Datenpanne melden – So halten Sie die 72-Stunden-Frist ein

Inhalt in Kürze

• Die 72-Stunden-Frist beginnt ab dem Moment, in dem Sie von der Datenpanne Kenntnis erlangen – nicht erst, wenn alle Details geklärt sind.
• Nicht jede Datenpanne ist meldepflichtig. Nur wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht, müssen Sie die Aufsichtsbehörde informieren (Art. 33 DSGVO).
• Eine vorläufige Meldung reicht zur Fristwahrung. Sie können nachträglich ergänzen, sobald weitere Informationen vorliegen.
• Die Nichtmeldung ist ein eigener Verstoß – mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.

Sie haben gerade erfahren, dass personenbezogene Daten abgeflossen sind. Vielleicht eine falsch adressierte E-Mail mit Kundendaten. Vielleicht ein gehacktes E-Mail-Postfach. Vielleicht ein verlorener Laptop. Ab jetzt zählt jede Stunde.

Art. 33 DSGVO verlangt: Sie müssen die zuständige Datenschutz-Aufsichtsbehörde innerhalb von 72 Stunden informieren – sofern ein Risiko für die Betroffenen besteht. Bei hohem Risiko müssen Sie zusätzlich die betroffenen Personen benachrichtigen (Art. 34 DSGVO).

Dieser Artikel zeigt Ihnen, wie Sie die Frist einhalten, was die Meldung enthalten muss und welche Fehler Sie vermeiden sollten. Wer Datenpannen im Kontext der gesamten Datenschutzpflichten verstehen will — von Art. 5 DSGVO über TOMs bis zum Bußgeld-Rahmen — findet die Übersicht im Datenschutz-Leitfaden für Unternehmen. Welche der 18 Aufsichtsbehörden DACH für Sie zuständig ist, klärt unsere komplette Behörden-Übersicht. Wer parallel die Datenschutz-Grundverordnung im Überblick — Art. 33/34, Bußgelder bis 20 Mio. €, Pflichten für KMU — als Gesetzesreferenz braucht, findet sie in unserem DSGVO-Leitfaden.

Wann ist eine Datenpanne meldepflichtig?

Nicht jede Datenpanne muss gemeldet werden. Art. 33 DSGVO sagt klar: Die Meldepflicht besteht nur, wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.

In der Praxis bedeutet das: Sie müssen sofort eine Risikobewertung durchführen.

Immer meldepflichtig (hohes Risiko):

• Gesundheitsdaten, Finanzdaten oder Zugangsdaten sind betroffen
• Daten einer großen Anzahl von Personen wurden offengelegt
• Ein Cyberangriff mit Datenabfluss hat stattgefunden
• Gehackte E-Mail-Konten mit Zugriff auf personenbezogene Daten

Oft nicht meldepflichtig (geringes Risiko):

• Verschlüsselte Daten wurden entwendet, der Schlüssel ist nicht kompromittiert
• Fehlversand einer E-Mail ohne sensible Inhalte an einen einzelnen falschen Empfänger
• Interner Zugriff durch eine unbefugte Abteilung, sofort erkannt und gestoppt

Im Zweifel: melden. Die Aufsichtsbehörden bewerten eine unnötige Meldung besser als eine unterlassene.

Datenpanne melden in 5 Schritten

1. Datenpanne erkennen und dokumentieren: Halten Sie fest, wann Sie Kenntnis erlangt haben. Notieren Sie: Was ist passiert? Welche Daten sind betroffen? Wie viele Personen? Ab diesem Zeitpunkt laufen die 72 Stunden. Informieren Sie sofort Ihren Datenschutzbeauftragten.
2. Risiko bewerten: Gemeinsam mit Ihrem DSB bewerten Sie, ob ein Risiko für die betroffenen Personen besteht. Dabei zählen: Art der Daten, Anzahl der Betroffenen, Wahrscheinlichkeit eines Missbrauchs, mögliche Folgen (Identitätsdiebstahl, finanzielle Schäden, Rufschädigung).
3. Sofortmaßnahmen ergreifen: Schaden begrenzen. Passwörter ändern, Zugänge sperren, betroffene Systeme isolieren. Jede Maßnahme dokumentieren – die Aufsichtsbehörde fragt danach.
4. Meldung an die Aufsichtsbehörde absetzen: Nutzen Sie das Online-Meldeformular Ihrer zuständigen Landesbehörde. In Hamburg: das Meldeformular des HmbBfDI. Wenn noch nicht alle Informationen vorliegen, reichen Sie eine vorläufige Meldung ein und ergänzen Sie später.
5. Betroffene informieren (bei hohem Risiko): Besteht ein hohes Risiko, müssen Sie die betroffenen Personen nach Art. 34 DSGVO unverzüglich und in klarer Sprache benachrichtigen. Erklären Sie, was passiert ist und welche Schutzmaßnahmen sie ergreifen können.

Was muss die Meldung an die Aufsichtsbehörde enthalten?

Art. 33 Abs. 3 DSGVO schreibt den Mindestinhalt vor. Nutzen Sie diese Checkliste:

• Beschreibung der Datenpanne: Art der Verletzung (Hacking, Fehlversand, Geräteverlust, Ransomware etc.).
• Betroffene Datenkategorien: Namen, Adressen, E-Mails, Gesundheitsdaten, Finanzdaten, Zugangsdaten.
• Ungefähre Anzahl betroffener Personen und betroffener Datensätze.
• Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
• Wahrscheinliche Folgen der Datenpanne für die Betroffenen.
• Ergriffene und geplante Maßnahmen: Was haben Sie getan, um den Schaden zu begrenzen? Was planen Sie?
• Zeitpunkt der Kenntniserlangung und bei verspäteter Meldung eine Begründung für die Verzögerung.

Was passiert, wenn Sie die Frist verpassen?

Die Nichtmeldung einer Datenpanne ist ein eigenständiger DSGVO-Verstoß. Das Bußgeldrisiko ist real:

• IT-Dienstleister: 50.000 Euro Bußgeld wegen nicht gemeldeter Datenpanne
• Krankenhaus: 400.000 Euro wegen verspäteter Meldung und mangelhafter Dokumentation
• Taxiunternehmen NRW: Bußgeld wegen Weitergabe sensibler Kundendaten über WhatsApp an alle Fahrer – ohne Meldung an die Behörde

Die Aufsichtsbehörden schauen bei der Bußgeldbemessung auf zwei Dinge: Haben Sie gemeldet? Und haben Sie kooperiert? Wer schnell, transparent und vollständig meldet, kommt in der Regel deutlich besser weg als Unternehmen, die vertuschen oder abwarten.

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils OehmichenDatenschutzberater bei frag.hugo

Solche Fälle zeigen: Datenpannen treffen nicht nur Konzerne. Auch bei 15 Mitarbeitenden kann ein kompromittiertes Postfach dazu führen, dass personenbezogene Daten an Dritte gelangen. Der Geschäftspartner war selbst gehackt worden – und die Angreifer nutzten dessen echte E-Mail-Adresse, um Schadsoftware zu verbreiten. Das Ergebnis: eine meldepflichtige Datenpanne, die ohne schnelle Reaktion deutlich teurer geworden wäre.

Die häufigsten Fehler bei der Datenpannen-Meldung

1. Abwarten, bis alle Details bekannt sind. Die 72 Stunden sind keine Frist für eine perfekte Analyse. Melden Sie vorläufig und ergänzen Sie später. Das ist ausdrücklich erlaubt.

2. Nur die IT informieren, nicht den DSB. Ihr Datenschutzbeauftragter muss sofort eingebunden werden. Er kennt den Meldeprozess, bewertet das Risiko und formuliert die Meldung. Ohne DSB verlieren Sie wertvolle Stunden.

3. Keine interne Dokumentation. Jede Datenpanne muss intern dokumentiert werden – auch wenn Sie sie nicht melden müssen (Art. 33 Abs. 5 DSGVO). Die Aufsichtsbehörde kann diese Dokumentation jederzeit anfordern.

4. Betroffene nicht informieren. Bei hohem Risiko ist die Benachrichtigung der Betroffenen Pflicht. Viele Unternehmen melden zwar an die Behörde, vergessen aber die Betroffenen.

Vorbereitet sein: Incident-Response-Plan aufsetzen

Die 72 Stunden sind nur dann machbar, wenn Sie vorbereitet sind. Wer erst im Ernstfall anfängt, Ansprechpartner und Meldeformulare zu suchen, verliert wertvolle Zeit.

Ein funktionierender Incident-Response-Plan enthält:

• Klare Meldeketten: Wer informiert wen? Jeder Mitarbeiter muss wissen, an wen er sich bei einer Datenpanne wendet.
• Kontaktdaten des DSB – griffbereit, nicht in einer Schublade.
• Vorlage für die Behördenmeldung – vorausgefüllt mit Ihren Stammdaten.
• Link zum Meldeformular der zuständigen Aufsichtsbehörde.
• Checkliste für Sofortmaßnahmen – technisch und organisatorisch.

Das BSI stellt ebenfalls Empfehlungen zur Vorfallsbearbeitung bereit, die Ihren internen Prozess ergänzen können.

Ihr nächster Schritt

Prüfen Sie jetzt, ob Ihr Unternehmen auf eine Datenpanne vorbereitet ist – mit dem kostenlosen Hugo Check. In wenigen Minuten sehen Sie, wo Handlungsbedarf besteht.

Datenpanne in Hamburg melden – so erreichen Sie den HmbBfDI

Für Hamburger Unternehmen ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die zuständige Meldestelle. Die Meldung erfolgt über das Online-Formular auf datenschutz-hamburg.de. Der HmbBfDI reagiert erfahrungsgemäß schnell und erwartet eine vollständige Nachmeldung, falls die erste Meldung vorläufig war. Wie hoch Datenschutz-Bußgelder in Hamburg bei zu spät gemeldeten Datenpannen zuletzt ausfielen, sehen Sie in unserem Hamburg-Hub. Wenn Sie in Hamburg eine Datenpanne haben und Unterstützung beim Meldeprozess brauchen, stehen wir als externer Datenschutzbeauftragter sofort zur Verfügung — auch am Wochenende.

Häufige Fragen (FAQ)

Wann beginnt die 72-Stunden-Frist bei einer Datenpanne?

Die Frist beginnt ab dem Zeitpunkt, an dem Sie von der Datenpanne Kenntnis erlangen – nicht erst, wenn alle Details geklärt sind. Bereits ein begründeter Verdacht kann den Fristlauf auslösen.

Muss jede Datenpanne der Aufsichtsbehörde gemeldet werden?

Nein. Nur wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt. Verschlüsselte Daten, deren Schlüssel nicht kompromittiert ist, sind beispielsweise in der Regel nicht meldepflichtig.

Was passiert, wenn ich die 72-Stunden-Frist verpasse?

Die Nichtmeldung ist ein eigenständiger DSGVO-Verstoß mit Bußgeldern bis 10 Millionen Euro oder 2 % des Jahresumsatzes. Melden Sie verspätet und begründen Sie die Verzögerung – das wird besser bewertet als gar keine Meldung.

Reicht eine vorläufige Meldung zur Fristwahrung?

Ja. Art. 33 Abs. 4 DSGVO erlaubt ausdrücklich eine schrittweise Meldung. Sie können zunächst die bekannten Fakten melden und die Details nachreichen, sobald weitere Informationen vorliegen.

Muss ich auch die betroffenen Personen informieren?

Nur bei hohem Risiko. Art. 34 DSGVO verlangt eine Benachrichtigung der Betroffenen, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt – etwa bei Abfluss von Gesundheits- oder Finanzdaten.

Lesetipp: Wer das große Bild verstehen will — DSGVO, BDSG, die sieben Grundsätze, Bußgelder bis 20 Mio. €, Pflichten für KMU — findet in unserem Datenschutz-Leitfaden für Unternehmen den Überblick.

Lesetipp: Wer das Gesetz selbst verstehen will — Art. 5, Bußgelder, Pflichten — findet in unserem DSGVO-Leitfaden den Überblick.