Datenschutzverstoß melden 2026: Meldepflichten nach Art. 33/34 DSGVO für Unternehmen

Datenschutzrecht-Blog

Privacy DatenschutzRansomware, Fehlversand, verlorener Laptop – Datenpannen passieren täglich. Die DSGVO verpflichtet Unternehmen, Datenschutzverstöße innerhalb von 72 Stunden zu melden. Dieser Beitrag erklärt praxisnah die Meldepflichten nach Art. 33 und 34 DSGVO, die parallelen NIS-2-Anforderungen und liefert eine Incident-Response-Checkliste in 7 Schritten.

Was ist eine Datenschutzverstoß (Data Breach)?

Art. 4 Nr. 12 DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine Sicherheitsverletzung, die – ob unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.

Die drei Kategorien:

  • Vertraulichkeitsverletzung: Unbefugte erhalten Zugang zu Daten (z. B. Hackerangriff, Fehlversand per E-Mail).
  • Integritätsverletzung: Daten werden unbefugt verändert (z. B. Manipulation von Datenbanken).
  • Verfügbarkeitsverletzung: Daten sind vorübergehend oder dauerhaft nicht zugänglich (z. B. Ransomware-Angriff ohne Backup).

Wichtig: Auch ein vorübergehender Verlust der Verfügbarkeit kann eine meldepflichtige Datenpanne sein – etwa wenn ein Krankenhaus durch Ransomware keinen Zugriff auf Patientenakten hat.

Typische Datenpannen in der Praxis

VorfallKategorieRisikobewertung
Ransomware-Angriff mit Datenexfiltration Vertraulichkeit + Verfügbarkeit In der Regel hohes Risiko – Meldepflicht nach Art. 33 und 34 DSGVO
E-Mail mit Kundendaten an falschen Empfänger Vertraulichkeit Abhängig von Art und Umfang der Daten
Verlorener Laptop ohne Verschlüsselung Vertraulichkeit Hohes Risiko bei sensiblen Daten
Offene Cloud-Datenbank (Fehlkonfiguration) Vertraulichkeit Hohes Risiko, wenn personenbezogene Daten betroffen
Versehentliche Löschung von Kundendaten Verfügbarkeit + Integrität Abhängig von Wiederherstellbarkeit
Phishing mit kompromittierten Zugangsdaten Vertraulichkeit Hohes Risiko bei Zugang zu personenbezogenen Daten

Art. 33 DSGVO: Meldung an die Aufsichtsbehörde

Wann muss gemeldet werden?

Nach Art. 33 Abs. 1 DSGVO muss der Verantwortliche eine Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Die 72-Stunden-Frist beginnt, sobald das Unternehmen „Kenntnis“ von der Datenpanne erlangt. Das bedeutet: Sobald eine hinreichende Gewissheit besteht, dass eine Sicherheitsverletzung stattgefunden hat, die zu einer Kompromittierung personenbezogener Daten geführt hat.

Wann muss NICHT gemeldet werden?

Eine Meldung kann unterbleiben, wenn die Datenpanne voraussichtlich nicht zu einem Risiko führt. Beispiele:

  • Verlust eines verschlüsselten USB-Sticks mit starker Verschlüsselung (AES-256), wenn der Schlüssel nicht kompromittiert ist.
  • Fehlversand einer E-Mail mit nicht-sensiblen, bereits öffentlich zugänglichen Informationen.
  • Kurzzeitige Nichtverfügbarkeit eines Systems ohne Auswirkungen auf Betroffene.

Achtung: Auch wenn keine Meldung erfolgt, besteht eine Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO.

Pflichtangaben der Meldung (Art. 33 Abs. 3 DSGVO)

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Angaben enthalten:

  1. Beschreibung der Art der Verletzung – einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze.
  2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle.
  3. Beschreibung der wahrscheinlichen Folgen der Datenpanne.
  4. Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung und zur Abmilderung möglicher nachteiliger Auswirkungen.

Stehen nicht alle Informationen sofort zur Verfügung, können sie gemäß Art. 33 Abs. 4 DSGVO schrittweise nachgeliefert werden – die erste Meldung muss aber innerhalb der 72-Stunden-Frist erfolgen.

Zuständige Aufsichtsbehörde

Die Meldung erfolgt an die Datenschutzaufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Die meisten Landesbehörden stellen Online-Meldeformulare bereit. Bei grenzüberschreitenden Verarbeitungen gilt das One-Stop-Shop-Prinzip (Art. 56 DSGVO).

Art. 34 DSGVO: Benachrichtigung der Betroffenen

Wann müssen Betroffene informiert werden?

Zusätzlich zur Meldung an die Aufsichtsbehörde müssen die betroffenen Personen unverzüglich benachrichtigt werden, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt (Art. 34 Abs. 1 DSGVO).

Die Schwelle liegt also höher als bei Art. 33: Nicht jedes Risiko löst die Benachrichtigungspflicht aus – nur ein hohes Risiko.

Wann kann die Benachrichtigung unterbleiben?

Nach Art. 34 Abs. 3 DSGVO ist die Benachrichtigung nicht erforderlich, wenn:

  • Das Unternehmen geeignete Schutzmaßnahmen getroffen hat (z. B. Verschlüsselung), die die Daten für Unbefugte unzugänglich machen.
  • Das Unternehmen nachträgliche Maßnahmen ergriffen hat, die sicherstellen, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.
  • Die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde – dann genügt eine öffentliche Bekanntmachung.

Inhalt der Benachrichtigung

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens enthalten:

  • Art der Datenpanne
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Wahrscheinliche Folgen
  • Ergriffene und empfohlene Maßnahmen

Die Risikobewertung: Herzstück der Entscheidung

Die zentrale Frage lautet: Besteht ein Risiko (Art. 33) oder sogar ein hohes Risiko (Art. 34) für die Rechte und Freiheiten der Betroffenen?

Maßgebliche Kriterien nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA):

  • Art der betroffenen Daten: Gesundheitsdaten, Finanzdaten oder Daten nach Art. 9 DSGVO erhöhen das Risiko erheblich.
  • Identifizierbarkeit: Können Betroffene anhand der Daten direkt identifiziert werden?
  • Schwere der Folgen: Finanzielle Schäden, Identitätsdiebstahl, Diskriminierung, Rufschädigung?
  • Besondere Eigenschaften der Betroffenen: Kinder, Patienten, Arbeitnehmer – vulnerable Gruppen erhöhen das Risiko.
  • Anzahl der Betroffenen: Mehr Betroffene = tendenziell höheres Risiko.
  • Böswilligkeit: Gezielter Angriff vs. versehentlicher Verlust.

Praxistipp: Dokumentieren Sie die Risikobewertung immer schriftlich – unabhängig vom Ergebnis. Die Aufsichtsbehörde kann jederzeit Rechenschaft verlangen (Art. 5 Abs. 2 DSGVO, Accountability).

Dokumentationspflichten: Auch ohne Meldung Pflicht

Art. 33 Abs. 5 DSGVO verlangt, dass jede Datenpanne intern dokumentiert wird – unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erfolgt. Diese Dokumentation muss umfassen:

  • Sachverhalt der Datenpanne
  • Auswirkungen
  • Ergriffene Abhilfemaßnahmen
  • Begründung, falls keine Meldung erfolgt ist

Ein lückenloses Verarbeitungsverzeichnis der Datenpannen dient als Nachweis gegenüber der Aufsichtsbehörde und ist bei Prüfungen unverzichtbar.

NIS-2: Parallele Meldepflichten an das BSI

Seit der Umsetzung der NIS-2-Richtlinie müssen Betreiber wesentlicher und wichtiger Einrichtungen parallel zur DSGVO auch Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) melden.

NIS-2 Meldefristen im Überblick

FristInhalt
24 Stunden Frühwarnung: Erste Meldung an das BSI mit grundlegenden Informationen
72 Stunden Ausführlicher Bericht: Erste Bewertung, Schwere, Auswirkungen, Indikatoren
1 Monat Abschlussbericht: Detaillierte Beschreibung, Ursachenanalyse, Maßnahmen

DSGVO und NIS-2 gleichzeitig?

Wenn ein Cyberangriff sowohl personenbezogene Daten betrifft (DSGVO) als auch die IT-Sicherheit einer wesentlichen oder wichtigen Einrichtung (NIS-2), müssen beide Meldewege parallel bedient werden:

  • DSGVO: Meldung an die Datenschutz-Aufsichtsbehörde (72 Stunden)
  • NIS-2: Frühwarnung an das BSI (24 Stunden), dann weitere Berichte

Unternehmen sollten ihren Incident-Response-Prozess so aufbauen, dass beide Meldepflichten von Anfang an berücksichtigt werden.

Bußgeldrisiken bei Nichtmeldung

DSGVO-Bußgelder (Art. 83 Abs. 4 lit. a DSGVO)

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Dies betrifft Verstöße gegen Art. 33 und Art. 34 DSGVO.

Die europäischen Aufsichtsbehörden verhängen regelmäßig Bußgelder wegen verspäteter oder unterlassener Meldungen. Verspätete Meldungen werden mit Bußgeldern im sechsstelligen Bereich sanktioniert, unterlassene Benachrichtigungen der Betroffenen ziehen zusätzliche Sanktionen nach sich. Auch bei einer korrekten Meldung kann die Aufsichtsbehörde Bußgelder verhängen, wenn die interne Dokumentation unzureichend ist.

NIS-2-Bußgelder

Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

Praxis-Checkliste: Incident Response in 7 Schritten

Ein strukturierter Incident-Response-Prozess ist der Schlüssel zur fristgerechten und vollständigen Meldung:

Schritt 1: Erkennung und Ersteinschätzung (Stunde 0–2)

  • Sicherheitsvorfall identifizieren und verifizieren
  • Incident-Response-Team aktivieren (IT-Sicherheit, DSB, Geschäftsführung, ggf. Rechtsabteilung)
  • Erste Einschätzung: Sind personenbezogene Daten betroffen?

Schritt 2: Eindämmung (Stunde 2–12)

  • Betroffene Systeme isolieren
  • Angriffsvektoren schließen
  • Beweissicherung (Logs, Forensik)

Schritt 3: Risikobewertung (Stunde 6–24)

  • Art und Umfang der betroffenen Daten ermitteln
  • Risiko für Betroffene bewerten (kein Risiko / Risiko / hohes Risiko)
  • Entscheidung über Meldepflicht nach Art. 33 und Art. 34 DSGVO
  • Bei NIS-2-Relevanz: Frühwarnung an BSI innerhalb von 24 Stunden

Schritt 4: Meldung an die Aufsichtsbehörde (innerhalb 72 Stunden)

  • Online-Meldeformular der zuständigen Aufsichtsbehörde ausfüllen
  • Pflichtangaben nach Art. 33 Abs. 3 DSGVO vollständig angeben
  • Bei unvollständigen Informationen: Nachmeldung ankündigen

Schritt 5: Benachrichtigung der Betroffenen (falls Art. 34 greift)

  • Benachrichtigung in klarer, verständlicher Sprache
  • Empfehlungen für Schutzmaßnahmen (z. B. Passwort ändern)
  • Dokumentation der Benachrichtigung

Schritt 6: Forensik und Wiederherstellung (Tage 1–14)

  • Detaillierte forensische Analyse
  • Ursache identifizieren und beseitigen
  • Systeme wiederherstellen und absichern
  • Bei NIS-2: Ausführlicher Bericht an BSI innerhalb 72 Stunden

Schritt 7: Nachbereitung und Prävention (Woche 2–4)

  • Lessons Learned dokumentieren
  • Incident-Response-Plan aktualisieren
  • Technische und organisatorische Maßnahmen (TOM) verbessern
  • Bei NIS-2: Abschlussbericht an BSI innerhalb eines Monats
  • Gesamte Datenpanne intern dokumentieren (Art. 33 Abs. 5 DSGVO)

Muster-Ablaufplan für Unternehmen

Phase 1 – Vorbereitung (vor dem Vorfall):

  • Incident-Response-Team benennen (IT, DSB, Geschäftsführung, externe Berater)
  • Meldewege und Zuständigkeiten dokumentieren
  • Vorlagen für Meldungen an Aufsichtsbehörde und Betroffene bereithalten
  • Kontaktdaten der zuständigen Aufsichtsbehörde hinterlegen
  • Regelmäßige Schulungen und Übungen durchführen

Phase 2 – Reaktion (0–72 Stunden):

  • Vorfall erkennen → Incident-Response-Team alarmieren
  • Eindämmung → Risikobewertung → Meldepflicht prüfen
  • Bei Risiko: Meldung an Aufsichtsbehörde innerhalb 72 Stunden
  • Bei hohem Risiko: Betroffene unverzüglich benachrichtigen
  • Bei NIS-2-Relevanz: BSI-Frühwarnung innerhalb 24 Stunden

Phase 3 – Aufarbeitung (1–4 Wochen):

  • Forensische Analyse abschließen
  • Nachmeldungen an Aufsichtsbehörde (falls erforderlich)
  • NIS-2-Abschlussbericht an BSI (1 Monat)
  • Interne Dokumentation vervollständigen
  • Maßnahmenplan umsetzen und Wirksamkeit prüfen

Fazit: Vorbereitung ist alles

Ein Datenschutzverstoß lässt sich nicht immer verhindern – aber die Reaktion darauf lässt sich planen. Unternehmen, die über einen getesteten Incident-Response-Prozess verfügen, melden schneller, vollständiger und reduzieren ihr Bußgeldrisiko erheblich.

Die Kombination aus DSGVO-Meldepflichten und den neuen NIS-2-Anforderungen erhöht die Komplexität deutlich. Wer hier unsicher ist, sollte seinen Meldeprozess jetzt überprüfen – nicht erst, wenn der Ernstfall eintritt.

DURY LEGAL und DURY CONSULT unterstützen Sie

Sie haben einen Datenschutzverstoß in Ihrem Unternehmen entdeckt und sind unsicher, ob eine Meldepflicht besteht? Oder Sie möchten Ihren Incident-Response-Prozess rechtlich absichern?

DURY LEGAL berät Sie zusammen mit den Experten von DURY CONSULT (https://www.dury-consult.com) zu allen Fragen rund um DSGVO-Meldepflichten, NIS-2-Compliance und Datenschutz-Incident-Response.

Kontaktieren Sie uns: www.dury.de – Standorte: Frankfurt am Main und Saarbrücken

Autor
Slartibartfast