DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde
What you need to know: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde
Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, Datenschutzverletzungen binnen 72 Stunden bei der zustĂ€ndigen Aufsichtsbehörde zu melden. Dieser Leitfaden erlĂ€utert, was als Datenpanne gilt, wann die Frist beginnt, wen Sie benachrichtigen mĂŒssen und welche Angaben Ihre Meldung enthalten muss.
Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, eine Datenschutzverletzung âunverzĂŒglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" der zustĂ€ndigen Aufsichtsbehörde zu melden. Dies ist eine gesetzlich verbindliche Frist. Wer sie versĂ€umt, riskiert BuĂgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes.
Dieser Leitfaden erklĂ€rt, was als Datenpanne zĂ€hlt, wie die 72-Stunden-Frist berechnet wird, an welche Behörden Sie sich wenden mĂŒssen und welche Informationen Ihre Meldung enthalten muss.
Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO
âIm Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzĂŒglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemÀà Artikel 55 zustĂ€ndigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen fĂŒhrt."
Die zentralen Punkte im Ăberblick:
- Die 72-Stunden-Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Verletzung erlangt â nicht erst, wenn die Untersuchung abgeschlossen ist.
- Die Meldung ist verpflichtend, sofern die Verletzung nicht voraussichtlich zu einem Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen fĂŒhrt.
- Adressat ist die Aufsichtsbehörde â die zustĂ€ndige nationale Datenschutzbehörde in den Mitgliedstaaten, in denen die betroffenen Personen ansĂ€ssig sind.
- Unterlassene Meldung wird nach Artikel 83 Abs. 4 DSGVO geahndet: BuĂgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Was gilt als Datenschutzverletzung?
Artikel 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als:
âeine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmĂ€Ăig, zur Vernichtung, zum Verlust, zur VerĂ€nderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten fĂŒhrt, die ĂŒbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
In der Praxis bedeutet dies: Eine Datenpanne liegt immer dann vor, wenn personenbezogene Daten kompromittiert werden â sei es durch unbefugten Zugriff, Verlust, Löschung oder unerlaubte VerĂ€nderung.
Beispiele meldepflichtiger Datenpannen
- Ransomware-Angriff, der Kundendatenbanken verschlĂŒsselt
- Gehacktes Mitarbeiterkonto mit Zugriff durch externe Angreifer
- Versehentliche Offenlegung einer Kundenliste in einem falsch konfigurierten Cloud-Speicher
- Gestohlenes, unverschlĂŒsseltes Laptop mit Kundendaten
- Datenleck durch einen Insider mit Zugriff auf Live-Datenbanken
- Erfolgreicher Phishing-Angriff, der personenbezogene Daten offengelegt hat
- Datenpanne bei einem Drittanbieter, der Ihre Kundendaten verarbeitet
Beispiele, die möglicherweise keine Meldung erfordern
- Gescheiterter Zugriffsversuch ohne bestÀtigte Datenpanne
- Verlust verschlĂŒsselter Daten, sofern der SchlĂŒssel sicher aufbewahrt wird und kein tatsĂ€chlicher Zugriff erfolgte
- Technische Störung ohne Anhaltspunkte fĂŒr einen unbefugten Zugriff
Auch in diesen FĂ€llen sollten Sie die Bewertung dokumentieren, um Ihre Entscheidung im Falle einer behördlichen PrĂŒfung nachweisen zu können.
Die 72-Stunden-Frist: Wann beginnt sie?
Die Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Datenpanne erlangt â nicht, wenn:
- die Untersuchung abgeschlossen ist,
- die Schwachstelle behoben wurde,
- die betroffenen Personen kontaktiert wurden,
- die Rechtsabteilung die Meldung freigegeben hat, oder
- die GeschĂ€ftsfĂŒhrung informiert wurde.
Der Begriff âKenntnis" im Sinne der DSGVO setzt keine vollstĂ€ndige Gewissheit voraus. Sobald Sie hinreichenden Grund zu der Annahme haben, dass eine Datenpanne eingetreten sein könnte, beginnt die Frist zu laufen.
Praxisbeispiele
Beispiel 1: Ransomware-Angriff (3. Juni, 09:00 Uhr)
- 09:00 Uhr: Ihr Sicherheitsteam entdeckt ungewöhnlich verschlĂŒsselte Dateien auf einem Server.
- Dies ist der Moment der Kenntniserlangung â die Frist beginnt jetzt.
- Meldefrist: 6. Juni, 09:00 Uhr (72 Stunden spÀter).
Beispiel 2: Meldung durch einen Drittanbieter (3. Juni, 15:00 Uhr)
- Ein externer Auftragsverarbeiter teilt Ihnen mit, dass Kundendaten aus seinen Systemen abgeflossen sind.
- Meldefrist: 6. Juni, 15:00 Uhr.
Beispiel 3: Entdeckung im Rahmen eines Audits
- Sie stellen wĂ€hrend einer internen PrĂŒfung fest, dass seit drei Wochen auf Kundendaten unbefugt zugegriffen werden konnte.
- Die 72-Stunden-Frist beginnt mit dem Tag der Entdeckung â nicht mit dem Tag, an dem der unbefugte Zugriff begann.
ZustÀndige Aufsichtsbehörden in der EU
Bei einer Datenpanne mĂŒssen Sie jede Aufsichtsbehörde in jedem Land benachrichtigen, in dem betroffene Personen ansĂ€ssig sind. Die folgende Tabelle enthĂ€lt eine Auswahl der wichtigsten europĂ€ischen Datenschutzbehörden:
| Land | Behörde | Website | |------|---------|---------| | Deutschland | Bundesbeauftragter fĂŒr den Datenschutz und die Informationsfreiheit (BfDI) | bfdi.bund.de | | Ăsterreich | Datenschutzbehörde (DSB) | dsb.at | | Frankreich | Commission Nationale de l'Informatique et des LibertĂ©s (CNIL) | cnil.fr | | Niederlande | Autoriteit Persoonsgegevens (AP) | autoriteitpersoonsgegevens.nl | | Belgien | Gegevensbeschermingsautoriteit (GBA) | gegevensbeschermingsautoriteit.be | | Spanien | Agencia Española de ProtecciĂłn de Datos (AEPD) | aepd.es | | Italien | Garante per la protezione dei dati personali | garanteprivacy.it | | Polen | UrzÄ d Ochrony Danych Osobowych (UODO) | uodo.gov.pl | | Schweden | Integritetsskyddsmyndigheten (IMY) | imy.se | | Irland | Data Protection Commission (DPC) | dataprotection.ie | | Vereinigtes Königreich | Information Commissioner's Office (ICO) | ico.org.uk |
Besonderheit Deutschland: Neben dem BfDI auf Bundesebene sind in Deutschland fĂŒr den privaten Sektor grundsĂ€tzlich die Datenschutzaufsichtsbehörden der LĂ€nder zustĂ€ndig â etwa der Hamburgische Beauftragte fĂŒr Datenschutz und Informationsfreiheit (HmbBfDI), das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) oder der Landesbeauftragte fĂŒr Datenschutz und Informationsfreiheit Baden-WĂŒrttemberg (LfDI BW). Welche Landesbehörde zustĂ€ndig ist, richtet sich nach dem Sitz des Verantwortlichen. FĂŒr öffentliche Stellen des Bundes ist hingegen der BfDI zustĂ€ndig.
Regel bei grenzĂŒberschreitenden Verarbeitungen: Im Rahmen des One-Stop-Shop-Mechanismus nach Artikel 56 DSGVO ist bei grenzĂŒberschreitenden Verarbeitungen primĂ€r die Aufsichtsbehörde am Hauptniederlassungsort des Verantwortlichen (die federfĂŒhrende Behörde) zu benachrichtigen. Bei Datenpannen, die ausschlieĂlich eine oder mehrere Mitgliedstaaten betreffen, sind die jeweils zustĂ€ndigen nationalen Behörden zu informieren.
Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO
Ihre Meldung muss mindestens folgende Angaben enthalten:
- Art der Verletzung: Beschreiben Sie, was passiert ist â Hacking, Datenverlust, versehentliche Offenlegung, Insider-Bedrohung usw.
- Kategorien und ungefÀhre Anzahl betroffener Personen: Wer ist betroffen? Kunden, Mitarbeiter, Dritte? Wie viele Personen sind ungefÀhr betroffen?
- Kategorien und ungefÀhre Anzahl betroffener DatensÀtze: Welche Art von Daten ist betroffen? Namen, Adressen, Zahlungsdaten, Gesundheitsdaten, Passwörter?
- Name und Kontaktdaten des Datenschutzbeauftragten (DSB): Falls kein DSB bestellt wurde, nennen Sie den Ansprechpartner in Ihrer Organisation.
- Voraussichtliche Folgen: Welche Risiken entstehen fĂŒr die betroffenen Personen? IdentitĂ€tsdiebstahl, finanzielle SchĂ€den, Diskriminierung, ReputationsschĂ€den?
- Ergriffene oder geplante AbhilfemaĂnahmen: Was haben Sie bereits unternommen? Was ist geplant, um die Datenpanne einzudĂ€mmen und kĂŒnftige VorfĂ€lle zu verhindern?
VorlĂ€ufige Meldung ist zulĂ€ssig: Wenn Ihnen zum Zeitpunkt der Meldung noch nicht alle Informationen vollstĂ€ndig vorliegen, können Sie eine vorlĂ€ufige Meldung abgeben und diese nachtrĂ€glich ergĂ€nzen. Dies ist ausdrĂŒcklich zulĂ€ssig und wird von den Aufsichtsbehörden einer verspĂ€teten vollstĂ€ndigen Meldung vorgezogen.
Schritt-fĂŒr-Schritt-Prozess fĂŒr die Datenpannenmeldung
Schritt 1: Datenpanne bewerten
Stellen Sie so schnell wie möglich fest: Was ist passiert? Welche Systeme und Daten sind betroffen? Ist tatsĂ€chlich auf personenbezogene Daten zugegriffen worden, oder nur auf anonymisierte oder vollstĂ€ndig verschlĂŒsselte Daten? Besteht ein Risiko fĂŒr die Rechte und Freiheiten betroffener Personen?
Schritt 2: ZustÀndige Aufsichtsbehörden identifizieren
In welchen Mitgliedstaaten sind die betroffenen Personen ansĂ€ssig? Welche Aufsichtsbehörde ist federfĂŒhrend zustĂ€ndig? MĂŒssen weitere Behörden informiert werden?
Schritt 3: VorlÀufige Meldung vorbereiten
Erfassen Sie alle verfĂŒgbaren Informationen gemÀà Artikel 33 Abs. 3 DSGVO. VollstĂ€ndigkeit ist angestrebt, aber keine Voraussetzung fĂŒr die fristgerechte Meldung. Dokumentieren Sie, welche Informationen zum Zeitpunkt der Meldung noch ausstehen.
Schritt 4: Meldung fristgerecht einreichen
Reichen Sie die Meldung ĂŒber den offiziellen Kanal der Aufsichtsbehörde ein â in der Regel ĂŒber ein Online-Portal. Bewahren Sie den Eingangsnachweis auf.
Schritt 5: Laufende Kommunikation mit der Aufsichtsbehörde
Halten Sie die Behörde ĂŒber den Fortgang Ihrer Untersuchung auf dem Laufenden. ErgĂ€nzen Sie Ihre Meldung, sobald weitere Informationen vorliegen. Beantworten Sie RĂŒckfragen der Behörde zeitnah.
Artikel 34 DSGVO â Benachrichtigung der betroffenen Personen
Neben der Meldung an die Aufsichtsbehörde können Sie auch verpflichtet sein, die betroffenen Personen direkt zu informieren. Dies ist ein separates Verfahren nach Artikel 34 DSGVO.
Die Benachrichtigung der Betroffenen ist erforderlich, wenn die Datenpanne voraussichtlich ein hohes Risiko fĂŒr die Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Eine Benachrichtigung der Betroffenen ist nicht erforderlich, wenn:
- die betroffenen Daten zum Zeitpunkt der Panne verschlĂŒsselt waren und der SchlĂŒssel nicht kompromittiert wurde,
- der Verantwortliche anschlieĂend MaĂnahmen ergriffen hat, durch die das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, oder
- die Benachrichtigung mit einem unverhĂ€ltnismĂ€Ăigen Aufwand verbunden wĂ€re â in diesem Fall ist eine öffentliche Bekanntmachung oder eine Ă€hnliche MaĂnahme zulĂ€ssig.
Die Schwelle fĂŒr Artikel 34 DSGVO (hohes Risiko) liegt damit deutlich höher als jene fĂŒr Artikel 33 DSGVO (beliebiges Risiko).
HĂ€ufige Fehler bei der Datenpannenmeldung
Warten bis zur vollstÀndigen Untersuchung. Die hÀufigste und kostspieligste Fehlannahme: die 72-Stunden-Frist lÀuft ab dem Moment der Kenntniserlangung, nicht ab dem Zeitpunkt der abgeschlossenen Analyse. Geben Sie eine vorlÀufige Meldung ab und ergÀnzen Sie sie.
AusschlieĂliche Meldung bei der Behörde am Unternehmenssitz. Wenn Ihre Datenpanne Personen in mehreren Mitgliedstaaten betrifft, können mehrere Aufsichtsbehörden zustĂ€ndig sein. KlĂ€ren Sie dies vorab im Rahmen Ihrer Vorbereitung.
Keine Dokumentation der RisikoabwĂ€gung. Wenn Sie zu dem Schluss gelangen, dass eine Datenpanne keine Meldepflicht auslöst, weil kein Risiko fĂŒr Betroffene besteht, mĂŒssen Sie diese EinschĂ€tzung dokumentieren. Eine fehlende Dokumentation kann im Rahmen einer PrĂŒfung als Compliance-VerstoĂ gewertet werden.
Generische Meldungen ohne spezifische Informationen. Aufsichtsbehörden erwarten konkrete Angaben zu Art und Umfang der Datenpanne. Vage Formulierungen verzögern die Bearbeitung und können Nachfragen auslösen.
Checkliste zur Vorbereitung auf Datenpannen
Damit Ihre Organisation im Ernstfall handlungsfÀhig ist, sollten folgende Vorkehrungen getroffen sein:
- Benanntes Incident-Response-Team mit klar definierten Rollen und Eskalationswegen
- Aktuelles Verzeichnis aller VerarbeitungstĂ€tigkeiten (DatenbankĂŒbersicht) gemÀà Artikel 30 DSGVO
- Dokumentierte Meldeverfahren mit zugewiesenen ZustÀndigkeiten
- LĂŒckenloses Logging aller Zugriffe auf personenbezogene Daten
- Vorab recherchierte Kontaktdaten aller relevanten Aufsichtsbehörden
- Vorbereitete Meldevorlagen fĂŒr die hĂ€ufigsten Szenarien (Ransomware, Insider-Bedrohung, Datenverlust)
- Briefing-Protokoll fĂŒr die GeschĂ€ftsfĂŒhrung (Was muss die Leitungsebene wissen, und in welchem Zeitrahmen?)
- Definierte Eskalationspfade: Wer entscheidet ĂŒber die Meldepflicht?
- RegelmĂ€Ăige Ăbungsszenarien (Tabletop Exercises) zur Simulation von Datenpannen
Wichtigste Erkenntnisse
- 72 Stunden ab Kenntnisnahme â nicht ab Abschluss der Untersuchung. Die Uhr lĂ€uft ab dem Moment, in dem Ihre Organisation von der Datenpanne erfĂ€hrt.
- VorlĂ€ufige Meldung ist ausdrĂŒcklich zulĂ€ssig â reichen Sie eine unvollstĂ€ndige Meldung ein und ergĂ€nzen Sie diese, sobald weitere Informationen vorliegen.
- Adressat ist die Aufsichtsbehörde, nicht die betroffenen Personen. Letztere werden nach Artikel 34 DSGVO nur bei hohem Risiko informiert.
- In Deutschland ist grundsĂ€tzlich die zustĂ€ndige Landesbehörde (nicht der BfDI) fĂŒr private Unternehmen zustĂ€ndig. Identifizieren Sie die korrekte Behörde vorab.
- Bei grenzĂŒberschreitenden Verarbeitungen gilt der One-Stop-Shop-Mechanismus, bei dem die federfĂŒhrende Behörde am Hauptniederlassungsort informiert wird.
- BuĂgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes drohen bei unterlassener oder verspĂ€teter Meldung.
Dieser Artikel dient ausschlieĂlich Informationszwecken und stellt keine Rechtsberatung dar. FĂŒr eine auf Ihre Organisation zugeschnittene Beratung wenden Sie sich bitte an Ihren Datenschutzbeauftragten, Ihre Rechtsabteilung oder einen spezialisierten Datenschutzjuristen.
Key takeaways: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenĂŒber der Aufsichtsbehörde
This article covers: Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO, Was gilt als Datenschutzverletzung?, Die 72-Stunden-Frist: Wann beginnt sie?.
- Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO
- Was gilt als Datenschutzverletzung?
- Die 72-Stunden-Frist: Wann beginnt sie?
- ZustÀndige Aufsichtsbehörden in der EU
- Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing â 2 minutes, every Thursday.