Ratgeber

Datenpannen-Management nach Art. 33 und 34 DSGVO: Was Unternehmen tun müssen.

Q: Wann muss ich Betroffene nicht informieren?

Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen von der Benachrichtigungspflicht vor: Erstens, wenn geeignete technische und organisatorische Schutzmaßnahmen getroffen wurden, die die Daten für Unbefugte unzugänglich machen, etwa durch starke Verschlüsselung. Zweitens, wenn Folgemaßnahmen ergriffen wurden, die das Risiko beseitigt haben. Drittens, wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. In diesem Fall genügt eine öffentliche Bekanntmachung. Die Letztentscheidung liegt bei der Aufsichtsbehörde, die bei Zweifeln konsultiert werden kann.

72 Stunden. Das ist die Frist, die die DSGVO gibt, um eine Datenpanne der Aufsichtsbehörde zu melden. Wie die Meldepflichten aus Art. 33 und 34 DSGVO funktionieren, wann Betroffene informiert werden müssen und wie ein belastbares Datenpannen-Management aufgebaut wird.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Eine Datenpanne trifft Unternehmen öfter als gedacht.

Art. 33 DSGVO verpflichtet jeden Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich, möglichst aber innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden. Art. 34 DSGVO ergänzt diese Pflicht: Wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, müssen auch die betroffenen Personen unverzüglich benachrichtigt werden.

Viele Unternehmen unterschätzen, wie häufig meldepflichtige Ereignisse im Alltag auftreten. Eine versehentlich falsch adressierte E-Mail mit personenbezogenen Daten, ein verlorenes Notebook ohne Festplattenverschlüsselung, ein Ransomware-Angriff auf Kundendaten: All das kann eine meldepflichtige Datenpanne sein. Nicht das Ausmaß entscheidet, sondern das potenzielle Risiko für die betroffenen Personen.

Aufsichtsbehörden erwarten von Unternehmen nicht nur die fristgerechte Meldung, sondern auch ein strukturiertes Datenpannen-Management: klare interne Eskalationswege, vorbereitete Meldeformulare und eine vollständige Dokumentation aller Vorfälle nach Art. 33 Abs. 5 DSGVO, auch derjenigen, die nicht gemeldet werden mussten.

Praxishinweis

Die 72-Stunden-Frist beginnt, sobald das Unternehmen Kenntnis von der Datenpanne erlangt. Das ist nicht der Zeitpunkt der abgeschlossenen Untersuchung, sondern der Moment, in dem ein Mitarbeiter das Ereignis erkennt und intern weitermeldet. Ohne klare Eskalationswege endet die Frist, bevor die Geschäftsführung informiert ist.

Kernaspekte

Sechs Dimensionen des Datenpannen-Managements.

Definition Datenpanne

Eine Datenpanne nach Art. 4 Nr. 12 DSGVO ist jede Verletzung des Schutzes personenbezogener Daten, unabhängig davon, ob sie absichtlich oder versehentlich herbeigeführt wurde. Nicht nur Hackerangriffe, sondern auch interne Fehler können eine Meldepflicht auslösen.

Unbefugter Zugang von außen (Hacking, Phishing)
Versehentliche Datenweitergabe oder falsche Empfänger
Verlust von Geräten mit unverschlüsselten Daten
Fehlkonfiguration von Systemen mit Datenzugang

Die 72-Stunden-Frist

Art. 33 Abs. 1 DSGVO schreibt die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden vor. Die Frist läuft ohne Unterbrechung, auch an Wochenenden und Feiertagen. Wenn nicht alle Angaben sofort verfügbar sind, ist eine vorläufige Meldung mit Nachlieferung zulässig.

Fristbeginn: Kenntnis des Ereignisses im Unternehmen
Keine Unterbrechung an Wochenenden oder Feiertagen
Vorläufige Meldung mit Ergänzung ist zulässig
Begründung bei Überschreitung muss mitgeliefert werden

Inhalt der Behördenmeldung

Art. 33 Abs. 3 DSGVO legt fest, welche Angaben die Meldung enthalten muss. Aufsichtsbehörden stellen dafür standardisierte Online-Formulare bereit, die rund um die Uhr erreichbar sind.

Art der Verletzung und ungefähre Betroffenenzahl
Kontaktdaten des Datenschutzbeauftragten
Beschreibung der wahrscheinlichen Folgen
Ergriffene und geplante Gegenmaßnahmen

Betroffene informieren

Art. 34 DSGVO verpflichtet zur direkten Benachrichtigung betroffener Personen, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt. Die Benachrichtigung muss in klarer, verständlicher Sprache erfolgen.

Pflicht bei hohem Risiko für Rechte und Freiheiten
Inhalt: Art der Panne, Kontakt DSB, wahrscheinliche Folgen
Keine Frist, aber "unverzüglich" ist verpflichtend
Aufsichtsbehörde kann Benachrichtigung anordnen

Dokumentationspflicht

Art. 33 Abs. 5 DSGVO verpflichtet Verantwortliche, alle Datenpannen zu dokumentieren, auch jene, die nicht gemeldet werden mussten. Das interne Verzeichnis bildet die Grundlage für den Nachweis gegenüber der Aufsichtsbehörde.

Dokumentation aller Vorfälle, auch nicht gemeldeter
Nachweis der Risikoeinschätzung und Entscheidungsgrundlage
Aufbewahrung für mindestens drei Jahre empfohlen
Grundlage für interne Auswertung und Prozessverbesserung

Ausnahmen und Risikoabstufung

Nicht jede Datenpanne ist meldepflichtig. Eine Meldung an die Aufsichtsbehörde entfällt, wenn die Verletzung voraussichtlich kein Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt. Betroffene müssen nicht informiert werden, wenn wirksame Schutzmaßnahmen griffen.

Keine Behördenmeldung bei voraussichtlich keinem Risiko
Keine Betroffenenbenachrichtigung bei effektiver Verschlüsselung
Risikoeinschätzung muss dokumentiert und begründet sein
Im Zweifel lieber melden als nicht melden

Vorgehen

Datenpannen strukturiert und fristgerecht managen.

Erkennen und Risiko einschätzen

Sobald ein Ereignis bekannt wird, muss intern eskaliert und das Risiko bewertet werden. Betrifft die Panne personenbezogene Daten? Wie viele Personen sind betroffen? Drohen konkrete Schäden? Die Risikoeinschätzung entscheidet über Meldepflicht und Fristen.

Behörde fristgerecht melden

Bei meldepflichtigen Datenpannen das Online-Formular der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden ausfüllen. Stehen nicht alle Informationen bereit, kann eine vorläufige Meldung mit dem Vermerk "unvollständig, Ergänzung folgt" abgegeben werden.

Betroffene prüfen und informieren

Zusätzlich zur Behördenmeldung ist zu prüfen, ob ein hohes Risiko für betroffene Personen besteht. Wenn ja, müssen diese unverzüglich benachrichtigt werden. Die Nachricht muss in einfacher Sprache erklären, was passiert ist und welche Schritte das Unternehmen unternimmt.

Dokumentieren und nachbessern

Jede Datenpanne wird vollständig im internen Verzeichnis dokumentiert, inklusive Risikoeinschätzung, Maßnahmen und Ergebnis. Anschließend werden Ursachen analysiert und Prozesse oder Schutzmaßnahmen angepasst, um vergleichbare Vorfälle künftig zu vermeiden.

FAQ

Häufige Fragen zu Art. 33 und 34 DSGVO.

Verwandte Themen

Was gilt als Datenpanne nach DSGVO?+

Eine Datenpanne im Sinne von Art. 33 DSGVO ist jede Verletzung des Schutzes personenbezogener Daten, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Das umfasst nicht nur externe Angriffe, sondern auch interne Fehler, verlorene Geräte, versehentliche E-Mail-Weiterleitungen oder fehlerhafte Konfigurationen. Entscheidend ist nicht das Vorliegen eines Schadens, sondern das Sicherheitsereignis selbst.

Gilt die 72-Stunden-Frist auch am Wochenende?+

Ja. Die 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO läuft ohne Unterbrechung, also auch an Wochenenden und Feiertagen. Der Fristbeginn liegt beim Zeitpunkt der Kenntnis der Datenpanne, nicht beim nächsten Werktag. Aufsichtsbehörden nehmen Meldungen über ihre Online-Portale rund um die Uhr entgegen. Unternehmen müssen daher sicherstellen, dass auch außerhalb der Geschäftszeiten eine Meldung ausgelöst werden kann.

Was passiert, wenn die 72-Stunden-Frist überschritten wird?+

Eine verspätete Meldung kann zu Bußgeldern nach Art. 83 Abs. 4 DSGVO führen, die bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Aufsichtsbehörden berücksichtigen bei der Sanktionierung, ob die verspätete Meldung unverzüglich nachgeholt wurde, ob plausible Gründe für die Verzögerung vorlagen und ob das Unternehmen kooperativ war. Eine nachgeholte Meldung mit Begründung ist deutlich besser als gar keine Meldung.

Wann muss ich Betroffene nicht informieren?+

Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen vor: Erstens, wenn geeignete technische und organisatorische Schutzmaßnahmen getroffen wurden, die die Daten für Unbefugte unzugänglich machen, etwa durch starke Verschlüsselung. Zweitens, wenn Folgemaßnahmen ergriffen wurden, die das Risiko beseitigt haben. Drittens, wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. In diesem Fall genügt eine öffentliche Bekanntmachung. Die Letztentscheidung liegt bei der Aufsichtsbehörde, die bei Zweifeln konsultiert werden kann.

Welche Angaben muss die Meldung an die Behörde enthalten?+

Art. 33 Abs. 3 DSGVO schreibt folgende Angaben vor: Beschreibung der Art der Datenpanne einschließlich Kategorien und ungefährer Zahl der betroffenen Personen und Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten, Beschreibung der wahrscheinlichen Folgen sowie Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen. Wenn nicht alle Informationen sofort verfügbar sind, darf die Meldung in Teilen erfolgen. Eine vorläufige Meldung innerhalb der Frist mit Nachlieferung ist ausdrücklich zulässig.

Leistung Datenschutz-Beratung Zur Leistung Ratgeber Schadensersatz Art. 82 Zum Ratgeber Leistung Externer DSB Zur Leistung

Datenpanne Freitagmittag. Was nun?

Wir helfen dabei, Meldung und Kommunikation fristgerecht sicherzustellen.

Kostenloses Erstgespräch buchen