# Datenschutzverletzung (Datenpanne): Melden nach Art. 33, 34 DSGVO

Was bei einer Datenschutzverletzung zu tun ist: der Ablauf von der Erkennung bis zur Dokumentation, die 72-Stunden-Frist, die drei Risikostufen, Meldung an die Aufsichtsbehörde (Art. 33) und Benachrichtigung der Betroffenen (Art. 34 DSGVO).

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/datenschutzverletzung
> Sprache: de



Eine Datenschutzverletzung, im Sprachgebrauch oft „Datenpanne", ist ein Sicherheitsvorfall, der personenbezogene Daten betrifft. Wer eine solche Verletzung feststellt, steht unter Zeitdruck: Die DSGVO knüpft an sie eine Meldepflicht gegenüber der Aufsichtsbehörde und unter Umständen eine Benachrichtigungspflicht gegenüber den betroffenen Personen, beide mit kurzer Frist. Diese Seite führt durch den gesamten Ablauf und verweist für die Einzelheiten auf die Unterseiten.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Eine Datenschutzverletzung ist jede Verletzung der Datensicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).
  * Über die Rechtsfolgen entscheidet das Risiko: ab einem Risiko ist an die Aufsichtsbehörde zu melden (Art. 33), ab einem hohen Risiko sind zusätzlich die Betroffenen zu benachrichtigen (Art. 34).
  * Die Meldung an die Aufsichtsbehörde muss unverzüglich erfolgen, möglichst binnen 72 Stunden ab Kenntnis (Art. 33 Abs. 1 DSGVO).
  * Dokumentieren müssen Sie jede Verletzung, auch eine nicht meldepflichtige (Art. 33 Abs. 5 DSGVO).
  * Wer nicht, zu spät oder unvollständig meldet, riskiert ein Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) und aufsichtsbehördliche Maßnahmen.
</Callout>

## 1. Was eine Datenschutzverletzung ist [#1-was-eine-datenschutzverletzung-ist]

Der Begriff ist in Art. 4 Nr. 12 DSGVO legaldefiniert und in der Begriffsübersicht ausführlich behandelt (siehe [Verletzung des Schutzes personenbezogener Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.12-verletzung-des-schutzes-personenbezogener-daten)). Entscheidend ist: Es geht um die **Datensicherheit**, nicht um jeden Verstoß gegen das Datenschutzrecht. Eine Verarbeitung ohne Rechtsgrundlage ist rechtswidrig, aber für sich genommen noch keine Datenschutzverletzung im Sinne der Meldepflichten.

Eine Verletzung liegt vor, sobald eines von drei Schutzzielen für personenbezogene Daten beeinträchtigt ist:

* **Vertraulichkeit**: unbefugte oder unbeabsichtigte Offenlegung von oder Zugriff auf Daten (zum Beispiel ein an den falschen Empfänger gesendetes Schreiben, ein erfolgreicher Hackerangriff).
* **Integrität**: unbefugte oder unbeabsichtigte Veränderung von Daten.
* **Verfügbarkeit**: unbefugter oder unbeabsichtigter Verlust des Zugriffs oder Vernichtung von Daten (zum Beispiel ein verschlüsselnder Ransomware-Angriff, ein verlorener Datenträger). Eine Verletzung liegt auch dann vor, wenn die Daten nur für einen nicht unerheblichen Zeitraum nicht verfügbar sind.

Eine Datenschutzverletzung ist immer auch ein Sicherheitsvorfall, aber nicht jeder Sicherheitsvorfall betrifft personenbezogene Daten (EDPB, [Leitlinien 9/2022](https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_de_0.pdf), Rn. 15). Eine planmäßige, angekündigte Systemwartung, die Daten vorübergehend nicht verfügbar macht, ist daher keine Datenschutzverletzung. Die organisatorischen Pflichten setzen früher an: Wer personenbezogene Daten verarbeitet, muss durch technische und organisatorische Maßnahmen überhaupt erst in die Lage versetzt sein, eine Verletzung zu erkennen (Art. 32 DSGVO).

## 2. Der Ablauf im Überblick [#2-der-ablauf-im-überblick]

Der folgende Ablauf gilt für jede Datenschutzverletzung: von der Kenntnis über die Vorprüfung und die Risikoanalyse bis zu den drei möglichen Rechtsfolgen und der abschließenden Dokumentation. Die Risikoanalyse ist die zentrale Weiche, denn sie entscheidet, ob gemeldet, benachrichtigt oder nur dokumentiert wird.

<Mermaid
  chart="flowchart TD
  K[&#x22;Kenntnis von moeglicher<br/>Datenschutzverletzung&#x22;] --> M[&#x22;Interne Meldung an<br/>Datenschutzbeauftragten /<br/>Meldestelle&#x22;]
  M --> V[&#x22;Vorpruefung, ggf. interne<br/>Nachforschung und<br/>Sofortmassnahmen&#x22;]
  V --> R{&#x22;Risikoanalyse&#x22;}
  R -->|&#x22;kein / geringes Risiko&#x22;| D[&#x22;Interne Dokumentation&#x22;]
  R -->|&#x22;Risiko&#x22;| A33[&#x22;Meldung an die<br/>Aufsichtsbehoerde<br/>Art. 33&#x22;]
  R -->|&#x22;hohes Risiko&#x22;| A34[&#x22;Meldung an Aufsichtsbehoerde<br/>+ Benachrichtigung der<br/>Betroffenen, Art. 33 und 34&#x22;]
  A33 --> D
  A34 --> D
  V -. &#x22;Verarbeitung im Auftrag<br/>fuer einen anderen&#x22; .-> AG[&#x22;Auftraggeber unverzueglich<br/>informieren, Art. 33 Abs. 2&#x22;]"
/>

Für die Meldung an die Aufsichtsbehörde läuft ab dem Zeitpunkt der Kenntnis die 72-Stunden-Frist. Der Ablauf ist kein starres Schema: Sofortmaßnahmen zur Eindämmung und die Risikoanalyse erfolgen parallel, nicht nacheinander.

## 3. Die drei Risikostufen und ihre Rechtsfolgen [#3-die-drei-risikostufen-und-ihre-rechtsfolgen]

Die DSGVO arbeitet mit zwei Schwellen, aus denen sich drei Stufen ergeben. Maßgeblich ist immer das Risiko für die Rechte und Freiheiten der betroffenen Personen, nicht das Risiko für das eigene Unternehmen.

| Risikostufe               | Wann                                                   | Meldung an Aufsichtsbehörde (Art. 33) | Benachrichtigung der Betroffenen (Art. 34) | Dokumentation (Art. 33 Abs. 5) |
| ------------------------- | ------------------------------------------------------ | :-----------------------------------: | :----------------------------------------: | :----------------------------: |
| Kein oder geringes Risiko | Verletzung führt voraussichtlich nicht zu einem Risiko |                  nein                 |                    nein                    |               ja               |
| Risiko                    | Verletzung führt voraussichtlich zu einem Risiko       |                   ja                  |                    nein                    |               ja               |
| Hohes Risiko              | Verletzung führt voraussichtlich zu einem hohen Risiko |                   ja                  |                     ja                     |               ja               |

Die Einstufung ist eine Prognose aus der Sicht zum Zeitpunkt der Kenntnis. Wie sie methodisch erfolgt, behandelt die Unterseite [Risikobewertung](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.2-risikobewertung).

<Callout type="warn">
  Im Zweifel melden. Lässt sich ein Risiko nicht sicher ausschließen, ist die Verletzung zu melden. Stellt sich später heraus, dass doch kein Risiko bestand, kann die Meldung gegenüber der Aufsichtsbehörde korrigiert werden, ohne dass eine Sanktion droht. Umgekehrt ist die unterlassene Meldung einer tatsächlich meldepflichtigen Verletzung bußgeldbewehrt.
</Callout>

## 4. Sofort handeln: die ersten Schritte [#4-sofort-handeln-die-ersten-schritte]

Die folgenden Schritte gehören in jeden Reaktionsplan. Wer sie vorab festgelegt und eingeübt hat, gewinnt die entscheidenden Stunden. Die Meldung allein genügt nicht: Eindämmung, Risikominimierung, Schutz der Betroffenen und Dokumentation bleiben daneben Pflicht. Die Einzelheiten stehen auf der Unterseite [Erste Schritte und interner Ablauf](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf).

<Steps>
  <Step>
    **Eindämmen.**

     Den Vorfall stoppen und seine Ausweitung verhindern (System isolieren, Zugangsdaten zurücksetzen, Fernlöschung, Empfänger zur Löschung auffordern).
  </Step>

  <Step>
    **Intern melden.**

     Datenschutzbeauftragten oder die interne Meldestelle sofort informieren, mit allen bekannten Angaben zum Vorfall.
  </Step>

  <Step>
    **Sachverhalt klären.**

     Prüfen, ob überhaupt eine Datenschutzverletzung vorliegt, und Datum und Uhrzeit der hinreichenden Kenntnis festhalten. Ab diesem Zeitpunkt läuft die 72-Stunden-Frist.
  </Step>

  <Step>
    **Risiko bewerten.**

     Anhand von Schwere und Eintrittswahrscheinlichkeit der möglichen Nachteile die Risikostufe bestimmen.
  </Step>

  <Step>
    **Reagieren und dokumentieren.**

     Je nach Risikostufe melden und benachrichtigen. In jedem Fall den gesamten Vorgang dokumentieren.
  </Step>
</Steps>

## 5. Neben der DSGVO: weitere Meldepflichten [#5-neben-der-dsgvo-weitere-meldepflichten]

Die Meldepflichten der Art. 33, 34 DSGVO stehen nicht allein. Ein einziger Sicherheitsvorfall kann mehrere, voneinander unabhängige Meldepflichten auslösen, die je eigene Adressaten, Fristen und Inhalte haben. Die DSGVO-Meldung ersetzt diese anderen Meldungen nicht und wird durch sie nicht ersetzt (EDPB, [Leitlinien 9/2022](https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_de_0.pdf), Rn. 134). Bei einem Vorfall ist daher stets zu prüfen, ob neben der DSGVO weitere Regime greifen:

* **NIS-2-Richtlinie und nationales Umsetzungsrecht**: Sicherheitsmeldepflichten für besonders wichtige und wichtige Einrichtungen bei erheblichen Sicherheitsvorfällen, gegenüber den zuständigen Cybersicherheitsbehörden. Geht ein solcher Vorfall mit einer Verletzung personenbezogener Daten einher, bleibt die Meldung nach Art. 33 DSGVO daneben bestehen.
* **eIDAS-Verordnung**: Vertrauensdiensteanbieter melden Sicherheitsverletzungen mit erheblicher Auswirkung an die zuständige Aufsichtsstelle (Art. 19 eIDAS-VO); betrifft die Verletzung zugleich personenbezogene Daten, ist auch die Datenschutz-Aufsichtsbehörde zu unterrichten.
* **Telekommunikation**: Anbieter öffentlich zugänglicher Telekommunikationsdienste unterliegen einer bereichsspezifischen Melde- und Benachrichtigungspflicht (§ 169 TKG).
* **Sektor- und vertragsspezifische Pflichten**: Branchenrecht, aufsichtsrechtliche Vorgaben und Verträge (etwa Informationspflichten gegenüber Auftraggebern) können weitere Meldungen verlangen.

Die DSGVO-Meldung sollte daher von Anfang an als Teil eines Vorfallreaktionsplans gedacht werden, der alle einschlägigen Meldewege abdeckt.

## 6. Folgen von Verstößen [#6-folgen-von-verstößen]

Wer die Melde- oder Benachrichtigungspflicht verletzt, riskiert ein Bußgeld von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Wichtig ist die Unterscheidung: Eine fehlende Meldung und eine unzureichende Datensicherheit sind zwei getrennte Verstöße, die nebeneinander geahndet werden können (Art. 33, 34 DSGVO einerseits, Art. 32 DSGVO andererseits). Hinzu kommen aufsichtsbehördliche Maßnahmen wie eine Verwarnung, die Anordnung der nachträglichen Benachrichtigung der Betroffenen (Art. 34 Abs. 4 DSGVO) oder ein Verarbeitungsverbot sowie Schadensersatzansprüche der Betroffenen (Art. 82 DSGVO). Eine unterlassene Meldung kann zudem als Indiz für unzureichende Sicherheitsmaßnahmen gewertet werden.

## 7. Prävention: typische Fälle und Gegenmaßnahmen [#7-prävention-typische-fälle-und-gegenmaßnahmen]

Die wirksamste Reaktion auf Datenpannen ist, sie zu vermeiden. Den häufigsten Fallgruppen lassen sich bewährte Gegenmaßnahmen zuordnen; die Einzelheiten gehören zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (EDPB, [Leitlinien 01/2021](https://www.edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_de.pdf)).

| Typischer Vorfall                         | Wirksame Gegenmaßnahmen                                                                                    |
| ----------------------------------------- | ---------------------------------------------------------------------------------------------------------- |
| Ransomware                                | Aktuelles Patch-Management, getrennte und getestete Sicherungskopien, Anti-Malware, Netzsegmentierung      |
| Fehlversand (E-Mail, Brief)               | Vier-Augen-Prinzip, BCC bei Mehrfachempfängern, automatische statt manuelle Adressierung, Sendeverzögerung |
| Verlust oder Diebstahl von Geräten        | Geräteverschlüsselung, starke Authentifizierung, Mobile-Device-Management mit Fernlöschung                 |
| Account-Übernahme und Phishing            | Mehr-Faktor-Authentifizierung, Überwachung und regelmäßige Prüfung von Weiterleitungsregeln, Schulungen    |
| Datenexfiltration über Web-Schwachstellen | Eingabevalidierung, Penetrationstests, Protokollierung und Angriffserkennung                               |

## 8. Aufbau dieses Kapitels [#8-aufbau-dieses-kapitels]

<Cards>
  <Card title="Erste Schritte und interner Ablauf" href="/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf" description="Erkennen, Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, Pflichten von Auftragsverarbeitern." />

  <Card title="Risikobewertung" href="/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.2-risikobewertung" description="Das dreistufige Risikomodell, die Bewertungsfaktoren, Schwere und Eintrittswahrscheinlichkeit der Nachteile, die Risikomatrix und Sonderfälle wie Verschlüsselung." />

  <Card title="Meldung an die Aufsichtsbehörde (Art. 33)" href="/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.3-meldung-an-die-aufsichtsbehoerde" description="Wann, an wen, mit welchem Inhalt und in welcher Frist gemeldet wird; schrittweise und gebündelte Meldung; Dokumentationspflicht nach Abs. 5." />

  <Card title="Benachrichtigung der Betroffenen (Art. 34)" href="/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.4-benachrichtigung-der-betroffenen" description="Wann bei hohem Risiko zu benachrichtigen ist, Inhalt und Form, Frist sowie die Ausnahmen nach Art. 34 Abs. 3 DSGVO." />

  <Card title="Art. 33 DSGVO" href="https://dsgvo-gesetz.de/art-33-dsgvo/" description="Gesetzestext: Meldung an die Aufsichtsbehörde." />

  <Card title="Art. 34 DSGVO" href="https://dsgvo-gesetz.de/art-34-dsgvo/" description="Gesetzestext: Benachrichtigung der betroffenen Person." />

  <Card title="EDPB-Leitlinien 9/2022" href="https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en" description="Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten." />

  <Card title="EDPB-Leitlinien 01/2021" href="https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en" description="Fallbeispiele zur Meldung von Datenschutzverletzungen." />
</Cards>

## 9. Häufige Fragen [#9-häufige-fragen]

<Accordions type="single">
  <Accordion title="Ich habe gerade eine Datenpanne entdeckt. Was muss ich zuerst tun?">
    Zuerst eindämmen (Vorfall stoppen, Ausweitung verhindern), dann sofort den Datenschutzbeauftragten oder die interne Meldestelle informieren. Parallel klären, ob wirklich eine Datenschutzverletzung vorliegt, und Datum und Uhrzeit der Kenntnis festhalten, weil ab diesem Zeitpunkt die 72-Stunden-Frist läuft. Anschließend das Risiko bewerten und je nach Ergebnis melden und benachrichtigen. Den gesamten Vorgang dokumentieren. Einzelheiten auf der Unterseite [Erste Schritte und interner Ablauf](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf).
  </Accordion>

  <Accordion title="Muss ich jede Datenpanne der Aufsichtsbehörde melden?">
    Nein. Zu melden ist nur, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DSGVO). Lässt sich ein Risiko ausschließen, entfällt die Meldung. Dokumentieren müssen Sie die Verletzung aber in jedem Fall (Art. 33 Abs. 5 DSGVO). Lässt sich das Risiko nicht sicher ausschließen, sollten Sie melden.
  </Accordion>

  <Accordion title="Bis wann muss ich melden?">
    Unverzüglich und möglichst binnen 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde (Art. 33 Abs. 1 DSGVO). Erfolgt die Meldung später, müssen Sie ihr eine Begründung für die Verzögerung beifügen. Die 72 Stunden sind eine Höchstgrenze, nicht ein Zeitpuffer: Wer früher in der Lage ist zu melden, muss früher melden.
  </Accordion>

  <Accordion title="Ab wann läuft die 72-Stunden-Frist, ab dem Vorfall oder ab Kenntnis?">
    Ab Kenntnis. Maßgeblich ist nicht der Zeitpunkt des Vorfalls, sondern der Moment, in dem Sie mit hinreichender Gewissheit wissen, dass ein Sicherheitsvorfall personenbezogene Daten betroffen hat. Eine kurze Phase zur Aufklärung, ob überhaupt eine Verletzung vorliegt, ist zulässig. Sie darf aber nicht zum Hinauszögern genutzt werden. Mehr dazu unter [Erste Schritte und interner Ablauf](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf).
  </Accordion>

  <Accordion title="An welche Aufsichtsbehörde muss ich melden?">
    An die für Sie zuständige Aufsichtsbehörde. Verarbeiten Sie grenzüberschreitend, melden Sie an die federführende Aufsichtsbehörde, die als zentrale Anlaufstelle dient (One-Stop-Shop). Die federführende Behörde sitzt nicht zwingend dort, wo die Betroffenen wohnen oder der Vorfall stattfand. Im Zweifel melden Sie an die Aufsichtsbehörde des Ortes, an dem sich der Vorfall ereignet hat.
  </Accordion>

  <Accordion title="Muss ich auch die betroffenen Personen informieren?">
    Nur, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat (Art. 34 Abs. 1 DSGVO). Dann sind die Betroffenen unverzüglich in klarer und einfacher Sprache zu benachrichtigen. Für die Benachrichtigung gilt also eine höhere Schwelle als für die Meldung an die Aufsichtsbehörde. Einzelheiten unter [Benachrichtigung der Betroffenen](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.4-benachrichtigung-der-betroffenen).
  </Accordion>

  <Accordion title="Die Daten waren verschlüsselt. Muss ich trotzdem melden?">
    Es kommt darauf an. Sind die betroffenen Daten mit einem dem Stand der Technik entsprechenden Verfahren verschlüsselt und ist der Schlüssel sicher geblieben, sind die Daten für Unbefugte unzugänglich. Dann entfällt regelmäßig die Benachrichtigung der Betroffenen (Art. 34 Abs. 3 lit. a DSGVO). Eine Meldung an die Aufsichtsbehörde kann dennoch nötig sein, etwa wenn zugleich die Verfügbarkeit beeinträchtigt ist und keine Sicherungskopie existiert. Wird der Schlüssel kompromittiert, ist neu zu bewerten.
  </Accordion>

  <Accordion title="Mein Dienstleister hatte die Panne. Wer meldet?">
    Der Auftragsverarbeiter meldet die Verletzung unverzüglich an Sie als Verantwortlichen (Art. 33 Abs. 2 DSGVO). Er meldet nicht selbst an die Aufsichtsbehörde und muss das Risiko nicht bewerten. Die Meldung an die Aufsichtsbehörde und die Risikobewertung sind Ihre Aufgabe als Verantwortlicher. Ihre Frist beginnt, sobald der Auftragsverarbeiter Sie informiert hat.
  </Accordion>

  <Accordion title="Ich kenne noch nicht alle Details. Kann ich später nachmelden?">
    Ja. Liegen nicht alle Informationen vor, dürfen Sie zunächst eine Erstmeldung abgeben und die fehlenden Angaben ohne unangemessene Verzögerung schrittweise nachreichen (Art. 33 Abs. 4 DSGVO). Fehlende Detailangaben rechtfertigen es nicht, die Erstmeldung über die Frist hinaus aufzuschieben.
  </Accordion>

  <Accordion title="Was passiert, wenn ich nicht oder zu spät melde?">
    Die unterlassene, verspätete oder unvollständige Meldung kann mit einem Bußgeld geahndet werden (Art. 83 Abs. 4 lit. a DSGVO). Die Aufsichtsbehörde kann zusätzlich Abhilfemaßnahmen anordnen, etwa die nachträgliche Benachrichtigung der Betroffenen. Daneben kommen Schadensersatzansprüche der Betroffenen in Betracht (Art. 82 DSGVO). Fehlende Meldungen können zudem als Indiz für unzureichende Sicherheitsmaßnahmen gewertet werden.
  </Accordion>

  <Accordion title="Muss ich die Panne dokumentieren, auch wenn ich nicht melde?">
    Ja. Sie müssen jede Datenschutzverletzung dokumentieren, einschließlich der Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, unabhängig davon, ob sie meldepflichtig ist (Art. 33 Abs. 5 DSGVO). Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung ermöglichen und ist Teil der [Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht) (Art. 5 Abs. 2 DSGVO).
  </Accordion>
</Accordions>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.