Auf einen Blick: Wenn Mitarbeiter Mandantendaten in ChatGPT hochladen, ein Copilot-Prompt vertrauliche Anhaenge ausspielt oder ein Claude-Workspace zwischen Kunden leakt, ist das in der Regel eine Datenpanne im Sinne von Art. 4 Nr. 12 DSGVO. Art. 33 DSGVO verlangt eine Meldung an die Landesdatenschutzbehoerde binnen 72 Stunden ab Kenntnis. Bei hohem Risiko kommt nach Art. 34 DSGVO die Benachrichtigung der Betroffenen dazu. Bussgelder reichen bis 10 Mio Euro oder 2 Prozent Welt-Umsatz, in materiellen Faellen bis 20 Mio oder 4 Prozent.
Drei Anwaltskanzleien, mit denen wir 2026 gesprochen haben, hatten bereits einen Vorfall. Einmal lud ein juristischer Mitarbeiter eine Schriftsatz-Vorlage mit Klarnamen in eine Consumer-Version von ChatGPT, einmal antwortete ein Microsoft Copilot in einem Mandanten-Brief mit einer Passage aus einem anderen Mandat, einmal zog ein selbst gebauter RAG-Workspace Kontext aus einer Kollegen-Akte. Alle drei Faelle waren Datenpannen. Zwei davon wurden nicht gemeldet, weil der Verantwortliche unsicher war. Das ist nach Art. 33 DSGVO selbst dann problematisch, wenn am Ende kein materieller Schaden entsteht. Wer den Workflow vor dem ersten Vorfall durchspielt, hat im Ernstfall die richtigen Reflexe.
Was die DSGVO als Datenpanne einstuft
Art. 4 Nr. 12 DSGVO definiert die Datenpanne als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veraenderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten fuehrt. Drei Schutzziele stehen dahinter: Vertraulichkeit, Integritaet, Verfuegbarkeit. Eine Panne kann jedes der drei betreffen.
Bei KI-Tools dominiert in der Praxis die Vertraulichkeit. Daten verlassen den geschuetzten Bereich, weil sie in ein Tool eingegeben werden, das sie weiterverarbeitet, speichert oder gar fuer Modelltraining nutzt. Das ist eine Offenlegung gegenueber einem Empfaenger (dem Tool-Anbieter), fuer die es in der Regel keine Rechtsgrundlage gibt, wenn kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht.
Integritaet betrifft Faelle, in denen die KI Inhalte veraendert oder falsche Personenbezuege erfindet. Das ist seit der Schrems-II-Diskussion ein eigenstaendiges Datenschutzproblem, kein blosses Qualitaetsthema. Wenn eine KI in einem Mandantenschreiben Tatsachen erfindet, die einer Person zugeordnet werden, ist das eine Datenpanne nach Art. 4 Nr. 12 DSGVO, weil unrichtige Daten ausgespielt werden.
Verfuegbarkeit ist seltener, kommt aber vor. Wenn ein Cloud-LLM ausfaellt und der Zugriff auf gespeicherte Konversationen mit personenbezogenen Daten blockiert ist, kann das eine Verfuegbarkeits-Panne sein. Das gilt vor allem bei kritischen Workflows, etwa wenn eine KI-gestuetzte Pflegedokumentation nicht mehr abrufbar ist.
Vier typische KI-Pannen-Szenarien
Vier Muster begegnen uns 2026 immer wieder. Sie unterscheiden sich darin, wie offensichtlich die Panne ist und wer sie zuerst bemerkt.
Erstens das versehentliche Hochladen vertraulicher Dokumente in Public-LLMs. Ein Mitarbeiter braucht eine Zusammenfassung eines 80-seitigen Vertrags und schiebt das PDF in ChatGPT Free. Das Dokument enthaelt Namen, Adressen, Vergleichsbetraege. Der Tool-Anbieter hat das Recht, diese Daten fuer Training zu verwenden, je nach Tarif. Die Panne ist sofort eingetreten, fuer den Mitarbeiter aber unsichtbar.
Zweitens Prompt-Injection mit Datenexfiltration. Eine externe Webseite oder ein eingebundenes Dokument enthaelt versteckte Anweisungen an die KI, intern verfuegbare Daten herauszugeben. Das ist ein Angriffsvektor, der in 2025 und 2026 mehrfach in Sicherheitsforschungs-Papieren dokumentiert wurde. Betroffen sind vor allem KI-Agents mit Tool-Zugriff und RAG-Systeme.
Drittens Halluzinationen mit Personenbezug. Die KI erfindet Aussagen, die sie einer realen Person zuordnet. Das OLG Hamm hat am 12.05.2026 (Az. 4 UKl 3/25) entschieden, dass ein Betreiber wettbewerbsrechtlich nach §§ 3 und 5 UWG fuer falsche KI-Chatbot-Aussagen haftet, auch wenn die KI die Aussage selbst generiert hat. Aus DSGVO-Sicht ist das parallel ein Integritaetsproblem nach Art. 5 Abs. 1 lit. d DSGVO.
Viertens Memory-Leaks zwischen Mandaten oder Konten. Ein KI-Assistent zieht in einem neuen Kontext Daten aus einem frueheren Gespraech heran, weil die Trennung der Konversationsraeume technisch fehlerhaft ist. Wir haben das bei mehreren selbst gebauten RAG-Systemen gesehen, in denen die Vektor-Datenbank nicht sauber nach Mandant gefiltert wurde.
| Vorfalltyp | Typische Sichtbarkeit | Meldepflicht nach Art. 33 |
|---|---|---|
| Hochladen vertraulicher Dokumente in Public-LLM | Erst durch Audit oder Selbstmeldung | In der Regel ja |
| Prompt-Injection mit Datenexfiltration | Durch Monitoring oder Drittmeldung | Ja, oft mit Art. 34 |
| Halluzination mit Personenbezug | Durch Betroffenen-Beschwerde | Ja, wenn betroffene Person identifizierbar |
| Memory-Leak zwischen Konten | Durch Nutzer-Hinweis | Ja, wenn Daten unbefugt eingesehen wurden |
Die 72-Stunden-Frist: Wann sie laeuft und wer sie verlaengern darf
Die Frist nach Art. 33 Abs. 1 DSGVO beginnt mit dem Zeitpunkt, an dem der Verantwortliche Kenntnis von der Panne hat. Das ist nicht der Zeitpunkt des Eintritts. Wer am Montag um 9 Uhr durch einen Mitarbeiter-Hinweis erfaehrt, dass am Freitag davor ein Vertrag hochgeladen wurde, hat ab Montag 9 Uhr die 72 Stunden im Lauf.
Kenntnis heisst: hinreichende Tatsachenkenntnis, dass eine Panne wahrscheinlich vorliegt. Nicht jeder vage Verdacht startet die Frist, aber sobald die Wahrscheinlichkeit ueberwiegt, beginnt sie. Die Aufsichtsbehoerden interpretieren das streng. Wer wartet, bis er die Panne vollstaendig analysiert hat, hat in der Regel schon die Frist verpasst.
Die Frist ist eine Werktags-unabhaengige Stundenzaehlung. Ein Vorfall, der Freitag um 17 Uhr bekannt wird, ist Montag um 17 Uhr abgelaufen. Wochenend-Eskalationsketten muessen vorbereitet sein. Ein Datenschutzbeauftragter, der nur Mo-Fr 9-17 Uhr erreichbar ist, schuetzt nicht vor Fristversaeumnis.
Art. 33 Abs. 1 Satz 2 DSGVO erlaubt eine Verzoegerung mit Begruendung. Wer die 72 Stunden nicht halten kann, meldet trotzdem und schiebt eine Begruendung nach. Die Aufsichtsbehoerden akzeptieren das in der Praxis bei komplexen Sachverhalten, etwa wenn forensische Analyse noch laeuft. Nicht akzeptiert wird "war im Urlaub" oder "interne Abstimmung war nicht abgeschlossen".
Eine wichtige Einschraenkung: Art. 33 Abs. 1 DSGVO entfaellt nur dann, wenn die Panne voraussichtlich kein Risiko fuer Rechte und Freiheiten der Betroffenen begruendet. Das ist eine hohe Huerde. In der Praxis lassen sich nur sehr wenige KI-Pannen unter diese Ausnahme subsumieren, weil personenbezogene Daten, die ein Tool-Anbieter erhalten hat, immer ein gewisses Risiko bergen.
Pflichtinhalte der Meldung nach Art. 33 Abs. 3 DSGVO
Die Meldung muss fuenf Punkte enthalten. Wer im Vorhinein eine Vorlage hat, gewinnt im Ernstfall Stunden.
Erstens die Beschreibung der Art der Panne, einschliesslich der Kategorien und der ungefaehren Anzahl betroffener Personen sowie der Kategorien und der ungefaehren Anzahl betroffener Datensaetze. Zweitens den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle. Drittens die Beschreibung der wahrscheinlichen Folgen. Viertens die Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen zur Bewaeltigung der Panne und gegebenenfalls zur Abmilderung. Fuenftens, sofern relevant, der genaue Zeitpunkt der Panne.
Wenn diese Informationen nicht gleichzeitig vorliegen, koennen sie nach Art. 33 Abs. 4 DSGVO schrittweise ohne unangemessene Verzoegerung nachgereicht werden. Auch hier gilt: Erstmeldung im Zeitfenster, Details nach.
Die Aufsichtsbehoerden haben in den vergangenen Jahren Online-Meldeportale aufgebaut. In Bayern lauft die Meldung ueber das BayLDA-Portal, in Baden-Wuerttemberg ueber den LfDI, in NRW ueber die LDI. Wer den Sitz des Verantwortlichen kennt, kennt die zustaendige Behoerde. Bei mehreren Niederlassungen in der EU gilt das One-Stop-Shop-Prinzip, dann ist die Behoerde der Hauptniederlassung zustaendig.
Art. 33 vs. Art. 34: Wann auch Betroffene benachrichtigt werden muessen
Die Behoerden-Meldung nach Art. 33 ist die Standard-Pflicht. Bei hohem Risiko fuer die Rechte und Freiheiten der Betroffenen kommt nach Art. 34 DSGVO die zusaetzliche Benachrichtigung der Betroffenen selbst dazu. Das ist die schaerfere Stufe, weil sie typischerweise Reputationsfolgen und Reaktionen ausloest.
Hohes Risiko wird in der Praxis ueber drei Kriterien beurteilt: Sensibilitaet der Daten (Gesundheitsdaten, Finanzdaten, besondere Kategorien nach Art. 9 DSGVO), Reichweite der Offenlegung (oeffentlich zugaenglich, an unbestimmten Empfaengerkreis), Schwere der moeglichen Folgen (Identitaetsdiebstahl, Diskriminierung, finanzieller Schaden).
Ein hochgeladener Vertrag in einem Public-LLM mit Klarnamen eines Privatmandanten ist typischerweise hohes Risiko, weil der Tool-Anbieter die Daten fuer Training nutzen kann und damit ein unbestimmter Empfaengerkreis erreicht wird. Ein interner Memory-Leak zwischen zwei Sachbearbeitern desselben Unternehmens ist in der Regel kein hohes Risiko, weil beide unter dieselbe Vertraulichkeit fallen.
Art. 34 Abs. 3 DSGVO erlaubt einen Ausschluss der Benachrichtigung, wenn der Verantwortliche geeignete technische und organisatorische Massnahmen ergriffen hat (etwa Verschluesselung, die die Daten unbrauchbar macht), wenn der Verantwortliche nachfolgend Massnahmen getroffen hat, die das hohe Risiko abwenden, oder wenn die Benachrichtigung unverhaeltnismaessigen Aufwand erfordert (dann ist eine oeffentliche Bekanntmachung erforderlich).
Praxis: Kanzlei Loewenberg in Wuerzburg
Ein konstruiertes Beispiel, das die Realitaet vieler Mittelstands-Kanzleien zeigt. Kanzlei Loewenberg, eine Mittelstandskanzlei mit acht Anwaelten in Wuerzburg, hat seit 2024 Microsoft Copilot mit M365 Business Standard im Einsatz. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor, EU-Hosting ist konfiguriert.
Am Donnerstag, 14. Mai 2026, faellt einer Sachbearbeiterin auf, dass Copilot in einem neu generierten Mandanten-Brief eine Formulierung verwendet, die sie aus einem anderen Mandat erinnert. Sie spricht den Datenschutzbeauftragten an. Eine schnelle Pruefung zeigt: Copilot hat tatsaechlich Kontext aus einer anderen Mandantenakte gezogen, weil die Berechtigungen im SharePoint falsch konfiguriert waren. Der erstellte Brief wurde nicht versandt, aber von zwei Personen gelesen.
Datum der Kenntnisnahme: Donnerstag 14. Mai, 14 Uhr. Frist nach Art. 33 DSGVO: bis Sonntag 17. Mai, 14 Uhr.
Der Datenschutzbeauftragte loest am Donnerstag 16 Uhr die Incident-Response-Kette aus. Bis Freitag 12 Uhr ist klar: Es waren zwei Mandate betroffen, je ein Datensatz, die Daten sind nicht aus dem Unternehmen heraus gelangt, aber zwei interne Personen ohne mandantenseitige Berechtigung haben sie gelesen. Das ist nach Art. 4 Nr. 12 DSGVO eine unbefugte Offenlegung.
Freitag 16 Uhr meldet die Kanzlei beim BayLDA online. Erstmeldung enthaelt: Beschreibung der Panne (Copilot-Kontext-Leak durch Fehlkonfiguration), Anzahl Betroffener (zwei Mandanten), Datenkategorien (Mandatsinhalte, kein Gesundheits- oder Finanzkern), Sofortmassnahme (Korrektur der SharePoint-Berechtigungen, Loeschen des erstellten Briefs, interne Reproduktions-Pruefung).
Parallel pruefen DSB und Geschaeftsfuehrung Art. 34 DSGVO. Beurteilung: Die Mandanten sollten benachrichtigt werden, weil ihr berechtigtes Interesse an Vertraulichkeit der Mandatsdaten betroffen ist, auch wenn die Daten das Unternehmen nicht verlassen haben. Beide Mandanten erhalten am Montag, 18. Mai, eine schriftliche Information mit Sachverhalt und ergriffenen Massnahmen. Der Brief enthaelt explizit, dass die Daten nicht an Dritte ausserhalb der Kanzlei gelangt sind und der KI-Dienstleister keine Trainingsnutzung vornehmen konnte.
Die Konsequenz fuer die Kanzlei: BayLDA bestaetigt die Meldung. Es gibt keine weiterfuehrende Massnahme, weil die Sofortreaktion sauber dokumentiert ist. Intern: Anpassung der SharePoint-Berechtigungsstruktur, Erweiterung der Schulung nach Art. 4 KI-Kompetenzpflicht, Aufnahme des Falls in das interne Lessons-Learned-Register.
Schritt-fuer-Schritt: Incident-Response fuer KI-Pannen im KMU
Sechs Schritte gehoeren in den Notfallplan. Wer sie vorher festlegt, gewinnt im Ernstfall Tage, nicht nur Stunden.
Schritt 1, Triage. Wer hat die Panne wann bemerkt, wie weit ist der Sachverhalt aufgeklaert, welche Daten und welche Betroffenen sind moeglicherweise betroffen. Wichtig: Triage darf nicht zur Vollanalyse werden, sonst laeuft die Frist ab.
Schritt 2, Sofortmassnahme. Datenfluss stoppen, Tool-Zugriffe sperren, betroffene Workspaces isolieren, beim Tool-Anbieter Loeschung beantragen, Logs sichern.
Schritt 3, Bewertung Meldepflicht. Liegt eine Panne nach Art. 4 Nr. 12 DSGVO vor. Ist ein Risiko fuer Rechte und Freiheiten der Betroffenen wahrscheinlich. Im Zweifel: melden.
Schritt 4, Erstmeldung Art. 33 DSGVO. Online-Portal der zustaendigen Aufsichtsbehoerde, fuenf Pflichtinhalte aus Art. 33 Abs. 3 DSGVO, Verlaengerungsbegruendung falls noetig.
Schritt 5, Bewertung Art. 34 DSGVO. Liegt hohes Risiko vor. Sind die Betroffenen direkt zu benachrichtigen. Wenn ja, Inhalt und Versandweg vorbereiten.
Schritt 6, Nachbereitung. Lessons-Learned-Protokoll, Anpassung der technisch-organisatorischen Massnahmen, Schulungs-Update, gegebenenfalls Vertragsanpassung mit dem Tool-Anbieter.
Wer das einmal in einer Tabletop-Uebung mit einem fiktiven Vorfall durchgespielt hat, kennt die Luecken. Wer es im Ernstfall zum ersten Mal macht, lernt es teuer.
Bussgelder und Folgekosten
Der direkte Bussgeldrahmen nach Art. 83 DSGVO ist gestaffelt. Verstoesse gegen Art. 33 und Art. 34 DSGVO selbst fallen in den niedrigeren Rahmen: bis 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes des Vorjahres. Verstoesse gegen die materiellen Pflichten (also gegen Art. 5, 6, 7, 9 DSGVO, fehlende Rechtsgrundlage, fehlende Einwilligung) fallen in den hoeheren Rahmen: bis 20 Mio Euro oder 4 Prozent.
Was die Aufsichtsbehoerden in der Praxis verhaengen, ist meist deutlich darunter. Aber: Bussgelder werden zunehmend kombiniert mit Auflagen und Verbesserungspflichten. Wer mehrfach gegen Meldepflichten verstossen hat, riskiert auch Untersagungs- und Anordnungsverfuegungen.
Hinzu kommen indirekte Kosten. Das OLG Hamm hat am 12.05.2026 entschieden, dass Betreiber wettbewerbsrechtlich nach §§ 3 und 5 UWG fuer falsche KI-Chatbot-Aussagen haften, auch wenn die KI die Aussage selbst generiert hat. Das eroeffnet Mitbewerbern einen Klageweg auf Unterlassung und Schadensersatz, der parallel zur Datenschutzaufsicht laeuft.
In der Praxis sehen wir bei KMU eine wiederkehrende Luecke. Es gibt einen Datenschutzbeauftragten, der DSGVO-Vorfaelle bewertet. Es gibt eventuell einen ITSec-Verantwortlichen, der Cyber-Vorfaelle bewertet. Aber niemand hat den KI-spezifischen Pfad gedacht. Wer das jetzt aufsetzt, hat einen klaren Vorteil. Die Tools sind im Einsatz, die Vorfaelle kommen sicher, die Frage ist nur wann.
Häufige Fragen
Ist es eine Datenpanne, wenn ein Mitarbeiter ein vertrauliches Dokument in ChatGPT Free hochlaedt?
In der Regel ja. Personenbezogene Daten werden an einen Tool-Anbieter offengelegt, mit dem kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht und der die Daten unter Umstaenden fuer Training nutzt. Das ist eine unbefugte Offenlegung im Sinne von Art. 4 Nr. 12 DSGVO. Die Meldepflicht nach Art. 33 DSGVO greift, sofern ein Risiko fuer die Rechte und Freiheiten der Betroffenen wahrscheinlich ist, was bei identifizierbaren Personen und vertraulichen Inhalten typischerweise der Fall ist.
Wann beginnt die 72-Stunden-Frist nach Art. 33 DSGVO genau?
Mit dem Zeitpunkt, an dem der Verantwortliche Kenntnis von der Panne hat. Kenntnis heisst hinreichende Tatsachenkenntnis, dass eine Panne wahrscheinlich vorliegt, nicht zwingend abgeschlossene Analyse. Die Frist ist eine Werktags-unabhaengige Stundenzaehlung, sie laeuft also auch am Wochenende. Wer am Freitag 17 Uhr Kenntnis erlangt, hat bis Montag 17 Uhr Zeit. Wenn die 72 Stunden nicht zu halten sind, erlaubt Art. 33 Abs. 1 Satz 2 DSGVO eine Verzoegerung mit nachvollziehbarer Begruendung.
Was ist der Unterschied zwischen Art. 33 und Art. 34 DSGVO?
Art. 33 DSGVO regelt die Meldung an die Datenschutz-Aufsichtsbehoerde, in DE die jeweilige Landesdatenschutzbehoerde. Art. 34 DSGVO regelt die zusaetzliche Benachrichtigung der Betroffenen selbst, also der Personen, deren Daten in der Panne betroffen sind. Art. 34 greift nur bei voraussichtlich hohem Risiko fuer die Rechte und Freiheiten der Betroffenen. Beide Pflichten koennen gemeinsam ausgeloest werden. Empfaenger, Inhalt und Frist unterscheiden sich teilweise.
Welche Bussgelder drohen bei nicht gemeldeter KI-Datenpanne?
Verstoesse gegen die Meldepflichten der Art. 33 und 34 DSGVO fallen in den niedrigeren Bussgeldrahmen nach Art. 83 Abs. 4 DSGVO: bis zu 10 Mio Euro oder 2 Prozent des weltweiten Vorjahres-Jahresumsatzes, je nachdem welcher Betrag hoeher ist. Verstoesse gegen die materiellen Pflichten der DSGVO (fehlende Rechtsgrundlage, ungerechtfertigte Datenverarbeitung) fallen in den hoeheren Rahmen bis 20 Mio Euro oder 4 Prozent. Parallel kann nach OLG Hamm vom 12.05.2026 wettbewerbsrechtliche Haftung nach §§ 3 und 5 UWG entstehen, wenn die KI falsche oder taeuschende Aussagen ueber Wettbewerber oder Produkte trifft.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.