# Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)

Wann eine Datenschutzverletzung der Aufsichtsbehörde zu melden ist, die 72-Stunden-Frist und ihre Berechnung, die zuständige Behörde, der Mindestinhalt der Meldung, schrittweise und gebündelte Meldung sowie die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.3-meldung-an-die-aufsichtsbehoerde
> Sprache: en



Ergibt die Risikobewertung mindestens ein Risiko für die Rechte und Freiheiten natürlicher Personen, ist die Datenschutzverletzung der Aufsichtsbehörde zu melden. Diese Seite beantwortet die vier praktischen Fragen: wann, an wen, mit welchem Inhalt und in welcher Frist. Hinzu kommt die von der Meldung unabhängige Dokumentationspflicht.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Zu melden ist jede Verletzung, außer sie führt voraussichtlich nicht zu einem Risiko (Art. 33 Abs. 1 DSGVO).
  * Frist: unverzüglich, möglichst binnen 72 Stunden ab Kenntnis. Bei Überschreitung ist eine Begründung beizufügen.
  * Adressat ist die zuständige Aufsichtsbehörde; bei grenzüberschreitender Verarbeitung die federführende Behörde (One-Stop-Shop).
  * Der Mindestinhalt steht in Art. 33 Abs. 3 DSGVO; fehlende Angaben dürfen schrittweise nachgereicht werden (Abs. 4).
  * Jede Verletzung ist zu dokumentieren, auch die nicht gemeldete (Art. 33 Abs. 5 DSGVO).
</Callout>

## 1. Wann zu melden ist [#1-wann-zu-melden-ist]

Die Meldepflicht ist die Regel, die Nichtmeldung die Ausnahme. Sie entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DSGVO). Die Einstufung leistet die [Risikobewertung](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.2-risikobewertung). Sieht der Verantwortliche von einer Meldung ab, muss er nachweisen können, dass kein Risiko bestand; das ergibt sich aus der Systematik der Norm und aus der Rechenschaftspflicht.

## 2. Frist: unverzüglich, möglichst binnen 72 Stunden [#2-frist-unverzüglich-möglichst-binnen-72-stunden]

### 2.1 Fristbeginn und Bedeutung der 72 Stunden [#21-fristbeginn-und-bedeutung-der-72-stunden]

Die Meldung erfolgt unverzüglich, das heißt ohne schuldhaftes Zögern, und möglichst binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt wurde (Art. 33 Abs. 1 DSGVO). Maßgeblich für den Fristbeginn ist die Kenntnis, also der Zeitpunkt hinreichender Gewissheit, dass personenbezogene Daten betroffen sind (siehe [Erste Schritte und interner Ablauf](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf)). Die 72 Stunden sind eine Höchstgrenze und kein Puffer: Wer früher melden kann, muss früher melden.

### 2.2 Berechnung der Frist [#22-berechnung-der-frist]

Die Frist berechnet sich nach den unionsrechtlichen Fristenregeln, nicht nach dem BGB. Es handelt sich um eine nach Stunden bemessene Frist. Sie beginnt nicht sofort mit der Kenntnis, sondern mit Anfang der nächsten vollen Stunde, und endet mit Ablauf der 72. Stunde. Sie läuft an Feiertagen, Sonntagen und Samstagen weiter und verlängert sich nicht auf den nächsten Werktag, wenn sie an einem solchen Tag endet (BayLfD, [Orientierungshilfe Meldepflicht und Benachrichtigungspflicht](https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf), Rn. 76 ff.). Erstreckt sich die Frist über ein Wochenende oder Feiertage, ist also entsprechend vorzusorgen.

<Mermaid
  chart="flowchart LR
  A[&#x22;Do 14:30<br/>Vorfall&#x22;] --> B[&#x22;Fr 08:00<br/>intern bemerkt&#x22;]
  B --> C[&#x22;Fr 18:50<br/>hinreichende Kenntnis&#x22;]
  C --> D[&#x22;Fr 19:00<br/>Frist beginnt&#x22;]
  D --> E[&#x22;Mo 19:00<br/>Frist endet&#x22;]"
/>

Im Beispiel beginnt die Frist erst mit der hinreichenden Kenntnis am Freitag um 18:50 Uhr, gerechnet ab der nächsten vollen Stunde, also ab 19:00 Uhr, und endet am Montag um 19:00 Uhr. Das Wochenende zählt mit.

### 2.3 Verspätete Meldung [#23-verspätete-meldung]

Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen (Art. 33 Abs. 1 S. 2 DSGVO). Die Begründung muss nachvollziehbar darlegen, warum nicht früher gemeldet wurde; bloße Stichworte genügen nicht. Eine verspätete Meldung kann aufsichtsbehördliche Maßnahmen und ein Bußgeld nach sich ziehen.

## 3. An welche Aufsichtsbehörde [#3-an-welche-aufsichtsbehörde]

Adressat ist die nach Art. 55 DSGVO zuständige Aufsichtsbehörde. Bei einer grenzüberschreitenden Verarbeitung meldet der Verantwortliche an die federführende Aufsichtsbehörde, die als einzige Anlaufstelle dient (One-Stop-Shop). Die federführende Behörde befindet sich nicht notwendig dort, wo die Betroffenen wohnen oder der Vorfall stattfand; der Verantwortliche sollte bei der Vorbereitung seines Reaktionsplans klären, welche Behörde das ist. Ist unklar, welche Behörde federführend ist, sollte zumindest an die lokale Aufsichtsbehörde des Ortes gemeldet werden, an dem sich der Vorfall ereignet hat. Ein nicht in der EU niedergelassener Verantwortlicher, der dem räumlichen Anwendungsbereich der DSGVO unterliegt, unterrichtet jede Aufsichtsbehörde, in deren Mitgliedstaat Betroffene ihren Aufenthalt haben (EDPB, [Leitlinien 9/2022](https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202209_personal_data_breach_notification_v2.0_de_0.pdf), Rn. 73).

## 4. Inhalt der Meldung [#4-inhalt-der-meldung]

Die Meldung muss mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben enthalten. Die Aufsichtsbehörden stellen dafür regelmäßig Online-Formulare bereit.

* **Art der Verletzung**, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen Datensätze (lit. a).
* **Name und Kontaktdaten** des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (lit. b).
* **Beschreibung der wahrscheinlichen Folgen** der Verletzung (lit. c).
* **Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen** zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer nachteiligen Auswirkungen (lit. d).

Das Fehlen genauer Zahlen darf die Meldung nicht aufhalten; ungefähre Angaben und Schätzungen genügen zunächst. Bei Bedarf können weitere Angaben ergänzt werden, etwa der Hinweis auf einen beteiligten Auftragsverarbeiter.

## 5. Schrittweise und gebündelte Meldung [#5-schrittweise-und-gebündelte-meldung]

Liegen nicht alle Informationen rechtzeitig vor, darf der Verantwortliche zunächst eine Erstmeldung abgeben und die fehlenden Angaben ohne unangemessene weitere Verzögerung schrittweise nachreichen (Art. 33 Abs. 4 DSGVO). Empfehlenswert ist, die Aufsichtsbehörde in der Erstmeldung darauf hinzuweisen, dass weitere Angaben folgen. Treten in einem kurzen Zeitraum mehrere sehr ähnliche Verletzungen auf, dürfen diese in einer aussagekräftigen Meldung gebündelt werden, sofern dieselben Arten von Daten auf dieselbe Weise betroffen sind. Stellt sich nach einer Erstmeldung heraus, dass doch keine Verletzung vorlag, kann die Meldung korrigiert werden; eine Strafe für die Meldung eines Vorfalls, der sich nicht als Verletzung erweist, gibt es nicht.

## 6. Dokumentationspflicht nach Art. 33 Abs. 5 [#6-dokumentationspflicht-nach-art-33-abs-5]

Unabhängig davon, ob gemeldet wird, dokumentiert der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten, einschließlich aller damit zusammenhängenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen (Art. 33 Abs. 5 DSGVO). Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht ermöglichen. Sie ist Ausdruck der [Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht) (Art. 5 Abs. 2 DSGVO). Festzuhalten sind insbesondere Ursache und Hergang, die betroffenen Daten, die Auswirkungen und die Maßnahmen sowie, bei einer Entscheidung gegen die Meldung, die Begründung, warum kein Risiko angenommen wurde. Eine eigene Aufbewahrungsfrist nennt die DSGVO nicht; die Dokumentation ist so vorzuhalten, dass die Aufsichtsbehörde sie auf Anfrage prüfen kann. Ein internes Verzeichnis der Datenschutzverletzungen ist hierfür das geeignete Werkzeug.

## 7. Schutz vor Selbstbelastung [#7-schutz-vor-selbstbelastung]

Eine in der Praxis verbreitete Sorge ist, dass die eigene Meldung Ermittlungen gegen das Unternehmen oder die handelnden Personen auslöst. Dem trägt das Gesetz Rechnung: Informationen, die der Meldepflichtige aufgrund der Meldepflicht gibt, dürfen in einem Strafverfahren gegen ihn oder bestimmte Angehörige nur mit seiner Zustimmung verwendet werden (§ 42 Abs. 4 BDSG); Entsprechendes gilt für Verfahren nach dem Gesetz über Ordnungswidrigkeiten (§ 43 Abs. 4 BDSG). Die Pflicht zur Meldung selbst entfällt dadurch nicht, und die Sorge vor Sanktionen rechtfertigt es nicht, eine meldepflichtige Verletzung zu verschweigen.


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.