DSGVO-Meldung von Datenschutzverletzungen: Die 72-Stunden-Regel erklärt (2026)

Nach Artikel 33 der DSGVO müssen Verantwortliche ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren, sofern die Verletzung voraussichtlich ein Risiko für die betroffenen Personen zur Folge hat. Die Frist beginnt, sobald der Verantwortliche mit angemessener Gewissheit von der Verletzung Kenntnis erlangt hat, nicht erst mit dem Abschluss der Untersuchung.
Tritt eine Verletzung des Schutzes personenbezogener Daten ein, beginnt die Frist sofort zu laufen. Nach der DSGVO haben Verantwortliche nach Bekanntwerden einer meldepflichtigen Verletzung nur 72 Stunden Zeit, um ihre Aufsichtsbehörde zu informieren. Das Versäumen dieser Frist ist ein eigenständiger Verstoß, der erhebliche Bußgelder nach sich ziehen kann, wie die Verfahren gegen Meta, Bank of Ireland und Permanent TSB zeigen: Aufsichtsbehörden verfolgen dies konsequent.
Die Artikel 33 und 34 der Verordnung (EU) 2016/679 legen den Rahmen für die Meldung von Datenschutzverletzungen fest. Die Leitlinien 9/2022 des EDSA zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Version 2.0, verabschiedet im April 2023) sowie die begleitenden Leitlinien 01/2021 des EDSA mit Fallbeispielen bilden die maßgebliche Auslegung, die von allen Aufsichtsbehörden in EU und EWR angewendet wird.
Dieser Leitfaden erklärt, was als Verletzung gilt, wann welche Meldepflicht ausgelöst wird, was genau anzugeben ist, was „Kenntniserlangung" bedeutet, welche Rolle Auftragsverarbeiter spielen, die Pflicht zum Verletzungsregister, häufige Fehler, die Durchsetzungspraxis sowie einen Vergleich der DSGVO-Regeln mit anderen großen Rechtsrahmen.
Für den weiteren regulatorischen Kontext siehe Was ist die DSGVO. Für die Compliance-Planung siehe die DSGVO-Compliance-Checkliste. Zu den Bußgeldrahmen siehe DSGVO-Bußgelder und Sanktionen.
Dieser Beitrag dient ausschließlich der Information und stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Datenschutzanwältin, einen qualifizierten Datenschutzanwalt oder eine Fachperson für Datenschutz.
Kurz erklärt
Die 72-Stunden-Regel ist die verkürzte Bezeichnung für Artikel 33 Absatz 1 DSGVO. Tritt eine Verletzung des Schutzes personenbezogener Daten ein, muss der Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden informieren, sofern die Verletzung nicht voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Kann die Meldung nicht innerhalb von 72 Stunden erfolgen, muss sie dennoch so bald wie möglich nachgeholt und mit einer begründeten Darlegung der Verzögerung versehen werden.
Eine gesonderte Pflicht nach Artikel 34 kann den Verantwortlichen zudem verpflichten, die betroffenen Personen unmittelbar zu benachrichtigen, allerdings nur, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat, eine höhere Schwelle.
Was gilt als Verletzung des Schutzes personenbezogener Daten
Artikel 4 Nummer 12 DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden".
Die Europäische Kommission und der KMU-Leitfaden des EDSA zu Datenschutzverletzungen ordnen dies anhand von drei Arten von Sicherheitsvorfällen ein: der Trias aus Vertraulichkeit, Integrität und Verfügbarkeit.
Vertraulichkeitsverletzung
Unbefugte oder versehentliche Offenlegung von oder Zugriff auf personenbezogene Daten. Beispiele:
- Ein Cyberangriff verschafft Zugang zu einer Kundendatenbank
- Eine Beschäftigte oder ein Beschäftigter versendet personenbezogene Daten per E-Mail an die falsche Empfängerin oder den falschen Empfänger
- Ein gestohlener oder verlorener Laptop enthält unverschlüsselte personenbezogene Daten
- Die Systeme eines Auftragsverarbeiters werden kompromittiert, wodurch im Rahmen eines Vertrags nach Artikel 28 weitergegebene Daten offengelegt werden
- Ein Cloud-Speicherbereich ist falsch konfiguriert und öffentlich zugänglich
Integritätsverletzung
Unbefugte oder versehentliche Änderung personenbezogener Daten. Beispiele:
- Ein Cyberangriff verändert medizinische Aufzeichnungen
- Ein Softwarefehler beschädigt Gehaltsabrechnungsdaten
- Eine unbefugte Person ändert Kundenkontodaten ohne Berechtigung
Verfügbarkeitsverletzung
Versehentlicher oder unbefugter Verlust des Zugriffs auf oder Vernichtung von personenbezogenen Daten. Beispiele:
- Ein Ransomware-Angriff verschlüsselt eine Datenbank, und es steht keine Sicherungskopie zur Verfügung
- Ein Serverausfall zerstört dauerhaft Datensätze ohne Wiederherstellungsmöglichkeit
- Ein Beschäftigter löscht versehentlich einen Datensatz, ohne dass eine Sicherungskopie vorhanden ist
Ransomware-Angriffe sind besonders bedeutsam, da sie alle drei Verletzungsarten gleichzeitig auslösen können: Verschlüsselte Daten stellen eine Verfügbarkeitsverletzung dar; wurden die Daten vor der Verschlüsselung zusätzlich abgezogen, liegt auch eine Vertraulichkeitsverletzung vor; und die Integrität kann nicht garantiert werden, wenn die Angreiferin oder der Angreifer über Schreibzugriff verfügte.
Die Leitlinien des ICO zu Verletzungen des Schutzes personenbezogener Daten betonen, dass eine Verletzung keine böswillige Absicht voraussetzt. Versehentlicher Verlust, menschliches Versagen und Systemausfälle erfüllen den Tatbestand allesamt, sofern personenbezogene Daten betroffen sind.
Ein Hinweis zu Ransomware und Sicherungskopien: Eine durch Ransomware verursachte Verfügbarkeitsverletzung erfordert unter Umständen keine Meldung, wenn die Organisation über geprüfte, unversehrte Sicherungskopien verfügt und die Daten zügig wiederherstellen kann, ohne dass dauerhafte Auswirkungen für die betroffenen Personen entstehen. Diese Einschätzung muss jedoch dokumentiert werden, und die Organisation muss sicher sein, dass keine Daten abgeflossen sind. Im Zweifel gilt: melden.

Die 72-Stunden-Regel: Meldung an die Aufsichtsbehörde (Artikel 33)
Die Kernpflicht
Artikel 33 Absatz 1 verpflichtet den Verantwortlichen, die zuständige Aufsichtsbehörde „unverzüglich und, wenn möglich, binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" zu informieren, es sei denn, die Verletzung führt „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen".
Die Pflicht besteht aus zwei Elementen:
Erstens die Geschwindigkeit. Die Meldung muss „unverzüglich" und, wenn möglich, innerhalb von 72 Stunden erfolgen. Dies sind zwei unterschiedliche Anforderungen: Die 72-Stunden-Obergrenze bedeutet nicht, dass 71 Stunden abgewartet werden dürfen, wenn die Informationen früher vorliegen.
Zweitens die Schwelle. Nur Verletzungen, die voraussichtlich zumindest ein gewisses Risiko für die betroffenen Personen bergen, lösen die Meldepflicht aus. Verletzungen, die tatsächlich niemanden betreffen dürften, müssen der Aufsichtsbehörde nicht gemeldet werden, sind jedoch weiterhin intern zu dokumentieren.
Was die Meldung enthalten muss
Artikel 33 Absatz 3 nennt vier Kategorien erforderlicher Angaben:
- Art der Verletzung: Kategorien und ungefähre Anzahl der betroffenen Personen; Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze; wie die Verletzung eingetreten ist
- Ansprechpartner: Name und Kontaktdaten der oder des Datenschutzbeauftragten oder einer anderen Kontaktstelle
- Wahrscheinliche Folgen: Eine Beschreibung der voraussichtlichen Folgen der Verletzung für die betroffenen Personen
- Ergriffene Maßnahmen: Ergriffene oder vorgeschlagene Maßnahmen zur Bewältigung der Verletzung, einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen
Gestufte Meldung
Artikel 33 Absatz 4 erlaubt ausdrücklich eine gestufte Meldung. Liegt innerhalb von 72 Stunden noch kein vollständiges Bild vor, ist eine erste Meldung mit den innerhalb dieser Frist verfügbaren Informationen einzureichen. Ergänzende Angaben sollen „ohne unangemessene weitere Verzögerung" folgen, sobald die Untersuchung fortschreitet.
Dies ist der Mechanismus, den Aufsichtsbehörden bei komplexen Vorfällen erwarten. Eine erste Meldung mit dem Hinweis „Untersuchung läuft" einzureichen, ist weitaus besser, als auf das vollständige Bild zu warten und die 72-Stunden-Frist zu verpassen.
Wie gemeldet wird
Der EDSA führt ein Verzeichnis der Meldeportale jeder nationalen Aufsichtsbehörde. Die meisten Aufsichtsbehörden akzeptieren Meldungen über Online-Formulare.
Im Rahmen des One-Stop-Shop-Mechanismus melden Verantwortliche mit Hauptniederlassung in der EU an die federführende Aufsichtsbehörde (die Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Verantwortlichen befindet). Betrifft die Verletzung vorrangig Personen in einem bestimmten Mitgliedstaat, können auch dessen Behörden informiert werden.
Die Ausnahme „kein Risiko"
Eine Meldung ist nicht erforderlich, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Die Leitlinien 9/2022 des EDSA weisen darauf hin, dass es sich um eine eng gefasste Ausnahme handelt. Die meisten Verletzungen, die personenbezogene Daten betreffen, bergen zumindest ein gewisses Risiko. Ist die Einschätzung knapp, empfiehlt der EDSA, im Zweifel zu melden.
Faktoren, die das Risiko mindern und eine Entscheidung gegen eine Meldung stützen können:
- Die Daten waren vollständig verschlüsselt, und der Verschlüsselungsschlüssel wurde nicht kompromittiert
- Die Daten waren bereits öffentlich zugänglich, sodass die Offenlegung keinen zusätzlichen Schaden verursachte
- Die Verletzung wurde sofort eingedämmt, ein Zugriff durch Außenstehende wurde nicht bestätigt
- Die betroffenen Datenkategorien sind nicht sensibel, und die Verletzung war kurzzeitig
Auch wenn entschieden wird, die Aufsichtsbehörde nicht zu informieren, muss die Verletzung weiterhin im Verletzungsregister dokumentiert werden.
Wann die Frist beginnt: „Kenntniserlangung"
Die 72-Stunden-Frist beginnt in dem Moment, in dem der Verantwortliche „Kenntnis" von der Verletzung erlangt: nicht dann, wenn die Verletzung begann, nicht dann, wenn die Untersuchung abgeschlossen ist, und nicht dann, wenn das volle Ausmaß bekannt ist.
Die Leitlinien 9/2022 des EDSA definieren Kenntniserlangung als den Zeitpunkt, zu dem „der Verantwortliche mit angemessener Gewissheit weiß, dass ein Sicherheitsvorfall eingetreten ist, durch den personenbezogene Daten kompromittiert wurden".
Praktische Szenarien
Löst das Angriffserkennungssystem, die Protokollüberwachung oder das SIEM-System einen Alarm wegen einer Verletzung aus, beginnt die Kenntniserlangung, sobald eine verantwortliche Person diesen Alarm prüft und als wahrscheinlichen Hinweis auf eine Verletzung anerkennt. Ein automatisierter Alarm, auf den niemand reagiert, begründet nicht zwangsläufig eine Kenntniserlangung, doch Organisationen wird erwartet, über angemessene Reaktionsverfahren zu verfügen, damit Alarme zeitnah geprüft werden.
Entdeckt ein Auftragsverarbeiter eine Verletzung zuerst und informiert den Verantwortlichen, erlangt der Verantwortliche Kenntnis, sobald er die Meldung des Auftragsverarbeiters erhält. Die Frist läuft nicht bereits ab dem Zeitpunkt, zu dem der Auftragsverarbeiter den Vorfall entdeckt hat, allerdings nur, sofern der Auftragsverarbeiter unverzüglich gemeldet hat.
Meldet eine externe Partei (eine Sicherheitsforscherin, eine Kundin, ein Journalist) glaubhaft eine Verletzung, erlangt der Verantwortliche Kenntnis, sobald er Informationen erhält, die ihm eine angemessene Gewissheit verschaffen, dass eine Verletzung eingetreten ist.
Eine laufende Untersuchung zur Feststellung des vollen Umfangs einer Verletzung setzt die Frist nicht aus. Der Verantwortliche muss auf Grundlage der zum 72-Stunden-Zeitpunkt verfügbaren Informationen melden und diese im Zuge der weiteren Untersuchung ergänzen.
Häufige Fehleinschätzungen bei der Kenntniserlangung
Verantwortliche behandeln mitunter den Beginn einer Untersuchung als Beginn der Frist. Das ist falsch. Eine geöffnete Phishing-E-Mail, kompromittierte Zugangsdaten oder ein Zugriffsprotokoll mit ungewöhnlicher Aktivität können bereits eine ausreichende Gewissheit begründen, dass eine Verletzung eingetreten ist, noch bevor die Untersuchung abgeschlossen ist.
Aufsichtsbehörden haben Organisationen gezielt dafür mit Bußgeldern belegt, dass sie Untersuchungen abgeschlossen haben, bevor sie Meldungen einreichten, und damit die 72-Stunden-Frist überschritten. Insbesondere die französische CNIL hat unzureichende Risikobewertungen und verzögerte Fristbeginne wiederholt als Verstoß bemängelt.

Benachrichtigung der betroffenen Personen (Artikel 34)
Die Schwelle des hohen Risikos
Artikel 34 Absatz 1 verpflichtet Verantwortliche, betroffenen Personen eine Verletzung „unverzüglich" mitzuteilen, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat".
Die Schwelle des hohen Risikos liegt deutlich über der Schwelle des einfachen „Risikos" für die Meldung an die Aufsichtsbehörde. Nicht jede Verletzung, die der Aufsichtsbehörde gemeldet werden muss, erfordert auch eine individuelle Benachrichtigung.
Die Leitlinien des EDSA verlangen von Verantwortlichen, das hohe Risiko anhand folgender Faktoren zu bewerten:
- Sensibilität der Daten: Gesundheitsdaten, Finanzdaten, biometrische Daten, Identifikationsnummern und Daten von Kindern bergen ein erhöhtes Risiko
- Umfang: Eine größere Zahl betroffener Personen erhöht das Risiko in der Regel
- Identifizierbarkeit: Daten, die sich leicht bestimmten Personen zuordnen lassen, bergen ein höheres Risiko
- Wahrscheinliche Folgen: Identitätsdiebstahl, finanzieller Schaden, Diskriminierung, Rufschädigung und Risiken für die körperliche Sicherheit sprechen sämtlich für ein hohes Risiko
- Besondere Merkmale der betroffenen Personen: Schutzbedürftige Gruppen (Minderjährige, Patientinnen und Patienten, Personen in häuslichen Gewaltsituationen) sind einem größeren potenziellen Schaden ausgesetzt
Was die Mitteilung enthalten muss
Die Mitteilung an die betroffenen Personen muss Folgendes vermitteln:
- Eine klare, allgemein verständliche Beschreibung der Art der Verletzung
- Name und Kontaktdaten der oder des Datenschutzbeauftragten oder einer anderen Kontaktstelle
- Eine Beschreibung der wahrscheinlichen Folgen für die betroffene Person
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung der Verletzung und zur Abmilderung ihrer Auswirkungen
Die Mitteilung muss unmittelbar erfolgen und an jede betroffene Person gerichtet sein, sofern eine individuelle Benachrichtigung nicht mit unverhältnismäßigem Aufwand verbunden wäre; in diesem Fall ist stattdessen eine öffentliche Mitteilung oder eine ähnlich wirksame Maßnahme erforderlich.
Drei Ausnahmen von der Benachrichtigung betroffener Personen
Artikel 34 Absatz 3 sieht drei Situationen vor, in denen eine individuelle Benachrichtigung auch bei bestehendem hohem Risiko nicht erforderlich ist:
Erstens Verschlüsselung oder gleichwertiger Schutz. Der Verantwortliche hat geeignete technische Maßnahmen (etwa Verschlüsselung) angewendet, die die personenbezogenen Daten für jede unbefugte Person unverständlich machen, und diese Maßnahmen wurden auf die von der Verletzung betroffenen Daten angewendet. Damit diese Ausnahme greift, muss die Verschlüsselung robust gewesen sein und der Schlüssel darf nicht kompromittiert worden sein.
Zweitens nachträgliche Abhilfemaßnahmen. Der Verantwortliche hat nachträglich Maßnahmen ergriffen, durch die das hohe Risiko für die betroffenen Personen voraussichtlich nicht mehr eintreten wird. Beispiel: Zugangsdaten wurden kompromittiert, der Verantwortliche hat sie jedoch unmittelbar widerrufen, bevor eine unbefugte Nutzung erfolgte, und es liegen keine Hinweise auf einen Datenabfluss vor.
Drittens unverhältnismäßiger Aufwand. Würde die Identifizierung und direkte Kontaktaufnahme mit jeder betroffenen Person unverhältnismäßigen Aufwand erfordern, muss der Verantwortliche stattdessen eine öffentliche Mitteilung vornehmen, die die betroffenen Personen ebenso wirksam informiert, typischerweise eine Presseerklärung, ein Hinweis auf der Website oder eine Mitteilung in sozialen Medien.
Die Pflicht des Auftragsverarbeiters (Artikel 33 Absatz 2)
Auftragsverarbeiter unterliegen nach Artikel 33 Absatz 2 einer eigenen Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten. Nach Kenntniserlangung von einer Verletzung muss der Auftragsverarbeiter den Verantwortlichen „unverzüglich" informieren.
Die DSGVO legt keine feste Stundenfrist für die Meldung vom Auftragsverarbeiter an den Verantwortlichen fest. Die Leitlinien 9/2022 des EDSA empfehlen jedoch, dass Auftragsverarbeiter den Verantwortlichen innerhalb von 72 Stunden nach eigener Kenntniserlangung informieren, da die 72-Stunden-Frist des Verantwortlichen gegenüber der Aufsichtsbehörde faktisch von einer rechtzeitigen Meldung des Auftragsverarbeiters abhängt.
Was dies für Verträge bedeutet
Auftragsverarbeitungsverträge nach Artikel 28 sollten Folgendes festlegen:
- Eine maximale Meldefrist vom Auftragsverarbeiter an den Verantwortlichen (24 Stunden sind übliche Praxis, 72 Stunden das praktische Maximum)
- Die Mindestinformationen, die der Auftragsverarbeiter in der Meldung angeben muss (Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl der betroffenen Personen, wahrscheinliche Folgen, erste Eindämmungsmaßnahmen)
- Eine Pflicht des Auftragsverarbeiters, den Verantwortlichen bei der Vorbereitung der Meldung an die Aufsichtsbehörde und einer etwaigen Mitteilung an die betroffenen Personen zu unterstützen
- Die Pflicht des Auftragsverarbeiters zur Zusammenarbeit mit der Untersuchung der Aufsichtsbehörde
- Eskalationskontakte und Verfahren außerhalb der Geschäftszeiten
Ein Auftragsverarbeiter, der den Verantwortlichen nicht rechtzeitig informiert und dadurch das Versäumen der 72-Stunden-Frist verursacht, kann selbst behördlicher Prüfung unterliegen. Der Fallkatalog des EDSA zum One-Stop-Shop-Mechanismus zur Sicherheit der Verarbeitung und zur Meldung von Datenschutzverletzungen (2024) dokumentiert, wie Aufsichtsbehörden mit Fehlern in der Auftragsverarbeiterkette bei grenzüberschreitenden Fällen umgegangen sind.
Das Verletzungsregister (Artikel 33 Absatz 5)
Artikel 33 Absatz 5 verpflichtet Verantwortliche, sämtliche Verletzungen des Schutzes personenbezogener Daten zu dokumentieren, unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erforderlich war. Dieses interne Verletzungsregister muss Folgendes enthalten:
- Die Fakten der Verletzung (was geschehen ist, wie sie entdeckt wurde, wann sie eintrat und wann sie erkannt wurde)
- Die Auswirkungen der Verletzung auf die betroffenen Personen
- Die ergriffenen und vorgeschlagenen Abhilfemaßnahmen
- Die Risikobewertung des Verantwortlichen: die Analyse von Eintrittswahrscheinlichkeit und Schwere des Risikos für die betroffenen Personen
- Die Begründung für die Meldung oder Nichtmeldung an die Aufsichtsbehörde
- Gegebenenfalls die Begründung für die Nichtbenachrichtigung der betroffenen Personen
- Angaben zu etwaigen erfolgten Meldungen (Datum, Inhalt, empfangende Behörde)
Das Verletzungsregister muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Es ist der wichtigste dokumentarische Nachweis dafür, dass der Verantwortliche die Verletzung im Einklang mit der DSGVO bewältigt hat. Bei Untersuchungen und Prüfungen gilt das Fehlen eines ordnungsgemäßen Registers selbst als Verstoß.
Das Register sollte sicher geführt und regelmäßig überprüft werden. Organisationen, die erhebliche Mengen personenbezogener Daten verarbeiten, sollten das Verletzungsregister als lebendes Dokument behandeln, nicht als einmalige Ablage.
Häufige Fehler
Mit der Meldung warten, bis die Untersuchung abgeschlossen ist. Dies ist der am häufigsten genannte Fehler. Die Frist beginnt mit der Kenntniserlangung, nicht mit dem Abschluss der Untersuchung. Die gestufte Meldung ist der vorgesehene Mechanismus. Reichen Sie die erste Meldung mit den verfügbaren Informationen innerhalb von 72 Stunden ein und ergänzen Sie diese anschließend.
Die Entdeckung durch den Auftragsverarbeiter als eigenen Ausgangspunkt behandeln. Hat Ihr Auftragsverarbeiter die Verletzung bereits Tage vor der Meldung an Sie entdeckt, beginnt Ihre 72-Stunden-Frist nicht mit dem Entdeckungsdatum des Auftragsverarbeiters. Hat jedoch die verzögerte Meldung des Auftragsverarbeiters dazu geführt, dass Sie die Frist versäumt haben, können sowohl Sie als auch der Auftragsverarbeiter behördlicher Prüfung unterliegen.
Annehmen, eine kleine Verletzung erfordere keine Dokumentation. Jede Verletzung, so geringfügig sie auch sein mag, erfordert einen Eintrag im Verletzungsregister. Lediglich die Meldeschwelle unterscheidet sich. Das Auslassen des Registers bei geringfügigen Vorfällen ist eine Compliance-Lücke, die bei Prüfungen zutage tritt.
Vage Risikobewertungen. Aufsichtsbehörden, insbesondere die französische CNIL, haben unzureichende Risikobewertungen als eigenständigen Verstoß bemängelt. Die Aussage „wir haben das Risiko als gering eingestuft" ohne Begründung, Datenmengen, betroffene Kategorien und Schwereanalyse genügt nicht. Der Registereintrag muss die zugrunde liegende Prüfung nachvollziehbar machen.
Betroffene Personen bei bestehendem hohem Risiko nicht benachrichtigen. Betrifft eine Verletzung sensible Daten und besteht eine realistische Gefahr von Identitätsdiebstahl, finanziellem Schaden oder Diskriminierung, gehen Verantwortliche mitunter fälschlich davon aus, die Verschlüsselungsausnahme greife oder das Risiko sei bereits ausreichend gemindert. Im Zweifel gilt: die betroffenen Personen benachrichtigen.
Unzureichender Inhalt der Meldung an die Aufsichtsbehörde. Artikel 33 Absatz 3 legt die erforderlichen Angaben fest. Die Entscheidung der irischen DPC gegen Meta über 251 Millionen Euro im Dezember 2024 enthielt eine gesonderte Feststellung, dass die Meldung von Meta nicht alle nach Artikel 33 Absatz 3 erforderlichen Angaben enthielt, sowie eine gesonderte Feststellung nach Artikel 33 Absatz 5 wegen unzureichender Dokumentation im Verletzungsregister. Unvollständige Meldungen werden als eigenständiger, von einer verspäteten Meldung getrennter Verstoß behandelt.

Beispiele aus der Durchsetzungspraxis
Meta: 251 Millionen Euro (irische DPC, Dezember 2024)
Die irische DPC verhängte gegen Meta ein Bußgeld von 251 Millionen Euro im Zusammenhang mit einer Verletzung aus dem Jahr 2018, bei der Angreifende Schwachstellen in der Funktion „View As" von Facebook ausnutzten, um Zugangs-Token für weltweit rund 29 Millionen Konten zu erbeuten (davon rund 3 Millionen in der EU/im EWR). Das Bußgeld setzte sich aus mehreren Verstößen zusammen: 8 Millionen Euro wegen eines Verstoßes gegen Artikel 33 Absatz 3, da die Meldung von Meta nicht alle erforderlichen Angaben enthielt; 3 Millionen Euro wegen unzureichender Dokumentation der Verletzung nach Artikel 33 Absatz 5; 130 Millionen Euro wegen mangelhafter Systemgestaltung nach Artikel 25; und 110 Millionen Euro, weil standardmäßig nicht nur die erforderlichen Daten verarbeitet wurden.
Die Entscheidung gegen Meta ist bedeutsam, weil sie zeigt, dass Aufsichtsbehörden eigenständige Bußgelder für unvollständige Meldungsinhalte verhängen, nicht nur für verspätete Meldungen.
Bank of Ireland: 463.000 Euro (irische DPC, 14. März 2022)
Die irische DPC verhängte gegen die Bank of Ireland ein Bußgeld von 463.000 Euro im Anschluss an eine Untersuchung von 22 zwischen November 2018 und Juni 2019 gemeldeten Verletzungen. Die DPC stellte fest, dass 19 dieser Vorfälle als Verletzungen des Schutzes personenbezogener Daten einzustufen waren. Eine einzelne Verletzung betraf rund 47.000 Personen; die erste Meldung der Bank of Ireland hatte jedoch angegeben, nur eine Person sei betroffen. Die DPC stellte einen Verstoß gegen Artikel 33 Absatz 1 fest, da die Bank Verletzungen nicht unverzüglich gemeldet hatte: In mehreren Fällen wurden Verletzungen intern erkannt, aber erst neun Tage oder später an die Datenschutzbeauftragte oder den Datenschutzbeauftragten eskaliert, wodurch die Meldung deutlich außerhalb des 72-Stunden-Fensters erfolgte.
Permanent TSB: 277.500 Euro (irische DPC, Mai 2026)
Die irische DPC verhängte gegen Permanent TSB ein Bußgeld von 277.500 Euro im Anschluss an eine Untersuchung von seit Mai 2022 gemeldeten Verletzungen des Schutzes personenbezogener Daten. Die Verletzungen traten auf, als böswillige Akteure das Open24-Kontaktzentrum der Bank anriefen, sich unter Verwendung teilweiser Kundendaten als Kundinnen und Kunden ausgaben und Kontodaten aufriefen und änderten. 27.500 Euro des Bußgelds entfielen speziell auf einen Verstoß gegen Artikel 33 Absatz 1: PTSB unterließ es, die DPC innerhalb von 72 Stunden nach Kenntniserlangung von den Verletzungen zu informieren. Weitere 250.000 Euro wurden wegen damit verbundener Verstöße gegen Artikel 5 und Artikel 32 verhängt.
Booking.com: 475.000 Euro (niederländische Aufsichtsbehörde, 2021)
Die niederländische Aufsichtsbehörde verhängte gegen Booking.com ein Bußgeld von 475.000 Euro, nachdem das Unternehmen der Behörde eine Verletzung erst 22 Tage nach Kenntniserlangung gemeldet hatte, durch die personenbezogene Daten (einschließlich Finanzinformationen und Reisepassdaten) von mehr als 4.000 Kundinnen und Kunden offengelegt wurden. Die Verzögerung wurde als eigenständiger Verstoß gegen Artikel 33 Absatz 1 gewertet. Der Fall bleibt ein zentraler Referenzpunkt in der Aufsichtspraxis dazu, was als unzumutbare Meldeverzögerung gilt.
Meldepflichten im Vergleich: Wie andere Rechtsordnungen abschneiden
Die 72-Stunden-Regel der DSGVO gehört zu den strengsten Meldepflichten für Datenschutzverletzungen weltweit. Ein grober Vergleich:
| Rechtsordnung | Gesetz | Meldung an Behörde | Meldung an betroffene Personen | Auslöser |
|---|---|---|---|---|
| EU/EWR | DSGVO | 72 Stunden | Unverzüglich (bei hohem Risiko) | Risiko für betroffene Personen |
| Vereinigtes Königreich | UK GDPR | 72 Stunden | Unverzüglich (bei hohem Risiko) | Wie EU-DSGVO |
| USA (Gesundheitswesen) | HIPAA | 60 Tage | 60 Tage (Medien bei 500 oder mehr Betroffenen) | Ungesicherte geschützte Gesundheitsinformationen |
| USA (Bundesstaaten) | Verschiedene | 72 Stunden bis 30 Tage | Ohne unangemessene Verzögerung | Kompromittierte personenbezogene Daten |
| Kanada | PIPEDA | So bald wie praktisch möglich | So bald wie praktisch möglich | Reales Risiko erheblichen Schadens |
| Australien | NDB-Regelung | 30 Tage | So bald wie praktisch möglich | Voraussichtlich schwerwiegender Schaden |
Überschneidung mit NIS-2. Die NIS-2-Richtlinie, die alle EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht umsetzen mussten, verpflichtet zu einer gesonderten 24-Stunden-Frühwarnung, gefolgt von einer vollständigen 72-Stunden-Meldung an das nationale CSIRT oder die zuständige Behörde bei bedeutenden Cybersicherheitsvorfällen in wesentlichen und wichtigen Einrichtungen. Eine Organisation, die sowohl der DSGVO als auch NIS-2 unterliegt, muss denselben Vorfall unter Umständen zwei verschiedenen Behörden melden: der Aufsichtsbehörde nach Artikel 33 DSGVO und der zuständigen NIS-2-Behörde oder dem CSIRT. Beide Regelwerke unterscheiden sich in Schwellenwerten und erforderlichen Inhalten.
Infrastruktur für die Reaktion auf Verletzungen
Organisationen, die Verletzungen gut bewältigen, haben in der Regel Folgendes vor einem Vorfall aufgebaut.
Erkennungsfähigkeit. Meldepflichten lassen sich ohne die technische Fähigkeit, Verletzungen rasch zu erkennen, unmöglich erfüllen. Angriffserkennungssysteme, SIEM-Werkzeuge, Endpunktüberwachung und Anomalieerkennung sollten verwertbare Alarme erzeugen, die die zuständigen Mitarbeitenden innerhalb weniger Stunden nach einem Vorfall erreichen.
Ein benanntes Reaktionsteam. Legen Sie Rollen bereits vor einem Vorfall fest: Vorfallskoordination, IT-/Sicherheitsverantwortliche, rechtliche oder DSB-Kontaktperson, Kommunikationsverantwortliche sowie Eskalation an die Geschäftsleitung. Alle sollten ihre Rolle kennen und außerhalb der Geschäftszeiten erreichbar sein.
Ein Rahmen zur Risikobewertung. Eine vorab genehmigte Bewertungsvorlage (die Datenkategorien, Anzahl der betroffenen Personen, Eintrittswahrscheinlichkeit und Schwere des Schadens erfasst) ermöglicht es Ihrem Team, die Schwellenbewertungen nach Artikel 33 und 34 rasch und einheitlich vorzunehmen. Die Geschwindigkeit in dieser Phase entscheidet unmittelbar darüber, ob die 72-Stunden-Frist eingehalten wird.
Meldevorlagen. Erstellen Sie Vorlagen für die Meldung an die Aufsichtsbehörde und für Mitteilungen an betroffene Personen für die häufigsten Verletzungsszenarien (Diebstahl von Zugangsdaten, Verlust eines Geräts, Kompromittierung eines Systems, versehentliche Offenlegung), bevor ein Vorfall eintritt. Vorab genehmigte Vorlagen sparen während der Reaktion entscheidende Stunden.
Verfahren mit Auftragsverarbeitern. Vergewissern Sie sich, dass Ihre wichtigsten Auftragsverarbeiter über dokumentierte Verfahren zur Erkennung und Meldung von Verletzungen verfügen, dass ihre Verträge die Meldefrist festlegen und dass Sie über Eskalationskontakte außerhalb der Geschäftszeiten verfügen.
Ein erprobtes Verletzungsregister. Das Format des Registers sollte festgelegt und den für die Bearbeitung zuständigen Personen bekannt sein. Ungetestete Register weisen häufig Lücken auf, die erst bei einer behördlichen Untersuchung sichtbar werden.
Simulationsübungen. Führen Sie mindestens einmal jährlich eine Übung durch. Durchlaufen Sie den gesamten Ablauf von Erkennung über Bewertung und Meldung bis zur Behebung. Ermitteln Sie, an welchen Stellen der Prozess versagt.
Referenzzeitplan für die Meldung
| Zeitfenster | Maßnahme |
|---|---|
| Stunde 0 | Verletzung entdeckt oder verantwortlichen Mitarbeitenden gemeldet |
| Stunden 0-4 | Erste Eindämmung; Beweissicherung; Benachrichtigung des internen Reaktionsteams |
| Stunden 4-24 | Betroffene Daten, ungefähren Umfang und Verletzungsart ermitteln; erste Risikobewertung durchführen |
| Stunden 24-48 | Meldung an die Aufsichtsbehörde mit den verfügbaren Informationen vorbereiten |
| Stunden 48-72 | Meldung einreichen (oder Entscheidung gegen eine Meldung vollständig begründet dokumentieren und abschließen) |
| Ab Stunde 72 | Meldung im Zuge der weiteren Untersuchung ergänzen; Pflicht zur Benachrichtigung betroffener Personen nach Artikel 34 prüfen; Abhilfemaßnahmen umsetzen |
Weitere DSGVO-Leitfäden
- Was ist die DSGVO für einen umfassenden Überblick über die Verordnung
- DSGVO-Compliance-Checkliste für einen schrittweisen Compliance-Leitfaden
- DSGVO-Bußgelder und Sanktionen für Durchsetzungsdaten und die Bußgeldstruktur
- Betroffenenrechte nach der DSGVO für alle acht individuellen Rechte
- DSGVO-Einwilligungsanforderungen für die Standards einer wirksamen Einwilligung
- DSGVO für kleine Unternehmen für Hinweise speziell für KMU
- EU-Datenschutzrecht für den vollständigen Überblick über den Datenschutz in der EU
Frequently Asked Questions
Was besagt die 72-Stunden-Regel nach der DSGVO?
Nach Artikel 33 Absatz 1 müssen Verantwortliche ihre zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Die Meldung muss unverzüglich und, wenn möglich, innerhalb der 72-Stunden-Frist erfolgen. Ist dies nicht möglich, muss die Meldung mit einer begründeten Darlegung der Verzögerung versehen werden. Die Frist beginnt, sobald der Verantwortliche mit angemessener Gewissheit weiß, dass eine Verletzung eingetreten ist, nicht erst mit Abschluss der Untersuchung.
Müssen alle Datenschutzverletzungen der Aufsichtsbehörde gemeldet werden?
Nein. Nur Verletzungen, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben, müssen der Aufsichtsbehörde gemeldet werden. Sämtliche Verletzungen, auch solche, die die Meldeschwelle nicht erreichen, müssen jedoch im internen Verletzungsregister nach Artikel 33 Absatz 5 dokumentiert werden. Ist die Risikobewertung unsicher, empfiehlt der EDSA, im Zweifel zu melden.
Was unterscheidet die Meldung an die Aufsichtsbehörde von der Benachrichtigung betroffener Personen?
Artikel 33 verlangt eine Meldung an die Aufsichtsbehörde, wenn eine Verletzung ein Risiko für die betroffenen Personen darstellt (die niedrigere Schwelle), und zwar innerhalb von 72 Stunden. Artikel 34 verlangt eine Benachrichtigung der betroffenen Personen, wenn eine Verletzung voraussichtlich ein hohes Risiko zur Folge hat (die höhere Schwelle), und zwar unverzüglich. Nicht jede meldepflichtige Verletzung erfordert auch eine individuelle Benachrichtigung. Eine Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn die Daten verschlüsselt waren und der Schlüssel nicht kompromittiert wurde, wenn das Risiko wirksam gemindert wurde oder wenn die individuelle Kontaktaufnahme unverhältnismäßigen Aufwand erfordern würde (in diesem Fall ist stattdessen eine öffentliche Mitteilung erforderlich).
Wann genau beginnt die 72-Stunden-Frist?
Die Frist beginnt, sobald der Verantwortliche mit angemessener Gewissheit weiß, dass ein Sicherheitsvorfall eingetreten ist und personenbezogene Daten betroffen waren. Bei durch interne Systeme entdeckten Verletzungen beginnt die Kenntniserlangung, sobald eine verantwortliche Person den Alarm als wahrscheinlichen Hinweis auf eine Verletzung anerkennt. Bei von einem Auftragsverarbeiter gemeldeten Verletzungen beginnt die Kenntniserlangung mit Erhalt der Meldung durch den Verantwortlichen. Bei externen Meldungen beginnt sie, sobald der Verantwortliche glaubhafte Informationen erhält. Die Frist wartet nicht auf den Abschluss der Untersuchung.
Was muss ein Auftragsverarbeiter tun, wenn er eine Verletzung entdeckt?
Nach Artikel 33 Absatz 2 muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, sobald er von einer Verletzung Kenntnis erlangt. Die DSGVO legt keine feste Stundenfrist fest, doch die Leitlinien 9/2022 des EDSA empfehlen, dass Auftragsverarbeiter den Verantwortlichen innerhalb von 72 Stunden nach eigener Entdeckung informieren, da die 72-Stunden-Frist des Verantwortlichen gegenüber der Aufsichtsbehörde von einer rechtzeitigen Meldung des Auftragsverarbeiters abhängt. Auftragsverarbeitungsverträge nach Artikel 28 sollten maximale Meldefristen (üblicherweise 24 Stunden) sowie die vom Auftragsverarbeiter mindestens bereitzustellenden Angaben festlegen.
Kann die Meldung einer Verletzung in Etappen erfolgen?
Ja. Artikel 33 Absatz 4 erlaubt ausdrücklich eine gestufte Meldung. Liegen nicht alle erforderlichen Informationen innerhalb von 72 Stunden vor, sollte der Verantwortliche eine erste Meldung mit den innerhalb der 72-Stunden-Frist verfügbaren Informationen einreichen und ergänzende Angaben ohne unangemessene weitere Verzögerung nachreichen. Dieser Mechanismus besteht genau deshalb, weil Untersuchungen von Verletzungen Zeit benötigen. Eine gestufte Meldung einzureichen, ist weitaus besser, als auf das vollständige Bild zu warten und die Frist vollständig zu verpassen.
Welche Angaben muss die Meldung an die Aufsichtsbehörde enthalten?
Artikel 33 Absatz 3 verlangt: die Art der Verletzung einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und Datensätze; Name und Kontaktdaten der oder des Datenschutzbeauftragten oder einer anderen Kontaktstelle; eine Beschreibung der wahrscheinlichen Folgen der Verletzung; sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung der Verletzung, einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen. Die Entscheidung der DPC gegen Meta vom Dezember 2024 zeigt, dass unvollständige Meldungen, denen erforderliche Angaben fehlen, als eigenständiger Verstoß gegen Artikel 33 Absatz 3 behandelt werden.
Was muss in das Verletzungsregister aufgenommen werden?
Artikel 33 Absatz 5 verlangt, dass das Register die Fakten jeder Verletzung dokumentiert (was geschehen ist, wie, wann entdeckt); die Auswirkungen auf die betroffenen Personen; die ergriffenen Abhilfemaßnahmen; die Risikobewertung einschließlich der Begründung; sowie die Begründung für die Meldung oder Nichtmeldung an die Aufsichtsbehörde. Das Register erfasst sämtliche Verletzungen, nicht nur gemeldete. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung stehen und ist der wichtigste Prüfnachweis für die Einhaltung der Meldepflichten.
Wie verhält sich die 72-Stunden-Regel der DSGVO zu HIPAA und US-Bundesstaatengesetzen?
Die 72-Stunden-Frist der DSGVO für die Meldung an die Aufsichtsbehörde ist strenger als die meisten vergleichbaren Rahmenwerke. HIPAA räumt betroffenen Einrichtungen 60 Tage ein, um das Office for Civil Rights und die betroffenen Personen zu informieren. US-Bundesstaatengesetze zu Datenschutzverletzungen variieren, verlangen aber meist eine Meldung ohne unangemessene Verzögerung, wobei einige Fristen zwischen 72 Stunden und 30 Tagen festlegen. Australiens Notifiable-Data-Breaches-Regelung räumt 30 Tage zur Meldung an die OAIC ein. Kanadas PIPEDA verlangt eine Meldung, sobald dies praktisch möglich ist. Das Vereinigte Königreich folgt derselben 72-Stunden-Regel wie die EU-DSGVO nach dem UK GDPR.
Welche Bußgelder drohen bei Versäumen der 72-Stunden-Frist?
Eine verspätete oder unterlassene Meldung einer Verletzung fällt unter Artikel 83 Absatz 4, der ein Höchstbußgeld von 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vorsieht, je nachdem, welcher Betrag höher ist. Eine verspätete Meldung ist ein eigenständiger Verstoß: Ein Bußgeld für das Versäumen der Frist kann selbst dann verhängt werden, wenn die zugrunde liegende Verletzung selbst keinen schwerwiegenden DSGVO-Verstoß darstellte. Bekannte Beispiele sind Booking.com (475.000 Euro wegen einer 22 Tage verspäteten Meldung) und Permanent TSB (27.500 Euro speziell wegen verspäteter Meldung, Teil eines größeren Bußgelds von 277.500 Euro im Mai 2026).
Sources and References
- DSGVO Volltext, Verordnung (EU) 2016/679(eur-lex.europa.eu).gov
- Leitlinien 9/2022 des EDSA zur Meldung von Verletzungen des Schutzes personenbezogener Daten, Version 2.0 (April 2023)(edpb.europa.eu).gov
- Leitlinien 01/2021 des EDSA mit Fallbeispielen zur Meldung von Verletzungen des Schutzes personenbezogener Daten(edpb.europa.eu).gov
- Fallkatalog des EDSA zum One-Stop-Shop-Mechanismus: Sicherheit der Verarbeitung und Meldung von Datenschutzverletzungen (2024)(edpb.europa.eu).gov
- Europäische Kommission: Was ist eine Datenschutzverletzung?(commission.europa.eu).gov
- EDSA: Artikel 33, Meldung von Verletzungen an die Aufsichtsbehörde(edpb.europa.eu).gov
- EDSA: Datenschutzverletzungen (KMU-Leitfaden)(edpb.europa.eu).gov
- EDSA: Wie eine Datenschutzverletzung der Aufsichtsbehörde gemeldet wird(edpb.europa.eu).gov
- ICO: Verletzungen des Schutzes personenbezogener Daten, ein Leitfaden(ico.org.uk).gov
- EDSB: Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten(edps.europa.eu).gov
- Irische DPC: 251-Millionen-Euro-Bußgeld gegen Meta (Dezember 2024)(dataprotection.ie).gov
- Irische DPC: 277.500-Euro-Bußgeld gegen Permanent TSB (Mai 2026)(dataprotection.ie).gov
- EDSA: Untersuchung der irischen DPC gegen die Bank of Ireland Group(edpb.europa.eu).gov
- DLA Piper: Meldungen von Datenschutzverletzungen in Europa erreichen 443 pro Tag (Februar 2026)(dlapiper.com)
- NIS-2-Richtlinie, Richtlinie (EU) 2022/2555(eur-lex.europa.eu).gov
- EDSA: Zusammenfassung der Leitlinien 9/2022 und 01/2021 zur Meldung von Datenschutzverletzungen (2025)(edpb.europa.eu).gov