Datenpannenmeldung 72h: das genaue Verfahren (Art. 33 + 34 DSGVO)

Stand: 02.05.2026 · Letzte Prüfung: 02.05.2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

72h-Frist beginnt mit Kenntnisnahme (EuGH C-340/21)
Schwelle: "voraussichtlich Risiko" — 90% aller Pannen meldepflichtig
Art. 34 (Betroffenen-Info) bei "hohem Risiko" — Gesundheits-, Finanz-, Identitätsdaten
Dokumentations-Pflicht auch bei nicht-meldepflichtigen Pannen (Art. 33 Abs. 5)
Bußgeld bei Verspätung: 5-50k EUR Median 2025 — bei Untergebühr nicht selten 50k+

1. Art. 33 + 34 DSGVO

"Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde..." — Art. 33 Abs. 1 DSGVO

Zwei Stufen:

Art. 33: Meldung an AB (immer bei Risiko)
Art. 34: Information an Betroffene (nur bei hohem Risiko)

2. Wann ist Meldung Pflicht?

Beispiel	Risiko	Art. 33?	Art. 34?
Verschlüsselte Festplatte verloren	niedrig	nein	nein
Unverschlüsselte HDD verloren	hoch	JA	JA
E-Mail an falschen Empfänger (Stammdaten)	niedrig	JA	nein
E-Mail an falschen Empfänger (Gesundheitsdaten)	hoch	JA	JA
Ransomware mit Datenexfiltration	hoch	JA	JA
Phishing-Versuch erkannt + abgewehrt	kein	nein	nein
Datenbank-Backup ohne Verschlüsselung gestohlen	hoch	JA	JA
Web-Formular gehackt mit Stammdaten	mittel	JA	variabel

3. 72h-Ablauf-Plan

Stunde	Aktivität	Verantwortlich
0-2h	Erkennung + Krisenstab aktiviert	IT/SOC + Compliance
2-8h	Eindämmung + erste Forensik	IT-Team
8-24h	Klassifizierung: betroffene Datenarten + Anzahl + Risiko	DSB + Compliance
24-48h	Entwurf AB-Meldung + Stellungnahme Geschäftsführung	DSB + GF
48-72h	Meldung absenden + Bestätigung dokumentieren	DSB
parallel	Bei Art. 34: Betroffenen-Information vorbereiten	DSB + Marketing

4. Meldung an Aufsichtsbehörde

Pflicht-Inhalte (Art. 33 Abs. 3):

Beschreibung der Verletzung (Art, Umstände)
Ungefähre Zahl betroffener Personen + Datensätze
Datenkategorien
Voraussichtliche Folgen
Maßnahmen zur Behebung
Maßnahmen zur Schadensminderung
Kontaktdaten DSB / Verantwortlicher

Online-Portale für Meldung:

BfDI: bfdi.bund.de/datenpannen
BlfD Bayern: lda.bayern.de
Landes-DSBen: jeweils eigene Portale

5. Art. 34: Betroffenen-Information

Bei "hohem Risiko" für Rechte und Freiheiten — z.B. Gesundheitsdaten, Finanzdaten, Identitätsdokumente.

Pflicht-Inhalte:

Klare Beschreibung der Verletzung in einfacher Sprache
Kontaktdaten DSB
Voraussichtliche Folgen
Maßnahmen zur Schadensminderung
Vom Betroffenen empfohlene Maßnahmen (Passwort ändern, Bank kontaktieren)

Ausnahmen Art. 34 Abs. 3:

Verschlüsselung war wirksam (Schlüssel nicht mitkompromittiert)
Maßnahmen wirksam Risiko abgewendet
Unverhältnismäßiger Aufwand → öffentliche Information stattdessen

6. Pflicht-Dokumentation (Art. 33 Abs. 5)

JEDE Datenpanne dokumentieren — auch nicht-meldepflichtige!

Datum + Zeitpunkt Eintritt + Kenntnisnahme
Detaillierte Beschreibung
Folgen + Risikoabschätzung
Maßnahmen
Begründung, falls keine Meldung erfolgt ist

7. 8 Praxisfälle

Fall	Reaktion	Outcome
Anwaltskanzlei: E-Mail-Versand an falschen Empfänger (50 Mandanten-Akten)	72h-Meldung + Art. 34-Info + Empfänger gebeten zu löschen	Bußgeld 8.500 EUR (kooperative Behandlung)
Online-Shop: SQL-Injection gestohlen 25k Kundendaten	72h-Meldung + Art. 34-Info per E-Mail an alle Betroffenen	Bußgeld 45.000 EUR
HR-Software: 100 Lohnabrechnungen falsch zugeordnet	72h-Meldung, kein Art. 34 (nicht-hohes Risiko)	Verwarnung, kein Bußgeld
Krankenkasse: Backup-Festplatte unverschlüsselt verloren	72h-Meldung + Art. 34 sofort	Bußgeld 250.000 EUR (Art. 9-Daten)
SaaS-Anbieter: Customer-Daten via API-Bug abrufbar	72h-Meldung + Patch + Art. 34	Bußgeld 120.000 EUR
Mittelständler: Phishing-Mail Vorstand, kein Datenleck	Doku, keine Meldung	Doku-Audit erfolgreich
Cloud-Hoster: Hardware-Defekt mit Datenverlust	72h-Meldung wegen Verfügbarkeitsverletzung	Bußgeld 30.000 EUR
Versicherung: Mitarbeiter-Insider verkauft 1k Kundendaten	Sofort-Meldung + Art. 34 + Strafanzeige	Bußgeld 80.000 EUR + Schadensersatz

Datenpannen-Verfahren + Meldungs-Vorlage + 8 Eskalations-Templates im DSGVO-Kit.

Häufig gestellte Fragen

Wann beginnt die 72h-Frist?

Mit Kenntnisnahme. EuGH C-340/21: Kenntnis der relevanten Tatsachen — nicht erst nach interner Bewertung.

Müssen wir auch geringfügige Pannen melden?

Nein. Art. 33 Abs. 1: nur bei 'voraussichtlich Risiko für Rechte und Freiheiten'. Praxis: 90% der DSK-Bagatellen werden gemeldet, nicht weiter verfolgt.

Welcher Aufsichtsbehörde melden?

Bei grenzüberschreitender Verarbeitung: federführende AB. Bei nationaler: zuständige Landes-DSB. EU-Konsistenzverfahren bei Streit.

Was, wenn wir die 72h-Frist überschreiten?

Begründung der Verspätung. Art. 33 Abs. 1: 'unverzüglich' + spätestens 72h. Bei Verspätung: Bußgeld 5-50k EUR Median (DSK 2025).

Wann müssen wir Betroffene informieren?

Art. 34: bei voraussichtlich hohem Risiko für persönliche Rechte. Beispiele: Gesundheitsdaten, Finanzdaten, Identitätsdaten in größerem Umfang.

Reicht eine pauschale Information per Newsletter?

Nein. Art. 34: 'unverzüglich' + 'in klarer und einfacher Sprache'. Persönliche E-Mail an Betroffene.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
EDPB Leitlinien 04/2022 zur Berechnung von Geldbußen (Stand: 02.05.2026)
EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.