SimpleAct Logo
DSGVO · Art. 33 & 34

Datenpanne melden – die 72-Stunden-Frist

Bei einer Verletzung des Schutzes personenbezogener Daten haben Sie nach Art. 33 DSGVO nur 72 Stunden Zeit, die Aufsichtsbehörde zu informieren. SimpleAct hält Frist, Risikobewertung und Meldekette nachweisbar im Griff.

Kostenlos starten DSGVO-Compliance ansehen

Was ist eine meldepflichtige Datenpanne?

Eine Datenpanne (Data Breach) ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt – ob durch Hackerangriff, Fehlversand, verlorenen Laptop oder Fehlkonfiguration. Sobald ein Risiko für die Betroffenen besteht, greift die Meldepflicht nach Art. 33, bei hohem Risiko zusätzlich die Benachrichtigungspflicht nach Art. 34.

Pflichten bei einer Datenpanne

Meldung an die Behörde (Art. 33)
Innerhalb von 72 Stunden nach Bekanntwerden – außer die Panne führt voraussichtlich nicht zu einem Risiko.
Benachrichtigung Betroffener (Art. 34)
Bei voraussichtlich hohem Risiko müssen auch die betroffenen Personen unverzüglich informiert werden.
Interne Dokumentation
Jede Datenpanne ist zu dokumentieren – auch wenn sie nicht gemeldet wird (Rechenschaftspflicht).
Risikobewertung
Art und Schwere der Panne bestimmen, ob und wen Sie informieren müssen – nachvollziehbar zu begründen.

Sofortmaßnahmen bei einer Datenpanne

  • Vorfall erfassen und Zeitpunkt des Bekanntwerdens festhalten
  • Betroffene Daten, Personen und Systeme eingrenzen
  • Sofortmaßnahmen zur Eindämmung ergreifen
  • Risiko für die Betroffenen bewerten
  • Bei Risiko: Meldung an Aufsichtsbehörde binnen 72 Stunden
  • Bei hohem Risiko: Betroffene unverzüglich benachrichtigen
  • Vorfall, Bewertung und Maßnahmen lückenlos dokumentieren

72-Stunden-Frist ab Kenntnis

Die Frist beginnt, sobald Ihnen die Datenpanne bekannt wird – nicht erst nach vollständiger Aufklärung. Verspätete Meldungen sind möglich, müssen aber begründet werden. Ein eingeübter Prozess mit Fristen-Tracking ist daher entscheidend.

Häufige Fragen zur Datenpanne

Muss jede Datenpanne gemeldet werden?

Nein. Eine Meldung an die Behörde entfällt, wenn die Panne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Dokumentiert werden muss sie aber immer.

Was passiert bei einer verspäteten Meldung?

Erfolgt die Meldung später als 72 Stunden, muss die Verzögerung begründet werden. Eine unterlassene oder stark verspätete Meldung kann ein eigenständiges Bußgeld nach sich ziehen.

Wann müssen Betroffene informiert werden?

Wenn die Datenpanne voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt – etwa bei Offenlegung sensibler Daten oder Zugangsdaten.

Wer meldet bei Auftragsverarbeitung?

Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren. Die Meldung an die Behörde nimmt jedoch der Verantwortliche vor.

Datenpannen-Management mit SimpleAct

Vorfälle erfassen, Risiko bewerten, die 72-Stunden-Frist tracken und Meldungen an Behörden und Betroffene direkt aus dem System dokumentieren.

Jetzt kostenlos starten

Weiterführende Themen

DSGVO-ComplianceDatenschutz-FolgenabschätzungBetroffenenrechteDSGVO-Modul
Yannick Heisler

Yannick Heisler

Vertrieb · Persönliche Beratung

Datenpanne melden – 72-Stunden-Frist nach Art. 33 DSGVO | SimpleAct | SimpleAct