Datenpanne gemeldet — und jetzt? Die 72-Stunden-Frist der DSGVO
Es ist Freitagabend. Ein Mitarbeitender meldet, dass er versehentlich eine E-Mail mit Kundendaten an den falschen Verteiler geschickt hat. Oder: Das Unternehmen stellt fest, dass ein Fremdsystem seit Wochen auf interne Daten zugreift. In beiden Fällen läuft ab diesem Moment die Uhr. 72 Stunden – nicht mehr.
![]() |
| Datenpanne gemeldet — und jetzt? Die 72-Stunden-Frist |
Was ist eine meldepflichtige Datenpanne überhaupt?
Nicht jeder Fehler im Umgang mit personenbezogenen Daten löst automatisch eine Meldepflicht aus. Art. 33 DSGVO verpflichtet Verantwortliche zur Meldung bei der zuständigen Datenschutzaufsichtsbehörde, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt – und sofern diese Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Typische Beispiele aus der Praxis: eine verlorene unverschlüsselte Festplatte, eine versehentlich weitergeleitete E-Mail mit Kundendaten im CC, ein Ransomware-Angriff mit Datenverlust oder der unbemerkte Zugriff eines Dritten auf ein schlecht gesichertes System. Ob ein konkreter Vorfall meldepflichtig ist, muss das Unternehmen im Ernstfall schnell und dokumentiert bewerten.
Eine solide Grundlage für diese Bewertung ist das Verarbeitungsverzeichnis – denn nur wer weiß, welche Daten wo verarbeitet werden, kann den Umfang einer Panne einschätzen: Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will.
Die 72-Stunden-Frist: Was sie bedeutet – und was nicht
Die Frist beginnt, sobald das Unternehmen Kenntnis von der Datenpanne erlangt – nicht erst, wenn die vollständige Analyse abgeschlossen ist. Das ist ein entscheidender Punkt, der in der Praxis immer wieder zu Fehlern führt.
Die DSGVO erlaubt ausdrücklich, eine vorläufige Meldung abzugeben, wenn noch nicht alle Informationen vorliegen. Diese kann anschließend ergänzt werden. Was nicht erlaubt ist: mit der Meldung zu warten, bis intern alles restlos geklärt ist. Wer die 72-Stunden-Frist ohne triftigen Grund überschreitet, riskiert ein Bußgeld – unabhängig davon, wie gering der eigentliche Schaden für Betroffene war.
Ausnahme: Stellt das Unternehmen fest, dass die Verletzung voraussichtlich kein Risiko für betroffene Personen darstellt, entfällt die Meldepflicht gegenüber der Behörde. Aber auch diese Einschätzung muss intern dokumentiert werden – die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gilt immer.
NIS2 vs. DSGVO: Zwei Fristen, zwei Regelwerke
Für Unternehmen, die unter die NIS2-Richtlinie fallen, kommt eine zweite Meldeverpflichtung hinzu – und die ist noch knapper bemessen. NIS2 sieht für erhebliche Sicherheitsvorfälle eine Erstmeldung innerhalb von 24 Stunden nach Entdeckung vor, gefolgt von einer detaillierten Folgemeldung innerhalb von 72 Stunden und einem abschließenden Bericht nach einem Monat.
Wichtig: DSGVO-Meldepflicht und NIS2-Meldepflicht sind voneinander unabhängig. Ein Vorfall kann beide Regelwerke gleichzeitig auslösen – an unterschiedliche Stellen, mit unterschiedlichen Inhalten und unterschiedlichen Fristen. Wer hier keine klaren internen Prozesse hat, verliert im Ernstfall wertvolle Zeit.
Checkliste: Was im Ernstfall sofort zu tun ist
Diese Schritte sollten im Unternehmen bekannt sein – idealerweise bevor der erste Vorfall eintritt:
- Vorfall intern melden – wer ist zuständig? Datenschutzbeauftragter, IT-Leitung, Geschäftsführung einbeziehen.
- Sachverhalt dokumentieren – was ist wann passiert, welche Daten und Personen sind betroffen?
- Risiko bewerten – ist ein Risiko für betroffene Personen zu erwarten? Ist eine Behördenmeldung erforderlich?
- Vorläufige Meldung abgeben – bei Meldepflicht: innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde, auch wenn noch nicht alle Details vorliegen.
- Betroffene Personen informieren – bei hohem Risiko zusätzlich direkte Benachrichtigung der Betroffenen (Art. 34 DSGVO).
- Vorfall intern dokumentieren – auch wenn keine Meldung erfolgt: Dokumentation im internen Verzeichnis ist Pflicht.
Wie ein funktionierender Notfallprozess aussieht, wenn Systeme ausfallen und Kommunikationswege wegbrechen, beschreiben wir ausführlich in: Notfallmanagement: Wenn nichts mehr geht, muss Kommunikation trotzdem funktionieren.
Warum Vorbereitung alles ist
In einer Krisensituation greift man auf das zurück, was man vorher aufgebaut hat. Unternehmen, die noch nie einen Datenschutzvorfall hatten, unterschätzen regelmäßig, wie schnell 72 Stunden vergehen – zumal in dieser Zeit intern noch Ursachenforschung, Risikobewertung, interne Abstimmung und die eigentliche Meldung zu erledigen sind.
Was vorab vorhanden sein sollte: ein benannter Ansprechpartner für Datenschutzvorfälle, eine dokumentierte interne Meldekette, ein Vordruck oder eine Vorlage für die Behördenmeldung sowie klare Kriterien, wann ein Vorfall meldepflichtig ist. Das klingt nach viel Aufwand – ist es aber nicht, wenn man es einmal strukturiert aufgebaut hat.
Auch die Sensibilisierung der Mitarbeitenden spielt hier eine zentrale Rolle: Viele Datenpannen entstehen durch menschliche Fehler – und werden erst gemeldet, wenn Mitarbeitende wissen, dass und wie sie einen Vorfall intern kommunizieren sollen. Mehr dazu: Mitarbeiter als Einfallstor: Warum Awareness kein Nice-to-have ist.
Der Notfallprozess als Teil der Beratung
Im Rahmen unserer Datenschutz-Erstberatung – der Phase A – gehört die Prüfung und Einrichtung eines Incident-Response-Prozesses zu den Standardthemen. Wir schauen gemeinsam, ob Ihr Unternehmen im Ernstfall handlungsfähig ist: Gibt es eine interne Meldekette? Ist bekannt, welche Behörde zuständig ist? Sind Verantwortlichkeiten dokumentiert?
Datenschutz ist kein Dokumentationsprojekt, das man einmal abschließt. Es ist ein laufender Prozess – und der Umgang mit Datenpannen ist ein zentraler Bestandteil davon. Mehr zu den Grundlagen des DSGVO-konformen Datenschutzes finden Sie auf unserer EU-DSGVO Übersichtsseite.






