Datenpanne melden in 72 Stunden: Praxis-Leitfaden DSGVO Art. 33 und 34
1. Mai 2026
20 Min. Lesezeit
Datenschutz
Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten) muss nach Art. 33 DSGVO binnen 72 Stunden ab Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden — in Deutschland in der Regel an die jeweilige Landesdatenschutzbehörde (z. B. LfDI Baden-Württemberg, BayLDA, BlnBDI). Bei hohem Risiko für die Betroffenen ist zusätzlich nach Art. 34 DSGVO eine direkte Benachrichtigung der Betroffenen erforderlich. Verstöße gegen die Meldepflichten werden mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet — und sind in über 40 % aller DSGVO-Bußgeldverfahren in Deutschland ein wesentlicher Sanktionsgrund.
Kerntatsachen
72-Stunden-Frist ab Kenntnisnahme der Verletzung — nicht ab Eintritt.
Meldepflichtig ist jede „Verletzung des Schutzes personenbezogener Daten" — auch unbeabsichtigte (verlorener Laptop, Fehlversand).
Ausnahme: keine Meldung erforderlich, wenn das Risiko für die Betroffenen „voraussichtlich nicht zu einem Risiko" führt (z. B. verschlüsselte Daten ohne kompromittierte Schlüssel).
Benachrichtigung der Betroffenen nach Art. 34 zusätzlich, wenn „hohes Risiko" vorliegt.
Online-Formulare aller 17 deutschen Aufsichtsbehörden (16 Landes-DPAs + BfDI) sind direkt zugänglich.
Inhalt der Meldung: Art der Verletzung, Anzahl Betroffener, Datenkategorien, voraussichtliche Folgen, Maßnahmen.
Dokumentationspflicht auch für nicht-meldepflichtige Datenpannen — interner Verstoß-Katalog.
Bußgeldpraxis 2024/2025: Verstöße gegen die Meldepflicht in über 40 % der DSGVO-Bußgeldfälle — durchschnittlich 25.000–250.000 EUR pro Fall.
Eine Datenpanne (in der Verordnung: „Verletzung des Schutzes personenbezogener Daten") ist nach Art. 4 Nr. 12 DSGVO definiert als:
„eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
Drei klassische Verletzungs-Typen
Typ
Beispiel
Vertraulichkeitsverletzung
unbefugter Zugriff oder Offenlegung — z. B. Hackerangriff, Fehlversand E-Mail
Integritätsverletzung
unbefugte Veränderung — z. B. Manipulation einer Datenbank
Verfügbarkeitsverletzung
Verlust oder Zerstörung — z. B. Ransomware ohne Backup, gestohlener Laptop
Praktisch fallen viele Vorfälle in mehrere Kategorien gleichzeitig — Ransomware z. B. ist zugleich Verfügbarkeits- und Vertraulichkeitsverletzung.
Beispielkatalog meldepflichtiger Datenpannen
gestohlenes oder verlorenes Notebook mit unverschlüsselten Mitarbeiterdaten
Phishing-Angriff mit Kompromittierung von Kundenkontakten
Fehlversand einer E-Mail mit personenbezogenen Daten an falsche Empfänger
Ransomware-Befall mit Verschlüsselung von Personaldaten
Fehlkonfiguration eines Cloud-Speichers mit öffentlichem Zugriff
Mitarbeiter, der unautorisiert Kundendaten exportiert
SQL-Injection-Angriff mit Datenbank-Auslesung
Verlust eines USB-Sticks mit unverschlüsselten Patientendaten
Insolvenz eines Auftragsverarbeiters mit Zugriff auf personenbezogene Daten
Kennzahl
2,3 Mio. Datenpannen wurden zwischen 2018 und Ende 2024 in der EU gemeldet — etwa 250.000 davon in Deutschland. Im EU-Vergleich gehört Deutschland zu den meldefreudigsten Ländern, was als Indikator für gut funktionierendes Datenschutz-Management gilt.
Wann Meldung erforderlich?
Nicht jede Datenpanne ist meldepflichtig. Die Verordnung kennt einen klaren Risikoschwellen-Test:
Drei Risikostufen
Risikostufe
Aufsichtsbehörde
Betroffene
Geringes / kein Risiko
keine Meldung erforderlich
keine Benachrichtigung
Risiko (Standardfall)
Meldung Art. 33 binnen 72 Std.
keine Benachrichtigung
Hohes Risiko
Meldung Art. 33 + Benachrichtigung Art. 34
direkte Benachrichtigung
Beispiele für „kein Risiko"
Verlust eines Laptops mit vollständig verschlüsselter Festplatte und unkompromittiertem Schlüssel
Fehlsendung eines Newsletters an einen einzelnen falschen Empfänger, sofort zurückgerufen
Anonymisierung-Fehler in einer Excel-Datei, die nicht weitergegeben wurde
Beispiele für „Risiko" (Standardmeldung)
gestohlenes Notebook mit unverschlüsselten Personaldaten
Phishing-Angriff mit Zugriff auf 50 Kundenkontakte
E-Mail mit personenbezogenen Daten an 10 falsche Empfänger
Datenbank-Backup öffentlich zugänglich für 24 Stunden
Beispiele für „hohes Risiko"
großflächiger Hackerangriff mit Veröffentlichung sensibler Daten
Ransomware mit Verschlüsselung von Kundendaten und Erpressungsforderung
Datenpanne mit Gesundheitsdaten oder Finanzdaten in größerem Umfang
Verlust von Kontodaten oder Kreditkartendaten mit unmittelbarem Missbrauchsrisiko
öffentlich gestreamte Datenbankinhalte mit Identitäts-Diebstahls-Risiko
Die EDSA-Leitlinien
Der Europäische Datenschutzausschuss (EDSA) hat in Leitlinien 9/2022 (überarbeitet) Beispielsituationen klassifiziert. Diese Leitlinien sind die maßgebliche Auslegungshilfe in der Praxis.
72-Stunden-Frist
Die 72-Stunden-Frist ist eines der missverstandensten Themen der DSGVO.
Wann beginnt die Frist?
Kriterium
Wert
Beginn
„mit Kenntnisnahme der Verletzung" durch den Verantwortlichen
wenn der Verantwortliche „mit angemessener Sicherheit" weiß, dass eine Verletzung vorliegt
Was zählt als „Kenntnisnahme"?
Mitarbeiter meldet einen Vorfall an die IT-Abteilung
IT-Sicherheits-Tool meldet eine Anomalie, die nach Untersuchung als Datenpanne bestätigt wird
Auftragsverarbeiter meldet einen Vorfall
externer Hinweis (z. B. Sicherheitsforscher, Hacker mit Erpressung)
Was zählt nicht als „Kenntnisnahme"?
bloße Vermutung ohne Verifikation
ungeklärter Alarm ohne nachgewiesene Verletzung
öffentliche Berichterstattung über Industrie-Vorfälle ohne eigene Betroffenheit
Bei Überschreitung der Frist
Wird die 72-Stunden-Frist überschritten, ist die Meldung dennoch zwingend nachzuholen — mit Begründung der Verzögerung. Die verspätete Meldung ist ein eigener DSGVO-Verstoß und wird in den Bußgeldverfahren zusätzlich zur ursprünglichen Datenpanne geahndet.
Inhalt der Meldung
Art. 33 Abs. 3 DSGVO schreibt fünf Pflichtinhalte für die Meldung vor.
Die deutschen Aufsichtsbehörden bieten Online-Formulare und PDFs an. Die populärsten:
Behörde
Online-Formular
BayLDA (Bayern)
DSB-Meldeportal (Online-Workflow)
LfDI Baden-Württemberg
Online-Meldeformular
HmbBfDI (Hamburg)
strukturierter Meldeworkflow
BlnBDI (Berlin)
Online-Formular + PDF
LDI NRW (Nordrhein-Westfalen)
Web-Formular
BfDI (Bundesbehörde)
Online-Portal für Bundesbereich
Schrittweise Meldung
Die DSGVO erlaubt eine schrittweise Meldung: wenn nicht alle Informationen binnen 72 Stunden vorliegen, kann die Erstmeldung mit den verfügbaren Informationen erfolgen, ergänzt durch Nachmeldungen, sobald Details bekannt werden.
Zuständige Behörden
In Deutschland gilt das Trennungsmodell — 16 Landesdatenschutzbehörden plus eine Bundesbehörde (BfDI) plus kirchliche Datenschutzaufsichten.
Welche Behörde ist zuständig?
Sachverhalt
Zuständige Behörde
Verarbeitung im einen Bundesland
jeweilige Landesdatenschutzbehörde
Verarbeitung in mehreren Bundesländern
Hauptniederlassung (One-Stop-Shop bei grenzüberschreitenden Vorgängen)
Wenn die Datenpanne „voraussichtlich ein hohes Risiko" für die Betroffenen mit sich bringt, ist nach Art. 34 DSGVO zusätzlich eine direkte Benachrichtigung der Betroffenen erforderlich.
vulnerable Gruppen betroffen (Kinder, Arbeitnehmer mit Abhängigkeitsverhältnis, ältere Menschen)
Form der Benachrichtigung
Anforderung
Detail
Sprache
klar, einfach, keine juristische Fachsprache
Inhalt
Art der Verletzung, Auswirkungen, Maßnahmen, Empfehlungen für Selbstschutz
Frist
„unverzüglich" — typischerweise innerhalb 72 Stunden, oft schneller
Form
individuelle Benachrichtigung (E-Mail, Brief) oder bei sehr vielen Betroffenen öffentliche Bekanntmachung
Kanal
Standardkanal der Kommunikation mit dem Betroffenen
Ausnahmen von der Benachrichtigungspflicht
Art. 34 Abs. 3 lässt drei Ausnahmen zu:
Verschlüsselung der Daten so, dass sie für Unbefugte nicht zugänglich sind
Risiko ist nicht mehr aktuell (z. B. verlorener Laptop wieder gefunden, keine Datenkompromittierung)
Unverhältnismäßiger Aufwand der individuellen Benachrichtigung — dann öffentliche Bekanntmachung als Ersatz
Beispiel-Mustertext
Ein typischer Text der Benachrichtigung enthält:
Sehr geehrte/r [Name],
am [Datum] haben wir eine Verletzung des Schutzes Ihrer personenbezogenen
Daten festgestellt. Konkret: [kurze, klare Beschreibung].
Folgende Daten waren betroffen:
- [Datenkategorien aufzählen]
Voraussichtliche Auswirkungen:
- [Risiken benennen]
Wir haben folgende Maßnahmen getroffen:
- [Maßnahmen]
Bitte achten Sie auf:
- [konkrete Selbstschutzmaßnahmen]
Bei Rückfragen erreichen Sie unseren Datenschutzbeauftragten unter:
[Kontaktdaten DSB]
Wir entschuldigen uns aufrichtig für diesen Vorfall.
[Unterschrift Geschäftsleitung]
Eskalations-Playbook
Ein effektives Datenpannen-Playbook macht den Unterschied zwischen sauberer 72-Stunden-Compliance und chaotischer Krisenreaktion.
Phase 1 — Erkennung und Eindämmung (Stunde 0–4)
Schritt
Verantwortlich
Vorfall an IT-Sicherheits-Team eskalieren
jeder Mitarbeiter
technische Eindämmung — System isolieren
IT-Operations
betroffene Daten identifizieren
DSB + IT
Erstdokumentation
DSB
Krisenstab einberufen
Geschäftsleitung
Phase 2 — Bewertung und Klassifizierung (Stunde 4–24)
Phase 3 — Meldung und Benachrichtigung (Stunde 24–72)
Schritt
Verantwortlich
Meldung an Aufsichtsbehörde
DSB
Benachrichtigung der Betroffenen (bei hohem Risiko)
DSB + Kommunikation
Information weiterer Stakeholder
Geschäftsleitung
ggf. polizeiliche Anzeige (bei Straftaten)
Rechtsabteilung
ggf. Versicherer informieren (Cyber-Versicherung)
Rechtsabteilung
Phase 4 — Behebung und Lessons Learned (Tag 3–30)
Schritt
Verantwortlich
Maßnahmenplan zur Schadensbegrenzung umsetzen
IT + Fachbereiche
Aktualisierungs-Meldung an Aufsichtsbehörde
DSB
interne Nachbereitung und Lessons Learned
DSB + Geschäftsleitung
Anpassung der Sicherheitsmaßnahmen
IT-Sicherheit
Schulung der Mitarbeiter
DSB
Phase 5 — Abschluss und Dokumentation (ab Tag 30)
Schritt
Verantwortlich
Abschluss-Meldung an Aufsichtsbehörde
DSB
vollständige Dokumentation im internen Verstoß-Katalog
DSB
ggf. Implementierung dauerhafter Verbesserungen
IT + Fachbereiche
Typische Szenarien
Aus der Praxis — die zehn häufigsten Datenpannen-Szenarien in deutschen Unternehmen.
Top-10 Datenpannen-Auslöser
Szenario
Häufigkeit
Hauptrisiko
Standard-Maßnahme
Phishing mit Account-Übernahme
25 %
Datenexfiltration
MFA, Awareness-Schulungen
Ransomware-Befall
18 %
Verlust + Erpressung
Backup, EDR, Patch-Management
Fehlversand E-Mail / Brief
15 %
Vertraulichkeitsbruch
Doppelprüfung, DLP
Verlorenes/gestohlenes Endgerät
10 %
Datenkompromittierung
Verschlüsselung, MDM
Cloud-Misskonfiguration
8 %
öffentlicher Zugriff
Cloud Security Posture Management
Insider-Bedrohung
6 %
bewusster Datenexport
DLP, Logging, Privileged Access
Web-Anwendungs-Schwachstelle
6 %
SQL-Injection, RCE
Pentest, WAF, sichere Entwicklung
Auftragsverarbeiter-Vorfall
5 %
Datenkompromittierung indirekt
Lieferantenmanagement
DDoS mit Datenexfiltration
4 %
Verfügbarkeit + Vertraulichkeit
DDoS-Schutz, Anomalieerkennung
Sonstige (Druck, Fax-Fehler etc.)
3 %
gemischt
Standard-TOMs
Maßnahmen je Szenario
Die Behörden bewerten in der Bußgeldpraxis nicht nur die Datenpanne selbst, sondern vor allem die Vorbeuge-Maßnahmen. Wer für ein typisches Szenario die Standard-TOMs nicht implementiert hat, riskiert ein deutlich höheres Bußgeld.
Häufige Fehler
Aus der Bußgeldpraxis 2023–2025 kristallisieren sich sechs typische Fehler bei Datenpannen-Reaktionen heraus.
1. Verzögerte Meldung
Der häufigste Fehler — Unternehmen versuchen, die Datenpanne zunächst intern zu untersuchen und melden erst nach mehreren Tagen oder Wochen. Die 72-Stunden-Frist gilt ab Kenntnisnahme, nicht ab vollständiger Klärung.
Strafmaß: typisch 25.000–100.000 EUR zusätzlich zum Bußgeld für die ursprüngliche Datenpanne.
2. Unvollständige Meldung
Manchmal werden Pflichtinhalte (Anzahl Betroffener, Datenkategorien) als „nicht ermittelbar" markiert, ohne nachvollziehbare Begründung. Aufsichtsbehörden bewerten das als Pflichtverstoß.
3. Fehlende Benachrichtigung der Betroffenen
Bei hohem Risiko ist die Benachrichtigung Art. 34 zwingend. Verzicht darauf wird mit eigenem Bußgeld sanktioniert.
4. Unzureichende Dokumentation
Auch bei nicht-meldepflichtigen Datenpannen besteht Dokumentationspflicht im internen Verstoß-Katalog. Fehlende Dokumentation ist ein eigener Verstoß.
5. Falsche Risikobewertung
Eine zu enge Auslegung des „Risikos" führt zu vermeidbaren Sanktionen. In Zweifelsfällen lieber melden — die Aufsichtsbehörden begrüßen vorsichtige Praxis.
6. Externe Kommunikation ohne Abstimmung
Pressemitteilungen oder Social-Media-Posts ohne vorherige Abstimmung mit der Aufsichtsbehörde können die Behördensituation verschärfen.
Bei Datenpannen im Auftragsverarbeiter (z. B. Cloud-Anbieter) gelten besondere Regeln.
Pflichten des Auftragsverarbeiters
Nach Art. 33 Abs. 2 DSGVO muss der Auftragsverarbeiter den Verantwortlichen „unverzüglich" über jede Datenpanne informieren — typischerweise im Auftragsverarbeitungsvertrag (AVV) auf 24 Stunden konkretisiert.
Pflichten des Verantwortlichen
Der Verantwortliche bleibt gegenüber der Aufsichtsbehörde meldepflichtig — die 72-Stunden-Frist beginnt mit Kenntnisnahme durch den Verantwortlichen, nicht beim Auftragsverarbeiter.
Standard-AVV-Klauseln
In jedem AVV sollten folgende Klauseln enthalten sein:
Pflichtinhalte der Meldung (Art der Verletzung, Anzahl, Kategorien)
Mitwirkungspflicht bei der Untersuchung
Kostenträgerschaft für Forensik und externe Beratung
Beweisrechte für den Verantwortlichen
Dokumentationspflichten
Auch bei nicht-meldepflichtigen Datenpannen besteht eine interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO.
Pflichtinhalte des internen Verstoß-Katalogs
Inhalt
Detail
Sachverhalt
was ist passiert, wann, wie
Auswirkungen
tatsächlich und potenziell
Getroffene Maßnahmen
Eindämmung, Behebung, Vorbeuge
Risikobewertung
warum kein / Risiko / hohes Risiko
Begründung der Meldeentscheidung
falls keine Meldung an Aufsichtsbehörde — warum nicht
Vorlage Verstoß-Katalog
Eine standardisierte Vorlage erleichtert die rechtskonforme Dokumentation. Vision Compliance stellt seinen Mandanten eine GDPR-konforme Verstoß-Katalog-Vorlage zur Verfügung.
Aufbewahrungsfrist
Die DSGVO selbst nennt keine konkrete Aufbewahrungsfrist. In der Praxis empfehlen die deutschen Aufsichtsbehörden mindestens 5 Jahre Aufbewahrung — analog zu den allgemeinen DSGVO-Dokumentationspflichten.
FAQ
Was ist eine meldepflichtige Datenpanne?
Jede Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Betroffenen führt. Verfügbarkeitsverletzungen (z. B. Ransomware) sind ebenso meldepflichtig wie Vertraulichkeitsverletzungen (z. B. Phishing).
Wann beginnt die 72-Stunden-Frist?
Mit der Kenntnisnahme der Verletzung durch den Verantwortlichen — nicht mit dem Eintritt der Verletzung. „Kenntnisnahme" liegt vor, wenn der Verantwortliche „mit angemessener Sicherheit" weiß, dass eine Verletzung vorliegt.
Welche Inhalte muss die Meldung haben?
Art und Umfang der Verletzung, Kategorien betroffener Personen, Anzahl Betroffener, Kategorien betroffener Datensätze, voraussichtliche Folgen, getroffene Maßnahmen, Kontaktdaten DSB.
Was passiert, wenn ich die 72-Stunden-Frist verpasse?
Die Meldung ist dennoch nachzuholen — mit Begründung der Verzögerung. Die verspätete Meldung ist ein eigener DSGVO-Verstoß und wird zusätzlich sanktioniert.
Wann muss ich die Betroffenen benachrichtigen?
Wenn die Datenpanne „voraussichtlich ein hohes Risiko" für die Betroffenen mit sich bringt — z. B. bei sensiblen Daten, großer Anzahl Betroffener, Identitätsdiebstahl-Risiko.
Welche Behörde ist für die Meldung zuständig?
In Deutschland die jeweilige Landesdatenschutzbehörde des Bundeslandes der Hauptniederlassung. Bei Bundesthemen die BfDI. Bei kirchlicher Verarbeitung die kirchliche Aufsicht.
Muss ich auch nicht-meldepflichtige Datenpannen dokumentieren?
Ja — Art. 33 Abs. 5 DSGVO verlangt einen internen Verstoß-Katalog mit Sachverhalt, Auswirkungen, Maßnahmen und Begründung der Meldeentscheidung.
Wer haftet bei einer Datenpanne?
Der Verantwortliche (Unternehmen) haftet gegenüber der Aufsichtsbehörde und den Betroffenen. Auftragsverarbeiter haften im Innenverhältnis. Der DSB haftet nicht persönlich, außer bei eigenem schuldhaftem Pflichtverstoß.
Was kostet ein Bußgeld bei verspäteter Meldung?
Typisch 25.000–250.000 EUR — abhängig von Verzögerungsdauer, Datenpanne-Größe und sonstigen Verstößen. Bei kombinierten Verstößen (Datenpanne + verspätete Meldung) sind Bußgelder bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz möglich.
Lohnt sich eine Cyber-Versicherung für Datenpannen?
In der Regel ja — sie deckt typischerweise: Forensik-Kosten, externe Beratung, Benachrichtigungskosten, Bußgelder (soweit versicherbar), zivilrechtliche Schadensersatzansprüche. Standard-Police für KMU: 2.500–10.000 EUR/Jahr.
Die korrekte 72-Stunden-Datenpannen-Meldung ist eine der anspruchsvollsten DSGVO-Pflichten — Zeitdruck, fachliche Komplexität und behördliche Konsequenzen kommen zusammen. Drei strategische Empfehlungen:
Erstens, ein vorab dokumentiertes Eskalations-Playbook. Wer im Krisenfall erst überlegt, welche Schritte zu tun sind, wird die 72-Stunden-Frist nicht halten.
Zweitens, Awareness-Schulung der Mitarbeiter. Über 60 % aller Datenpannen werden zuerst von Mitarbeitern entdeckt — sie müssen wissen, wann und wie zu eskalieren ist.
Drittens, Auftragsverarbeiter vertraglich auf 24-Stunden-Meldepflicht binden. Ohne diese Klausel beginnt die 72-Stunden-Frist beim Verantwortlichen oft erst nach mehrtägiger Verzögerung — mit entsprechendem Bußgeldrisiko.
Vision Compliance unterstützt Unternehmen bei der Datenpannen-Vorbereitung als Teil der Datenschutz-Beratung und im Vorfallmanagement — von Playbooks über Schulungen bis zur konkreten Krisenreaktion. Wir kombinieren Datenschutzrecht mit IT-Forensik-Erfahrung, um sowohl die rechtskonforme Meldung als auch die technische Behebung sicherzustellen. Sprechen Sie uns an für ein kostenloses Erstgespräch zu Ihrer Datenpannen-Vorbereitung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
