Datenpanne melden: Die 72-Stunden-Frist nach Art. 33 DSGVO

Die 72-Stunden-Uhr für eine Datenpanne startet nicht beim Angriff, sondern beim Erkennen: Ein Angriff am Montag, entdeckt Donnerstag, lässt die Frist erst Donnerstag laufen. Nach Art. 33 DSGVO müssen Sie eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden nach diesem Bekanntwerden, melden – außer ein Risiko für Betroffene ist unwahrscheinlich.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Wann ist eine Datenpanne meldepflichtig?
Meldepflichtig ist eine Datenpanne, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Nur wenn ein Risiko unwahrscheinlich ist, entfällt die Meldung – und diesen Nachweis müssen Sie erbringen (Art. 33 Abs. 1 DSGVO).
Als Verletzung des Schutzes personenbezogener Daten definiert Art. 4 Nr. 12 DSGVO die Vernichtung, den Verlust, die Veränderung oder die unbefugte Offenlegung von beziehungsweise den unbefugten Zugang zu personenbezogenen Daten. Das reicht vom verlorenen Firmenlaptop über den Phishing-Zugriff auf ein E-Mail-Postfach bis zur falsch versendeten Bewerberliste.
Waren die betroffenen Daten wirksam verschlüsselt und blieb der Schlüssel unter Ihrer Kontrolle, ist ein Risiko oft nicht gegeben – das ist aber im Einzelfall zu prüfen und zu dokumentieren, nicht pauschal zu unterstellen. Für Sie heißt das: Prüfen Sie jeden Vorfall einzeln, statt eine Meldung vorschnell auszuschließen.
Wann beginnt die 72-Stunden-Frist?
Die Frist beginnt mit dem Bekanntwerden, nicht mit dem Vorfall. Bekannt ist eine Datenpanne dem Verantwortlichen erst, wenn eine zuständige Person mit hinreichender Sicherheit weiß, dass ein meldepflichtiges Ereignis vorliegt – ein vager Verdacht reicht dafür nicht.
Genau darin liegt der entscheidende Engpass: Bleibt eine Anomalie tagelang unbemerkt in einem Postfach oder auf einem Schreibtisch liegen, verstreicht wertvolle Zeit – bevor die Uhr überhaupt zu laufen beginnt.
Nach Art. 33 Abs. 5 DSGVO müssen Sie jede Verletzung ohnehin dokumentieren, einschließlich der Fakten, Auswirkungen und ergriffenen Maßnahmen – ein Baustein der allgemeinen Rechenschaftspflicht nach DSGVO. Für Sie heißt das: Je schneller ein Vorfall intern als Datenpanne erkannt wird, desto mehr Spielraum bleibt innerhalb der 72 Stunden.
Was gehört in die Meldung an die Aufsichtsbehörde?
Die Meldung nach Art. 33 Abs. 3 DSGVO muss mindestens vier Angaben enthalten:
- eine Beschreibung der Art der Verletzung – soweit möglich mit Kategorien und ungefährer Zahl der betroffenen Personen sowie der betroffenen Datensätze;
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.
Liegen zum Meldezeitpunkt noch nicht alle Informationen vor, erlaubt Art. 33 Abs. 4 DSGVO eine schrittweise Nachlieferung ohne unangemessene weitere Verzögerung.
Zuständig ist die Aufsichtsbehörde, in deren Hoheitsgebiet Sie Ihre Hauptniederlassung haben, oder die nach Art. 55 DSGVO für den konkreten Fall zuständig ist – in Deutschland je nach Bundesland die jeweilige Landesdatenschutzbehörde, meist über ein Online-Meldeportal. Für Sie heißt das: Warten Sie mit der Meldung nicht, bis alle vier Punkte vollständig sind – melden Sie fristgerecht und ergänzen Sie später.
Wann müssen Betroffene informiert werden?
Betroffene müssen Sie nur bei einem hohen Risiko informieren – eine höhere Schwelle als bei der Meldepflicht an die Behörde (Art. 34 Abs. 1 DSGVO). Die Benachrichtigung muss unverzüglich erfolgen, in klarer und einfacher Sprache, und dieselben Kernangaben wie die Behördenmeldung enthalten.
Art. 34 Abs. 3 DSGVO nennt drei Ausnahmen, bei denen eine individuelle Benachrichtigung entfällt:
- geeignete technische Schutzmaßnahmen wie Verschlüsselung machten die Daten für Unbefugte unzugänglich;
- nachträgliche Maßnahmen haben das hohe Risiko beseitigt;
- die individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden – dann genügt eine öffentliche Bekanntmachung oder vergleichbare Maßnahme.
Für Sie heißt das: Prüfen Sie die Risikoschwelle für jede Datenpanne zweimal – einmal für die Behörde, einmal für die Betroffenen.
Was passiert bei einer verspäteten Meldung?
Wird die 72-Stunden-Frist überschritten, verlangt Art. 33 Abs. 1 Satz 2 DSGVO, der Meldung eine Begründung für die Verzögerung beizufügen. Eine verspätete, aber begründete Meldung ist damit ausdrücklich vorgesehen – keine automatische Pflichtverletzung.
Bleibt die Meldung dagegen ganz aus oder ist die Verzögerung nicht plausibel erklärt, kann die Aufsichtsbehörde ein Bußgeld nach Art. 83 Abs. 4 DSGVO verhängen: bis zu 10 Millionen Euro oder, bei Unternehmen, bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
Hinzu kommen der Aufwand einer behördlichen Prüfung und der Vertrauensverlust bei Kunden und Mitarbeitenden. Für Sie heißt das: Eine späte, begründete Meldung schützt Sie besser als gar keine.
Warum sind geschulte Mitarbeiter der entscheidende Faktor?
Geschulte Mitarbeitende sind der entscheidende Faktor, weil die 72-Stunden-Frist erst zu laufen beginnt, wenn jemand im Unternehmen die Datenpanne als solche erkennt und intern meldet. Ohne diesen ersten Schritt lässt sich die Frist gar nicht erst einhalten.
In der Praxis scheitert die Meldepflicht seltener an der Formulierung des Meldetextes – sie scheitert daran, dass ein verdächtiges Verhalten gar nicht als meldepflichtiger Vorfall wahrgenommen wird: eine ungewöhnliche Anmeldung, eine fehlgeleitete E-Mail, ein liegen gelassener USB-Stick.
Mitarbeitende, die die Definition einer Datenpanne kennen und wissen, an wen sie sich intern sofort wenden müssen, verkürzen genau die Zeitspanne zwischen Vorfall und Bekanntwerden, auf die es rechtlich ankommt. Für Sie heißt das: Ein klarer interner Meldeweg ist kein Verwaltungsdetail, sondern die Voraussetzung dafür, dass die 72-Stunden-Frist überhaupt einzuhalten ist.
Was sollten Sie schon heute vorbereiten?
Die 72-Stunden-Frist lässt sich im Ernstfall nicht improvisieren – sie muss vorbereitet sein, bevor überhaupt etwas passiert. Vier Schritte schaffen die Grundlage:
- Internen Meldeweg festlegen: Wer meldet einen Verdacht, an wen, und binnen welcher Zeit muss die interne Meldung erfolgen?
- Meldeportal der zuständigen Landesbehörde bookmarken, damit im Ernstfall niemand erst danach suchen muss.
- Kontaktdaten des Datenschutzbeauftragten zentral hinterlegen und allen Mitarbeitenden zugänglich machen.
- Dokumentationsvorlage nach Art. 33 Abs. 5 DSGVO anlegen, damit Fakten, Auswirkungen und Maßnahmen ab der ersten Minute erfasst werden.
Für Sie heißt das: Wer diese vier Punkte vorbereitet hat, verliert im Ernstfall keine Zeit mit Organisation – und kann sich auf Erkennen und Melden konzentrieren.
| Meldung an die Aufsichtsbehörde (Art. 33) | Benachrichtigung der Betroffenen (Art. 34) | |
|---|---|---|
| Auslöser | Risiko für Rechte und Freiheiten der Betroffenen | Hohes Risiko für Rechte und Freiheiten der Betroffenen |
| Frist | Unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden | Unverzüglich, keine feste Stundenfrist |
| Inhalt | Art der Verletzung, Zahl/Kategorien Betroffener, DSB-Kontakt, Folgen, Maßnahmen | Klare Sprache, DSB-Kontakt, wahrscheinliche Folgen, ergriffene Maßnahmen |
| Ausnahme | Risiko nachweislich unwahrscheinlich | Verschlüsselung, Folgemaßnahmen oder unverhältnismäßiger Aufwand |
Häufige Fragen (FAQ)
Zählen Wochenenden und Feiertage bei den 72 Stunden mit?
Ja. Die Frist läuft in Stunden, nicht in Werktagen – ein Wochenende oder ein Feiertag unterbricht sie nicht. Verzögert sich die Meldung dadurch, sollten Sie eine kurze Begründung beifügen (Art. 33 Abs. 1 DSGVO).
Wer ist verpflichtet, die Meldung vorzunehmen?
Meldepflichtig gegenüber der Aufsichtsbehörde sind Sie als Verantwortlicher, also in der Regel Ihr Unternehmen selbst. Ein Auftragsverarbeiter, der eine Verletzung bei sich feststellt, muss Sie nach Art. 33 Abs. 2 DSGVO unverzüglich informieren, damit Sie fristgerecht melden können.
Kann ich eine Meldung nachträglich ergänzen?
Ja. Art. 33 Abs. 4 DSGVO erlaubt eine schrittweise Information, wenn zum Meldezeitpunkt noch nicht alle Angaben vorliegen. Melden Sie zunächst fristgerecht und reichen Sie fehlende Informationen ohne unangemessene Verzögerung nach.
Muss ich auch melden, wenn nur Mitarbeiterdaten betroffen sind?
Ja. Beschäftigtendaten sind personenbezogene Daten im Sinne der DSGVO, für die dieselbe Meldepflicht gilt wie bei Kunden- oder Interessentendaten. Auch eine interne Datenpanne – etwa eine fehlgeleitete Gehaltsliste – ist an den vier Kriterien aus Art. 33 Abs. 3 DSGVO zu prüfen.
Ob eine Meldung fristgerecht möglich ist, entscheidet sich nicht am Meldeformular, sondern an der Reaktionsfähigkeit der Belegschaft: Nur wer eine Datenpanne als solche erkennt und weiß, wohin sie intern zu melden ist, setzt die 72-Stunden-Frist überhaupt in Gang. Genau dieses Erkennen und Melden vermittelt die DSGVO-Grundlagenschulung von Provimedia praxisnah und mit Teilnahmezertifikat als Nachweis für Mitarbeitende und Unternehmen.
Quellen
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen
Phishing, Spear-Phishing, CEO-Fraud und Smishing zielen nicht auf Systeme, sondern auf Menschen. Welche Warnsignale eine Phishing-Mitarbeiter-Schulung vermitteln sollte und warum ein erfolgreicher Angriff schnell zur meldepflichtigen Datenschutzverletzung wird.
DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen
Vier reale DSGVO-Bußgeldfälle aus Deutschland zeigen, wie Behörden die Höhe bemessen – und dass Gerichte sie im Nachhinein auch wieder deutlich reduzieren können.
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Der Name wird laut ins Wartezimmer gerufen, die Terminerinnerung per SMS verschickt, die alte Akte entsorgt: Im Praxisalltag entscheiden Kleinigkeiten über Datenschutzverstöße. Der Beitrag zeigt, welche Situationen heikel sind, wann Sie einen Datenschutzbeauftragten brauchen und wie Sie Ihr Team nachweisbar schulen.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.