Innerhalb welcher Frist muss eine Datenpanne nach Art. 33 DSGVO gemeldet werden?

Der Verantwortliche muss eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden. Wird die 72-Stunden-Frist überschritten, ist die Meldung mit einer Begründung der Verzögerung zu versehen (Art. 33 Abs. 1 Satz 2 DSGVO).

Welche Angaben muss die Meldung an die Aufsichtsbehörde enthalten?

Nach Art. 33 Abs. 3 DSGVO muss die Meldung mindestens enthalten: eine Beschreibung der Art der Verletzung (mit Kategorien und ungefährer Zahl der betroffenen Personen und Datensätze), Name und Kontaktdaten des Datenschutzbeauftragten oder einer Anlaufstelle, die wahrscheinlichen Folgen der Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.

Welche Bußgelder drohen bei Verstößen gegen Art. 33 DSGVO?

Verstöße gegen die Melde- und Dokumentationspflichten nach Art. 33 DSGVO sind gemäß Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes bewehrt – je nachdem, welcher Betrag höher ist. Eine verspätete oder unvollständige Meldung kann zudem in anderen Sanktionsentscheidungen straferschwerend berücksichtigt werden.

DSGVO Art. 33 – Meldepflicht bei Verletzung des Schutzes personenbezogener Daten

Q: Wann entfällt die Meldepflicht nach Art. 33 DSGVO?

Die Meldepflicht entfällt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Risikoeinschätzung muss der Verantwortliche dokumentieren – auch wenn er sich gegen eine Meldung entscheidet (Art. 33 Abs. 5 DSGVO).

Q: Muss auch ein Auftragsverarbeiter die Aufsichtsbehörde benachrichtigen?

Nein. Nach Art. 33 Abs. 2 DSGVO meldet der Auftragsverarbeiter eine Verletzung nicht selbst der Aufsichtsbehörde, sondern muss sie dem Verantwortlichen unverzüglich mitteilen, sobald sie ihm bekannt wird. Die 72-Stunden-Frist beginnt erst beim Verantwortlichen zu laufen. Die Modalitäten werden im Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geregelt.

Maschinenlesbare Variante: /fakten/dsgvo-meldepflicht-art-33.md

Datenschutz DSGVO Art. 33 Datenpanne 72-Stunden-Frist Deutschland / EU

Kurzantwort Nach Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme melden. Eine Meldung entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung später als 72 Stunden, ist sie mit einer Begründung der Verzögerung zu versehen. Auftragsverarbeiter melden eine Verletzung unverzüglich an den Verantwortlichen (Art. 33 Abs. 2).

Kernfakten

Punkt	Wert
Rechtsgrundlage	Verordnung (EU) 2016/679, Artikel 33
Adressat der Meldung	zuständige Aufsichtsbehörde (Art. 55 DSGVO)
Meldepflichtiger	Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO
Frist	unverzüglich, möglichst binnen 72 Stunden nach Kenntnisnahme
Verspätete Meldung (Art. 33 Abs. 1 S. 2)	nur mit Begründung der Verzögerung zulässig
Ausnahme	voraussichtlich kein Risiko für Rechte und Freiheiten natürlicher Personen
Auftragsverarbeiter (Art. 33 Abs. 2)	meldet dem Verantwortlichen unverzüglich nach Kenntnisnahme
Pflichtinhalt (Art. 33 Abs. 3)	Art der Verletzung, Kategorien/Zahl der Betroffenen und Datensätze, DSB-Kontakt, Folgen, Maßnahmen
Schrittweise Meldung (Art. 33 Abs. 4)	zulässig, wenn nicht alle Informationen binnen 72 h vorliegen
Dokumentationspflicht (Art. 33 Abs. 5)	jede Verletzung mit Sachverhalt, Auswirkungen und Abhilfemaßnahmen intern dokumentieren
Bußgeldrahmen (Art. 83 Abs. 4 lit. a)	bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Zusätzlich Art. 34 DSGVO	Benachrichtigung der Betroffenen, wenn voraussichtlich hohes Risiko

Wann besteht eine Meldepflicht?

Eine Meldepflicht besteht bei jeder „Verletzung des Schutzes personenbezogener Daten" im Sinne von Art. 4 Nr. 12 DSGVO – also bei einer Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Erfasst sind sowohl absichtliche als auch versehentliche Vorfälle (zum Beispiel Cyberangriff, fehlgeleitete E-Mail mit personenbezogenen Anhängen, verlorener USB-Stick, Ransomware-Befall, Fehlversand von Briefen).

Die Meldung an die Aufsichtsbehörde entfällt nur dann, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Diese Risikoeinschätzung muss der Verantwortliche dokumentieren – auch wenn er sich gegen eine Meldung entscheidet.

Die 72-Stunden-Frist

Die Frist beginnt mit dem Zeitpunkt, zu dem der Verantwortliche mit hinreichender Sicherheit Kenntnis von einem Vorfall hat, der eine Verletzung im Sinne der DSGVO darstellt. Bloße Verdachtsmomente lösen die Frist noch nicht aus; sobald die Tatsachen aber mit hinreichender Wahrscheinlichkeit feststehen, läuft die Uhr.

Kann der Verantwortliche bei komplexen Vorfällen nicht alle Informationen binnen 72 Stunden ermitteln, lässt Art. 33 Abs. 4 DSGVO ausdrücklich eine schrittweise Meldung zu: Es ist zunächst zu melden, was bekannt ist, und die fehlenden Angaben sind „ohne unangemessene weitere Verzögerung" nachzuliefern. Wird die 72-Stunden-Grenze überschritten, ist die Verzögerung in der Meldung zu begründen.

Pflichtinhalt der Meldung (Art. 33 Abs. 3)

Die Meldung muss zumindest enthalten:

lit. a – eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
lit. b – den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
lit. c – eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
lit. d – eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die deutschen Aufsichtsbehörden stellen für die Meldung Online-Formulare bereit (zum Beispiel BfDI, LDA Bayern und LDI NRW). In den Formularen werden für „Kategorien Betroffener" und „mögliche Folgen" typischerweise Auswahllisten angeboten, die sich an Erwägungsgrund 75 DSGVO orientieren (Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Geheimnisverlust und andere).

Auftragsverarbeiter (Art. 33 Abs. 2)

Ein Auftragsverarbeiter ist nicht selbst gegenüber der Aufsichtsbehörde meldepflichtig. Er muss jedoch eine Verletzung dem Verantwortlichen unverzüglich mitteilen, sobald sie ihm bekannt wird – ohne eigene 72-Stunden-Frist, weil diese erst beim Verantwortlichen zu laufen beginnt. Die konkreten Modalitäten (Meldekanal, Mindestinhalte, Fristen) sollten im Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geregelt werden.

Interne Dokumentationspflicht (Art. 33 Abs. 5)

Unabhängig davon, ob eine Verletzung gemeldet wird oder nicht, muss der Verantwortliche jede Verletzung intern dokumentieren – inklusive der Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde auf Anforderung die Überprüfung der Einhaltung von Art. 33 ermöglichen.

Benachrichtigung der Betroffenen (Art. 34)

Liegt zusätzlich ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen vor, muss der Verantwortliche nach Art. 34 DSGVO auch die betroffenen Personen unverzüglich in klarer und einfacher Sprache benachrichtigen. Die Benachrichtigung kann entfallen, wenn zum Beispiel die Daten durch geeignete technische Maßnahmen (etwa Verschlüsselung) für Unbefugte unzugänglich gemacht wurden, durch nachträgliche Maßnahmen kein hohes Risiko mehr besteht oder die individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (dann öffentliche Bekanntmachung).

Sanktionen bei Verstoß

Ein Verstoß gegen die Melde- und Dokumentationspflichten aus Art. 33 DSGVO ist nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (je nachdem, welcher Betrag höher ist) bewehrt. Eine verspätete oder unvollständige Meldung kann zudem als straferschwerender Umstand in andere Sanktionsentscheidungen einfließen.

Quellen

Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext: eur-lex.europa.eu (CELEX:32016R0679)
BfDI – Informationen zu Meldungen von Datenschutzverstößen (Infoblatt): bfdi.bund.de
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW – Meldepflicht für Verantwortliche (Art. 33 DSGVO): ldi.nrw.de
Bayerisches Landesamt für Datenschutzaufsicht – Datenpanne melden: lda.bayern.de
Bayerisches Landesamt für Datenschutzaufsicht – Flyer „Art. 33 und 34 DS-GVO" (PDF): lda.bayern.de (PDF)
Europäischer Datenschutzausschuss (EDPB) – Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten (PDF, DE): edpb.europa.eu (PDF)

Stand:: 2026-05-27
Gültig ab:: 2018-05-25 (Geltungsbeginn der DSGVO)
Status:: aktuell
Quellenautorität:: A (EUR-Lex, BfDI, EDPB, Landesdatenschutzbehörden)
Lizenz:: CC BY 4.0