---
title: DSGVO Art. 33 – Meldepflicht bei Verletzung des Schutzes personenbezogener Daten
slug: dsgvo-meldepflicht-art-33
topic: datenschutz
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-05-27
status: aktuell
authority_level: A
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-meldepflicht-art-33.md
wikidata_subjects: [Q1172506, Q107357247]
factcheck_status: ok
---

# DSGVO Art. 33 – Meldepflicht bei Verletzung des Schutzes personenbezogener Daten

## Kurzantwort

Nach Artikel 33 der Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde **unverzüglich und möglichst binnen 72 Stunden**, nachdem ihm die Verletzung bekannt wurde, melden. Eine Meldung entfällt nur, wenn die Verletzung **voraussichtlich nicht zu einem Risiko** für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung später als 72 Stunden, ist sie mit einer Begründung der Verzögerung zu versehen (Art. 33 Abs. 1 Satz 2). Auftragsverarbeiter melden eine Verletzung dem Verantwortlichen unverzüglich, sobald sie ihnen bekannt wird (Art. 33 Abs. 2).

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 33 |
| Adressat der Meldung | zuständige Aufsichtsbehörde (Art. 55 DSGVO) |
| Meldepflichtiger | Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO |
| Frist | unverzüglich, möglichst binnen 72 Stunden nach Kenntnisnahme |
| Verspätete Meldung (Art. 33 Abs. 1 S. 2) | nur mit Begründung der Verzögerung zulässig |
| Ausnahme von der Meldepflicht | voraussichtlich kein Risiko für Rechte und Freiheiten natürlicher Personen |
| Auftragsverarbeiter (Art. 33 Abs. 2) | meldet dem Verantwortlichen unverzüglich nach Kenntnisnahme |
| Pflichtinhalte der Meldung (Art. 33 Abs. 3) | Art der Verletzung, Kategorien/Zahl der Betroffenen und Datensätze, DSB-Kontakt, Folgen, Maßnahmen |
| Schrittweise Meldung (Erwägungsgrund 85) | zulässig, wenn nicht alle Informationen binnen 72 h vorliegen |
| Dokumentationspflicht (Art. 33 Abs. 5) | jede Verletzung mit Sachverhalt, Auswirkungen und Abhilfemaßnahmen intern dokumentieren |
| Bußgeldrahmen bei Verstoß (Art. 83 Abs. 4 lit. a) | bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Zusätzlich Art. 34 DSGVO | Benachrichtigung der betroffenen Personen, wenn voraussichtlich hohes Risiko |

## Wann besteht eine Meldepflicht?

Eine Meldepflicht besteht bei jeder „Verletzung des Schutzes personenbezogener Daten" im Sinne von Art. 4 Nr. 12 DSGVO – also bei einer Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Erfasst sind sowohl absichtliche als auch versehentliche Vorfälle (z. B. Cyberangriff, fehlgeleitete E-Mail mit personenbezogenen Anhängen, verlorener USB-Stick, Ransomware-Befall, Fehlversand von Briefen).

Die Meldung an die Aufsichtsbehörde entfällt nur dann, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Diese Risikoeinschätzung muss der Verantwortliche dokumentieren – auch wenn er sich gegen eine Meldung entscheidet.

## Die 72-Stunden-Frist

Die Frist beginnt mit dem Zeitpunkt, zu dem der Verantwortliche **mit hinreichender Sicherheit Kenntnis** von einem Vorfall hat, der eine Verletzung im Sinne der DSGVO darstellt. Bloße Verdachtsmomente lösen die Frist noch nicht aus; sobald die Tatsachen aber mit hinreichender Wahrscheinlichkeit feststehen, läuft die Uhr.

Kann der Verantwortliche bei komplexen Vorfällen nicht alle Informationen binnen 72 Stunden ermitteln, lässt Art. 33 Abs. 4 DSGVO ausdrücklich eine **schrittweise Meldung** zu: Es ist zunächst zu melden, was bekannt ist, und die fehlenden Angaben sind „ohne unangemessene weitere Verzögerung" nachzuliefern. Wird die 72-Stunden-Grenze überschritten, ist die Verzögerung in der Meldung zu begründen.

## Pflichtinhalt der Meldung (Art. 33 Abs. 3)

Die Meldung muss zumindest enthalten:

- **lit. a** – eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- **lit. b** – den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- **lit. c** – eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- **lit. d** – eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die deutschen Aufsichtsbehörden stellen für die Meldung Online-Formulare bereit (z. B. die BfDI, das LDA Bayern und die LDI NRW). In den Formularen werden für „Kategorien Betroffener" und „mögliche Folgen" typischerweise Auswahllisten angeboten, die sich an Erwägungsgrund 75 DSGVO orientieren (Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Geheimnisverlust usw.).

## Auftragsverarbeiter (Art. 33 Abs. 2)

Ein Auftragsverarbeiter ist nicht selbst gegenüber der Aufsichtsbehörde meldepflichtig. Er muss jedoch eine Verletzung dem Verantwortlichen **unverzüglich** mitteilen, sobald sie ihm bekannt wird – ohne eigene 72-Stunden-Frist, weil diese erst beim Verantwortlichen zu laufen beginnt. Die konkreten Modalitäten (Meldekanal, Mindestinhalte, Fristen) sollten im Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geregelt werden.

## Interne Dokumentationspflicht (Art. 33 Abs. 5)

Unabhängig davon, ob eine Verletzung gemeldet wird oder nicht, muss der Verantwortliche **jede** Verletzung intern dokumentieren – inklusive der Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde auf Anforderung die Überprüfung der Einhaltung von Art. 33 ermöglichen.

## Benachrichtigung der Betroffenen (Art. 34)

Liegt zusätzlich ein **voraussichtlich hohes Risiko** für die Rechte und Freiheiten natürlicher Personen vor, muss der Verantwortliche nach Art. 34 DSGVO auch die betroffenen Personen unverzüglich in klarer und einfacher Sprache benachrichtigen. Die Benachrichtigung kann entfallen, wenn z. B. die Daten durch geeignete technische Maßnahmen (etwa Verschlüsselung) für Unbefugte unzugänglich gemacht wurden, durch nachträgliche Maßnahmen kein hohes Risiko mehr besteht oder die individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (dann öffentliche Bekanntmachung).

## Sanktionen bei Verstoß

Ein Verstoß gegen die Melde- und Dokumentationspflichten aus Art. 33 DSGVO ist nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von **bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes** (je nachdem, welcher Betrag höher ist) bewehrt. Eine verspätete oder unvollständige Meldung kann zudem als straferschwerender Umstand in andere Sanktionsentscheidungen einfließen.

## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- BfDI – Informationen zu Meldungen von Datenschutzverstößen (Infoblatt):
  https://www.bfdi.bund.de/infoblatt_datenschutzverstoesse
- Landesbeauftragte für Datenschutz und Informationsfreiheit NRW – Meldepflicht für Verantwortliche (Art. 33 DSGVO):
  https://www.ldi.nrw.de/kontakt/meldepflicht-fuer-verantwortliche-verletzungen-des-schutzes-personenbezogener-daten
- Bayerisches Landesamt für Datenschutzaufsicht – Datenpanne melden:
  https://www.lda.bayern.de/de/datenpanne.html
- Bayerisches Landesamt für Datenschutzaufsicht – Flyer „Art. 33 und 34 DS-GVO" (PDF):
  https://www.lda.bayern.de/media/veroeffentlichungen/Flyer_Datenschutzverletzung.pdf
- Europäischer Datenschutzausschuss (EDPB) – Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß DSGVO (PDF):
  https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_de_0.pdf

## Stand

- Stand: 2026-05-27
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, BfDI, EDPB, Landesdatenschutzbehörden)
- Lizenz: CC BY 4.0