Was ist ein Verletzungsregister und wie sieht ein rechtssicheres Muster aus? Kurzantwort: Das Verletzungsregister ist die nach Art. 33 Abs. 5 DSGVO verpflichtende Dokumentation aller Datenschutzverletzungen — auch der nicht gemeldeten. Es muss den Hergang, die Auswirkungen, die getroffenen Abhilfemaßnahmen und die Meldeentscheidung mit Begründung festhalten. Diese Dokumentationspflicht gilt unabhängig davon, ob die Panne an die Aufsichtsbehörde gemeldet wurde: Auch die begründete Entscheidung, nicht zu melden, gehört ins Register. Dieser Beitrag liefert ein vollständiges Muster mit allen Pflichtfeldern und den internen 72-Stunden-Workflow.
Die Aufsichtsbehörden fragen dieses Register in nahezu jeder Prüfung ab — ein fehlendes oder lückenhaftes Register ist selbst ein Verstoß.
Wichtige Punkte
- Art. 33 Abs. 5 DSGVO verlangt die Dokumentation jeder Datenschutzverletzung — gemeldet oder nicht.
- Das Register dient dem Nachweis gegenüber der Aufsichtsbehörde und ermöglicht deren Kontrolle.
- Pflichtfelder: Hergang, betroffene Daten, Auswirkungen, Abhilfemaßnahmen, Meldeentscheidung mit Begründung.
- Die Meldung an die Behörde erfolgt binnen 72 Stunden ab Kenntnis (Art. 33 Abs. 1) — bei Risiko für die Betroffenen.
- Auch die Nicht-Meldung ist zu begründen und zu dokumentieren.
Warum das Register Pflicht ist — auch bei Nicht-Meldung
Viele Unternehmen verwechseln zwei Pflichten: die Meldepflicht (an die Behörde, bei Risiko) und die Dokumentationspflicht (im Register, immer). Art. 33 Abs. 5 DSGVO ist eindeutig: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen." Das gilt für jede Verletzung — auch für die harmlose, die keine Meldung auslöst.
Der Grund ist die Nachprüfbarkeit: Die Behörde muss kontrollieren können, ob Ihre Meldeentscheidungen vertretbar waren. Ein Register, das nur die gemeldeten Fälle enthält, weckt den Verdacht, dass unangenehme Fälle gar nicht erst erfasst wurden. Der Zusammenhang mit der 72-Stunden-Meldepflicht ist eng, aber die Pflichten sind zu trennen.
Das Verletzungsregister-Muster
VERZEICHNIS VON DATENSCHUTZVERLETZUNGEN
gemäß Art. 33 Abs. 5 DSGVO
Lfd. Nr.: [2026-001]
Interne Meldung eingegangen am: [Datum, Uhrzeit]
Kenntniserlangung (Beginn 72-Stunden-Frist): [Datum, Uhrzeit]
1. HERGANG
- Art der Verletzung: [Vertraulichkeit / Integrität /
Verfügbarkeit]
- Beschreibung des Vorfalls: [z. B. Fehlversand einer
E-Mail mit Kundenliste an falschen Empfänger]
- Ursache: [menschliches Versagen / technischer Defekt /
Angriff / Verlust]
- Entdeckt durch: [Person/System]
2. BETROFFENE DATEN
- Kategorien betroffener Personen: [Kunden, Beschäftigte …]
- ungefähre Zahl betroffener Personen: [Anzahl]
- Kategorien personenbezogener Daten: [Name, Kontakt,
Gesundheitsdaten …]
- besondere Kategorien (Art. 9) betroffen? [ja/nein]
3. AUSWIRKUNGEN UND RISIKOBEWERTUNG
- mögliche Folgen für die Betroffenen: [Identitätsdiebstahl,
Rufschädigung, finanzieller Schaden …]
- Schweregrad: [niedrig / mittel / hoch]
- Risiko für Rechte und Freiheiten: [kein / vorhanden / hoch]
4. ABHILFEMASSNAHMEN
- Sofortmaßnahmen: [Zugriff gesperrt, Empfänger zur
Löschung aufgefordert …]
- Maßnahmen zur Schadensbegrenzung: [ ]
- Maßnahmen zur Vermeidung künftiger Vorfälle: [ ]
5. MELDEENTSCHEIDUNG
- Meldung an Aufsichtsbehörde? [ja/nein]
Wenn ja: Datum/Uhrzeit, Aktenzeichen: [ ]
Wenn nein: Begründung (kein Risiko): [ ]
- Benachrichtigung der Betroffenen (Art. 34)? [ja/nein]
Begründung: [ ]
6. VERANTWORTLICHE / BEARBEITUNG
- erfasst durch: [Name, Funktion]
- DSB einbezogen am: [Datum]
- Abschluss des Vorfalls: [Datum]
Der interne 72-Stunden-Workflow
Die 72-Stunden-Frist beginnt mit der Kenntnis des Verantwortlichen — nicht mit der Meldung an den DSB. Deshalb muss der interne Prozess schnell greifen:
- Erkennen und intern melden. Jeder Beschäftigte meldet einen Verdacht sofort an die zentrale Stelle. Diese Meldekette gehört in die IT-Nutzungsrichtlinie und in die Schulung.
- Erfassen. Die zentrale Stelle legt sofort einen Registereintrag an — die Uhr läuft ab Kenntnis.
- Bewerten. DSB und Fachbereich bewerten das Risiko für die Rechte und Freiheiten der Betroffenen.
- Entscheiden. Bei Risiko: Meldung an die Behörde binnen 72 Stunden. Bei hohem Risiko zusätzlich: Benachrichtigung der Betroffenen nach Art. 34. Für die Behördenmeldung selbst nutzen Sie unser Datenpannen-Meldung-Muster.
- Dokumentieren und abschließen. Alle Felder ausfüllen, Abhilfemaßnahmen festhalten, Vorfall abschließen.
Wird die 72-Stunden-Frist überschritten, ist die Meldung mit einer Begründung für die Verzögerung zu versehen (Art. 33 Abs. 1 Satz 2). Der Ablauf im Detail steht in unserem Leitfaden Datenpanne melden.
Wann nicht gemeldet wird — und wie man es dokumentiert
Nicht jede Datenpanne ist meldepflichtig. Nach Art. 33 Abs. 1 entfällt die Meldung, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Typisches Beispiel: eine E-Mail mit personenbezogenen Daten, die an einen falschen internen Empfänger ging, der sie nachweislich sofort gelöscht hat — geringes Risiko, keine Meldepflicht.
Entscheidend ist: Auch diese Entscheidung gehört ins Register, mit nachvollziehbarer Begründung. Ein Register, das nur die gemeldeten Fälle enthält, ist unvollständig. Die Behörde prüft in der Regel gerade die nicht gemeldeten Fälle auf Vertretbarkeit — hier zeigt sich die Qualität des Datenschutzmanagements. Bei der Bußgeldbemessung ist ein sauber geführtes Register ein starkes Argument für Sorgfalt; ein fehlendes Register wirkt umgekehrt erschwerend, wie die Bußgeldpraxis zeigt.
Wer viele Vorfälle verwalten muss, stößt mit einer Word-Vorlage schnell an Grenzen — dann hilft eine Lösung, die Vorfälle, Fristen und Meldeentscheidungen strukturiert erfasst; einen Überblick geben wir im Vergleich der Löschkonzept- und Compliance-Tools.
Die Risikobewertung ist der Kern jedes Eintrags
Der anspruchsvollste Teil des Registers ist Feld 3 — die Risikobewertung. An ihr hängt die gesamte Meldeentscheidung, und sie muss nachvollziehbar begründet sein. Die Aufsichtsbehörden orientieren sich an den Kriterien der einschlägigen EDSA-Leitlinien: Art der Verletzung (Vertraulichkeit, Integrität oder Verfügbarkeit), Sensibilität der betroffenen Daten, Leichtigkeit der Identifizierung der Betroffenen, Schwere der möglichen Folgen und die Zahl der betroffenen Personen.
Ein Beispiel verdeutlicht die Abstufung: Der Verlust eines verschlüsselten Laptops mit aktuellem Backup führt in der Regel zu keinem Risiko — Vertraulichkeit gewahrt, Verfügbarkeit über das Backup hergestellt. Derselbe Laptop unverschlüsselt und ohne Backup kehrt das Bild um: mögliches hohes Risiko, Meldung und unter Umständen Benachrichtigung der Betroffenen. Genau diese Kette — Fakten, Bewertungskriterien, Schlussfolgerung — muss der Registereintrag abbilden, damit die Entscheidung im Nachhinein tragfähig ist.
Auftragsverarbeiter in den Prozess einbinden
Ein oft übersehener Punkt: Viele Datenpannen entstehen nicht beim Verantwortlichen selbst, sondern bei einem Dienstleister — dem Cloud-Anbieter, dem Newsletter-Tool, dem Lohnbüro. Nach Art. 33 Abs. 2 DSGVO muss der Auftragsverarbeiter jede Verletzung unverzüglich an den Verantwortlichen melden. Diese Meldekette gehört vertraglich in den Auftragsverarbeitungsvertrag — mit einer konkreten Frist, damit der Verantwortliche seine eigene 72-Stunden-Frist noch einhalten kann. Praxisüblich sind 24 Stunden. Kommt die Meldung des Dienstleisters zu spät, verkürzt sich das Zeitfenster des Verantwortlichen dramatisch. Deshalb ist die Dokumentation im Register auch der Ort, an dem sich zeigt, ob die vertraglich vereinbarten Meldeketten in der Realität funktionieren.
FAQ
Muss ich jede Datenpanne ins Register eintragen?
Ja. Art. 33 Abs. 5 DSGVO verlangt die Dokumentation jeder Datenschutzverletzung — unabhängig davon, ob sie an die Aufsichtsbehörde gemeldet wurde. Auch die begründete Entscheidung, nicht zu melden, gehört ins Register. Nur so kann die Behörde Ihre Meldeentscheidungen nachprüfen.
Wann beginnt die 72-Stunden-Frist?
Mit der Kenntnis des Verantwortlichen von der Verletzung, nicht mit der internen Meldung an den DSB oder mit dem Vorfall selbst. Sobald eine zuständige Stelle im Unternehmen hinreichende Gewissheit über die Verletzung hat, läuft die Frist. Deshalb muss der interne Meldeweg schnell und klar geregelt sein.
Was passiert, wenn ich kein Verletzungsregister führe?
Das Fehlen des Registers ist selbst ein Verstoß gegen Art. 33 Abs. 5 DSGVO und kann mit Bußgeld geahndet werden. In Prüfungen fragen die Aufsichtsbehörden das Register regelmäßig ab. Ein unvollständiges Register — etwa ohne die nicht gemeldeten Fälle — wirkt dabei fast so belastend wie ein fehlendes.
Wer muss das Register führen?
Der Verantwortliche im Sinne der DSGVO, in der Praxis meist koordiniert durch den Datenschutzbeauftragten. Die operative Erfassung sollte bei einer zentralen Stelle liegen, die Meldungen aus dem gesamten Unternehmen bündelt, bewertet und dokumentiert. Auftragsverarbeiter melden Verletzungen unverzüglich an den Verantwortlichen, der sie dann in sein Register aufnimmt.
Fazit
Das Verletzungsregister ist die stille Pflicht neben der lauten Meldepflicht: Es dokumentiert jede Datenpanne, auch die nicht gemeldete, und macht Ihre Meldeentscheidungen nachprüfbar. Nutzen Sie das Muster mit seinen fünf Pflichtbereichen, richten Sie den 72-Stunden-Workflow auf die Kenntnis aus und dokumentieren Sie gerade die Nicht-Meldungen sorgfältig. Den Gesetzestext des Art. 33 finden Sie bei EUR-Lex, die maßgeblichen Leitlinien zur Meldung von Verletzungen beim Europäischen Datenschutzausschuss.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial