# Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)

Wann betroffene Personen über eine Datenschutzverletzung zu benachrichtigen sind, welcher Inhalt und welche Form vorgeschrieben sind, welche Frist gilt und unter welchen Voraussetzungen die Benachrichtigung nach Art. 34 Abs. 3 DSGVO entfällt.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.4-benachrichtigung-der-betroffenen
> Sprache: de



Führt eine Datenschutzverletzung voraussichtlich zu einem hohen Risiko, reicht die Meldung an die Aufsichtsbehörde nicht aus. Dann sind zusätzlich die betroffenen Personen zu benachrichtigen. Für diese Benachrichtigung gilt eine höhere Schwelle als für die Meldung, dafür aber dieselbe Dringlichkeit. Diese Seite zeigt, wann, womit und wie zu benachrichtigen ist und wann die Pflicht ausnahmsweise entfällt.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Benachrichtigt wird nur bei voraussichtlich **hohem** Risiko (Art. 34 Abs. 1 DSGVO).
  * Die Benachrichtigung erfolgt unverzüglich und in klarer, einfacher Sprache.
  * Inhalt: Art der Verletzung plus die Angaben aus Art. 33 Abs. 3 lit. b, c und d DSGVO.
  * Ziel ist, dass die Betroffenen sich selbst schützen können; deshalb ist eine direkte, eigens dafür erstellte Mitteilung erforderlich.
  * Die Benachrichtigung entfällt unter den drei Voraussetzungen des Art. 34 Abs. 3 DSGVO (Verschlüsselung, nachträgliche Risikobeseitigung, unverhältnismäßiger Aufwand).
</Callout>

## 1. Wann zu benachrichtigen ist [#1-wann-zu-benachrichtigen-ist]

Die Benachrichtigungspflicht entsteht, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 34 Abs. 1 DSGVO). Damit liegt die Schwelle höher als bei der Meldung an die Aufsichtsbehörde, die schon ab einem einfachen Risiko greift. Die Betroffenen sollen nicht mit Benachrichtigungen über jede Verletzung überfrachtet werden, sondern nur dort gewarnt werden, wo sie selbst Schutzmaßnahmen ergreifen können. Ob ein hohes Risiko vorliegt, ergibt die [Risikobewertung](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.2-risikobewertung).

## 2. Inhalt der Benachrichtigung [#2-inhalt-der-benachrichtigung]

Die Benachrichtigung beschreibt in klarer und einfacher Sprache die Art der Verletzung und enthält mindestens die Angaben aus Art. 33 Abs. 3 lit. b, c und d DSGVO (Art. 34 Abs. 2 DSGVO):

* die **Art der Verletzung**;
* **Name und Kontaktdaten** des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
* die **wahrscheinlichen Folgen** der Verletzung;
* die **ergriffenen oder vorgeschlagenen Maßnahmen** zur Behebung und zur Abmilderung, gegebenenfalls mit konkreten Empfehlungen, was die Betroffenen selbst tun können (etwa Passwörter ändern, Karten sperren lassen).

Der Verweis erfasst bewusst nicht lit. a, sodass die Kategorien und Zahlen der Betroffenen und Datensätze nicht mitzuteilen sind. Die Beschreibung der Art der Verletzung selbst bleibt aber erforderlich.

## 3. Form und Frist [#3-form-und-frist]

Die Benachrichtigung erfolgt unverzüglich, also so schnell wie möglich. Soweit zum Schutz der Betroffenen erforderlich, kann sie vor oder zeitgleich mit der Meldung an die Aufsichtsbehörde erfolgen. Sie wird grundsätzlich **direkt** an die Betroffenen gerichtet, durch eine eigens für diesen Zweck erstellte Mitteilung. Sie darf nicht in andere Inhalte eingebettet werden, etwa in einen Newsletter oder eine Standardmitteilung, weil das Klarheit und Aufmerksamkeit beeinträchtigt (EDPB, [Leitlinien 9/2022](https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_de_0.pdf), Rn. 89). Geeignete Kanäle sind die direkte Ansprache per E-Mail, SMS oder Messenger, ein prominent platzierter Hinweis auf der Website oder eine postalische Mitteilung. Eine bloße Pressemitteilung oder ein Blogeintrag genügen nicht. Zu vermeiden sind Kanäle, die durch die Verletzung selbst beeinträchtigt sein könnten. Die Mitteilung muss in einer Sprache und Form erfolgen, die die Betroffenen verstehen.

## 4. Ausnahmen von der Benachrichtigungspflicht [#4-ausnahmen-von-der-benachrichtigungspflicht]

Die Benachrichtigung ist nach Art. 34 Abs. 3 DSGVO nicht erforderlich, wenn eine der drei Voraussetzungen erfüllt ist:

* **Vorsorgliche Schutzmaßnahmen (lit. a).** Der Verantwortliche hatte vor der Verletzung geeignete technische und organisatorische Maßnahmen getroffen und auf die betroffenen Daten angewandt, durch die die Daten für Unbefugte unzugänglich sind, etwa eine dem Stand der Technik entsprechende Verschlüsselung. Wird der Schlüssel kompromittiert oder die Verschlüsselung angreifbar, ist neu zu bewerten.
* **Nachträgliche Risikobeseitigung (lit. b).** Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, etwa indem er den unberechtigten Zugang sofort gesperrt hat, bevor die Daten genutzt werden konnten. Hat sich ein Schaden bereits verwirklicht, entfällt die Pflicht nicht.
* **Unverhältnismäßiger Aufwand (lit. c).** Wäre die direkte Benachrichtigung mit unverhältnismäßigem Aufwand verbunden, etwa weil die Kontaktdaten vieler Betroffener fehlen, tritt an ihre Stelle eine öffentliche Bekanntmachung oder eine vergleichbar wirksame Maßnahme. Bloße Mehrarbeit oder Kosten genügen dafür nicht; dem Transparenzgedanken entspricht am ehesten die individuelle Information.

Beruft sich der Verantwortliche auf eine Ausnahme, muss er deren Voraussetzungen nachweisen können.

## 5. Anordnung durch die Aufsichtsbehörde [#5-anordnung-durch-die-aufsichtsbehörde]

Hat der Verantwortliche die Betroffenen nicht benachrichtigt, kann die Aufsichtsbehörde dies anordnen, wenn sie das Risiko als hoch einschätzt, oder umgekehrt feststellen, dass eine Ausnahme nach Abs. 3 vorliegt (Art. 34 Abs. 4 DSGVO). Dies ist ein weiterer Grund, die Entscheidung gegen eine Benachrichtigung sorgfältig zu begründen und zu dokumentieren. Hält die Aufsichtsbehörde die Begründung für unzureichend, kann sie von ihren Befugnissen und Sanktionen Gebrauch machen.


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.