Datenpanne melden: Meldepflichten nach Art. 33 & 34 DSGVO
Wird der Schutz personenbezogener Daten verletzt, verlangt die DSGVO zwei getrennte Reaktionen: die Meldung an die Aufsichtsbehörde und — bei hohem Risiko — die Benachrichtigung der betroffenen Personen. Hier findest du beide Pflichten mit Fristen, Meldeinhalt, Ausnahmen und Fundstellen.
Was ist eine „Datenpanne" im Sinne der DSGVO?
Die DSGVO spricht nicht von „Datenpanne", sondern von einer Verletzung des Schutzes personenbezogener Daten. Der Begriff ist in Art. 4 Nr. 12 DSGVO definiert als eine Verletzung der Sicherheit, die — ob unbeabsichtigt oder unrechtmäßig — zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Merksatz: Eine Datenpanne löst zwei mögliche Pflichten aus — die Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO und die Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO. Die beiden Pflichten haben unterschiedliche Schwellen: „Risiko" bei der Meldung, „hohes Risiko" bei der Benachrichtigung.
Art. 33 — Meldung an die Aufsichtsbehörde
Nach Art. 33 Abs. 1 DSGVO meldet der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde". Die Meldung entfällt nur, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen.
Rolle des Auftragsverarbeiters
Tritt die Verletzung beim Auftragsverarbeiter auf, meldet dieser sie nach Art. 33 Abs. 2 DSGVO unverzüglich dem Verantwortlichen. Für den Auftragsverarbeiter gilt also keine eigene 72-Stunden-Frist gegenüber der Behörde — er informiert den Verantwortlichen, der dann seiner Meldepflicht nachkommt. Wie sich die Rollen von Verantwortlichem und Auftragsverarbeiter unterscheiden, erklären die DSGVO-Grundlagen.
Welche Angaben die Meldung enthalten muss
Art. 33 Abs. 3 DSGVO nennt den Mindestinhalt der Meldung:
- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
- eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.
Stehen noch nicht alle Angaben zur Verfügung, können die Informationen nach Art. 33 Abs. 4 DSGVO schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
Art. 34 — Benachrichtigung der betroffenen Personen
Zusätzlich zur Meldung an die Behörde kann eine Pflicht bestehen, die betroffenen Personen selbst zu informieren. Nach Art. 34 Abs. 1 DSGVO benachrichtigt der Verantwortliche die betroffene Person unverzüglich, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen" zur Folge hat. Die Schwelle liegt hier also höher als bei der Meldung nach Art. 33: Erforderlich ist nicht nur ein Risiko, sondern ein hohes Risiko.
Die Benachrichtigung beschreibt nach Art. 34 Abs. 2 DSGVO in „klarer und einfacher Sprache" die Art der Verletzung und nennt zumindest die Angaben nach Art. 33 Abs. 3 Buchstaben b, c und d — also Anlaufstelle, wahrscheinliche Folgen und Abhilfemaßnahmen.
Wann die Benachrichtigung unterbleiben darf
Art. 34 Abs. 3 DSGVO nennt drei Ausnahmen, bei denen die Benachrichtigung der betroffenen Personen nicht erforderlich ist:
- Technischer Schutz (lit. a): Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und auf die betroffenen Daten angewandt — insbesondere solche, die die Daten für Unbefugte unzugänglich machen, etwa durch Verschlüsselung.
- Nachträgliche Risikominderung (lit. b): Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko „aller Wahrscheinlichkeit nach nicht mehr besteht".
- Unverhältnismäßiger Aufwand (lit. c): Wäre die individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden, hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Hat der Verantwortliche die betroffenen Personen noch nicht benachrichtigt, kann die Aufsichtsbehörde dies nach Art. 34 Abs. 4 DSGVO verlangen — oder feststellen, dass eine der Ausnahmen des Abs. 3 vorliegt.
Bußgeldrahmen bei Verstößen
Verstöße gegen die Melde- und Benachrichtigungspflichten der Art. 33 und 34 DSGVO fallen unter die niedrigere der beiden Bußgeldstufen. Nach Art. 83 Abs. 4 lit. a DSGVO — der die Pflichten aus den Artikeln 25 bis 39 erfasst — beträgt der Rahmen bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist. Die höhere Stufe des Art. 83 Abs. 5 DSGVO (bis zu 20 000 000 EUR oder 4 %) gilt dagegen für schwerere Verstöße, etwa gegen die Verarbeitungsgrundsätze oder die Betroffenenrechte.
Häufige Fragen
Zählt die 72-Stunden-Frist auch am Wochenende?
Ja. Art. 33 Abs. 1 DSGVO stellt auf 72 Stunden ab, nachdem dem Verantwortlichen die Verletzung bekannt wurde, ohne Werktage vorauszusetzen. Wird die Frist überschritten, verlangt Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung — die Meldung entfällt dadurch nicht.
Was ist der Unterschied zwischen Art. 33 und Art. 34 DSGVO?
Art. 33 regelt die Meldung an die Aufsichtsbehörde und greift bereits bei einem Risiko für die Rechte und Freiheiten natürlicher Personen. Art. 34 regelt die Benachrichtigung der betroffenen Personen selbst und greift erst bei einem hohen Risiko. Eine Datenpanne kann also meldepflichtig sein, ohne dass die betroffenen Personen benachrichtigt werden müssen.
Meldepflichten sicher beherrschen
Übe die Meldepflichten nach Art. 33 und 34 DSGVO und alle weiteren Themengebiete mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
- Art. 4 Nr. 12 DSGVO — Definition „Verletzung des Schutzes personenbezogener Daten"
- Art. 33 DSGVO — Meldung von Verletzungen an die Aufsichtsbehörde
- Art. 34 DSGVO — Benachrichtigung der von einer Verletzung betroffenen Person
- Art. 83 Abs. 4 DSGVO — Bußgeldrahmen (bis 10 Mio. EUR oder 2 %)
- Verordnung (EU) 2016/679 (DSGVO) — Volltext auf EUR-Lex
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679). Keine Rechtsberatung.