DSGVO 72h-Meldepflicht: Was genau muss in die Meldung?
DSGVO-Meldepflicht 72h nach Art. 33: Pflichtinhalte, BfDI-Meldewege, Praxis-Template für die erste Meldung. Stand 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-07-01
DSGVO 72h-Meldepflicht: Was genau muss in die Meldung?
Was zählt als "Datenpanne"?
Eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung oder zum unbefugten Zugang personenbezogener Daten führt. Drei Schadensarten werden unterschieden:
Detail
- Confidentiality breach — unbefugter Zugang oder Offenlegung. Beispiel: gestohlener Laptop mit unverschlüsselter Kundendatenbank, falsch verschickte E-Mail mit personenbezogenen Daten.
- Integrity breach — unbefugte oder versehentliche Veränderung. Beispiel: Ransomware-Angriff, der Datensätze verschlüsselt; fehlerhafte Migration, die Daten überschreibt.
- Availability breach — Verlust des Zugangs zu den Daten. Beispiel: Hardware-Ausfall ohne Backup, gelöschte Datenbank ohne Wiederherstellung.
Auch vorübergehende Verluste können meldepflichtig sein — etwa eine längere Unverfügbarkeit kritischer Daten, die zu materiellen oder immateriellen Schäden führt. Der EDSA hat in den Leitlinien 9/2022 zahlreiche Beispielfälle dokumentiert.
Wann beginnt die 72-Stunden-Frist?
Die Frist beginnt mit dem Bekanntwerden der Datenpanne beim Verantwortlichen. Bekanntwerden heißt: positive Kenntnis vom Vorfall, mit hinreichender Gewissheit, dass eine Verletzung tatsächlich vorliegt.
Drei Konstellationen sind typisch:
- Anbieter-Auftragsverarbeiter meldet: Sobald der Auftragsverarbeiter den Vorfall an den Verantwortlichen weitergibt, beginnt die 72-h-Frist beim Verantwortlichen. Der Auftragsverarbeiter selbst hat nach Art. 33 Abs. 2 die Pflicht, den Verantwortlichen unverzüglich zu informieren — keine eigene 72-h-Frist gegenüber der Aufsicht.
Detail
- Interne Entdeckung: IT-Team entdeckt einen Vorfall. Bekanntwerden ist der Moment, in dem die Datenschutzverantwortlichkeit informiert ist und die Verletzung mit hinreichender Wahrscheinlichkeit bestätigt ist.
- Externe Meldung: Betroffene Person oder Dritte meldet einen Vorfall. Bekanntwerden ist der Eingang der Meldung, sofern sie hinreichend konkret ist.
Bei Unsicherheit über das Vorliegen einer Verletzung läuft die Frist nicht — der Verantwortliche hat einen kurzen Untersuchungsspielraum (typisch 24-48 Stunden), um den Vorfall zu klären. Dieser Spielraum darf nicht künstlich verlängert werden, um die Frist zu strecken.
Aufsichten akzeptieren auch "vorläufige Meldungen"
Art. 33 Abs. 4 erlaubt es ausdrücklich, die Informationen schrittweise zu liefern, wenn sie nicht alle gleichzeitig vorliegen. Praxis-Empfehlung: Erste Meldung binnen 72 Stunden mit den verfügbaren Informationen — auch wenn unvollständig. Nachmeldungen erfolgen, sobald weitere Fakten klar sind. Die Aufsichten erwarten nicht, dass innerhalb 72 Stunden die forensische Analyse abgeschlossen ist. Wichtig ist, dass die Meldung zeitnah und ehrlich ist — verzögerte Meldungen aus "wir warten noch auf alle Details" sind die häufigste Beanstandung der Aufsicht.
Pflichtinhalte der Meldung (Art. 33 Abs. 3)
Die Meldung an die Aufsicht muss mindestens enthalten:
- Beschreibung der Art der Verletzung: Was ist passiert? Confidentiality / Integrity / Availability? Welche Systeme oder Prozesse waren betroffen?
- Kategorien betroffener Personen und ungefähre Zahl: Mitarbeiter / Kunden / Bewerber, ca. wie viele.
- Kategorien betroffener Daten und ungefähre Anzahl betroffener Datensätze: Stammdaten / Zahlungsdaten / Gesundheitsdaten, ca. wie viele.
- Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
- Wahrscheinliche Folgen der Verletzung: Welche Schäden sind realistisch zu erwarten (Identitätsdiebstahl, finanzielle Schäden, Diskriminierung, Reputationsschaden)?
- Bereits ergriffene oder vorgeschlagene Abhilfemaßnahmen, einschließlich Maßnahmen zur Schadensbegrenzung.
Diese Pflichtinhalte sind Mindestanforderung. Aufsichten erwarten in der Praxis zusätzlich:
- Zeitpunkt des Vorfalls und Zeitpunkt der Entdeckung.
- Ursache (technisch, organisatorisch, menschliches Versagen).
- Drittland-Komponente — wenn Daten in einem Drittland betroffen sind.
- Sub-Verarbeiter — wenn die Verletzung bei einem Sub-Verarbeiter geschehen ist.
Wann muss man nicht melden?
Art. 33 Abs. 1 enthält die einzige Ausnahme: Wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der EDSA hat in den Leitlinien 9/2022 typische "Nicht-Risiko"-Konstellationen genannt:
Detail
- Verschlüsselte Datenträger gehen verloren, die Verschlüsselung ist nach Stand der Technik (z.B. AES-256), der Schlüssel ist nicht kompromittiert. Kein Risiko, da Daten nicht lesbar.
- Eine E-Mail mit Daten geht versehentlich an einen falschen internen Empfänger, der die Daten unverzüglich löscht und bestätigt — kein praktisches Risiko.
- Kurzfristige Verfügbarkeitsstörung in einem unkritischen System ohne wesentliche Folgen für die betroffenen Personen.
Wichtig: Die "Kein-Risiko"-Bewertung ist Aufgabe des Verantwortlichen und muss schriftlich dokumentiert werden — als Teil der Rechenschaftspflicht. Die Aufsicht kann die Bewertung im Nachhinein überprüfen. Bei Fehlbewertung droht doppelter Verstoß: keine Meldung + Verstoß gegen Art. 24 Abs. 1.
"Wir melden lieber zu spät und detailliert"
Die Aufsichten haben in mehreren Tätigkeitsberichten klargestellt: Verspätete Meldungen sind ein eigener Verstoß. Selbst wenn die spätere Meldung detailliert und korrekt ist — die 72-Stunden-Frist wurde verletzt. Konsequenz: Bußgeld plus negativer Eindruck bei der Aufsicht. Empfehlung: Meldung binnen 72 Stunden mit den verfügbaren Daten. Nachmeldung jederzeit möglich. Das gibt der Aufsicht das Signal, dass ihr den Prozess ernst nehmt.
Benachrichtigung der betroffenen Personen (Art. 34)
Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen ist zusätzlich Pflicht: Benachrichtigung der betroffenen Personen — unverzüglich, in klarer und einfacher Sprache.
Pflichtinhalte der Benachrichtigung (Art. 34 Abs. 2):
- Art der Verletzung (in verständlicher Sprache).
- Name und Kontakt des DSB oder einer Anlaufstelle.
- Wahrscheinliche Folgen.
- Ergriffene oder vorgeschlagene Abhilfemaßnahmen.
Die Benachrichtigung kann unterbleiben, wenn:
- Geeignete technische und organisatorische Schutzmaßnahmen die Daten unbrauchbar machen (z.B. Verschlüsselung mit nicht kompromittiertem Schlüssel).
- Anschließend ergriffene Maßnahmen das hohe Risiko entfernt haben.
- Die Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (in dem Fall öffentliche Bekanntmachung erforderlich).
In der Praxis ist die Schwelle "hohes Risiko" niedriger als oft angenommen. Bei Diebstahl unverschlüsselter Kunden- oder Mitarbeiterdaten ist regelmäßig hohes Risiko anzunehmen — und damit Benachrichtigungspflicht.
Meldekanäle in Deutschland
In Deutschland melden nicht-öffentliche Stellen an die Landesdatenschutzbehörde ihres Sitzlands. Öffentliche Stellen des Bundes melden an die BfDI.
Meldewege:
- Online-Formulare: Alle Aufsichten haben Web-Formulare für Datenpannen-Meldungen. Der Vorteil: Pflichtfelder geben die Struktur vor — kein Risiko, dass etwas vergessen wird.
- E-Mail / Brief: Möglich, aber Risiko, dass nicht alle Pflichtinhalte erfasst sind.
- Spezialformate bei Großvorfällen: Bei besonders kritischen Vorfällen (z.B. öffentlich-rechtliche Bekanntmachungen) kontaktieren manche Aufsichten den Verantwortlichen direkt.
Die DSK koordiniert die Meldepraxis bundesweit. Das DSK-Kurzpapier Nr. 18 gibt Praxis-Leitlinien zur Meldung.
Praxis: Wie ein KMU einen 72-h-Prozess aufsetzt
für die 72-h-Meldepflicht
Drei Schritte mit hohem Hebel: (1) Incident-Response-Prozess dokumentieren — wer wird wann informiert, wer trifft die Meldungs-Entscheidung. Schon ein zweiseitiges Dokument verkürzt die Reaktionszeit drastisch. (2) Online-Formular der zuständigen Aufsicht vor dem Ernstfall einmal sichten — welche Felder werden abgefragt, welche Vorbereitung ist nötig. (3) Internes Meldetemplate erstellen, das die Pflichtinhalte aus Art. 33 Abs. 3 abdeckt — als interner Standard für jede Datenpanne.
Vollständige Vorgehensweise:
- Incident-Response-Prozess mit klaren Rollen — IT-Lead, DSB, Geschäftsführung, externe Forensik bei Bedarf.
- Erkennungs-Mechanismen — Monitoring, Logging, Mitarbeiter-Meldewege.
- Bewertungs-Workflow — Bekanntwerden definieren, Risiko-Bewertung dokumentieren.
- Meldetemplate — Pflichtinhalte vorbereitet.
- Verzeichnis von Datenpannen nach Art. 33 Abs. 5 — auch wenn nicht meldepflichtig.
- Übung: jährliche Simulation eines Datenpannen-Falls, mit Ablaufprüfung und Verbesserungsschritten.
FAQ
Was passiert, wenn ich die 72 Stunden überschreite?
Verstoß gegen Art. 33 DSGVO. Bußgelder bis zu 10 Mio. € oder 2 % Konzernumsatz nach Art. 83 Abs. 4 lit. a. In der deutschen Praxis kommen bei einmaligen, geringfügigen Überschreitungen oft Verwarnungen — bei systematischer Verspätung oder Verschleierung Bußgelder im fünf- bis sechsstelligen Bereich.
Muss ich auch bei Sub-Verarbeiter-Vorfällen melden?
Ja. Der Verantwortliche bleibt nach Art. 33 in der Pflicht. Der Auftragsverarbeiter (und mittelbar der Sub-Verarbeiter) muss euch nach Art. 33 Abs. 2 unverzüglich informieren — die 72-h-Frist beginnt für euch ab eurer Kenntnisnahme. In der Praxis ist die AVV-Klausel zur Meldepflicht des Auftragsverarbeiters zentral — sie muss "unverzüglich" definieren und idealerweise eine Frist nennen (z.B. "binnen 24 Stunden nach Kenntnisnahme durch den Auftragsverarbeiter").
Was, wenn ich keine genaue Anzahl betroffener Personen kenne?
Schätzungen sind zulässig — wenn klar als solche gekennzeichnet ("voraussichtlich 500-1.500 Datensätze"). Die Aufsichten akzeptieren grobe Schätzungen besser als verzögerte Meldungen mit präzisen Zahlen. Bei der Nachmeldung wird die Zahl präzisiert.
Ist die Meldung öffentlich?
Nein. Die Meldung an die Aufsicht ist vertraulich. Veröffentlichungen entstehen nur, wenn ihr nach Art. 34 die betroffenen Personen benachrichtigt (öffentliche Bekanntmachung bei großem Personenkreis) oder die Aufsicht selbst informiert (selten, bei besonders schweren Fällen). Tätigkeitsberichte der Aufsichten dokumentieren manche Fälle anonymisiert.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 1. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
Compliance-Bußgelder 2026 — der kompakte Atlas
Welche Bußgelder drohen bei Compliance-Verstößen 2026? Der Atlas zu DSGVO, NIS2, DORA, AI Act, HinSchG für DACH-KMU. Stand: 2026-05-16.
Wann ist eine DSGVO-Folgenabschätzung (DPIA) Pflicht?
Wann ist eine DSGVO-Folgenabschätzung Pflicht? Entscheidungsbaum nach WP248, EDSA-Liste und BfDI-Hochrisiko-Katalog. Stand 2026-05-16.
DSGVO-Verfahrensverzeichnis: Pflicht und Vorlage
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für die meisten Unternehmen Pflicht. Welche Inhalte rein müssen, wer ausgenommen ist und welche BfDI-/Landesdatenschutz-Vorlagen es gibt.