Zum Inhalt springen

Datenpannen-Prozess einrichten: DSGVO-Meldung binnen 72 Stunden

Provimedia 4 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
Datenpannen-Prozess einrichten: DSGVO-Meldung binnen 72 Stunden

Wenn in Ihrem Unternehmen personenbezogene Daten verloren gehen, gestohlen werden oder versehentlich offengelegt werden, tickt ab dem Moment der Kenntnisnahme eine Uhr: Die DSGVO verlangt eine Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden. Ohne einen vorbereiteten Prozess mit klaren Zuständigkeiten ist diese Frist in der Praxis kaum zu halten, denn Risikoeinschätzung, Dokumentation und Meldung müssen in kürzester Zeit zusammenlaufen.

Kurz erklärt: Bei einer Verletzung des Schutzes personenbezogener Daten mit Risiko für Betroffene müssen Sie die Aufsichtsbehörde nach Art. 33/34 DSGVO binnen 72 Stunden informieren; bei hohem Risiko sind zusätzlich die Betroffenen zu benachrichtigen. Betroffen ist jedes Unternehmen, das personenbezogene Daten verarbeitet – ohne vorbereiteten Prozess droht ein Bußgeld bis 10 Mio. € oder 2 % des Jahresumsatzes.

Wer ist betroffen?

Die Meldepflicht bei Datenpannen betrifft grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig von Branche oder Größe. Das reicht vom Einzelunternehmer mit einer Kundendatenbank über den Online-Shop mit Bestelldaten bis zum Betrieb mit Mitarbeiterdaten in der Personalabteilung. Auch wer Dienstleister wie Cloud-Anbieter oder externe IT-Betreuer einsetzt, bleibt datenschutzrechtlich verantwortlich und sollte sich von diesen vertraglich zusichern lassen, im Ernstfall unverzüglich informiert zu werden. Sobald eine Verletzung des Schutzes personenbezogener Daten eintritt und für die betroffenen Personen ein Risiko entsteht, greift Art. 33/34 DSGVO – unabhängig davon, ob der Vorfall durch einen Hackerangriff, einen verlorenen Laptop oder eine falsch versendete E-Mail ausgelöst wurde. Welche Pflichten konkret für Ihr Unternehmen gelten, zeigt ein Werkzeug wie Company Audit.

Was müssen Sie konkret tun?

Ein handlungsfähiger Prozess für den Ernstfall besteht aus wenigen, aber klar definierten Bausteinen. Bereiten Sie diese vor, bevor ein Vorfall eintritt – im Ernstfall bleibt dafür keine Zeit mehr, denn die Uhr läuft ab dem Moment, in dem irgendjemand im Unternehmen von der Panne erfährt:

  1. Internen Meldeweg festlegen: Wer muss bei einem Sicherheitsvorfall sofort informiert werden?
  2. Checkliste zur Risikoeinschätzung vorbereiten (welche Daten, wie viele Betroffene, welches Risiko).
  3. Muster für die Meldung an die Aufsichtsbehörde vorhalten.
  4. Muster für die Benachrichtigung betroffener Personen bei hohem Risiko vorbereiten.
  5. Vorfälle und Meldeentscheidungen dokumentieren – auch wenn am Ende nicht gemeldet wird.

Legen Sie außerdem fest, wer den Prozess im Ernstfall koordiniert – üblicherweise die Geschäftsführung gemeinsam mit einem eventuell bestellten Datenschutzbeauftragten. Je klarer die Zuständigkeiten vorab verteilt sind, desto weniger Zeit geht in den ersten Stunden nach Bekanntwerden eines Vorfalls verloren.

Bis wann und wie oft müssen Sie melden?

Die Frist beträgt 72 Stunden ab Kenntnis der Datenpanne – und zwar 72 Kalenderstunden, keine Werktage. Ein Vorfall am Freitagnachmittag lässt Ihnen also nicht bis Montag Zeit, sondern die Frist läuft über das gesamte Wochenende weiter. Maßgeblich ist dabei der Zeitpunkt, an dem im Unternehmen ausreichende Gewissheit über den Vorfall besteht – nicht erst der Abschluss einer vollständigen internen Aufklärung. Eine feste Wiederholung wie bei anderen Pflichten gibt es hier nicht: Die Meldepflicht entsteht ad hoc, sobald tatsächlich eine Datenpanne mit Risiko für Betroffene eintritt. Genau deshalb muss der Prozess dauerhaft einsatzbereit sein und nicht nur einmal jährlich durchdacht werden.

Was droht bei einem Verstoß?

Wird die Meldefrist versäumt oder die Meldung ganz unterlassen, drohen Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes. Welcher Betrag im Einzelfall verhängt wird, hängt von Schwere und Umständen des Verstoßes ab. Neben dem Bußgeldrisiko drohen bei bekanntgewordenen Datenpannen ohne belastbaren Prozess zusätzlich Vertrauensverlust bei Kunden und Geschäftspartnern sowie erheblicher Aufwand durch behördliche Nachfragen. Ein dokumentierter, jederzeit abrufbarer Prozess ist deshalb nicht nur eine Formalie, sondern der wirksamste Schutz vor einem verspäteten oder ausbleibenden Meldevorgang.

Häufige Fragen

Was zählt als meldepflichtige Datenpanne?

Meldepflichtig ist jede Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt – etwa der Verlust, Diebstahl oder eine unbefugte Offenlegung von Kunden- oder Mitarbeiterdaten. Ob ein Risiko vorliegt, klärt die vorab erstellte Checkliste zur Risikoeinschätzung.

Muss ich jeden Vorfall an die Aufsichtsbehörde melden?

Nein, nur Vorfälle mit Risiko für Betroffene sind meldepflichtig nach Art. 33/34 DSGVO. Auch nicht meldepflichtige Vorfälle sollten Sie aber intern dokumentieren, um dies im Zweifel nachweisen zu können.

Was ist der Unterschied zwischen Meldung und Benachrichtigung?

Die Meldung nach Art. 33 DSGVO richtet sich an die Aufsichtsbehörde und ist bei jedem Risiko fällig. Die Benachrichtigung nach Art. 34 DSGVO richtet sich zusätzlich an die betroffenen Personen selbst und wird erst bei einem hohen Risiko notwendig.

Zählen Wochenenden zur 72-Stunden-Frist?

Ja. Die 72 Stunden sind Kalenderstunden, keine Werktage. Die Frist läuft also auch an Wochenenden und Feiertagen ununterbrochen weiter – ein Vorfall am Freitag kann so unter Umständen bereits am Sonntag gemeldet werden müssen.

Was sollte ich vorbereiten, bevor ein Vorfall passiert?

Legen Sie vorab einen internen Meldeweg, eine Checkliste zur Risikoeinschätzung sowie Muster für Meldung und Benachrichtigung fest, und dokumentieren Sie jeden Vorfall – auch wenn er am Ende nicht meldepflichtig ist. So verlieren Sie im Ernstfall keine Zeit mit der Suche nach Zuständigkeiten oder Formulierungen.

Quelle: Art. 33/34 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.