DSGVO Datenpanne 72 Stunden: Meldung richtig nutzen (2026-Update)

Ein Verschlüsselungstrojaner auf dem Fileserver. Ein verlorenes Notebook im ICE. Eine Phishing-Mail mit Kundendaten an die falsche Adresse. Die DSGVO-Meldepflicht entsteht oft schneller, als die IT den Vorfall überhaupt erfasst. Wer die 72 Stunden verpasst, riskiert ein Bußgeld bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des Vorjahres – auch dann, wenn der eigentliche Schaden gering blieb. Aufsichtsbehörden in Bund und Ländern haben 2024 und 2025 die Prüfpraxis verschärft und reagieren strenger auf unvollständige Meldungen.

Kurzantwort für die Eilige: Innerhalb von 72 Stunden ab Kenntnisnahme muss der Verantwortliche die zuständige Aufsichtsbehörde nach Art. 33 DSGVO informieren. Pflichtinhalte sind Art der Verletzung, betroffene Personen, wahrscheinliche Folgen und ergriffene Maßnahmen. Die Frist läuft kalendarisch, auch am Wochenende. Ein Verstoß kostet bis 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.

Wer Detektion und Meldekette schon vor dem ersten Vorfall etablieren will, kombiniert eine 24/7-Erkennung wie Sophos MDR Complete mit regelmäßigem Phish-Threat-Awareness-Training. Beides senkt die Wahrscheinlichkeit, dass ein Vorfall überhaupt zur meldepflichtigen Datenpanne eskaliert.

Wann beginnen die 72 Stunden DSGVO-Frist tatsächlich zu laufen?

Die Frist startet nicht mit dem technischen Vorfall, sondern mit dem Zeitpunkt, an dem der Verantwortliche Kenntnis von der Verletzung erhält. Das ist nach Art. 33 Abs. 1 DSGVO der Moment, in dem der Verantwortliche „mit hinreichender Sicherheit von der Verletzung ausgehen kann“. Eine bloße Verdachtslage reicht nicht, eine kurze interne Plausibilitätsprüfung schon.

Die Datenschutzkonferenz hat in ihrem Kurzpapier Nr. 18 konkretisiert: Eine kurze Prüfphase, ob überhaupt personenbezogene Daten betroffen sind, ist zulässig und wird der 72-Stunden-Frist nicht angerechnet, solange sie unverzüglich erfolgt. Schleppen sich Vorprüfungen über Tage, akzeptieren Behörden das im Regelfall nicht.

Welche Datenpannen sind überhaupt meldepflichtig?

Nicht jeder IT-Vorfall ist eine Datenpanne im Sinn der DSGVO. Meldepflichtig ist eine „Verletzung des Schutzes personenbezogener Daten“, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Eine reine Verfügbarkeitsstörung ohne Datenabfluss kann eine Datenpanne sein, ist es aber nicht zwingend.

Typische Fälle, die in der Praxis fast immer gemeldet werden müssen:

• Ransomware mit Verschlüsselung von Kunden- oder Personaldaten
• Phishing mit erfolgreichem Login auf ein Postfach mit personenbezogenem Inhalt
• Versand einer E-Mail mit personenbezogenen Daten an einen falschen externen Empfänger
• Verlust eines unverschlüsselten Notebooks, USB-Sticks oder Smartphones
• Fehlkonfiguration eines Cloud-Storage-Buckets mit öffentlichem Lesezugriff
• Unautorisierter Admin-Zugriff durch einen Innentäter oder ehemaligen Dienstleister

Nicht meldepflichtig ist in der Regel ein abgewehrter Brute-Force-Angriff, ein Phishing-Versuch ohne Klick oder eine erfolgreich blockierte Schadsoftware auf einem isolierten System. Die NIS2-Compliance-Checkliste für KMU zeigt zusätzlich, welche Pflichten parallel zur DSGVO greifen, wenn ein Unternehmen unter NIS2 fällt.

DSGVO Datenpanne 72 Stunden: Was muss in der Meldung an die Aufsichtsbehörde stehen?

Art. 33 Abs. 3 DSGVO listet die Mindestinhalte der Meldung. In der Praxis erwarten die Aufsichtsbehörden zusätzlich nachvollziehbare Zeitstempel und eine ehrliche Bewertung des Risikos – auch dann, wenn nicht jede Frage am ersten Tag beantwortbar ist.

1. Art der Verletzung (Vertraulichkeit, Integrität, Verfügbarkeit oder Kombination)
2. Kategorien und ungefähre Zahl der betroffenen Personen
3. Kategorien und ungefähre Zahl der betroffenen Datensätze
4. Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
5. Wahrscheinliche Folgen der Verletzung
6. Bereits ergriffene oder vorgeschlagene Abhilfemaßnahmen
7. Begründung bei Überschreitung der 72-Stunden-Frist

Wer einzelne Punkte zum Meldezeitpunkt noch nicht final beantworten kann, darf nachreichen. Art. 33 Abs. 4 DSGVO erlaubt eine schrittweise Meldung explizit. Die Behörde will jedoch sehen, dass der Verantwortliche aktiv weiterermittelt. Belastbare Logdaten aus einem Managed-SOC erleichtern diese Folge-Berichte erheblich.

Wann müssen auch die Betroffenen informiert werden?

Parallel zur Behörde verlangt Art. 34 DSGVO eine Benachrichtigung der betroffenen Personen, wenn ein „hohes Risiko“ für deren Rechte und Freiheiten besteht. Die Schwelle „hohes Risiko“ liegt über der Schwelle „Risiko“ aus Art. 33 – nicht jede meldepflichtige Panne erfordert also automatisch eine Betroffenenmeldung.

Indikatoren für hohes Risiko sind: Klartext-Veröffentlichung sensibler Daten, Diebstahl von Zugangsdaten zu Bank- oder Gesundheitskonten, anhaltende Identitätsdiebstahl-Gefahr oder Veröffentlichung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die Betroffenenmeldung muss in klarer und einfacher Sprache erfolgen, nicht im Juristendeutsch. Ein Musterschreiben pro Risikoszenario gehört in jeden Cyber-Notfallplan.

Welche Vorbereitungen sparen im Ernstfall die meiste Zeit?

Die häufigste Ursache verpasster 72-Stunden-Fristen ist nicht der Vorfall selbst, sondern die fehlende organisatorische Vorbereitung. Drei Maßnahmen senken das Risiko spürbar:

• Verantwortlichkeiten klären. Wer aktiviert den DSB? Wer entscheidet über die Meldung? Wer kontaktiert die Aufsichtsbehörde? Diese Rollen gehören vor dem ersten Vorfall in eine schriftliche Eskalationskette.
• Detektion verbessern. Nur was erkannt wird, kann gemeldet werden. Eine EDR- oder MDR-Lösung wie Sophos MDR Complete erkennt Ransomware und Datenabfluss in der Regel früher als ein händisch betreutes SIEM (Security Information and Event Management).
• Mitarbeiter sensibilisieren. Viele Datenpannen entstehen durch Fehlversand, Phishing oder verlorene Geräte. Regelmäßige Awareness-Schulungen über Lösungen wie Sophos Phish Threat können Klickraten auf Phishing-Simulationen reduzieren.

Begleitend lohnt der Aufbau einer formalen Awareness- und Compliance-Schulung, damit die Eskalationskette nicht nur auf dem Papier steht.

Was passiert bei verspäteter oder fehlender Meldung?

Die Aufsichtsbehörden verhängen Bußgelder nach Art. 83 Abs. 4 DSGVO. Der Rahmen reicht bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist. In der Aufsichtspraxis fallen Bußgelder oft niedriger aus, eine fehlende Meldung wirkt jedoch fast immer erschwerend.

Die Behörden berücksichtigen mildernd: nachweisbare technisch-organisatorische Maßnahmen, ein dokumentierter Incident-Response-Plan, schnelle Kooperation und transparente Kommunikation. Erschwerend wirken: verspätete Meldungen ohne Begründung, unvollständige Angaben oder der Versuch, die Tragweite zu verschleiern. Eine strukturierte Vorbereitung nach den Hinweisen aus dem Incident-Response-Leitfaden wirkt im Bußgeldverfahren bußgeldmindernd.

Häufige Fragen zur 72-Stunden-Meldung

Was muss in den 72 Stunden nach einer DSGVO-Datenpanne passieren?

Innerhalb von 72 Stunden ab Kenntnisnahme muss der Verantwortliche die zuständige Aufsichtsbehörde informieren. Die Meldung enthält Art der Verletzung, betroffene Personenkategorien, wahrscheinliche Folgen und bereits ergriffene Maßnahmen. Fehlende Angaben können mit Begründung nachgereicht werden, ohne die Erstmeldung zu verzögern.

Welche Aufsichtsbehörde ist zuständig?

Zuständig ist die Landesdatenschutzbehörde am Sitz des Unternehmens. Bei grenzüberschreitender Verarbeitung greift das One-Stop-Shop-Verfahren mit einer federführenden Behörde. Eine Übersicht der Landesbehörden führt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

Beginnt die Frist auch am Wochenende?

Ja. Die 72 Stunden laufen kalendarisch, nicht in Werktagen. Ein Vorfall, der Freitagabend bekannt wird, erfordert spätestens Montagabend eine Meldung. Aufsichtsbehörden akzeptieren elektronische Meldewege rund um die Uhr.

Was passiert, wenn die Meldung sich später als unbegründet erweist?

Eine vorsorglich abgegebene Meldung kann nach weiterer Aufklärung als unbegründet eingestuft werden. Die Behörde wertet das nicht negativ. Wichtig sind die spätere Korrektur und die saubere Dokumentation der Erkenntnislage.

Gilt die Frist auch für Auftragsverarbeiter?

Auftragsverarbeiter müssen den Verantwortlichen nach Art. 33 Abs. 2 DSGVO „unverzüglich“ informieren. In der Praxis empfehlen Aufsichtsbehörden eine Information binnen 24 Stunden, damit der Verantwortliche die eigenen 72 Stunden noch einhalten kann.

Muss jede Datenpanne intern dokumentiert werden?

Ja. Art. 33 Abs. 5 DSGVO verlangt eine vollständige interne Dokumentation aller Datenpannen – auch der nicht meldepflichtigen. Die Aufsicht kann die Liste jederzeit anfordern. Eine Datenpannen-Akte mit Vorfall, Bewertung und Begründung der Nicht-Meldung gehört zum Standardrepertoire.

Fazit: Drei Bausteine entscheiden über die 72 Stunden

Die 72-Stunden-Frist ist keine technische, sondern eine organisatorische Hürde. Wer Detektion, Eskalationskette und Meldevorlage vor dem ersten Vorfall einübt, gewinnt im Ernstfall die wichtigsten zwölf Stunden zurück. Welcher Baustein in Ihrem Unternehmen fehlt, klärt der Produktberater in wenigen Minuten – inklusive konkreter Empfehlungen für Detektion, Schulung und Managed-Services für KMU mit 50 bis 500 Mitarbeitern.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Konkrete Datenpannen sollten immer mit dem internen oder externen Datenschutzbeauftragten und gegebenenfalls einer Fachanwältin oder einem Fachanwalt für IT-Recht abgestimmt werden.