Datenschutzverletzung (Datenpanne): Melden nach Art. 33, 34 DSGVO
Was bei einer Datenschutzverletzung zu tun ist: der Ablauf von der Erkennung bis zur Dokumentation, die 72-Stunden-Frist, die drei Risikostufen, Meldung an die Aufsichtsbehörde (Art. 33) und Benachrichtigung der Betroffenen (Art. 34 DSGVO).
Eine Datenschutzverletzung, im Sprachgebrauch oft „Datenpanne", ist ein Sicherheitsvorfall, der personenbezogene Daten betrifft. Wer eine solche Verletzung feststellt, steht unter Zeitdruck: Die DSGVO knüpft an sie eine Meldepflicht gegenüber der Aufsichtsbehörde und unter Umständen eine Benachrichtigungspflicht gegenüber den betroffenen Personen, beide mit kurzer Frist. Diese Seite führt durch den gesamten Ablauf und verweist für die Einzelheiten auf die Unterseiten.
Das Wichtigste in Kürze
- Eine Datenschutzverletzung ist jede Verletzung der Datensicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).
- Über die Rechtsfolgen entscheidet das Risiko: ab einem Risiko ist an die Aufsichtsbehörde zu melden (Art. 33), ab einem hohen Risiko sind zusätzlich die Betroffenen zu benachrichtigen (Art. 34).
- Die Meldung an die Aufsichtsbehörde muss unverzüglich erfolgen, möglichst binnen 72 Stunden ab Kenntnis (Art. 33 Abs. 1 DSGVO).
- Dokumentieren müssen Sie jede Verletzung, auch eine nicht meldepflichtige (Art. 33 Abs. 5 DSGVO).
- Wer nicht, zu spät oder unvollständig meldet, riskiert ein Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) und aufsichtsbehördliche Maßnahmen.
1. Was eine Datenschutzverletzung ist
Der Begriff ist in Art. 4 Nr. 12 DSGVO legaldefiniert und in der Begriffsübersicht ausführlich behandelt (siehe Verletzung des Schutzes personenbezogener Daten). Entscheidend ist: Es geht um die Datensicherheit, nicht um jeden Verstoß gegen das Datenschutzrecht. Eine Verarbeitung ohne Rechtsgrundlage ist rechtswidrig, aber für sich genommen noch keine Datenschutzverletzung im Sinne der Meldepflichten.
Eine Verletzung liegt vor, sobald eines von drei Schutzzielen für personenbezogene Daten beeinträchtigt ist:
- Vertraulichkeit: unbefugte oder unbeabsichtigte Offenlegung von oder Zugriff auf Daten (zum Beispiel ein an den falschen Empfänger gesendetes Schreiben, ein erfolgreicher Hackerangriff).
- Integrität: unbefugte oder unbeabsichtigte Veränderung von Daten.
- Verfügbarkeit: unbefugter oder unbeabsichtigter Verlust des Zugriffs oder Vernichtung von Daten (zum Beispiel ein verschlüsselnder Ransomware-Angriff, ein verlorener Datenträger). Eine Verletzung liegt auch dann vor, wenn die Daten nur für einen nicht unerheblichen Zeitraum nicht verfügbar sind.
Eine Datenschutzverletzung ist immer auch ein Sicherheitsvorfall, aber nicht jeder Sicherheitsvorfall betrifft personenbezogene Daten (EDPB, Leitlinien 9/2022, Rn. 15). Eine planmäßige, angekündigte Systemwartung, die Daten vorübergehend nicht verfügbar macht, ist daher keine Datenschutzverletzung. Die organisatorischen Pflichten setzen früher an: Wer personenbezogene Daten verarbeitet, muss durch technische und organisatorische Maßnahmen überhaupt erst in die Lage versetzt sein, eine Verletzung zu erkennen (Art. 32 DSGVO).
2. Der Ablauf im Überblick
Der folgende Ablauf gilt für jede Datenschutzverletzung: von der Kenntnis über die Vorprüfung und die Risikoanalyse bis zu den drei möglichen Rechtsfolgen und der abschließenden Dokumentation. Die Risikoanalyse ist die zentrale Weiche, denn sie entscheidet, ob gemeldet, benachrichtigt oder nur dokumentiert wird.
Für die Meldung an die Aufsichtsbehörde läuft ab dem Zeitpunkt der Kenntnis die 72-Stunden-Frist. Der Ablauf ist kein starres Schema: Sofortmaßnahmen zur Eindämmung und die Risikoanalyse erfolgen parallel, nicht nacheinander.
3. Die drei Risikostufen und ihre Rechtsfolgen
Die DSGVO arbeitet mit zwei Schwellen, aus denen sich drei Stufen ergeben. Maßgeblich ist immer das Risiko für die Rechte und Freiheiten der betroffenen Personen, nicht das Risiko für das eigene Unternehmen.
| Risikostufe | Wann | Meldung an Aufsichtsbehörde (Art. 33) | Benachrichtigung der Betroffenen (Art. 34) | Dokumentation (Art. 33 Abs. 5) |
|---|---|---|---|---|
| Kein oder geringes Risiko | Verletzung führt voraussichtlich nicht zu einem Risiko | nein | nein | ja |
| Risiko | Verletzung führt voraussichtlich zu einem Risiko | ja | nein | ja |
| Hohes Risiko | Verletzung führt voraussichtlich zu einem hohen Risiko | ja | ja | ja |
Die Einstufung ist eine Prognose aus der Sicht zum Zeitpunkt der Kenntnis. Wie sie methodisch erfolgt, behandelt die Unterseite Risikobewertung.
Im Zweifel melden. Lässt sich ein Risiko nicht sicher ausschließen, ist die Verletzung zu melden. Stellt sich später heraus, dass doch kein Risiko bestand, kann die Meldung gegenüber der Aufsichtsbehörde korrigiert werden, ohne dass eine Sanktion droht. Umgekehrt ist die unterlassene Meldung einer tatsächlich meldepflichtigen Verletzung bußgeldbewehrt.
4. Sofort handeln: die ersten Schritte
Die folgenden Schritte gehören in jeden Reaktionsplan. Wer sie vorab festgelegt und eingeübt hat, gewinnt die entscheidenden Stunden. Die Meldung allein genügt nicht: Eindämmung, Risikominimierung, Schutz der Betroffenen und Dokumentation bleiben daneben Pflicht. Die Einzelheiten stehen auf der Unterseite Erste Schritte und interner Ablauf.
5. Neben der DSGVO: weitere Meldepflichten
Die Meldepflichten der Art. 33, 34 DSGVO stehen nicht allein. Ein einziger Sicherheitsvorfall kann mehrere, voneinander unabhängige Meldepflichten auslösen, die je eigene Adressaten, Fristen und Inhalte haben. Die DSGVO-Meldung ersetzt diese anderen Meldungen nicht und wird durch sie nicht ersetzt (EDPB, Leitlinien 9/2022, Rn. 134). Bei einem Vorfall ist daher stets zu prüfen, ob neben der DSGVO weitere Regime greifen:
- NIS-2-Richtlinie und nationales Umsetzungsrecht: Sicherheitsmeldepflichten für besonders wichtige und wichtige Einrichtungen bei erheblichen Sicherheitsvorfällen, gegenüber den zuständigen Cybersicherheitsbehörden. Geht ein solcher Vorfall mit einer Verletzung personenbezogener Daten einher, bleibt die Meldung nach Art. 33 DSGVO daneben bestehen.
- eIDAS-Verordnung: Vertrauensdiensteanbieter melden Sicherheitsverletzungen mit erheblicher Auswirkung an die zuständige Aufsichtsstelle (Art. 19 eIDAS-VO); betrifft die Verletzung zugleich personenbezogene Daten, ist auch die Datenschutz-Aufsichtsbehörde zu unterrichten.
- Telekommunikation: Anbieter öffentlich zugänglicher Telekommunikationsdienste unterliegen einer bereichsspezifischen Melde- und Benachrichtigungspflicht (§ 169 TKG).
- Sektor- und vertragsspezifische Pflichten: Branchenrecht, aufsichtsrechtliche Vorgaben und Verträge (etwa Informationspflichten gegenüber Auftraggebern) können weitere Meldungen verlangen.
Die DSGVO-Meldung sollte daher von Anfang an als Teil eines Vorfallreaktionsplans gedacht werden, der alle einschlägigen Meldewege abdeckt.
6. Folgen von Verstößen
Wer die Melde- oder Benachrichtigungspflicht verletzt, riskiert ein Bußgeld von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Wichtig ist die Unterscheidung: Eine fehlende Meldung und eine unzureichende Datensicherheit sind zwei getrennte Verstöße, die nebeneinander geahndet werden können (Art. 33, 34 DSGVO einerseits, Art. 32 DSGVO andererseits). Hinzu kommen aufsichtsbehördliche Maßnahmen wie eine Verwarnung, die Anordnung der nachträglichen Benachrichtigung der Betroffenen (Art. 34 Abs. 4 DSGVO) oder ein Verarbeitungsverbot sowie Schadensersatzansprüche der Betroffenen (Art. 82 DSGVO). Eine unterlassene Meldung kann zudem als Indiz für unzureichende Sicherheitsmaßnahmen gewertet werden.
7. Prävention: typische Fälle und Gegenmaßnahmen
Die wirksamste Reaktion auf Datenpannen ist, sie zu vermeiden. Den häufigsten Fallgruppen lassen sich bewährte Gegenmaßnahmen zuordnen; die Einzelheiten gehören zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (EDPB, Leitlinien 01/2021).
| Typischer Vorfall | Wirksame Gegenmaßnahmen |
|---|---|
| Ransomware | Aktuelles Patch-Management, getrennte und getestete Sicherungskopien, Anti-Malware, Netzsegmentierung |
| Fehlversand (E-Mail, Brief) | Vier-Augen-Prinzip, BCC bei Mehrfachempfängern, automatische statt manuelle Adressierung, Sendeverzögerung |
| Verlust oder Diebstahl von Geräten | Geräteverschlüsselung, starke Authentifizierung, Mobile-Device-Management mit Fernlöschung |
| Account-Übernahme und Phishing | Mehr-Faktor-Authentifizierung, Überwachung und regelmäßige Prüfung von Weiterleitungsregeln, Schulungen |
| Datenexfiltration über Web-Schwachstellen | Eingabevalidierung, Penetrationstests, Protokollierung und Angriffserkennung |
8. Aufbau dieses Kapitels
Erste Schritte und interner Ablauf
Erkennen, Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, Pflichten von Auftragsverarbeitern.
Risikobewertung
Das dreistufige Risikomodell, die Bewertungsfaktoren, Schwere und Eintrittswahrscheinlichkeit der Nachteile, die Risikomatrix und Sonderfälle wie Verschlüsselung.
Meldung an die Aufsichtsbehörde (Art. 33)
Wann, an wen, mit welchem Inhalt und in welcher Frist gemeldet wird; schrittweise und gebündelte Meldung; Dokumentationspflicht nach Abs. 5.
Benachrichtigung der Betroffenen (Art. 34)
Wann bei hohem Risiko zu benachrichtigen ist, Inhalt und Form, Frist sowie die Ausnahmen nach Art. 34 Abs. 3 DSGVO.
Art. 33 DSGVO
Gesetzestext: Meldung an die Aufsichtsbehörde.
Art. 34 DSGVO
Gesetzestext: Benachrichtigung der betroffenen Person.
EDPB-Leitlinien 9/2022
Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten.
EDPB-Leitlinien 01/2021
Fallbeispiele zur Meldung von Datenschutzverletzungen.
9. Häufige Fragen
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Automatisierte Einzelentscheidung (Art. 22 DSGVO)
Grundsätzliches Verbot, Tatbestand und Ausnahmen der automatisierten Einzelentscheidung nach Art. 22 DSGVO: ausschließliche Automatisierung, Profiling und Scoring, Schutzmaßnahmen nach Abs. 3, sensible Daten und das Verhältnis zur KI-VO.
Erste Schritte und interner Ablauf bei einer Datenschutzverletzung
Was nach Entdeckung einer Datenpanne sofort zu tun ist: Erkennen und Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, sowie die Pflichten von Auftragsverarbeitern.