In einem Satz. Bei einer Datenpanne müssen Sie den Vorfall nach Art. 33 DSGVO binnen 72 Stunden ab Kenntnis der zuständigen Aufsichtsbehörde melden (außer das Risiko für Betroffene ist unwahrscheinlich) und bei hohem Risiko zusätzlich die Betroffenen benachrichtigen (Art. 34) — jeder Vorfall ist unabhängig von der Meldung intern zu dokumentieren (Art. 33 Abs. 5).
Die 72-Stunden-Frist ist kurz und beginnt mit der Kenntnis, nicht mit der abgeschlossenen Analyse. Wer sie versäumt oder Vorfälle gar nicht erkennt, riskiert hohe Bußgelder. Diese Vorlage liefert Meldeformular, Bewertungsschema und internes Verzeichnis. Grundlagen im Leitfaden Datenpanne melden und im Beitrag zu Art. 33.
Wichtige Punkte
- Meldefrist: 72 Stunden ab Kenntnis (Art. 33 Abs. 1).
- Keine Meldung nur, wenn Risiko unwahrscheinlich (dokumentieren!).
- Benachrichtigung Betroffener bei hohem Risiko (Art. 34).
- Internes Verzeichnis aller Vorfälle (Art. 33 Abs. 5).
- Bußgeld bis 10 Mio. € / 2 % (Art. 83 Abs. 4).
Bewertung in 4 Schritten
| Schritt | Frage |
|---|---|
| 1 | Liegt eine Verletzung des Schutzes personenbezogener Daten vor? |
| 2 | Ist ein Risiko für Rechte und Freiheiten wahrscheinlich? → Meldung Art. 33 |
| 3 | Ist ein hohes Risiko wahrscheinlich? → Benachrichtigung Art. 34 |
| 4 | Dokumentation im internen Verzeichnis (immer) |
Meldeformular-Muster (an die Aufsichtsbehörde)
MELDUNG EINER DATENSCHUTZVERLETZUNG (Art. 33 DSGVO)
1. Verantwortlicher: [Firma, Anschrift, Kontakt, DSB]
2. Zeitpunkt des Vorfalls: [Datum/Uhrzeit, ggf. Zeitraum]
3. Zeitpunkt der Kenntnisnahme: [Datum/Uhrzeit]
4. Art der Verletzung: [Vertraulichkeit / Integrität / Verfügbarkeit]
[z. B. Fehlversand, Hackerangriff, Verlust Datenträger, Ransomware]
5. Beschreibung des Vorfalls: [Hergang]
6. Kategorien betroffener Personen: [Kunden, Beschäftigte ...]
7. Ungefähre Zahl der Betroffenen: [Zahl / Schätzung]
8. Kategorien betroffener Datensätze: [Name, Kontakt, Finanzdaten ...]
9. Ungefähre Zahl der Datensätze: [Zahl / Schätzung]
10. Wahrscheinliche Folgen: [Identitätsdiebstahl, finanzieller Schaden]
11. Ergriffene / geplante Maßnahmen: [Sperrung, Passwort-Reset,
Wiederherstellung, Information]
12. Wurde verzögert gemeldet (>72 h)? Begründung: [...]
13. Kontaktstelle für Rückfragen: [Name, Telefon, E-Mail]
Ort, Datum
Benachrichtigungs-Muster (an Betroffene, Art. 34)
Betreff: Wichtige Information zum Schutz Ihrer Daten
Sehr geehrte/r [Name],
wir informieren Sie über einen Vorfall, der Ihre bei uns
gespeicherten Daten betrifft.
Was ist passiert: [klare Beschreibung, keine Verharmlosung]
Welche Daten betroffen sind: [...]
Mögliche Folgen: [...]
Was wir unternommen haben: [...]
Was Sie tun sollten: [z. B. Passwort ändern, Kontoauszüge prüfen]
Für Rückfragen erreichen Sie uns unter [Kontakt / DSB].
Mit freundlichen Grüßen
[Verantwortlicher]
Internes Verzeichnis (Art. 33 Abs. 5)
| Nr. | Datum | Art | Betroffene | Risiko | Gemeldet? | Maßnahmen |
|---|---|---|---|---|---|---|
| 2026-01 | [Datum] | Fehlversand | 1 Kunde | gering | nein (dok.) | Rückruf, Löschung |
| 2026-02 | [Datum] | Ransomware | ~4.000 | hoch | ja + Art. 34 | Restore, Reset |
So passen Sie das Muster an
- Meldeweg vorab klären. Jede Aufsichtsbehörde hat ein Online-Meldeformular. Finden Sie vorab die für Ihren Sitz zuständige Behörde — bei Bundesbezug den BfDI.
- Erstmeldung auch unvollständig. Fehlen Angaben, melden Sie fristgerecht und reichen Details nach (Art. 33 Abs. 4).
- Auftragsverarbeiter einbinden. Der Auftragsverarbeiter muss Sie unverzüglich informieren (Art. 33 Abs. 2, § 9 des AVV-Musters).
- Risiko sauber bewerten. Nutzen Sie die Kriterien der EDSA-Leitlinie 9/2022; die TOM aus Ihrem TOM-Muster (etwa Verschlüsselung) können ein hohes Risiko reduzieren.
- Immer dokumentieren. Auch nicht gemeldete Vorfälle gehören ins interne Verzeichnis — die Aufsicht prüft dessen Vollständigkeit.
Drei Arten von Datenschutzverletzungen
Eine „Verletzung des Schutzes personenbezogener Daten" ist mehr als ein Hackerangriff. Art. 4 Nr. 12 erfasst jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu Daten führt. Fachlich unterscheidet man drei Kategorien: die Vertraulichkeitsverletzung (unbefugte Offenlegung — etwa ein Fehlversand oder ein gehacktes Postfach), die Integritätsverletzung (unbefugte Veränderung von Daten) und die Verfügbarkeitsverletzung (Verlust oder Zerstörung — etwa durch Ransomware, gelöschte Backups oder einen verlorenen Datenträger). Gerade die Verfügbarkeitsverletzung wird oft übersehen: Auch wenn keine Daten „nach außen" gelangen, kann ein dauerhafter Verlust ein hohes Risiko für Betroffene bedeuten und ist dann meldepflichtig.
Vorbereitung entscheidet über die Fristwahrung
72 Stunden vergehen schnell, gerade wenn ein Vorfall am Freitagabend bemerkt wird. Wer erst dann klärt, welche Behörde zuständig ist, welches Meldeformular gilt und wer intern entscheidet, verliert wertvolle Zeit. Bereiten Sie deshalb vor: Legen Sie einen Incident-Response-Plan mit klaren Rollen fest (Erstbewertung, Risikoeinstufung, Meldung, Kommunikation), hinterlegen Sie den Zugang zum Online-Meldeportal Ihrer zuständigen Landesbehörde und schulen Sie die Beschäftigten darin, Vorfälle sofort zu melden — denn die 72-Stunden-Frist läuft ab Kenntnis der Organisation, nicht erst ab Kenntnis der Geschäftsführung. Eine regelmäßige Schulung mit dem Modul „Datenpanne erkennen und melden" ist hier die wirksamste Prävention.
Häufige Fehler
- Frist ab Analyse statt ab Kenntnis rechnen. Die 72 Stunden starten mit hinreichender Gewissheit über den Vorfall, nicht erst nach abgeschlossener Forensik.
- Vorfälle nicht erkennen. Ohne Meldeprozess und Sensibilisierung der Beschäftigten bleibt eine Panne unbemerkt. Schulung ist Teil der Prävention.
- Zu eng auslegen. Auch ein verlorener USB-Stick, ein Fehlversand oder ein Ransomware-Ausfall (Verfügbarkeit) ist eine meldepflichtige Verletzung.
- Betroffene nicht informieren. Bei hohem Risiko ist Art. 34 zwingend. Verschweigen verschärft die Sanktion.
- Kein internes Verzeichnis. Selbst wenn keine Meldung nötig war, muss die Bewertung dokumentiert sein — sonst fehlt der Nachweis nach Art. 33 Abs. 5.
Damit die 72-Stunden-Uhr nicht ungenutzt verstreicht, bündelt Legiscope den Meldeprozess: Vorfall erfassen, Risiko bewerten, Frist überwachen und das interne Verzeichnis revisionssicher führen.
FAQ
Wann beginnt die 72-Stunden-Frist?
Mit der Kenntnisnahme, also sobald der Verantwortliche mit hinreichender Sicherheit von einer Verletzung des Schutzes personenbezogener Daten ausgeht. Sie beginnt nicht erst nach vollständiger Aufklärung. Deshalb ist eine schnelle Erstmeldung mit Nachreichung von Details der richtige Weg, wenn noch nicht alle Fakten vorliegen.
Muss ich jede Panne melden?
Nein. Eine Meldung entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten führt (Art. 33 Abs. 1). Diese Einschätzung müssen Sie aber dokumentieren. Waren die Daten etwa stark verschlüsselt und der Schlüssel sicher, kann das Risiko unwahrscheinlich sein.
Wann muss ich die Betroffenen informieren?
Nach Art. 34, wenn ein hohes Risiko wahrscheinlich ist. Die Benachrichtigung muss unverzüglich, klar und verständlich erfolgen und konkrete Handlungsempfehlungen enthalten. Sie kann entfallen, wenn wirksame Schutzmaßnahmen (z. B. Verschlüsselung) das hohe Risiko beseitigt haben.
Was passiert, wenn ich die 72-Stunden-Frist versäume?
Eine verspätete Meldung ist zulässig, muss aber begründet werden (Art. 33 Abs. 1 Satz 2). Melden Sie also auch nach Ablauf der Frist — Nichtmelden ist deutlich riskanter als eine verspätete Meldung. Die Verzögerung selbst kann jedoch bußgeldrelevant sein, denn die unterlassene oder verspätete Meldung ist ein eigenständiger Verstoß nach Art. 33. Aufsichtsbehörden bewerten dabei, ob der Verantwortliche einen funktionierenden Meldeprozess vorhält und den Vorfall proaktiv aufgearbeitet hat.
Welche Aufsichtsbehörde ist zuständig?
In Deutschland ist grundsätzlich die Landesdatenschutzbehörde am Sitz Ihres Unternehmens zuständig (Art. 55 DSGVO). Bei grenzüberschreitenden Verarbeitungen greift das One-Stop-Shop-Prinzip nach Art. 56: Federführend ist dann die Behörde am Ort der Hauptniederlassung. Bundesbehörden, Telekommunikations- und Postunternehmen unterliegen dem Bundesbeauftragten für den Datenschutz. Klären Sie die Zuständigkeit unbedingt vorab und hinterlegen Sie den Zugang zum jeweiligen Online-Meldeportal — im Ernstfall bleibt keine Zeit, die richtige Behörde erst zu recherchieren. Jede Landesbehörde stellt ein eigenes elektronisches Meldeformular bereit, das den Angaben aus dem oben gezeigten Muster entspricht. Melden Sie im Zweifel bei der Behörde Ihres Firmensitzes; sie leitet bei Unzuständigkeit intern weiter.
Fazit
Bei einer Datenpanne zählt jede Stunde. Mit vorbereitetem Meldeformular, klarem Bewertungsschema und geübtem Prozess halten Sie die 72-Stunden-Frist ein und dokumentieren jeden Vorfall im internen Verzeichnis. Der teuerste Fehler ist nicht die Panne selbst, sondern ihre verspätete oder unterlassene Meldung. Den Normtext der Art. 33/34 finden Sie bei EUR-Lex, Meldeformulare bei den Landesbehörden und dem BfDI.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial