Ein Mitarbeiter schickt versehentlich eine Excel-Datei mit Gehaltsübersichten an den falschen Verteiler. Die Produktionsdatenbank ist kurz offen im Netz erreichbar. Der Laptop des Außendienstlers wird gestohlen. All das sind Datenschutzverletzungen im Sinne von Art. 33 DSGVO — und sie starten eine Uhr: 72 Stunden bis zur Pflichtmeldung an die zuständige Datenschutz-Aufsichtsbehörde.
Viele Unternehmen unterschätzen diese Pflicht. Sie melden zu spät, melden gar nicht oder melden unvollständig — und geraten damit ins Visier der Behörden. Die Bußgelder nach Art. 83 DSGVO können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. Prüfen Sie Ihren Fall frühzeitig über /formular.
Dieser Ratgeber zeigt, was genau meldepflichtig ist, wie die 72-Stunden-Frist korrekt berechnet wird, wann zusätzlich die betroffenen Personen informiert werden müssen und wie ein praxistauglicher Incident-Response-Plan aussieht.
Was ist eine Datenschutzverletzung im Sinne der DSGVO?
Art. 4 Nr. 12 DSGVO definiert die Datenschutzverletzung als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Die Definition ist bewusst weit gefasst.
Drei Kategorien sind in der Praxis besonders relevant: Vertraulichkeitsverletzungen entstehen, wenn Dritte unbefugt Zugang zu Daten erlangen — etwa durch einen Hackerangriff oder eine Fehlweiterleitung. Integritätsverletzungen liegen vor, wenn Daten unbemerkt verändert werden. Verfügbarkeitsverletzungen betreffen den dauerhaften oder temporären Verlust von Daten, zum Beispiel durch einen Ransomware-Angriff ohne Backup.
Entscheidend für die Meldepflicht ist nicht das Verschulden, sondern das Risiko. Auch ein fahrlässiger Fehler eines Mitarbeiters — eine falsch adressierte E-Mail mit Kundendaten — löst die Prüfpflicht aus. Das gilt ebenso für Pannen bei Auftragsverarbeitern: Wenn ein Dienstleister, der in Ihrem Auftrag Daten verarbeitet, eine Panne meldet, beginnt Ihre eigene 72-Stunden-Frist in dem Moment, in dem Sie davon erfahren.
Nicht erfasst sind hingegen Vorfälle, bei denen ausschließlich anonymisierte Daten betroffen sind. Sobald aber auch nur ein indirekter Personenbezug hergestellt werden kann — etwa über Kombination mit anderen Datenquellen — greift die DSGVO. Im Zweifel gilt: lieber einmal zu viel dokumentieren als zu wenig.
Die 72-Stunden-Frist: Wie wird sie korrekt berechnet?
Die Frist nach Art. 33 Abs. 1 DSGVO beginnt nicht mit dem Zeitpunkt der Datenpanne selbst, sondern mit dem Zeitpunkt, zu dem der Verantwortliche Kenntnis erlangt. Das ist der Moment, in dem ein Mitarbeiter — gleich auf welcher Hierarchieebene — den Vorfall bemerkt und dokumentiert. Interne Kommunikationswege zählen: Sobald der IT-Helpdesk einen Vorfall meldet, läuft die Uhr.
72 Stunden bedeuten nicht drei Werktage. Wochenenden und Feiertage unterbrechen die Frist nicht. Ein Vorfall, der Freitagabend um 20 Uhr entdeckt wird, muss spätestens Montagabend um 20 Uhr gemeldet sein. Viele Unternehmen kalkulieren hier zu großzügig und versäumen die Frist, weil die zuständigen Personen erst am Montag wieder erreichbar sind.
Wenn die 72 Stunden nicht eingehalten werden können, ist das kein automatischer Bußgeldtatbestand — vorausgesetzt, die Meldung erfolgt unverzüglich danach und enthält eine schlüssige Begründung für die Verzögerung. Die Aufsichtsbehörden akzeptieren dies etwa dann, wenn die Sachverhaltsaufklärung komplexer Technik bedurfte. Die Begründung muss aber substanziell sein und sollte dokumentiert vorliegen.
Praktisch bedeutet das: Jedes Unternehmen braucht eine interne Eskalationskette, die auch außerhalb der Bürozeiten funktioniert. Wer erkennt den Vorfall? Wer entscheidet über die Meldepflicht? Wer formuliert die Meldung? Diese Rollen müssen vorab definiert und schriftlich festgehalten sein — das ist kein optionales Prozessdetail, sondern Pflicht nach Art. 24 DSGVO.
Die Meldung selbst erfolgt in der Regel über das Online-Portal der zuständigen Landesbehörde. Welche Behörde zuständig ist, hängt vom Hauptsitz des Unternehmens ab — in Deutschland gibt es 16 Landesbehörden plus den Bundesbeauftragten für spezifische Bereiche. Unternehmen mit grenzüberschreitender Tätigkeit in der EU melden grundsätzlich bei der Behörde ihres Hauptsitzes (One-Stop-Shop-Prinzip nach Art. 56 DSGVO).
Praxis-Tipp
Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden — die Frist läuft ab dem Moment, in dem ein Mitarbeiter im Unternehmen Kenntnis erlangt.
Wann müssen betroffene Personen benachrichtigt werden?
Neben der Behördenmeldung kann eine zweite Pflicht entstehen: die direkte Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO. Diese Pflicht greift, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Das ist eine höhere Schwelle als bei der Behördenmeldung, die bereits bei einfachem Risiko greift.
Ein hohes Risiko liegt typischerweise vor, wenn besondere Kategorien von Daten nach Art. 9 DSGVO betroffen sind — Gesundheitsdaten, biometrische Daten, Daten über religiöse Überzeugungen oder die sexuelle Orientierung. Auch die Offenlegung von Bankverbindungen, Zugangsdaten oder umfassenden Persönlichkeitsprofilen wird regelmäßig als hohes Risiko eingestuft.
Die Benachrichtigung muss in klarer und verständlicher Sprache erfolgen und mindestens folgende Informationen enthalten: Art der Verletzung, Kontaktdaten des Datenschutzbeauftragten, wahrscheinliche Folgen der Verletzung sowie die ergriffenen Maßnahmen. Formlose Hinweise oder allgemeine Datenschutzmitteilungen genügen nicht — die Benachrichtigung muss konkret auf den Vorfall eingehen.
Ausnahmen von der Betroffenen-Benachrichtigung kennt Art. 34 Abs. 3 DSGVO: Wenn die Daten vor dem Zugriff durch technische Maßnahmen wirksam verschlüsselt waren, entfällt die Pflicht. Gleiches gilt, wenn nachträgliche Maßnahmen das hohe Risiko vollständig beseitigt haben oder wenn die Benachrichtigung aller Personen unverhältnismäßigen Aufwand erfordern würde — in letzterem Fall genügt eine öffentliche Bekanntmachung.
Wichtig zu wissen
Nicht jede Datenpanne ist meldepflichtig: Verletzungen, die voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, müssen intern dokumentiert, aber nicht gemeldet werden.
Bußgeld-Risiken: Welche Faktoren bestimmen die Höhe?
Art. 83 DSGVO unterscheidet zwei Bußgeld-Kategorien. Verstöße gegen die Meldepflicht nach Art. 33 und 34 fallen unter Art. 83 Abs. 4 DSGVO mit einem Rahmen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Schwerere Verstöße — etwa fehlende Rechtsgrundlage für die Verarbeitung oder Verletzung von Betroffenenrechten — können nach Art. 83 Abs. 5 DSGVO bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes erreichen.
Entscheidend für die konkrete Bußgeldhöhe ist der Erwägungsgrund 148 DSGVO und die Kriterien des Art. 83 Abs. 2 DSGVO. Aufsichtsbehörden berücksichtigen unter anderem: die Art, Schwere und Dauer des Verstoßes, den Grad der Fahrlässigkeit oder des Vorsatzes, ergriffene Maßnahmen zur Schadensminimierung sowie die Kooperation mit der Behörde. Wer schnell meldet, transparent kommuniziert und nachweislich an Gegenmaßnahmen arbeitet, reduziert das Bußgeld-Risiko erheblich.
Besonders kostspielig wird es, wenn Unternehmen Datenpannen bewusst verschweigen. Die Deutsche Wohnen SE wurde 2019 vom Berliner Beauftragten mit einem Bußgeld in erheblicher Höhe belegt — unter anderem wegen unzureichender Dokumentation. Auch wenn das Urteil später aufgehoben wurde, zeigt der Fall: Aufsichtsbehörden haben das Werkzeug und die Bereitschaft, es einzusetzen.
Für KMU sind auch kleinere Bußgelder von wenigen zehntausend Euro wirtschaftlich schmerzhaft, wenn sie mit Reputationsschäden, Kunden-Abwanderung und internen Aufarbeitungskosten kombiniert werden. Der Gesamtschaden eines schlecht gemanagten Datenschutz-Vorfalls übersteigt in der Regel bei weitem die direkten Behördenstrafen. Lassen Sie Ihren Incident-Response-Prozess jetzt über /formular rechtlich prüfen.
Kleinunternehmen bis 250 Mitarbeiter unterliegen einigen Erleichterungen bei der Pflicht zum Führen eines Verarbeitungsverzeichnisses — nicht aber bei der Meldepflicht. Diese gilt unabhängig von der Unternehmensgröße ab dem ersten Tag der Datenpanne.
Datenschutz-Incident-Response-Plan: So bereiten Sie sich vor
Ein Incident-Response-Plan ist kein bürokratisches Anhängsel, sondern ein operatives Steuerungsinstrument. Er legt fest, wer im Ernstfall was tut — und er gilt als gewichtiges Indiz für die von Art. 24 DSGVO geforderten technischen und organisatorischen Maßnahmen. Aufsichtsbehörden bewerten das Vorhandensein eines solchen Plans bei der Bußgeldbemessung ausdrücklich positiv.
Der Plan sollte mindestens fünf Elemente enthalten: erstens eine klare Klassifizierungsmatrix, die festlegt, welche Vorfälle als Datenschutzverletzung einzustufen sind; zweitens eine Eskalationskette mit namentlich benannten Verantwortlichen und Vertretungen; drittens eine Checkliste für die 72-Stunden-Meldung mit den Pflichtangaben nach Art. 33 Abs. 3 DSGVO; viertens eine Vorlage für die Betroffenen-Benachrichtigung nach Art. 34 DSGVO; und fünftens eine Dokumentationspflicht für alle Vorfälle, auch solche unterhalb der Meldeschwelle.
Die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO gilt uneingeschränkt: Jeder Vorfall — ob meldepflichtig oder nicht — muss intern aufgezeichnet werden. Das Verzeichnis muss mindestens enthalten: Datum und Uhrzeit der Entdeckung, Art der betroffenen Daten, betroffene Personengruppen, Umfang, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen. Dieses Verzeichnis ist das Erste, was eine Aufsichtsbehörde im Prüfungsfall anfordert.
Technische Vorbereitungen sind ebenso wichtig wie organisatorische. Systeme zur Erkennung ungewöhnlicher Zugriffsmuster, verschlüsselte Speicherung sensibler Daten und regelmäßige Penetrationstests reduzieren die Eintrittswahrscheinlichkeit von Verletzungen. Gleichzeitig verkürzen gute Monitoring-Tools die Zeitspanne zwischen Vorfall und Entdeckung — was direkt auf die 72-Stunden-Frist einzahlt.
Schulungen sind kein einmaliges Ereignis. Der häufigste Auslöser für Datenpannen ist menschliches Versagen: falsch adressierte E-Mails, ungesicherte USB-Sticks, schwache Passwörter. Regelmäßige, anwendungsorientierte Mitarbeiterschulungen — mindestens einmal jährlich, für neue Mitarbeiter innerhalb der ersten Wochen — sind nach Art. 39 Abs. 1 lit. b DSGVO ausdrückliche Aufgabe des Datenschutzbeauftragten und Teil einer ernsthaften Datenschutz-Compliance.
Ihre Checkliste auf einen Blick
- Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden — die Frist läuft ab dem Moment, in dem ein Mitarbeiter im Unternehmen Kenntnis erlangt.
- Nicht jede Datenpanne ist meldepflichtig: Verletzungen, die voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, müssen intern dokumentiert, aber nicht gemeldet werden.
- Bei hohem Risiko für Betroffene verlangt Art. 34 DSGVO zusätzlich eine direkte Benachrichtigung der betroffenen Personen — ohne unangemessene Verzögerung.
- Bußgelder für verspätete oder unterlassene Meldungen können nach Art. 83 Abs. 4 DSGVO bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen.
- Ein dokumentierter Incident-Response-Plan reduziert das Bußgeld-Risiko erheblich, weil er der Aufsichtsbehörde zeigt, dass das Unternehmen angemessene technische und organisatorische Maßnahmen getroffen hat.
Fazit
Eine Datenschutzverletzung ist kein seltenes Ausnahmeszenario mehr — sie trifft Unternehmen jeder Größe, häufig durch menschliches Versagen oder unzureichend gesicherte Systeme. Wer die 72-Stunden-Frist kennt, einen dokumentierten Prozess hat und die Eskalationskette klar definiert, schützt sich vor den gravierendsten Bußgeld-Risiken. Entscheidend ist nicht die Null-Fehler-Quote, sondern die nachweisbare Handlungsfähigkeit im Ernstfall.
Lassen Sie Ihren Incident-Response-Plan und Ihre bestehenden Datenschutzprozesse von einem spezialisierten Anwalt prüfen, bevor der erste Vorfall eintritt. Starten Sie jetzt über /formular — damit Sie im Ernstfall nicht unter Zeitdruck handeln müssen.