fristgerechte, unvollständige Meldung schlägt eine perfekte zu späte.
Drei Datenleck-Ursachen verlangen drei Tonalitäten. Angriff erlaubt Solidarität, menschliches Versagen verlangt Verantwortung, struktureller Fehler verlangt Sachlichkeit – die falsche Tonart macht aus jeder Lage eine Reputationskrise.
Persönliche Haftung der Geschäftsleitung ist seit Dezember 2025 der neue Standard. Krisenkommunikation entscheidet, ob diese Haftung sich in einer öffentlichen Frage materialisiert oder in einer aufsichtsrechtlichen.
Vertrauen wird nicht nach einem Datenleck wiederhergestellt, sondern davor aufgebaut. Wer in ruhigen Zeiten transparent kommuniziert, hat im Ernstfall einen Reputationsspeicher, auf den er zurückgreifen kann.
Datenlecks sind 2026 ein Grundszenario, kein Ausnahmefall – für jedes Unternehmen, das personenbezogene Daten verarbeitet. Die regulatorischen Fristen sind nicht verhandelbar, die kommunikative Qualität schon. Sie entscheidet, ob Stakeholder einen Vorfall als Ausdruck professioneller Verantwortung lesen oder als Symptom struktureller Schwäche. Wer Krisenkommunikation als nachgelagertes Pressethema behandelt, hat den Vorfall bereits verloren – juristisch, reputatorisch und kulturell. Wer sie als Teil der Compliance versteht, gewinnt im Ernstfall mehr als nur Vertrauen. Er gewinnt die Voraussetzung dafür, dass Vertrauen nach der Krise überhaupt wieder möglich ist.
Mehr zu unserem Beratungsangebot im Bereich Krisenkommunikation finden Sie auf unseren Seiten Krisenkommunikation, Krisen-PR München, Krisenprävention und Krisensimulationstrainings.
ULD: Datenschutzbericht 2026 – Immer mehr gemeldete Datenpannen — https://www.datenschutzzentrum.de/artikel/1526-Datenschutzbericht-2026-Immer-mehr-gemeldete-Datenpannen,-Beschwerdezahlen-gehen-durch-die-Decke,-Datenschutz-im-Schulterschluss-mit-digitaler-Souveraenitaet.html
Art. 33 DSGVO: Meldung von Datenschutzverletzungen — https://dsgvo-gesetz.de/art-33-dsgvo/
Art. 34 DSGVO: Benachrichtigung der von einer Verletzung betroffenen Person — https://dsgvo-gesetz.de/art-34-dsgvo/
secjur: NIS-2 Meldepflicht – Fristen und Ablauf 2026 — https://www.secjur.com/blog/nis2-meldepflicht-cybervorfaelle-deutschland
BSI: Lagebericht IT-Sicherheit in Deutschland 2025 — https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
BDO Security: Cyberangriff – Diese Meldepflichten gelten in Deutschland — https://www.bdosecurity.de/de-de/insights/security-kolumne/cyberangriff-diese-meldepflichten-gelten-in-deutschland
Dr. Datenschutz: Datenschutzverstoß und Datenpanne – Beispiele und Vorgehen — https://www.dr-datenschutz.de/datenschutzverstoss-und-datenpanne-beispiele-und-vorgehen/
Die Autorin hat diesen Artikel auf Basis ihrer Fachkenntnis und Berufspraxis mit Unterstützung von Claude Opus 4.7 (Code) erstellt. Das Bild wurde von Nano Banana 2 generiert.
Geschäftsführerin consense communications GmbH (GPRA) Expertin für Strategie-, Change- und Krisenkommunikation sowie zertifizierte systemische Coachin und Organisationsentwicklerin. Strategin für Kommunikation im KI-Zeitalter.