Mit der DSGVO trat im Mai 2018 die EU-weite Verpflichtung in Kraft, bestimmte Datenschutzverletzungen den Aufsichtsbehörden zu melden – und damit eine neue Art von Disziplin im Umgang von Organisationen mit Vorfällen im Zusammenhang mit personenbezogenen Daten.
Seitdem unterstützen wir unsere Kunden dabei, ihre Datenschutzvorfälle zu erfassen, zu bewerten und, falls erforderlich, zu melden. Hinter den Kulissen haben wir zudem die Zahlen verfolgt (natürlich anonym😉): Welche Arten von Vorfällen treten auf, wie oft und wie viele erforderten letztendlich eine Meldung an die Behörden?
Nach acht Jahren haben wir eine ganze Menge Daten gesammelt!
Wie viele Vorfälle melden Kunden?
Im Durchschnitt meldete uns jeder Kunde etwa zwei Vorfälle pro Jahr (obwohl es 2024 einen deutlichen Anstieg gab, bei dem diese Zahl auf 2,86 stieg). Es ist wichtig zu beachten, dass nicht jeder uns gemeldete Vorfall eine Meldung an die Aufsichtsbehörden erfordert. Dieser Schritt ist nur dann notwendig, wenn ein Vorfall ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Betrachtet man die Untergruppe der Vorfälle, die diese Schwelle überschritten haben, so sind die Zahlen deutlich niedriger (obwohl auch hier der gleiche Anstieg im Jahr 2024 zu erkennen ist).
Wir betrachten dies als ermutigend. Wo Menschen arbeiten, sind Fehler unvermeidlich. Die Tatsache, dass nur ein kleiner Teil der Vorfälle zu einer meldepflichtigen Datenschutzverletzung führt, deutet darauf hin, dass das Bewusstsein wächst und dass technische und organisatorische Maßnahmen ihre Wirkung zeigen.
Ein einfaches Beispiel veranschaulicht dies gut: Angenommen, ein Mitarbeiter sendet versehentlich eine E-Mail an den falschen Empfänger. Enthält die E-Mail einen sensiblen Anhang – wie beispielsweise die Krankmeldung eines Kollegen –, wurden personenbezogene Daten an eine unbefugte Person weitergegeben. Befindet sich dieser Anhang jedoch stattdessen auf einem gemeinsam genutzten Laufwerk mit ordnungsgemäß eingeschränktem Zugriff, führt die falsch gesendete E-Mail zu keiner unbefugten Weitergabe. Das Risiko für die betroffene Person sinkt erheblich, und was eine meldepflichtige Verletzung hätte sein können, wird zu einem geringfügigen internen Vorfall.
Wie viele Kunden sind von einer meldepflichtigen Datenschutzverletzung betroffen?
Ein weiterer nützlicher Blickwinkel ist der Anteil der Kunden, bei denen es in einem bestimmten Jahr zu mindestens einem Vorfall kam, der eine Meldung an die Aufsichtsbehörden erforderte.
Durchweg war bei etwa einem Viertel unserer Kunden pro Jahr ein solcher Vorfall zu verzeichnen. Der Trend geht jedoch in die richtige Richtung: Dieser Anteil ist im Laufe der Zeit stetig gesunken, von etwa einem von vier Kunden im Jahr 2022 auf etwa einen von fünf bis 2025 (mit Ausnahme des Jahres 2024, in dem es zu einem vorübergehenden Anstieg kam). Dies untermauert die Ansicht, dass sich nachhaltige Investitionen in Sensibilisierungs- und Präventionsmaßnahmen auszahlen.
Was ist die häufigste Art von Vorfall?
Falsch versendete E-Mails machen rund 50 % aller uns gemeldeten Vorfälle aus. An zweiter Stelle steht der digitale unbefugte Zugriff, der Fälle wie falsch zugewiesene Benutzerrechte umfasst.
Dieses Muster bleibt auch bestehen, wenn wir den Fokus auf Vorfälle beschränken, die den Aufsichtsbehörden gemeldet wurden. Die absoluten Zahlen sind zwar geringer, aber falsch versendete E-Mails und unbefugter Zugriff bleiben die beiden Hauptursachen.
Die praktische Schlussfolgerung ist klar: Wenn Sie das Risiko für Ihr Unternehmen verringern möchten, sind Sensibilisierungsschulungen und gezielte technische Maßnahmen im Zusammenhang mit dem Umgang mit E-Mails und Zugriffsrechten ein guter Ausgangspunkt.
Wie sehen unsere Zahlen im EU-weiten Vergleich aus?
Unser Datensatz ist relativ klein, und die EU-weiten Zahlen sind nicht direkt vergleichbar – die Aufsichtsbehörden veröffentlichen nur Daten zu meldepflichtigen Datenschutzverletzungen, nicht zu allen Vorfällen. Selbst unter Berücksichtigung dieser Einschränkung ist der Kontrast dennoch auffällig.
Die Zahl der gemeldeten Datenschutzverletzungen in der EU stieg zwischen 2022 und 2025 um etwa 48 %. Die Meldungs-Zahlen unserer Kunden zeichnen ein anderes Bild: Nach einem deutlichen Anstieg im Jahr 2024 kehrten die gemeldeten Vorfälle bis 2025 auf das Niveau von 2022 zurück.
Wir führen dies vor allem auf Schulungen und Sensibilisierung zurück. Mitarbeiter, die sich der Risiken bei der Verarbeitung personenbezogener Daten bewusst sind (und genau wissen, was zu tun ist, wenn etwas schiefgeht), gehören zu den wirksamsten Schutzmaßnahmen, über die ein Unternehmen verfügen kann. Wenn Vorfälle schnell erkannt und eskaliert werden, lassen sie sich oft eindämmen, bevor ein tatsächliches Risiko für Einzelpersonen entsteht. Im besten Fall lassen sie sich sogar ganz vermeiden.