EuroComply
Konto erstellen
Back to blog
DSGVO 9 min read

DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenüber der Aufsichtsbehörde

What you need to know: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenüber der Aufsichtsbehörde

Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, Datenschutzverletzungen binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Dieser Leitfaden erläutert, was als Datenpanne gilt, wann die Frist beginnt, wen Sie benachrichtigen müssen und welche Angaben Ihre Meldung enthalten muss.

Source: EuroComply Editorial (2026-06-03)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Artikel 33 DSGVO verpflichtet jeden Verantwortlichen, eine Datenschutzverletzung „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" der zuständigen Aufsichtsbehörde zu melden. Dies ist eine gesetzlich verbindliche Frist. Wer sie versäumt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes.

Dieser Leitfaden erklärt, was als Datenpanne zählt, wie die 72-Stunden-Frist berechnet wird, an welche Behörden Sie sich wenden müssen und welche Informationen Ihre Meldung enthalten muss.

Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."

Die zentralen Punkte im Überblick:

  • Die 72-Stunden-Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Verletzung erlangt — nicht erst, wenn die Untersuchung abgeschlossen ist.
  • Die Meldung ist verpflichtend, sofern die Verletzung nicht voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
  • Adressat ist die Aufsichtsbehörde — die zuständige nationale Datenschutzbehörde in den Mitgliedstaaten, in denen die betroffenen Personen ansässig sind.
  • Unterlassene Meldung wird nach Artikel 83 Abs. 4 DSGVO geahndet: Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Was gilt als Datenschutzverletzung?

Artikel 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."

In der Praxis bedeutet dies: Eine Datenpanne liegt immer dann vor, wenn personenbezogene Daten kompromittiert werden — sei es durch unbefugten Zugriff, Verlust, Löschung oder unerlaubte Veränderung.

Beispiele meldepflichtiger Datenpannen

  • Ransomware-Angriff, der Kundendatenbanken verschlüsselt
  • Gehacktes Mitarbeiterkonto mit Zugriff durch externe Angreifer
  • Versehentliche Offenlegung einer Kundenliste in einem falsch konfigurierten Cloud-Speicher
  • Gestohlenes, unverschlüsseltes Laptop mit Kundendaten
  • Datenleck durch einen Insider mit Zugriff auf Live-Datenbanken
  • Erfolgreicher Phishing-Angriff, der personenbezogene Daten offengelegt hat
  • Datenpanne bei einem Drittanbieter, der Ihre Kundendaten verarbeitet

Beispiele, die möglicherweise keine Meldung erfordern

  • Gescheiterter Zugriffsversuch ohne bestätigte Datenpanne
  • Verlust verschlüsselter Daten, sofern der Schlüssel sicher aufbewahrt wird und kein tatsächlicher Zugriff erfolgte
  • Technische Störung ohne Anhaltspunkte für einen unbefugten Zugriff

Auch in diesen Fällen sollten Sie die Bewertung dokumentieren, um Ihre Entscheidung im Falle einer behördlichen Prüfung nachweisen zu können.

Die 72-Stunden-Frist: Wann beginnt sie?

Die Frist beginnt in dem Moment, in dem Ihre Organisation Kenntnis von der Datenpanne erlangt — nicht, wenn:

  • die Untersuchung abgeschlossen ist,
  • die Schwachstelle behoben wurde,
  • die betroffenen Personen kontaktiert wurden,
  • die Rechtsabteilung die Meldung freigegeben hat, oder
  • die Geschäftsführung informiert wurde.

Der Begriff „Kenntnis" im Sinne der DSGVO setzt keine vollständige Gewissheit voraus. Sobald Sie hinreichenden Grund zu der Annahme haben, dass eine Datenpanne eingetreten sein könnte, beginnt die Frist zu laufen.

Praxisbeispiele

Beispiel 1: Ransomware-Angriff (3. Juni, 09:00 Uhr)

  • 09:00 Uhr: Ihr Sicherheitsteam entdeckt ungewöhnlich verschlüsselte Dateien auf einem Server.
  • Dies ist der Moment der Kenntniserlangung — die Frist beginnt jetzt.
  • Meldefrist: 6. Juni, 09:00 Uhr (72 Stunden später).

Beispiel 2: Meldung durch einen Drittanbieter (3. Juni, 15:00 Uhr)

  • Ein externer Auftragsverarbeiter teilt Ihnen mit, dass Kundendaten aus seinen Systemen abgeflossen sind.
  • Meldefrist: 6. Juni, 15:00 Uhr.

Beispiel 3: Entdeckung im Rahmen eines Audits

  • Sie stellen während einer internen Prüfung fest, dass seit drei Wochen auf Kundendaten unbefugt zugegriffen werden konnte.
  • Die 72-Stunden-Frist beginnt mit dem Tag der Entdeckung — nicht mit dem Tag, an dem der unbefugte Zugriff begann.

Zuständige Aufsichtsbehörden in der EU

Bei einer Datenpanne müssen Sie jede Aufsichtsbehörde in jedem Land benachrichtigen, in dem betroffene Personen ansässig sind. Die folgende Tabelle enthält eine Auswahl der wichtigsten europäischen Datenschutzbehörden:

| Land | Behörde | Website | |------|---------|---------| | Deutschland | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) | bfdi.bund.de | | Österreich | Datenschutzbehörde (DSB) | dsb.at | | Frankreich | Commission Nationale de l'Informatique et des Libertés (CNIL) | cnil.fr | | Niederlande | Autoriteit Persoonsgegevens (AP) | autoriteitpersoonsgegevens.nl | | Belgien | Gegevensbeschermingsautoriteit (GBA) | gegevensbeschermingsautoriteit.be | | Spanien | Agencia Española de Protección de Datos (AEPD) | aepd.es | | Italien | Garante per la protezione dei dati personali | garanteprivacy.it | | Polen | Urząd Ochrony Danych Osobowych (UODO) | uodo.gov.pl | | Schweden | Integritetsskyddsmyndigheten (IMY) | imy.se | | Irland | Data Protection Commission (DPC) | dataprotection.ie | | Vereinigtes Königreich | Information Commissioner's Office (ICO) | ico.org.uk |

Besonderheit Deutschland: Neben dem BfDI auf Bundesebene sind in Deutschland für den privaten Sektor grundsätzlich die Datenschutzaufsichtsbehörden der Länder zuständig — etwa der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW). Welche Landesbehörde zuständig ist, richtet sich nach dem Sitz des Verantwortlichen. Für öffentliche Stellen des Bundes ist hingegen der BfDI zuständig.

Regel bei grenzüberschreitenden Verarbeitungen: Im Rahmen des One-Stop-Shop-Mechanismus nach Artikel 56 DSGVO ist bei grenzüberschreitenden Verarbeitungen primär die Aufsichtsbehörde am Hauptniederlassungsort des Verantwortlichen (die federführende Behörde) zu benachrichtigen. Bei Datenpannen, die ausschließlich eine oder mehrere Mitgliedstaaten betreffen, sind die jeweils zuständigen nationalen Behörden zu informieren.

Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO

Ihre Meldung muss mindestens folgende Angaben enthalten:

  1. Art der Verletzung: Beschreiben Sie, was passiert ist — Hacking, Datenverlust, versehentliche Offenlegung, Insider-Bedrohung usw.
  2. Kategorien und ungefähre Anzahl betroffener Personen: Wer ist betroffen? Kunden, Mitarbeiter, Dritte? Wie viele Personen sind ungefähr betroffen?
  3. Kategorien und ungefähre Anzahl betroffener Datensätze: Welche Art von Daten ist betroffen? Namen, Adressen, Zahlungsdaten, Gesundheitsdaten, Passwörter?
  4. Name und Kontaktdaten des Datenschutzbeauftragten (DSB): Falls kein DSB bestellt wurde, nennen Sie den Ansprechpartner in Ihrer Organisation.
  5. Voraussichtliche Folgen: Welche Risiken entstehen für die betroffenen Personen? Identitätsdiebstahl, finanzielle Schäden, Diskriminierung, Reputationsschäden?
  6. Ergriffene oder geplante Abhilfemaßnahmen: Was haben Sie bereits unternommen? Was ist geplant, um die Datenpanne einzudämmen und künftige Vorfälle zu verhindern?

Vorläufige Meldung ist zulässig: Wenn Ihnen zum Zeitpunkt der Meldung noch nicht alle Informationen vollständig vorliegen, können Sie eine vorläufige Meldung abgeben und diese nachträglich ergänzen. Dies ist ausdrücklich zulässig und wird von den Aufsichtsbehörden einer verspäteten vollständigen Meldung vorgezogen.

Schritt-für-Schritt-Prozess für die Datenpannenmeldung

Schritt 1: Datenpanne bewerten

Stellen Sie so schnell wie möglich fest: Was ist passiert? Welche Systeme und Daten sind betroffen? Ist tatsächlich auf personenbezogene Daten zugegriffen worden, oder nur auf anonymisierte oder vollständig verschlüsselte Daten? Besteht ein Risiko für die Rechte und Freiheiten betroffener Personen?

Schritt 2: Zuständige Aufsichtsbehörden identifizieren

In welchen Mitgliedstaaten sind die betroffenen Personen ansässig? Welche Aufsichtsbehörde ist federführend zuständig? Müssen weitere Behörden informiert werden?

Schritt 3: Vorläufige Meldung vorbereiten

Erfassen Sie alle verfügbaren Informationen gemäß Artikel 33 Abs. 3 DSGVO. Vollständigkeit ist angestrebt, aber keine Voraussetzung für die fristgerechte Meldung. Dokumentieren Sie, welche Informationen zum Zeitpunkt der Meldung noch ausstehen.

Schritt 4: Meldung fristgerecht einreichen

Reichen Sie die Meldung über den offiziellen Kanal der Aufsichtsbehörde ein — in der Regel über ein Online-Portal. Bewahren Sie den Eingangsnachweis auf.

Schritt 5: Laufende Kommunikation mit der Aufsichtsbehörde

Halten Sie die Behörde über den Fortgang Ihrer Untersuchung auf dem Laufenden. Ergänzen Sie Ihre Meldung, sobald weitere Informationen vorliegen. Beantworten Sie Rückfragen der Behörde zeitnah.

Artikel 34 DSGVO — Benachrichtigung der betroffenen Personen

Neben der Meldung an die Aufsichtsbehörde können Sie auch verpflichtet sein, die betroffenen Personen direkt zu informieren. Dies ist ein separates Verfahren nach Artikel 34 DSGVO.

Die Benachrichtigung der Betroffenen ist erforderlich, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

Eine Benachrichtigung der Betroffenen ist nicht erforderlich, wenn:

  • die betroffenen Daten zum Zeitpunkt der Panne verschlüsselt waren und der Schlüssel nicht kompromittiert wurde,
  • der Verantwortliche anschließend Maßnahmen ergriffen hat, durch die das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, oder
  • die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre — in diesem Fall ist eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zulässig.

Die Schwelle für Artikel 34 DSGVO (hohes Risiko) liegt damit deutlich höher als jene für Artikel 33 DSGVO (beliebiges Risiko).

Häufige Fehler bei der Datenpannenmeldung

Warten bis zur vollständigen Untersuchung. Die häufigste und kostspieligste Fehlannahme: die 72-Stunden-Frist läuft ab dem Moment der Kenntniserlangung, nicht ab dem Zeitpunkt der abgeschlossenen Analyse. Geben Sie eine vorläufige Meldung ab und ergänzen Sie sie.

Ausschließliche Meldung bei der Behörde am Unternehmenssitz. Wenn Ihre Datenpanne Personen in mehreren Mitgliedstaaten betrifft, können mehrere Aufsichtsbehörden zuständig sein. Klären Sie dies vorab im Rahmen Ihrer Vorbereitung.

Keine Dokumentation der Risikoabwägung. Wenn Sie zu dem Schluss gelangen, dass eine Datenpanne keine Meldepflicht auslöst, weil kein Risiko für Betroffene besteht, müssen Sie diese Einschätzung dokumentieren. Eine fehlende Dokumentation kann im Rahmen einer Prüfung als Compliance-Verstoß gewertet werden.

Generische Meldungen ohne spezifische Informationen. Aufsichtsbehörden erwarten konkrete Angaben zu Art und Umfang der Datenpanne. Vage Formulierungen verzögern die Bearbeitung und können Nachfragen auslösen.

Checkliste zur Vorbereitung auf Datenpannen

Damit Ihre Organisation im Ernstfall handlungsfähig ist, sollten folgende Vorkehrungen getroffen sein:

  • Benanntes Incident-Response-Team mit klar definierten Rollen und Eskalationswegen
  • Aktuelles Verzeichnis aller Verarbeitungstätigkeiten (Datenbankübersicht) gemäß Artikel 30 DSGVO
  • Dokumentierte Meldeverfahren mit zugewiesenen Zuständigkeiten
  • Lückenloses Logging aller Zugriffe auf personenbezogene Daten
  • Vorab recherchierte Kontaktdaten aller relevanten Aufsichtsbehörden
  • Vorbereitete Meldevorlagen für die häufigsten Szenarien (Ransomware, Insider-Bedrohung, Datenverlust)
  • Briefing-Protokoll für die Geschäftsführung (Was muss die Leitungsebene wissen, und in welchem Zeitrahmen?)
  • Definierte Eskalationspfade: Wer entscheidet über die Meldepflicht?
  • Regelmäßige Übungsszenarien (Tabletop Exercises) zur Simulation von Datenpannen

Wichtigste Erkenntnisse

  1. 72 Stunden ab Kenntnisnahme — nicht ab Abschluss der Untersuchung. Die Uhr läuft ab dem Moment, in dem Ihre Organisation von der Datenpanne erfährt.
  2. Vorläufige Meldung ist ausdrücklich zulässig — reichen Sie eine unvollständige Meldung ein und ergänzen Sie diese, sobald weitere Informationen vorliegen.
  3. Adressat ist die Aufsichtsbehörde, nicht die betroffenen Personen. Letztere werden nach Artikel 34 DSGVO nur bei hohem Risiko informiert.
  4. In Deutschland ist grundsätzlich die zuständige Landesbehörde (nicht der BfDI) für private Unternehmen zuständig. Identifizieren Sie die korrekte Behörde vorab.
  5. Bei grenzüberschreitenden Verarbeitungen gilt der One-Stop-Shop-Mechanismus, bei dem die federführende Behörde am Hauptniederlassungsort informiert wird.
  6. Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes drohen bei unterlassener oder verspäteter Meldung.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Für eine auf Ihre Organisation zugeschnittene Beratung wenden Sie sich bitte an Ihren Datenschutzbeauftragten, Ihre Rechtsabteilung oder einen spezialisierten Datenschutzjuristen.

Key takeaways: DSGVO Datenpannenmeldung: 72-Stunden-Frist & Meldepflicht gegenüber der Aufsichtsbehörde

This article covers: Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO, Was gilt als Datenschutzverletzung?, Die 72-Stunden-Frist: Wann beginnt sie?.

  • Die Rechtsgrundlage: Artikel 33 Abs. 1 DSGVO
  • Was gilt als Datenschutzverletzung?
  • Die 72-Stunden-Frist: Wann beginnt sie?
  • Zuständige Aufsichtsbehörden in der EU
  • Inhalt der Meldung nach Artikel 33 Abs. 3 DSGVO
Source: EuroComply Editorial (2026-06-03)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.