Inhaltsverzeichnis
Das Wichtigste in Kürze
- 72-Stunden-Frist: Eine meldepflichtige Datenpanne müssen Sie der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden melden, nachdem sie Ihnen bekannt geworden ist (Art. 33 DSGVO).
- Nicht jede Panne ist meldepflichtig: Nur wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Dokumentieren müssen Sie aber jede Panne.
- Bei hohem Risiko müssen Sie zusätzlich die betroffenen Personen benachrichtigen (Art. 34 DSGVO).
- Ablauf: erkennen → eindämmen → Risiko bewerten → melden → ggf. Betroffene informieren → dokumentieren.
Eine E-Mail mit Kundendaten ging an den falschen Verteiler, ein Laptop wurde gestohlen, ein Verschlüsselungstrojaner hat zugeschlagen: In dem Moment, in dem so etwas passiert, tickt eine Uhr. Die DSGVO gibt Ihnen nur 72 Stunden, um eine meldepflichtige Datenpanne bei der Aufsichtsbehörde anzuzeigen. Dieser Guide zeigt Schritt für Schritt, wann Sie melden müssen, wie der Ablauf aussieht und welche Angaben in die Meldung gehören – inklusive ausfüllbarer Vorlage.
Was ist eine Datenpanne im Sinne der DSGVO?
Der umgangssprachliche Begriff „Datenpanne” heißt in der DSGVO Verletzung des Schutzes personenbezogener Daten. Nach Art. 4 Nr. 12 DSGVO ist das jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Fachlich unterscheidet man drei Ausprägungen:
- Verletzung der Vertraulichkeit – Unbefugte erhalten Zugang zu Daten (z. B. Fehlversand, Hackerangriff, gestohlener Datenträger).
- Verletzung der Integrität – Daten werden unbefugt oder versehentlich verändert.
- Verletzung der Verfügbarkeit – Daten gehen verloren oder sind nicht mehr zugänglich (z. B. Ransomware, gelöschtes Backup).
Typische Beispiele aus der Praxis sind der Versand einer E-Mail mit offenem Empfängerverteiler (CC statt BCC), ein verlorener USB-Stick mit Personaldaten, ein Ransomware-Angriff oder ein an die falsche Adresse verschickter Bescheid. Ob es sich zugleich um eine Verletzung der Informationssicherheit handelt, ist eine verwandte, aber eigene Frage – die Abgrenzung zwischen Datenschutz und Informationssicherheit hilft, beide Perspektiven auseinanderzuhalten.
Die 72-Stunden-Frist: Was Art. 33 DSGVO verlangt
Der Verantwortliche meldet die Verletzung der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden. Zwei Punkte sind dabei entscheidend:
- Ausnahme „kein Risiko”: Eine Meldung ist entbehrlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Einschätzung müssen Sie begründen und dokumentieren.
- Verspätete Meldung: Schaffen Sie die 72 Stunden nicht, ist die Meldung trotzdem nachzuholen – dann aber mit einer Begründung für die Verzögerung.
Wenn Sie als Auftragsverarbeiter eine Panne feststellen, melden Sie diese nicht selbst an die Behörde, sondern unverzüglich an den Verantwortlichen, für den Sie die Daten verarbeiten. Dieser entscheidet über die Meldung.
Der Melde-Ablauf in sechs Schritten
Ein klarer Ablauf verhindert, dass in der Hektik des Vorfalls Zeit verloren geht. Die folgende Reihenfolge hat sich bewährt:
| # | Schritt | Was zu tun ist |
|---|---|---|
| 1 | Erkennen & eindämmen | Vorfall stoppen (z. B. Zugang sperren), Ausmaß sichern, Beweise nicht überschreiben. Zeitpunkt des Bekanntwerdens festhalten – hier startet die Frist. |
| 2 | Risiko bewerten | Welche Daten, wie viele Personen, welche möglichen Folgen? Ergebnis: kein Risiko / Risiko / hohes Risiko. |
| 3 | An Behörde melden | Bei Risiko: binnen 72 Stunden an die zuständige Aufsichtsbehörde, in der Regel über deren Online-Meldeformular. |
| 4 | Betroffene informieren | Bei hohem Risiko zusätzlich die betroffenen Personen benachrichtigen (Art. 34 DSGVO), in klarer Sprache. |
| 5 | Dokumentieren | Jede Panne intern dokumentieren – Sachverhalt, Auswirkungen, ergriffene Maßnahmen (Art. 33 Abs. 5). |
| 6 | Nachbereiten | Ursache beheben und Schutzmaßnahmen verbessern, damit sich der Vorfall nicht wiederholt. |
Wer die Meldung übernimmt und die Bewertung verantwortet, hängt von Ihrer Organisation ab. In vielen Unternehmen ist das der Datenschutzbeauftragte – wann dieser überhaupt Pflicht ist, klärt unser Beitrag zur DSB-Pflicht. Fehlt intern die Kapazität, übernimmt oft ein externer Datenschutzbeauftragter für KMU die Fristenkontrolle und die Kommunikation mit der Behörde.
Muss ich auch die betroffenen Personen informieren?
Nicht immer – aber immer dann, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. In diesem Fall verlangt Art. 34 DSGVO, dass Sie die Betroffenen unverzüglich und in klarer, einfacher Sprache benachrichtigen, damit sie sich schützen können (etwa Passwörter ändern oder Konten überwachen).
Die Benachrichtigung der Betroffenen kann entfallen, wenn eine der folgenden Bedingungen erfüllt ist:
- Die betroffenen Daten waren durch geeignete Maßnahmen wie eine starke Verschlüsselung für Unbefugte unbrauchbar.
- Sie haben durch nachträgliche Maßnahmen dafür gesorgt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr eintritt.
- Die individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden – dann ist eine öffentliche Bekanntmachung zulässig.
Melde-Vorlage: diese Angaben braucht die Aufsichtsbehörde
Die Meldung nach Art. 33 Abs. 3 DSGVO muss einen Mindestinhalt haben. Nutzen Sie die folgende Vorlage, um im Ernstfall keine Angabe zu vergessen – die meisten Aufsichtsbehörden fragen genau diese Felder in ihrem Online-Formular ab:
| Pflichtangabe | Ihre Eintragung |
|---|---|
| Art der Verletzung (was ist passiert) | |
| Kategorien betroffener Daten (z. B. Kontaktdaten, Gesundheitsdaten) | |
| Ungefähre Zahl betroffener Personen und Datensätze | |
| Kontaktstelle (Datenschutzbeauftragter oder andere Anlaufstelle) | |
| Wahrscheinliche Folgen der Verletzung | |
| Ergriffene / vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung |
Liegen noch nicht alle Informationen vor, dürfen Sie die Angaben schrittweise nachreichen. Wichtig ist, die 72-Stunden-Meldung nicht zu verzögern, nur weil einzelne Details noch offen sind.
An welche Behörde wird gemeldet?
Zuständig ist die Datenschutz-Aufsichtsbehörde des Bundeslandes, in dem Ihr Unternehmen seinen Sitz hat. Die Landesbehörden stellen dafür in der Regel ein Online-Meldeformular bereit, das Sie direkt ausfüllen können. Für Unternehmen mit Niederlassungen in mehreren EU-Staaten gilt das Prinzip der federführenden Behörde am Ort der Hauptniederlassung.
Die DSGVO ist nicht das einzige Regelwerk mit engen Meldefristen: Für Betreiber wichtiger oder besonders wichtiger Einrichtungen gelten unter der NIS2-Richtlinie eigene, teils noch kürzere Fristen. Wie diese aussehen, zeigt unsere Checkliste zur NIS2-Meldepflicht mit Fristen.
Bußgelder und Dokumentationspflicht: was auf dem Spiel steht
Wer eine meldepflichtige Datenpanne nicht, zu spät oder unvollständig meldet, riskiert ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) – je nachdem, welcher Betrag höher ist. Kommt ein zugrunde liegender Datenschutzverstoß hinzu, kann der Rahmen sogar bei 20 Mio. Euro bzw. 4 % liegen.
Unabhängig davon gilt die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO: Sie müssen jede Datenpanne intern erfassen – auch die, die Sie als nicht meldepflichtig einstufen. Diese Dokumentation ist Ihr Nachweis gegenüber der Aufsichtsbehörde, dass Sie den Vorfall bewertet und richtig gehandelt haben. Wie sich solche Nachweis- und Datenschutzpflichten im Mittelstand mit vertretbarem Aufwand erfüllen lassen, ordnet unser Überblick zu Datenschutz im Mittelstand – Kosten und Pflichten ein.
Datenpannen vorbeugen statt nur melden
Die beste Meldung ist die, die nie nötig wird. Die meisten Datenpannen entstehen nicht durch spektakuläre Hackerangriffe, sondern durch Alltagsfehler: falsche Empfänger, verlorene Geräte, schwache Zugriffsrechte. Wer technische und organisatorische Maßnahmen systematisch steuert, senkt sowohl die Häufigkeit als auch die Schwere solcher Vorfälle – und hat im Ernstfall Ablauf, Zuständigkeiten und Dokumentation bereits geregelt. Eine ISMS-Software hilft dabei, Risiken, Maßnahmen und Meldeprozesse an einer Stelle zu bündeln, statt sie im Vorfall erst zu improvisieren.
Häufige Fragen (FAQ)
Wie lange habe ich Zeit, eine Datenpanne zu melden?
Grundsätzlich unverzüglich und möglichst binnen 72 Stunden, nachdem Ihnen die Datenpanne bekannt geworden ist. Die Frist läuft kalendarisch, also auch über Wochenenden und Feiertage.
Muss ich jede Datenpanne melden?
Nein. Meldepflichtig ist sie nur, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Dokumentieren müssen Sie aber jede Panne, auch die nicht meldepflichtige.
Was passiert, wenn ich die 72 Stunden verpasse?
Die Meldung ist dennoch nachzuholen, dann mit einer Begründung für die Verzögerung. Ein Versäumnis kann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Wann muss ich die betroffenen Personen informieren?
Wenn die Datenpanne voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt (Art. 34 DSGVO). Waren die Daten etwa stark verschlüsselt oder wurde das hohe Risiko nachträglich beseitigt, kann die Benachrichtigung entfallen.
Wer meldet die Panne, wenn ein Dienstleister sie verursacht?
Der Auftragsverarbeiter meldet die Verletzung unverzüglich an den Verantwortlichen. Die Meldung an die Aufsichtsbehörde verantwortet der Verantwortliche, nicht der Dienstleister.



