Viktoria ComplianceStart Assessment
Zurück zum Blog
GDPR5 min readFebruary 15, 2026

Die 72-Stunden-Regel: Wie Sie einen Datenschutzverstoß melden, ohne zusätzliche Strafen auszulösen

Eine Verletzung des Schutzes personenbezogener Daten ist ein Sicherheitsvorfall, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt. Gemäß Artikel 33 und 34 der Datenschutzgrundverordnung kann die Art und Weise, wie Ihr Unternehmen auf eine Datenschutzverletzung reagiert, ebenso folgenreich sein wie die Verletzung selbst. Eine verspätete oder unzureichende Benachrichtigung wird als separater Verstoß behandelt, der oft eine eigene Strafe nach sich zieht.

Den 72-Stunden-Zeitplan verstehen

Gemäß Artikel 33 Absatz 1 muss der für die Verarbeitung Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, benachrichtigen. Die Frist beginnt nicht, wenn die Verletzung auftritt, sondern wenn die Organisation davon Kenntnis erlangt. Diese Unterscheidung ist wichtig: Eine Verletzung, die bereits vor Wochen stattgefunden hat, aber erst heute entdeckt wird, löst die 72-Stunden-Verpflichtung ab dem Zeitpunkt der Entdeckung aus.

Erfolgt die Benachrichtigung nicht innerhalb von 72 Stunden, muss der für die Verarbeitung Verantwortliche Gründe für die Verzögerung angeben. Die Aufsichtsbehörden haben eine begrenzte Toleranz für unbegründete Verzögerungen gezeigt. Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) hat Geldbußen speziell für verspätete Meldungen verhängt und behandelt diese als einen eindeutigen Verstoß gegen Artikel 83 Absatz 4 Buchstabe a.

Was ist eine meldepflichtige Sicherheitsverletzung?

Nicht jeder Sicherheitsvorfall erfordert eine Meldung an die Aufsichtsbehörde. Artikel 33(1) schränkt die Verpflichtung ein: Eine Benachrichtigung ist erforderlich, es sei denn, die Verletzung führt wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Dieser risikobasierte Schwellenwert bedeutet, dass Sie jede Sicherheitsverletzung einzeln bewerten müssen.

Die EDPB-Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten bieten eine nützliche Taxonomie von meldepflichtigen und nicht meldepflichtigen Szenarien:

Wahrscheinlich meldepflichtig:

  • Ransomware-Angriff verschlüsselt Patientendaten in einem Krankenhaus
  • Unbefugter Zugriff auf eine Kundendatenbank mit Finanzinformationen
  • Fehlgeleitete E-Mail mit Gehaltsdaten eines Mitarbeiters an einen externen Empfänger
  • Gestohlener Laptop mit unverschlüsselten persönlichen Daten
  • Exfiltration von persönlichen Daten durch einen böswilligen Insider

Wahrscheinlich nicht meldepflichtig:

  • Verschlüsselter Laptop verloren oder gestohlen, bei dem der Verschlüsselungsschlüssel nicht kompromittiert wurde
  • Kurzer Stromausfall, der vorübergehend den Zugriff auf Daten verhindert, ohne dass diese dauerhaft verloren gehen
  • Interne fehlgeleitete E-Mails, bei denen der Empfänger zur Vertraulichkeit verpflichtet ist und die Löschung bestätigt

Entscheiden Sie sich im Zweifelsfall für die Meldung. Die Aufsichtsbehörden haben viel mehr Verständnis für Unternehmen, die einen Verstoß melden, der sich als geringes Risiko herausstellt, als für solche, die einen Verstoß nicht melden, der sich später als bedeutend erweist.

Anforderungen an den Inhalt der Benachrichtigung

Artikel 33(3) legt fest, welche Mindestinformationen eine Meldung der Aufsichtsbehörde enthalten muss:

  1. Eine Beschreibung der Art des Verstoßes, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.
  2. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle.
  3. Eine Beschreibung der wahrscheinlichen Folgen des Verstoßes.
  4. Eine Beschreibung der Maßnahmen, die ergriffen oder vorgeschlagen wurden, um den Verstoß zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung seiner möglichen negativen Auswirkungen.

Wenn es nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, können die Informationen schrittweise vorgelegt werden (Artikel 33 Absatz 4). Viele Aufsichtsbehörden akzeptieren eine erste Meldung, gefolgt von ergänzenden Berichten, wenn die Untersuchung fortschreitet.

Wann müssen die betroffenen Personen benachrichtigt werden?

Artikel 34 sieht eine zusätzliche Verpflichtung vor, die betroffenen Personen direkt zu benachrichtigen, wenn die Verletzung wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Die Schwelle ist höher als bei der Benachrichtigung der Aufsichtsbehörde: hohes Risiko und nicht nur Risiko.

Die Mitteilung an die betroffenen Personen muss in klarer und einfacher Sprache erfolgen und die Art der Verletzung, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen und die zur Behebung der Verletzung ergriffenen Maßnahmen beschreiben. Eine direkte Benachrichtigung ist nicht erforderlich, wenn:

  • Der für die Verarbeitung Verantwortliche hat geeignete technische Maßnahmen (wie z.B. Verschlüsselung) ergriffen, die die Daten für Unbefugte unverständlich machen.
  • Der für die Verarbeitung Verantwortliche hat daraufhin Maßnahmen ergriffen, die sicherstellen, dass sich das hohe Risiko nicht mehr verwirklichen lässt.
  • Eine individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden. In diesem Fall ist eine öffentliche Mitteilung oder eine ähnliche Maßnahme zulässig.

Aufbau Ihrer Fähigkeit zur Reaktion auf Sicherheitsverletzungen

Eine wirksame Reaktion auf Sicherheitsverletzungen ist nicht improvisiert. Sie erfordert Vorbereitung, Dokumentation und regelmäßige Tests. Der folgende Rahmen hilft Ihrem Unternehmen, effektiv zu reagieren, wenn eine Sicherheitsverletzung auftritt:

Schritt 1: Erkennung und Eskalation

Implementieren Sie technische Kontrollen (Intrusion Detection, Protokollüberwachung, Endpunkt-Erkennung) und legen Sie klare Eskalationswege fest. Jeder Mitarbeiter sollte wissen, wie er einen vermuteten Verstoß intern melden kann. Definieren Sie ein Reaktionsteam für Sicherheitsverletzungen mit Vertretern der IT, der Rechtsabteilung, der Kommunikationsabteilung und der Geschäftsleitung.

Schritt 2: Ersteinschätzung

Beurteilen Sie innerhalb weniger Stunden nach der Entdeckung Art und Umfang des Verstoßes. Stellen Sie fest, welche Daten betroffen sind, wie viele Personen betroffen sind, ob die Verletzung noch andauert und welche Auswirkungen zu erwarten sind. Diese Bewertung ist ausschlaggebend für Ihre Entscheidungen zur Benachrichtigung.

Schritt 3: Eindämmung

Ergreifen Sie sofortige Maßnahmen, um den Einbruch einzudämmen. Dazu kann es gehören, die betroffenen Systeme zu isolieren, kompromittierte Anmeldedaten zu widerrufen, bösartige IP-Adressen zu blockieren oder Backup-Systeme zu aktivieren. Dokumentieren Sie alle Eindämmungsmaßnahmen und deren Zeitpunkt.

Schritt 4: Benachrichtigung

Bereiten Sie auf der Grundlage Ihrer Risikobewertung eine Meldung an die Aufsichtsbehörde vor und reichen Sie diese innerhalb von 72 Stunden ein. Wenn der Verstoß Artikel 34 auslöst, bereiten Sie parallel dazu Mitteilungen an die betroffenen Personen vor. Verwenden Sie vorgefertigte Vorlagen, um diesen Prozess zu beschleunigen.

Schritt 5: Untersuchung und Abhilfemaßnahmen

Führen Sie eine gründliche Ursachenanalyse durch. Identifizieren Sie die Schwachstelle, die ausgenutzt wurde, die Kontrollen, die versagt haben, und die Maßnahmen, die erforderlich sind, um eine Wiederholung zu verhindern. Dokumentieren Sie die Ergebnisse und führen Sie umgehend Abhilfemaßnahmen durch.

Schritt 6: Überprüfung nach dem Vorfall

Führen Sie nach der unmittelbaren Reaktion eine formelle Nachbereitung mit allen Beteiligten durch. Aktualisieren Sie Ihre Verfahren zur Reaktion auf eine Sicherheitsverletzung auf der Grundlage der gewonnenen Erkenntnisse. Reichen Sie Ihren Abschlussbericht innerhalb des vorgeschriebenen Zeitrahmens bei der Aufsichtsbehörde ein.

Häufige Fehler, die Sie vermeiden sollten

  • Versäumnis, einen Sicherheitsvorfall als Verletzung des Schutzes personenbezogener Daten zu erkennen
  • Abwarten, bis die Untersuchung abgeschlossen ist, bevor Sie die Aufsichtsbehörde benachrichtigen
  • Unvollständige oder ungenaue Angaben in der ersten Meldung
  • Versäumnis, Verstöße zu dokumentieren, die als risikoarm eingestuft werden (Artikel 33 Absatz 5 verlangt ein Register für alle Verstöße)
  • Unterschätzung des Risikos für die betroffenen Personen, um Meldepflichten zu vermeiden
  • Unterlassung der Benachrichtigung betroffener Personen, wenn die Schwelle für ein hohes Risiko gemäß Artikel 34 erreicht ist

Das 72-Stunden-Fenster für die Benachrichtigung ist knapp bemessen, aber Unternehmen, die sich im Voraus vorbereiten (mit dokumentierten Verfahren, Vorlagen für Benachrichtigungen und einem geschulten Team für die Reaktion auf Datenschutzverletzungen), können diese Verpflichtung konsequent erfüllen. Die Kosten für die Vorbereitung sind vernachlässigbar im Vergleich zu den Strafen und dem Imageschaden, die auf eine schlecht gemanagte Reaktion auf eine Datenschutzverletzung folgen.

Prüfen Sie Ihre Compliance-Bereitschaft

Starten Sie unsere kostenlose Bereitschaftsprüfung für DSGVO, NIS2 und KI-Verordnung und erhalten Sie in wenigen Minuten personalisierte Empfehlungen.

Kostenlose Prüfung starten

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.