Kundendaten gehackt – muss ich jeden einzeln informieren?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 7 Minuten

Sie haben gerade erfahren, dass Unbefugte auf Ihre Kundendaten zugegriffen haben – oder zumindest den Verdacht. Vielleicht hat Ihr IT-Dienstleister Sie informiert, vielleicht haben Kunden selbst nachgefragt. Jetzt stehen Sie unter Druck: Was müssen Sie melden, wen müssen Sie benachrichtigen – und wie schnell muss das alles gehen, ohne dass Sie sich dabei noch mehr Probleme einhandeln?

Typische Ausgangslage

• Ihr Onlineshop wurde gehackt und Kundendaten – Namen, Adressen, Zahlungsdaten – sind möglicherweise abgeflossen.
• Ein Mitarbeiter hat versehentlich eine Kundenliste an den falschen Empfänger geschickt.
• Ihr Cloud-Dienstleister meldet eine Sicherheitslücke und Sie wissen nicht, ob Ihre gespeicherten Daten betroffen sind.
• Ransomware hat Ihre Systeme verschlüsselt und Sie können nicht mit Sicherheit sagen, ob vorher Daten kopiert wurden.
• Sie haben den Vorfall bereits bemerkt, aber einige Tage abgewartet, um zunächst intern zu klären, was passiert ist.
• Ein Kunde konfrontiert Sie mit dem Verdacht, dass seine Daten missbraucht wurden – und droht mit Beschwerde bei der Aufsichtsbehörde.

Warum die Situation nach einem Datenleck häufig komplizierter ist als gedacht

Meldepflichten gegenüber der Aufsichtsbehörde

Die DSGVO (Datenschutz-Grundverordnung) sieht bei bestimmten Datenpannen eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde vor. Ob eine solche Pflicht besteht und wie eng das Zeitfenster dafür bemessen ist, hängt von einer Risikoeinschätzung ab, die juristisch und technisch anspruchsvoll ist. Die Behörde erwartet eine strukturierte, nachvollziehbare Darstellung des Vorfalls. Wer hier vorschnell oder unvollständig meldet, riskiert Nachfragen, die den Vorgang erst recht eskalieren lassen. Wer gar nicht meldet, obwohl die Voraussetzungen vorliegen, setzt sich einem eigenständigen Bußgeldrisiko aus – unabhängig vom eigentlichen Datenverlust.

Benachrichtigung der betroffenen Personen

Neben der Behördenmeldung kann eine Pflicht bestehen, die betroffenen Personen – also Ihre Kunden, Geschäftspartner oder Mitarbeiter – direkt zu benachrichtigen. Ob und in welcher Form das erforderlich ist, hängt von der Art der kompromittierten Daten und dem zu erwartenden Risiko für die Betroffenen ab. Die Frage „Muss ich wirklich jeden einzeln informieren?" lässt sich nicht pauschal beantworten: Es gibt Konstellationen, in denen eine öffentliche Bekanntmachung ausreicht, und solche, in denen eine individuelle Benachrichtigung zwingend ist. Die Abgrenzung ist rechtlich komplex und hat gleichzeitig erhebliche praktische Auswirkungen – auf Ihren Ruf, auf Ihre Kundenbeziehungen und auf mögliche Schadensersatzforderungen.

Zeitdruck und interne Unsicherheit

Datenpannen erzeugen einen enormen Handlungsdruck. Die gesetzlichen Fristen sind eng. Gleichzeitig ist die interne Informationslage in den ersten Stunden und Tagen nach einem Vorfall oft unklar: Welche Systeme waren betroffen? Welche Daten genau? Seit wann bestand die Sicherheitslücke? Wer hat Zugriff gehabt? Diese Fragen müssen parallel zur rechtlichen Bewertung geklärt werden. Unternehmer, die versuchen, beides ohne anwaltliche Begleitung zu koordinieren, laufen Gefahr, die eine Pflicht zu verletzen, während sie die andere erfüllen.

Haftung und Bußgeldrisiken auf mehreren Ebenen

Ein Datenleck kann rechtliche Konsequenzen auf verschiedenen Ebenen auslösen. Neben Bußgeldern der Datenschutzbehörde kommen Schadensersatzansprüche betroffener Personen in Betracht. Für GmbH-Geschäftsführer besteht darüber hinaus das Risiko einer persönlichen Haftung für Datenschutzverstöße, wenn organisatorische Pflichten nicht eingehalten wurden. Die Frage, ob ausreichende technische und organisatorische Maßnahmen bestanden haben, wird im Nachhinein an einem strengen Maßstab gemessen. Was vor dem Vorfall als „ausreichend" erschien, kann in der Rückschau als unzureichend bewertet werden.

Warum gerade kleinere Unternehmen besonders verwundbar sind

Keine eigene Datenschutzabteilung

Große Unternehmen haben Datenschutzbeauftragte, Compliance-Teams und eingespielt Notfallpläne. Selbständige, Startups und kleine GmbHs verfügen darüber in der Regel nicht. Oft liegt die Verantwortung bei der Geschäftsführung selbst – und die steht im Ernstfall vor Fragen, die ohne rechtliche Einordnung kaum zu beantworten sind. Die DSGVO macht dabei keinen Unterschied: Die Pflichten gelten unabhängig von der Unternehmensgröße.

Die Kommunikation nach außen

Wie Sie den Vorfall gegenüber Kunden, Geschäftspartnern und der Öffentlichkeit kommunizieren, kann die Situation beruhigen oder verschärfen. Zu wenig Information erzeugt Misstrauen, zu viel kann rechtlich problematisch sein – etwa wenn vorschnell Schuld eingestanden oder das Ausmaß falsch dargestellt wird. Die Formulierung von Benachrichtigungsschreiben ist eine Aufgabe, bei der rechtliche Präzision und verständliche Sprache zusammenkommen müssen.

Wie die Kanzlei Sie unterstützt

Die Kanzlei berät Unternehmer und Geschäftsführer bundesweit bei Datenpannen und den damit verbundenen rechtlichen Pflichten. Der Kanzleistandort liegt im Raum Kiel – nach Mandatierung erfolgt die Betreuung per Videoberatung, sodass Ihr Standort keine Rolle spielt. Im ersten Schritt können Sie Ihren Fall über die Kontaktseite schildern. Sie erhalten eine Einschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Diese Ersteinschätzung ist kostenlos und unverbindlich.

Gerade bei Datenpannen zählt eine schnelle rechtliche Einordnung: Liegt eine meldepflichtige Datenpanne vor? Müssen Betroffene benachrichtigt werden? Welche Dokumentation ist erforderlich? Diese Fragen lassen sich nur im Einzelfall beantworten – und die Antworten haben unmittelbare Konsequenzen für Ihr weiteres Vorgehen.