Die Meldungen an Datenschutzvorfällen in Sachsen bleiben laut einer Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) vom 19.10.2025 auf einem Rekordniveau. Hiernach erreichte die Zahl der gemeldeten Datenpannen in den ersten drei Quartalen 2025 bereits den Rekordwert des gleichen Zeitraums des Vorjahres. Der Trend zeigt, dass Datenschutzvorfälle längst keine Ausnahmeerscheinung mehr, sondern Alltag in vielen Organisationen sind.
Pflicht zur Meldung von Datenpannen
Die Pflicht zur Meldung von Datenschutzverletzungen ist seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) eine zentrale Säule der Datenschutz-Compliance. Nach Art. 33 Abs. 1 DSGVO muss im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Etwas andere gilt nur, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei einer verspäteten Meldung ist ihr eine Begründung für die Verzögerung beizufügen.
Anhaltend hohe Zahl von Datenschutzvorfällen
Bis Ende September 2025 sind laut der Pressemitteilung der SDTB bei ihrer Behörde rund 750 Meldungen über Datenpannen eingegangen. Das seien nahezu ebenso viele wie im Vorjahr zu diesem Zeitpunkt. 2024 habe die Behörde insgesamt etwa 1.000 Fälle verzeichnet, wobei es sich um den bislang höchsten Stand seit Einführung der DSGVO handle. Die gemeldeten Vorfälle würden von klassischen Fehlversendungen über offen einsehbare E-Mail-Verteiler bis hin zum Verlust von Datenträgern infolge von Diebstählen oder Einbrüchen reichen.
Ursache für Datenschutzvorfälle
Nur etwa jeder zehnte Fall sei auf Cyberangriffe oder andere Formen digitaler Kriminalität zurückzuführen. Die Ursache liegt laut Juliane Hundert, der SDTB, häufig vielmehr im menschlichen Versagen, organisatorischen Schwächen oder unzureichender technischer Sicherungen. Hundert sieht darin ein strukturelles Problem. Seit Inkrafttreten der DSGVO im Mai 2018 habe sich die Zahl der Meldungen mehr als vervierfacht. Auch das Bewusstsein für Meldepflichten sei zwar gewachsen, doch mangele es vielerorts vor allem an systematischer Prävention. Besonders in kleinen und mittleren Unternehmen fehlt es häufig an klaren Zuständigkeiten, Meldeprozessen und Schulungsmaßnahmen. Dabei kann eine unzureichende Vorbereitung erhebliche Folgen haben, die von Reputationsschäden bis zu Bußgeldern bei verspäteter oder unvollständiger Meldung reichen könnten.
Prävention als Schlüssel zur Reduzierung von Datenpannen
Die Behörde setzt daher zunehmend auf Prävention, Aufklärungsarbeit und praxisnahe Unterstützung. Das bedeute vor allem mehr Sorgfalt bei der Verarbeitung personenbezogener Daten. Daneben brauche es aber auch fundierte Kenntnisse sowie den Schutz erhöhende technische und organisatorische Maßnahmen.
Konkret beginnen präventive Maßnahmen mit einer klaren internen Struktur und regelmäßig geschultem Personal. Wer Beschäftigte im sicheren Umgang mit Daten, E-Mail-Kommunikation und Zugriffsrechten schult, senkt das Risiko menschlicher Fehlhandlungen erheblich. Ebenso wichtig ist die konsequente Umsetzung technischer Schutzmaßnahmen, etwa durch Verschlüsselung, Zwei-Faktor-Authentifizierung, regelmäßige Software-Updates und klare Berechtigungskonzepte. Ergänzend sollten Prozesse zur schnellen Erkennung und Behandlung von Sicherheitsvorfällen etabliert werden. Das sollte auch einen Notfallplan einschließlich, der Verantwortlichkeiten, Kommunikationswege und Meldefristen regelt.
Im Übrigen bietet die SDTB auch selbst ein Onlineseminar sowie ein eigenes Online-Meldeformular für Datenpannen an. Für letzteres seien vollständige und eindeutige Angaben entscheidend für eine schnelle und unkomplizierte Bearbeitung. Unklare oder unvollständige Meldungen führten regelmäßig zu Nachfragen und Verzögerungen.
Fazit
Der anhaltend hohe Stand an Datenpannenmeldungen in Sachsen verdeutlicht, dass trotz zunehmender Sensibilisierung erheblicher Handlungsbedarf besteht. Das gilt umso mehr, da anscheinend die meisten Vorfälle weniger aus gezielter Cyberkriminalität als aus Nachlässigkeit, Unwissenheit oder fehlenden Strukturen resultieren. Unternehmen und öffentliche Stellen sollten diese Entwicklung als Warnsignal verstehen und den Aufbau robuster Datenschutzprozesse weiter vorantreiben. In diesem Zusammenhang können Externe Datenschutzbeauftragte individuell ausgearbeitete und effiziente Konzepte entwickeln.
