Ein Mitarbeiter schickt versehentlich eine Excel-Datei mit Gehaltsübersichten an den falschen Verteiler. Die Produktionsdatenbank ist kurz offen im Netz erreichbar. Der Laptop des Außendienstlers wird gestohlen. All das sind Datenschutzverletzungen im Sinne von Art. 33 DSGVO — und sie starten eine Uhr: 72 Stunden bis zur Pflichtmeldung an die zuständige Datenschutz-Aufsichtsbehörde.
Viele Unternehmen unterschätzen diese Pflicht. Sie melden zu spät, melden gar nicht oder melden unvollständig — und geraten damit ins Visier der Behörden. Die Bußgelder nach Art. 83 DSGVO können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. Prüfen Sie Ihren Fall frühzeitig.
Dieser Ratgeber zeigt, was genau meldepflichtig ist, wie die 72-Stunden-Frist korrekt berechnet wird, wann zusätzlich die betroffenen Personen informiert werden müssen und wie ein praxistauglicher Incident-Response-Plan aussieht.
Was ist eine Datenschutzverletzung im Sinne der DSGVO?
Art. 4 Nr. 12 DSGVO definiert die Datenschutzverletzung als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Die Definition ist bewusst weit gefasst.
Drei Kategorien sind in der Praxis besonders relevant: Vertraulichkeitsverletzungen entstehen, wenn Dritte unbefugt Zugang zu Daten erlangen — etwa durch einen Hackerangriff oder eine Fehlweiterleitung. Integritätsverletzungen liegen vor, wenn Daten unbemerkt verändert werden. Verfügbarkeitsverletzungen betreffen den dauerhaften oder temporären Verlust von Daten, zum Beispiel durch einen Ransomware-Angriff ohne Backup.
Entscheidend für die Meldepflicht ist nicht das Verschulden, sondern das Risiko. Auch ein fahrlässiger Fehler eines Mitarbeiters — eine falsch adressierte E-Mail mit Kundendaten — löst die Prüfpflicht aus. Das gilt ebenso für Pannen bei Auftragsverarbeitern: Wenn ein Dienstleister, der in Ihrem Auftrag Daten verarbeitet, eine Panne meldet, beginnt Ihre eigene 72-Stunden-Frist in dem Moment, in dem Sie davon erfahren.
Nicht erfasst sind hingegen Vorfälle, bei denen ausschließlich anonymisierte Daten betroffen sind. Sobald aber auch nur ein indirekter Personenbezug hergestellt werden kann — etwa über Kombination mit anderen Datenquellen — greift die DSGVO. Im Zweifel gilt: lieber einmal zu viel dokumentieren als zu wenig.
Die 72-Stunden-Frist: Wie wird sie korrekt berechnet?
Die Frist nach Art. 33 Abs. 1 DSGVO beginnt nicht mit dem Zeitpunkt der Datenpanne selbst, sondern mit dem Zeitpunkt, zu dem der Verantwortliche Kenntnis erlangt. Das ist der Moment, in dem ein Mitarbeiter — gleich auf welcher Hierarchieebene — den Vorfall bemerkt und dokumentiert. Interne Kommunikationswege zählen: Sobald der IT-Helpdesk einen Vorfall meldet, läuft die Uhr.
72 Stunden bedeuten nicht drei Werktage. Wochenenden und Feiertage unterbrechen die Frist nicht. Ein Vorfall, der Freitagabend um 20 Uhr entdeckt wird, muss spätestens Montagabend um 20 Uhr gemeldet sein. Viele Unternehmen kalkulieren hier zu großzügig und versäumen die Frist, weil die zuständigen Personen erst am Montag wieder erreichbar sind.
Wenn die 72 Stunden nicht eingehalten werden können, ist das kein automatischer Bußgeldtatbestand — vorausgesetzt, die Meldung erfolgt unverzüglich danach und enthält eine schlüssige Begründung für die Verzögerung. Die Aufsichtsbehörden akzeptieren dies etwa dann, wenn die Sachverhaltsaufklärung komplexer Technik bedurfte. Die Begründung muss aber substanziell sein und sollte dokumentiert vorliegen.
Praktisch bedeutet das: Jedes Unternehmen braucht eine interne Eskalationskette, die auch außerhalb der Bürozeiten funktioniert. Wer erkennt den Vorfall? Wer entscheidet über die Meldepflicht? Wer formuliert die Meldung? Diese Rollen müssen vorab definiert und schriftlich festgehalten sein — das ist kein optionales Prozessdetail, sondern Pflicht nach Art. 24 DSGVO.
Die Meldung selbst erfolgt in der Regel über das Online-Portal der zuständigen Landesbehörde. Welche Behörde zuständig ist, hängt vom Hauptsitz des Unternehmens ab — in Deutschland gibt es 16 Landesbehörden plus den Bundesbeauftragten für spezifische Bereiche. Unternehmen mit grenzüberschreitender Tätigkeit in der EU melden grundsätzlich bei der Behörde ihres Hauptsitzes (One-Stop-Shop-Prinzip nach Art. 56 DSGVO).
Praxis-Tipp
Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden — die Frist läuft ab dem Moment, in dem ein Mitarbeiter im Unternehmen Kenntnis erlangt.
Wann müssen betroffene Personen benachrichtigt werden?
Neben der Behördenmeldung kann eine zweite Pflicht entstehen: die direkte Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO. Diese Pflicht greift, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Das ist eine höhere Schwelle als bei der Behördenmeldung, die bereits bei einfachem Risiko greift.
Ein hohes Risiko liegt typischerweise vor, wenn besondere Kategorien von Daten nach Art. 9 DSGVO betroffen sind — Gesundheitsdaten, biometrische Daten, Daten über religiöse Überzeugungen oder die sexuelle Orientierung. Auch die Offenlegung von Bankverbindungen, Zugangsdaten oder umfassenden Persönlichkeitsprofilen wird regelmäßig als hohes Risiko eingestuft.
Die Benachrichtigung muss in klarer und verständlicher Sprache erfolgen und mindestens folgende Informationen enthalten: Art der Verletzung, Kontaktdaten des Datenschutzbeauftragten, wahrscheinliche Folgen der Verletzung sowie die ergriffenen Maßnahmen. Formlose Hinweise oder allgemeine Datenschutzmitteilungen genügen nicht — die Benachrichtigung muss konkret auf den Vorfall eingehen.
Ausnahmen von der Betroffenen-Benachrichtigung kennt Art. 34 Abs. 3 DSGVO: Wenn die Daten vor dem Zugriff durch technische Maßnahmen wirksam verschlüsselt waren, entfällt die Pflicht. Gleiches gilt, wenn nachträgliche Maßnahmen das hohe Risiko vollständig beseitigt haben oder wenn die Benachrichtigung aller Personen unverhältnismäßigen Aufwand erfordern würde — in letzterem Fall genügt eine öffentliche Bekanntmachung.
Wichtig zu wissen
Nicht jede Datenpanne ist meldepflichtig: Verletzungen, die voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, müssen intern dokumentiert, aber nicht gemeldet werden.



