Zum Inhalt springen
Recht & Datenschutz

WordPress gehackt: DSGVO-Meldepflicht in 72 Stunden

Wenn Ihre WordPress-Website gehackt wurde und personenbezogene Daten betroffen sein könnten, läuft eine Frist: 72 Stunden für die Meldung an die Datenschutzaufsichtsbehörde. Was genau Sie melden müssen, an wen, und welche Konsequenzen bei Nicht-Meldung drohen.

Von Dennis Theis · · 7 Min. Lesezeit

Dokument mit DSGVO-Meldepflicht Checkliste und 72-Stunden-Frist

Hinweis: Dieser Artikel gibt eine praxisnahe Orientierung für Website-Betreiber. Er ersetzt keine Rechtsberatung. Im Zweifelsfall konsultieren Sie einen Fachanwalt für IT-Recht oder Ihren Datenschutzbeauftragten.

Wann besteht eine DSGVO-Meldepflicht?

Nach Art. 33 DSGVO müssen Sie eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Eine Meldepflicht besteht immer dann, wenn bei einem Sicherheitsvorfall personenbezogene Daten betroffen sein könnten. Entscheidend ist nicht, ob tatsächlich Daten abgeflossen sind, sondern ob ein Risiko besteht.

Für WordPress-Websites bedeutet das: Wenn ein Angreifer Zugriff auf Ihre Installation hatte und dort personenbezogene Daten gespeichert werden, müssen Sie von einem Risiko ausgehen. Die Beweislast liegt bei Ihnen. Sie müssen nachweisen können, dass keine Daten betroffen waren, nicht umgekehrt.

Ausnahme: Eine Meldung ist nicht erforderlich, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. In der Praxis ist diese Ausnahme bei gehackten Websites selten anwendbar, da der Umfang des Zugriffs meist nicht sofort geklärt werden kann.

Welche Daten sind typischerweise betroffen?

WordPress-Websites speichern mehr personenbezogene Daten als viele Betreiber vermuten. Prüfen Sie, welche der folgenden Datenkategorien auf Ihrer Website vorhanden sind.

  • Kontaktformulare: Name, E-Mail, Telefonnummer, Nachrichteninhalt (oft in der Datenbank oder per E-Mail gespeichert)
  • WooCommerce-Bestelldaten: Name, Adresse, E-Mail, Telefon, Bestellhistorie, ggf. Zahlungsinformationen
  • Newsletter-Abonnenten: E-Mail-Adressen und ggf. Namen
  • Benutzer-Registrierungen: Benutzername, E-Mail, ggf. weitere Profilfelder
  • Kommentare: Name, E-Mail-Adresse, IP-Adresse
  • Bewerbungsformulare: Lebensläufe, Anschreiben, persönliche Daten
  • Buchungssysteme: Termine, Namen, Kontaktdaten, ggf. Gesundheitsdaten

Besonders kritisch: Wenn Ihre Website Gesundheitsdaten (z.B. bei Ärzten oder Therapeuten), Finanzdaten oder Daten von Minderjährigen verarbeitet, gelten erhöhte Anforderungen.

Die 72-Stunden-Frist: Was genau bedeutet sie?

Die Frist von 72 Stunden beginnt nicht mit dem Zeitpunkt des Hacks, sondern mit dem Zeitpunkt, an dem Sie Kenntnis von der Datenschutzverletzung erlangen. „Kenntnis“ bedeutet: Sie haben erfahren, dass Ihre Website gehackt wurde, z.B. durch eine Hoster-Benachrichtigung, eine Google-Warnung oder eigene Entdeckung.

Wichtig: Dokumentieren Sie den genauen Zeitpunkt, an dem Sie den Hack bemerkt haben. Notieren Sie Datum und Uhrzeit, wie Sie den Hack entdeckt haben und welche ersten Maßnahmen Sie ergriffen haben. Diese Dokumentation wird bei der Meldung benötigt.

Wenn Sie die Meldung nicht innerhalb von 72 Stunden abgeben können (z.B. weil die Analyse noch läuft), müssen Sie eine vorläufige Meldung abgeben und diese später ergänzen. Eine verspätete Meldung mit Begründung ist besser als keine Meldung.

Was muss die Meldung an die Aufsichtsbehörde enthalten?

Art. 33 Abs. 3 DSGVO definiert den Mindestinhalt der Meldung. In der Praxis stellen die meisten Landesaufsichtsbehörden Online-Formulare bereit, die Sie durch die Pflichtangaben führen.

  1. Art der Verletzung: Was ist passiert? (z.B. „Unbefugter Zugriff auf WordPress-Installation durch ausgenutzte Plugin-Schwachstelle“)
  2. Betroffene Datenkategorien: Welche Arten von Daten waren potenziell betroffen? (z.B. Kontaktformulardaten, Benutzer-Logins)
  3. Ungefähre Zahl der Betroffenen: Wie viele Personen sind betroffen? (Schätzung reicht, z.B. „ca. 500 Kontaktformular-Einträge“)
  4. Kontaktdaten des Datenschutzbeauftragten: Falls vorhanden, sonst des Verantwortlichen
  5. Wahrscheinliche Folgen: Was könnte Betroffenen passieren? (z.B. Phishing-Mails, Identitätsdiebstahl)
  6. Ergriffene Maßnahmen: Was haben Sie unternommen? (z.B. Website gesperrt, Passwörter geändert, Malware entfernt)

An wen melden Sie?

Die Meldung geht an die Datenschutzaufsichtsbehörde Ihres Bundeslandes. Für Unternehmen ist das die Behörde am Sitz des Unternehmens. Jede Behörde bietet ein Online-Meldeformular an.

Beispiele:

  • Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
  • NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
  • Hessen: Hessischer Beauftragter für Datenschutz und Informationsfreiheit
  • Niedersachsen: Landesbeauftragte für den Datenschutz Niedersachsen

Tipp: Suchen Sie nach „Datenschutz Meldung Datenpanne [Ihr Bundesland]“. Die Online-Formulare sind in der Regel selbsterklärend und führen Sie durch den Prozess.

Wann müssen auch die Betroffenen informiert werden?

Neben der Meldung an die Behörde kann eine Pflicht zur Benachrichtigung der betroffenen Personen bestehen. Art. 34 DSGVO verlangt das, wenn die Datenschutzverletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ der Betroffenen mit sich bringt.

Ein hohes Risiko liegt typischerweise vor, wenn:

  • Login-Daten (Benutzername + Passwort) abgegriffen wurden
  • Zahlungsdaten oder Bankverbindungen betroffen sind
  • Gesundheitsdaten oder andere sensible Kategorien offengelegt wurden
  • Die Daten für Identitätsdiebstahl missbraucht werden können

Die Benachrichtigung muss in „klarer und einfacher Sprache“ erfolgen und die gleichen Informationen enthalten wie die Behördenmeldung (Art der Verletzung, mögliche Folgen, ergriffene Maßnahmen, Empfehlungen zum Selbstschutz).

Praktische Checkliste: Was tun nach einem Hack?

Diese Checkliste verbindet die technischen Sofortmaßnahmen mit den rechtlichen Pflichten. Für die technische Bereinigung im Detail empfehle ich unseren Erste-Hilfe-Guide für gehackte WordPress-Websites.

  1. Zeitpunkt dokumentieren: Wann haben Sie den Hack bemerkt? (72-Stunden-Frist beginnt)
  2. Beweise sichern: Screenshots, Log-Dateien, aktuellen Zustand als Backup
  3. Website in Wartungsmodus setzen: Weitere Datenabflüsse verhindern
  4. Gespeicherte Daten prüfen: Welche personenbezogenen Daten liegen auf der Website?
  5. Ausmaß einschätzen: Wie lange war der Angreifer im System? Welche Daten waren erreichbar?
  6. Meldung an Aufsichtsbehörde: Online-Formular der zuständigen Behörde nutzen
  7. Betroffene informieren: Falls hohes Risiko besteht (Art. 34 DSGVO)
  8. Technische Bereinigung: Malware entfernen, Schwachstelle identifizieren, absichern
  9. Dokumentation vervollständigen: Alle Maßnahmen mit Zeitstempel festhalten
  10. Präventionsmaßnahmen umsetzen: Laufende Wartung für dauerhaften Schutz

Bußgelder und Konsequenzen bei Nicht-Meldung

Die DSGVO sieht für Verstöße gegen die Meldepflicht empfindliche Strafen vor. Nach Art. 83 Abs. 4 DSGVO drohen Geldbußen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

In der Praxis fallen die Bußgelder für KMU deutlich geringer aus. Die Aufsichtsbehörden berücksichtigen Unternehmenssgröße, Schwere des Verstoßes und ob der Verantwortliche kooperiert. Aber selbst einige tausend Euro sind vermeidbar, wenn Sie die Meldepflicht einhalten.

Schwerer als das Bußgeld wiegt oft der Reputationsschaden. Kunden und Geschäftspartner, die erfahren, dass ein Hack nicht gemeldet wurde, verlieren das Vertrauen. Eine transparente, fristgerechte Meldung signalisiert dagegen, dass Sie den Vorfall ernst nehmen und verantwortungsvoll handeln.

Prävention: So minimieren Sie das Risiko

Die beste Strategie gegen DSGVO-Meldepflichten ist, Hacks gar nicht erst zuzulassen. Die wichtigsten Maßnahmen:

  • Regelmäßige Updates: WordPress, Plugins und Themes aktuell halten
  • Starke Passwörter + 2FA: Auf allen Admin-Konten
  • Datenminimierung: Nur die Daten speichern, die Sie wirklich brauchen. Kontaktformular-Einträge nicht länger als nötig aufbewahren
  • Verschlüsselung: SSL/TLS für alle Datenübertragungen
  • Monitoring: Datei-Integritätsprüfung und Malware-Scans erkennen Angriffe früh
  • Notfallplan: Vorab definieren, wer im Hack-Fall was tut und wo die Meldung erfolgt

Mit einem professionellen Wartungspaket sind Updates, Sicherheitsscans und Backups abgedeckt. Im Ernstfall steht ein Experte bereit, der bei der technischen Bereinigung und der Dokumentation für die Behördenmeldung unterstützt.

Nochmals der Hinweis: Dieser Artikel dient der Orientierung und ersetzt keine Rechtsberatung. Bei einem konkreten Sicherheitsvorfall mit personenbezogenen Daten konsultieren Sie Ihren Datenschutzbeauftragten oder einen Fachanwalt für IT-Recht.