EuroComply
Sign up
Back to blog
DSGVO 9 min read

DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde

What you need to know: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde

Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, Datenschutzverletzungen binnen 72 Stunden bei der zustĂ€ndigen Aufsichtsbehörde zu melden. Dieser Leitfaden erlĂ€utert, was als Datenpanne gilt, wann die Frist beginnt, wen Sie benachrichtigen mĂŒssen und welche Angaben Ihre Meldung enthalten muss.

Source: EuroComply Editorial (2026-06-03)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, eine Datenschutzverletzung „unverzĂŒglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" der zustĂ€ndigen Aufsichtsbehörde zu melden. Dies ist eine gesetzlich verbindliche Frist. Wer sie versĂ€umt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes.

Dieser Leitfaden erklĂ€rt, was als Datenpanne zĂ€hlt, wie die 72-Stunden-Frist berechnet wird, an welche Behörden Sie sich wenden mĂŒssen und welche Informationen Ihre Meldung enthalten muss.

Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzĂŒglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemĂ€ĂŸ Artikel 55 zustĂ€ndigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen fĂŒhrt."

Die zentralen Punkte im Überblick:

  • Die 72-Stunden-Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Verletzung erlangt — nicht erst, wenn die Untersuchung abgeschlossen ist.
  • Die Meldung ist verpflichtend, sofern die Verletzung nicht voraussichtlich zu einem Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen fĂŒhrt.
  • Adressat ist die Aufsichtsbehörde — die zustĂ€ndige nationale Datenschutzbehörde in den Mitgliedstaaten, in denen die betroffenen Personen ansĂ€ssig sind.
  • Unterlassene Meldung wird nach Artikel 83 Abs. 4 DSGVO geahndet: Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Was gilt als Datenschutzverletzung?

Artikel 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmĂ€ĂŸig, zur Vernichtung, zum Verlust, zur VerĂ€nderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten fĂŒhrt, die ĂŒbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."

In der Praxis bedeutet dies: Eine Datenpanne liegt immer dann vor, wenn personenbezogene Daten kompromittiert werden — sei es durch unbefugten Zugriff, Verlust, Löschung oder unerlaubte VerĂ€nderung.

Beispiele meldepflichtiger Datenpannen

  • Ransomware-Angriff, der Kundendatenbanken verschlĂŒsselt
  • Gehacktes Mitarbeiterkonto mit Zugriff durch externe Angreifer
  • Versehentliche Offenlegung einer Kundenliste in einem falsch konfigurierten Cloud-Speicher
  • Gestohlenes, unverschlĂŒsseltes Laptop mit Kundendaten
  • Datenleck durch einen Insider mit Zugriff auf Live-Datenbanken
  • Erfolgreicher Phishing-Angriff, der personenbezogene Daten offengelegt hat
  • Datenpanne bei einem Drittanbieter, der Ihre Kundendaten verarbeitet

Beispiele, die möglicherweise keine Meldung erfordern

  • Gescheiterter Zugriffsversuch ohne bestĂ€tigte Datenpanne
  • Verlust verschlĂŒsselter Daten, sofern der SchlĂŒssel sicher aufbewahrt wird und kein tatsĂ€chlicher Zugriff erfolgte
  • Technische Störung ohne Anhaltspunkte fĂŒr einen unbefugten Zugriff

Auch in diesen FĂ€llen sollten Sie die Bewertung dokumentieren, um Ihre Entscheidung im Falle einer behördlichen PrĂŒfung nachweisen zu können.

Die 72-Stunden-Frist: Wann beginnt sie?

Die Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Datenpanne erlangt — nicht, wenn:

  • die Untersuchung abgeschlossen ist,
  • die Schwachstelle behoben wurde,
  • die betroffenen Personen kontaktiert wurden,
  • die Rechtsabteilung die Meldung freigegeben hat, oder
  • die GeschĂ€ftsfĂŒhrung informiert wurde.

Der Begriff „Kenntnis" im Sinne der DSGVO setzt keine vollstĂ€ndige Gewissheit voraus. Sobald Sie hinreichenden Grund zu der Annahme haben, dass eine Datenpanne eingetreten sein könnte, beginnt die Frist zu laufen.

Praxisbeispiele

Beispiel 1: Ransomware-Angriff (3. Juni, 09:00 Uhr)

  • 09:00 Uhr: Ihr Sicherheitsteam entdeckt ungewöhnlich verschlĂŒsselte Dateien auf einem Server.
  • Dies ist der Moment der Kenntniserlangung — die Frist beginnt jetzt.
  • Meldefrist: 6. Juni, 09:00 Uhr (72 Stunden spĂ€ter).

Beispiel 2: Meldung durch einen Drittanbieter (3. Juni, 15:00 Uhr)

  • Ein externer Auftragsverarbeiter teilt Ihnen mit, dass Kundendaten aus seinen Systemen abgeflossen sind.
  • Meldefrist: 6. Juni, 15:00 Uhr.

Beispiel 3: Entdeckung im Rahmen eines Audits

  • Sie stellen wĂ€hrend einer internen PrĂŒfung fest, dass seit drei Wochen auf Kundendaten unbefugt zugegriffen werden konnte.
  • Die 72-Stunden-Frist beginnt mit dem Tag der Entdeckung — nicht mit dem Tag, an dem der unbefugte Zugriff begann.

ZustÀndige Aufsichtsbehörden in der EU

Bei einer Datenpanne mĂŒssen Sie jede Aufsichtsbehörde in jedem Land benachrichtigen, in dem betroffene Personen ansĂ€ssig sind. Die folgende Tabelle enthĂ€lt eine Auswahl der wichtigsten europĂ€ischen Datenschutzbehörden:

| Land | Behörde | Website | |------|---------|---------| | Deutschland | Bundesbeauftragter fĂŒr den Datenschutz und die Informationsfreiheit (BfDI) | bfdi.bund.de | | Österreich | Datenschutzbehörde (DSB) | dsb.at | | Frankreich | Commission Nationale de l'Informatique et des LibertĂ©s (CNIL) | cnil.fr | | Niederlande | Autoriteit Persoonsgegevens (AP) | autoriteitpersoonsgegevens.nl | | Belgien | Gegevensbeschermingsautoriteit (GBA) | gegevensbeschermingsautoriteit.be | | Spanien | Agencia Española de ProtecciĂłn de Datos (AEPD) | aepd.es | | Italien | Garante per la protezione dei dati personali | garanteprivacy.it | | Polen | Urząd Ochrony Danych Osobowych (UODO) | uodo.gov.pl | | Schweden | Integritetsskyddsmyndigheten (IMY) | imy.se | | Irland | Data Protection Commission (DPC) | dataprotection.ie | | Vereinigtes Königreich | Information Commissioner's Office (ICO) | ico.org.uk |

Besonderheit Deutschland: Neben dem BfDI auf Bundesebene sind in Deutschland fĂŒr den privaten Sektor grundsĂ€tzlich die Datenschutzaufsichtsbehörden der LĂ€nder zustĂ€ndig — etwa der Hamburgische Beauftragte fĂŒr Datenschutz und Informationsfreiheit (HmbBfDI), das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) oder der Landesbeauftragte fĂŒr Datenschutz und Informationsfreiheit Baden-WĂŒrttemberg (LfDI BW). Welche Landesbehörde zustĂ€ndig ist, richtet sich nach dem Sitz des Verantwortlichen. FĂŒr öffentliche Stellen des Bundes ist hingegen der BfDI zustĂ€ndig.

Regel bei grenzĂŒberschreitenden Verarbeitungen: Im Rahmen des One-Stop-Shop-Mechanismus nach Artikel 56 DSGVO ist bei grenzĂŒberschreitenden Verarbeitungen primĂ€r die Aufsichtsbehörde am Hauptniederlassungsort des Verantwortlichen (die federfĂŒhrende Behörde) zu benachrichtigen. Bei Datenpannen, die ausschließlich eine oder mehrere Mitgliedstaaten betreffen, sind die jeweils zustĂ€ndigen nationalen Behörden zu informieren.

Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO

Ihre Meldung muss mindestens folgende Angaben enthalten:

  1. Art der Verletzung: Beschreiben Sie, was passiert ist — Hacking, Datenverlust, versehentliche Offenlegung, Insider-Bedrohung usw.
  2. Kategorien und ungefÀhre Anzahl betroffener Personen: Wer ist betroffen? Kunden, Mitarbeiter, Dritte? Wie viele Personen sind ungefÀhr betroffen?
  3. Kategorien und ungefÀhre Anzahl betroffener DatensÀtze: Welche Art von Daten ist betroffen? Namen, Adressen, Zahlungsdaten, Gesundheitsdaten, Passwörter?
  4. Name und Kontaktdaten des Datenschutzbeauftragten (DSB): Falls kein DSB bestellt wurde, nennen Sie den Ansprechpartner in Ihrer Organisation.
  5. Voraussichtliche Folgen: Welche Risiken entstehen fĂŒr die betroffenen Personen? IdentitĂ€tsdiebstahl, finanzielle SchĂ€den, Diskriminierung, ReputationsschĂ€den?
  6. Ergriffene oder geplante Abhilfemaßnahmen: Was haben Sie bereits unternommen? Was ist geplant, um die Datenpanne einzudĂ€mmen und kĂŒnftige VorfĂ€lle zu verhindern?

VorlĂ€ufige Meldung ist zulĂ€ssig: Wenn Ihnen zum Zeitpunkt der Meldung noch nicht alle Informationen vollstĂ€ndig vorliegen, können Sie eine vorlĂ€ufige Meldung abgeben und diese nachtrĂ€glich ergĂ€nzen. Dies ist ausdrĂŒcklich zulĂ€ssig und wird von den Aufsichtsbehörden einer verspĂ€teten vollstĂ€ndigen Meldung vorgezogen.

Schritt-fĂŒr-Schritt-Prozess fĂŒr die Datenpannenmeldung

Schritt 1: Datenpanne bewerten

Stellen Sie so schnell wie möglich fest: Was ist passiert? Welche Systeme und Daten sind betroffen? Ist tatsĂ€chlich auf personenbezogene Daten zugegriffen worden, oder nur auf anonymisierte oder vollstĂ€ndig verschlĂŒsselte Daten? Besteht ein Risiko fĂŒr die Rechte und Freiheiten betroffener Personen?

Schritt 2: ZustÀndige Aufsichtsbehörden identifizieren

In welchen Mitgliedstaaten sind die betroffenen Personen ansĂ€ssig? Welche Aufsichtsbehörde ist federfĂŒhrend zustĂ€ndig? MĂŒssen weitere Behörden informiert werden?

Schritt 3: VorlÀufige Meldung vorbereiten

Erfassen Sie alle verfĂŒgbaren Informationen gemĂ€ĂŸ Artikel 33 Abs. 3 DSGVO. VollstĂ€ndigkeit ist angestrebt, aber keine Voraussetzung fĂŒr die fristgerechte Meldung. Dokumentieren Sie, welche Informationen zum Zeitpunkt der Meldung noch ausstehen.

Schritt 4: Meldung fristgerecht einreichen

Reichen Sie die Meldung ĂŒber den offiziellen Kanal der Aufsichtsbehörde ein — in der Regel ĂŒber ein Online-Portal. Bewahren Sie den Eingangsnachweis auf.

Schritt 5: Laufende Kommunikation mit der Aufsichtsbehörde

Halten Sie die Behörde ĂŒber den Fortgang Ihrer Untersuchung auf dem Laufenden. ErgĂ€nzen Sie Ihre Meldung, sobald weitere Informationen vorliegen. Beantworten Sie RĂŒckfragen der Behörde zeitnah.

Artikel 34 DSGVO — Benachrichtigung der betroffenen Personen

Neben der Meldung an die Aufsichtsbehörde können Sie auch verpflichtet sein, die betroffenen Personen direkt zu informieren. Dies ist ein separates Verfahren nach Artikel 34 DSGVO.

Die Benachrichtigung der Betroffenen ist erforderlich, wenn die Datenpanne voraussichtlich ein hohes Risiko fĂŒr die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

Eine Benachrichtigung der Betroffenen ist nicht erforderlich, wenn:

  • die betroffenen Daten zum Zeitpunkt der Panne verschlĂŒsselt waren und der SchlĂŒssel nicht kompromittiert wurde,
  • der Verantwortliche anschließend Maßnahmen ergriffen hat, durch die das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, oder
  • die Benachrichtigung mit einem unverhĂ€ltnismĂ€ĂŸigen Aufwand verbunden wĂ€re — in diesem Fall ist eine öffentliche Bekanntmachung oder eine Ă€hnliche Maßnahme zulĂ€ssig.

Die Schwelle fĂŒr Artikel 34 DSGVO (hohes Risiko) liegt damit deutlich höher als jene fĂŒr Artikel 33 DSGVO (beliebiges Risiko).

HĂ€ufige Fehler bei der Datenpannenmeldung

Warten bis zur vollstÀndigen Untersuchung. Die hÀufigste und kostspieligste Fehlannahme: die 72-Stunden-Frist lÀuft ab dem Moment der Kenntniserlangung, nicht ab dem Zeitpunkt der abgeschlossenen Analyse. Geben Sie eine vorlÀufige Meldung ab und ergÀnzen Sie sie.

Ausschließliche Meldung bei der Behörde am Unternehmenssitz. Wenn Ihre Datenpanne Personen in mehreren Mitgliedstaaten betrifft, können mehrere Aufsichtsbehörden zustĂ€ndig sein. KlĂ€ren Sie dies vorab im Rahmen Ihrer Vorbereitung.

Keine Dokumentation der RisikoabwĂ€gung. Wenn Sie zu dem Schluss gelangen, dass eine Datenpanne keine Meldepflicht auslöst, weil kein Risiko fĂŒr Betroffene besteht, mĂŒssen Sie diese EinschĂ€tzung dokumentieren. Eine fehlende Dokumentation kann im Rahmen einer PrĂŒfung als Compliance-Verstoß gewertet werden.

Generische Meldungen ohne spezifische Informationen. Aufsichtsbehörden erwarten konkrete Angaben zu Art und Umfang der Datenpanne. Vage Formulierungen verzögern die Bearbeitung und können Nachfragen auslösen.

Checkliste zur Vorbereitung auf Datenpannen

Damit Ihre Organisation im Ernstfall handlungsfÀhig ist, sollten folgende Vorkehrungen getroffen sein:

  • Benanntes Incident-Response-Team mit klar definierten Rollen und Eskalationswegen
  • Aktuelles Verzeichnis aller VerarbeitungstĂ€tigkeiten (DatenbankĂŒbersicht) gemĂ€ĂŸ Artikel 30 DSGVO
  • Dokumentierte Meldeverfahren mit zugewiesenen ZustĂ€ndigkeiten
  • LĂŒckenloses Logging aller Zugriffe auf personenbezogene Daten
  • Vorab recherchierte Kontaktdaten aller relevanten Aufsichtsbehörden
  • Vorbereitete Meldevorlagen fĂŒr die hĂ€ufigsten Szenarien (Ransomware, Insider-Bedrohung, Datenverlust)
  • Briefing-Protokoll fĂŒr die GeschĂ€ftsfĂŒhrung (Was muss die Leitungsebene wissen, und in welchem Zeitrahmen?)
  • Definierte Eskalationspfade: Wer entscheidet ĂŒber die Meldepflicht?
  • RegelmĂ€ĂŸige Übungsszenarien (Tabletop Exercises) zur Simulation von Datenpannen

Wichtigste Erkenntnisse

  1. 72 Stunden ab Kenntnisnahme — nicht ab Abschluss der Untersuchung. Die Uhr lĂ€uft ab dem Moment, in dem Ihre Organisation von der Datenpanne erfĂ€hrt.
  2. VorlĂ€ufige Meldung ist ausdrĂŒcklich zulĂ€ssig — reichen Sie eine unvollstĂ€ndige Meldung ein und ergĂ€nzen Sie diese, sobald weitere Informationen vorliegen.
  3. Adressat ist die Aufsichtsbehörde, nicht die betroffenen Personen. Letztere werden nach Artikel 34 DSGVO nur bei hohem Risiko informiert.
  4. In Deutschland ist grundsĂ€tzlich die zustĂ€ndige Landesbehörde (nicht der BfDI) fĂŒr private Unternehmen zustĂ€ndig. Identifizieren Sie die korrekte Behörde vorab.
  5. Bei grenzĂŒberschreitenden Verarbeitungen gilt der One-Stop-Shop-Mechanismus, bei dem die federfĂŒhrende Behörde am Hauptniederlassungsort informiert wird.
  6. Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes drohen bei unterlassener oder verspĂ€teter Meldung.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. FĂŒr eine auf Ihre Organisation zugeschnittene Beratung wenden Sie sich bitte an Ihren Datenschutzbeauftragten, Ihre Rechtsabteilung oder einen spezialisierten Datenschutzjuristen.

Key takeaways: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde

This article covers: Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO, Was gilt als Datenschutzverletzung?, Die 72-Stunden-Frist: Wann beginnt sie?.

  • Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO
  • Was gilt als Datenschutzverletzung?
  • Die 72-Stunden-Frist: Wann beginnt sie?
  • ZustĂ€ndige Aufsichtsbehörden in der EU
  • Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO
Source: EuroComply Editorial (2026-06-03)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde