Art. 33 DSGVO: Meldepflicht bei Datenschutzverletzungen

Art. 33 DSGVO — Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten

Art. 33 DSGVO regelt die Pflicht des Verantwortlichen, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Die Norm ist eine der zentralen Vorschriften der Datenschutz-Grundverordnung und betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet.

Eine Datenpanne — oder juristisch korrekt: eine „Verletzung des Schutzes personenbezogener Daten“ — kann jeden treffen. Ob ein verlorener Laptop, ein Ransomware-Angriff, eine fehlgeleitete E-Mail oder ein gehackter Server — die 72-Stunden-Frist des Art. 33 DSGVO läuft ab dem Moment, in dem Sie die Verletzung bemerken. Ein externer Informationssicherheitsbeauftragter unterstützt Sie bei der fristgerechten Meldung und Dokumentation.

Dieser Leitfaden erklärt Ihnen die Anforderungen des Art. 33 DSGVO im Detail, gibt praktische Handlungsanweisungen und zeigt anhand konkreter Fallbeispiele, wann und wie Sie eine Meldung absetzen müssen.

Wortlaut des Art. 33 DSGVO

Art. 33 Abs. 1 DSGVO lautet in seinen wesentlichen Teilen:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Der Normtext definiert damit drei zentrale Elemente: den Auslöser (Verletzung), die Frist (72 Stunden) und die Ausnahme (kein Risiko für Betroffene).

Was ist eine Verletzung des Schutzes personenbezogener Daten?

Art. 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als „eine Verletzung der Sicherheit, die […] zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von […] personenbezogenen Daten führt“. Dabei werden drei Kategorien unterschieden:

Verletzung der Vertraulichkeit

Unbefugte Personen erhalten Zugang zu personenbezogenen Daten. Beispiele:

• Hacker-Angriff mit Datenabfluss
• E-Mail mit personenbezogenen Daten an falschen Empfänger
• Ungesicherter Papierausdruck im öffentlich zugänglichen Bereich
• Ex-Mitarbeiter hat noch Zugriff auf Kundendatenbank
• Unbefugter Zugriff auf Cloud-Speicher durch schwaches Passwort

Verletzung der Integrität

Personenbezogene Daten werden unbefugt verändert. Beispiele:

• Manipulation von Patientendaten durch einen Cyberangriff
• Fehlerhafte Datenbankmigration mit Datenverfälschung
• SQL-Injection-Angriff auf eine Webanwendung

Verletzung der Verfügbarkeit

Personenbezogene Daten sind nicht mehr zugänglich. Beispiele:

• Ransomware verschlüsselt die Kundendatenbank
• Hardwaredefekt ohne Backup
• Versehentliche Löschung von Daten
• DDoS-Angriff macht Systeme mit Patientendaten unzugänglich

Wichtig: Auch der vorübergehende Verlust der Verfügbarkeit kann meldepflichtig sein — etwa wenn ein Krankenhaus keinen Zugriff auf Patientenakten hat. Die Schwere hängt von der Dauer und den Auswirkungen auf die Betroffenen ab.

Die 72-Stunden-Frist im Detail

Wann beginnt die Frist?

Die 72-Stunden-Frist beginnt, sobald der Verantwortliche von der Datenschutzverletzung Kenntnis erlangt. Dies ist der Zeitpunkt, an dem Sie mit hinreichender Sicherheit davon ausgehen können, dass eine Verletzung stattgefunden hat.

Kenntnis erlangt der Verantwortliche typischerweise durch:

• Meldung eines Mitarbeiters, der den Vorfall bemerkt hat
• Automatische Alerts des SIEM-Systems oder der Sicherheitsüberwachung
• Meldung des Auftragsverarbeiters (dieser ist nach Art. 33 Abs. 2 DSGVO zur unverzüglichen Meldung an den Verantwortlichen verpflichtet)
• Hinweis von Betroffenen oder Dritten
• Medienberichte über einen Datenleak

Wie wird die Frist berechnet?

Die 72 Stunden laufen ununterbrochen — Wochenenden und Feiertage sind eingeschlossen. Wenn Sie freitagnachmittags um 16:00 Uhr von einer Datenpanne erfahren, läuft die Frist montags um 16:00 Uhr ab.

Das Wort „möglichst“ im Normtext zeigt, dass eine geringfügige Überschreitung der Frist nicht automatisch einen Verstoß darstellt — allerdings muss die Verzögerung begründet werden (Art. 33 Abs. 1 Satz 2 DSGVO).

Was tun, wenn die Frist nicht reicht?

Oft sind nach 72 Stunden noch nicht alle Details bekannt. Art. 33 Abs. 4 DSGVO erlaubt eine schrittweise Meldung: Sie können zunächst eine erste Meldung mit den bekannten Informationen abgeben und diese anschließend ergänzen, sobald weitere Details vorliegen.

Wann muss NICHT gemeldet werden?

Eine Meldepflicht besteht nicht, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Dies kann der Fall sein bei:

• Verschlüsselten Daten: Wenn die verlorenen/gestohlenen Daten nach dem Stand der Technik verschlüsselt waren und der Schlüssel nicht kompromittiert wurde
• Sofortige Eindämmung: Wenn der Vorfall so schnell eingedämmt wurde, dass ein Zugriff auf die Daten ausgeschlossen werden kann
• Keine sensiblen Daten: Wenn nur unkritische Daten betroffen sind, die kein Risiko für die Betroffenen darstellen
• Anonymisierte Daten: Wenn die Daten wirksam anonymisiert waren (dann handelt es sich streng genommen nicht um personenbezogene Daten)

Achtung: Die Entscheidung, nicht zu melden, muss dokumentiert werden! Sie müssen nachweisen können, warum Sie zu dem Ergebnis gekommen sind, dass kein Risiko besteht. Im Zweifel sollten Sie immer melden — eine unnötige Meldung hat keine negativen Konsequenzen, eine unterlassene Meldung kann jedoch empfindliche Bußgelder nach sich ziehen.

Was muss gemeldet werden? Inhalt der Meldung

Art. 33 Abs. 3 DSGVO definiert den Mindestinhalt der Meldung:

1. Beschreibung der Art der Verletzung: Welche Kategorien personenbezogener Daten sind betroffen? Wie viele Personen und Datensätze sind ungefähr betroffen?
2. Name und Kontaktdaten: Des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
3. Beschreibung der wahrscheinlichen Folgen: Welche Auswirkungen hat die Verletzung voraussichtlich auf die betroffenen Personen?
4. Beschreibung der ergriffenen Maßnahmen: Welche Maßnahmen wurden eingeleitet oder sind geplant, um die Verletzung einzudämmen und ihre Auswirkungen zu mindern?

In Sachsen ist die zuständige Aufsichtsbehörde die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB). Die Meldung kann online über das Meldeportal der SDTB erfolgen. Für andere Bundesländer gelten die jeweiligen Landesdatenschutzbehörden.

Art. 34 DSGVO: Benachrichtigung der Betroffenen

Ergänzend zu Art. 33 DSGVO regelt Art. 34 DSGVO die Pflicht, die betroffenen Personen selbst zu benachrichtigen. Dies ist erforderlich, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat.

Wann besteht ein hohes Risiko?

• Gesundheitsdaten, Bankdaten oder Zugangsdaten wurden offengelegt
• Die Daten können für Identitätsdiebstahl missbraucht werden
• Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind betroffen
• Eine große Anzahl von Personen ist betroffen

Ausnahmen von der Benachrichtigungspflicht

Eine Benachrichtigung der Betroffenen ist nach Art. 34 Abs. 3 DSGVO nicht erforderlich, wenn:

• Geeignete Schutzmaßnahmen (z.B. Verschlüsselung) die Daten für Unbefugte unzugänglich machen
• Nachfolgende Maßnahmen das hohe Risiko beseitigt haben
• Die Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (dann öffentliche Bekanntmachung)

Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO

Unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erfolgt, müssen alle Datenschutzverletzungen dokumentiert werden. Die Dokumentation muss umfassen:

• Fakten im Zusammenhang mit der Verletzung
• Deren Auswirkungen
• Die ergriffenen Abhilfemaßnahmen

Diese Dokumentation muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können. Sie dient als Nachweis, dass Sie Ihren Pflichten nachgekommen sind — auch bei Verstößen, die Sie als nicht meldepflichtig eingestuft haben.

Wir empfehlen ein standardisiertes Verzeichnis der Datenschutzverletzungen (Breach Register) mit folgenden Feldern:

• Datum und Uhrzeit der Entdeckung
• Beschreibung des Vorfalls
• Betroffene Datenkategorien und Personengruppen
• Geschätzte Anzahl betroffener Personen
• Risikobewertung (kein Risiko / Risiko / hohes Risiko)
• Ergriffene Sofortmaßnahmen
• Entscheidung über Meldung an Aufsichtsbehörde (mit Begründung)
• Entscheidung über Benachrichtigung Betroffener (mit Begründung)
• Langfristige Abhilfemaßnahmen

Praxisbeispiele: Wann muss gemeldet werden?

Fall 1: Verlorener USB-Stick

Sachverhalt: Ein Mitarbeiter verliert einen USB-Stick mit Kundendaten (Namen, Adressen, Telefonnummern) von 500 Kunden im Zug.

Bewertung: Meldepflicht besteht, da ein Risiko für die Betroffenen nicht ausgeschlossen werden kann. Wäre der USB-Stick verschlüsselt gewesen (z.B. mit BitLocker oder VeraCrypt), könnte die Meldepflicht entfallen.

Maßnahmen: Meldung an Aufsichtsbehörde innerhalb von 72 Stunden. Benachrichtigung der Betroffenen ist bei reinen Kontaktdaten nicht zwingend (kein hohes Risiko), sollte aber erwogen werden.

Fall 2: Ransomware-Angriff

Sachverhalt: Ein Ransomware-Angriff verschlüsselt die Personaldatenbank mit Gehaltsdaten, Sozialversicherungsnummern und Gesundheitsdaten von 200 Mitarbeitern. Die Angreifer drohen mit Veröffentlichung.

Bewertung: Meldepflicht besteht definitiv — es handelt sich um besondere Kategorien personenbezogener Daten und die Drohung der Veröffentlichung begründet ein hohes Risiko. Auch die Verletzung der Verfügbarkeit allein wäre meldepflichtig.

Maßnahmen: Sofortige Meldung an Aufsichtsbehörde, Benachrichtigung der betroffenen Mitarbeiter nach Art. 34 DSGVO, Strafanzeige, forensische Untersuchung, Incident Response aktivieren.

Fall 3: E-Mail-Fehlversand

Sachverhalt: Eine Mitarbeiterin sendet versehentlich eine Excel-Tabelle mit Bewerberdaten (Name, Lebenslauf, Gehaltsvorstellung) von 30 Bewerbern an einen externen Geschäftspartner.

Bewertung: Meldepflicht besteht grundsätzlich. Wenn der Empfänger vertrauenswürdig ist, sofort informiert wird und die Löschung bestätigt, kann das Risiko als gering eingestuft werden — die Dokumentation ist dennoch erforderlich.

Maßnahmen: Sofortige Kontaktaufnahme mit dem Empfänger, Aufforderung zur Löschung mit Bestätigung. Meldung an Aufsichtsbehörde empfohlen, da Bewerberdaten sensibel sind.

Fall 4: Fehlkonfigurierter Cloud-Speicher

Sachverhalt: Durch eine Fehlkonfiguration war ein Cloud-Speicher mit 10.000 Kundendatensätzen (inkl. E-Mail-Adressen und Bestellhistorie) für drei Wochen öffentlich zugänglich.

Bewertung: Meldepflicht besteht. Die lange Expositionszeit und die Anzahl der Betroffenen begründen ein erhebliches Risiko. Es kann nicht ausgeschlossen werden, dass die Daten von Unbefugten abgerufen wurden.

Maßnahmen: Sofortige Absicherung des Cloud-Speichers, Meldung an Aufsichtsbehörde, Prüfung der Zugriffsprotokolle, ggf. Benachrichtigung der Betroffenen, Überprüfung aller Cloud-Konfigurationen.

Fall 5: Phishing mit Credential Theft

Sachverhalt: Ein Mitarbeiter fällt auf eine Phishing-E-Mail herein und gibt seine Anmeldedaten für das CRM-System ein. Der Angreifer loggt sich ein und hat Zugriff auf 5.000 Kundendatensätze.

Bewertung: Meldepflicht besteht. Selbst wenn nicht nachweisbar ist, dass der Angreifer Daten heruntergeladen hat, bestand die Möglichkeit des Zugriffs. Die Risikobewertung hängt von der Art der gespeicherten Daten ab.

Maßnahmen: Sofortige Sperrung des kompromittierten Kontos, Passwort-Reset, Überprüfung der Zugriffsprotokolle, Meldung an Aufsichtsbehörde, Awareness-Schulung intensivieren.

Checkliste für den Ernstfall

Nutzen Sie diese Checkliste, wenn ein Datenschutzvorfall eintritt:

1. Sofort (0–4 Stunden):
   • Vorfall eingrenzen und Schaden stoppen
   • Beweise sichern (Logdateien, Screenshots, betroffene Systeme)
   • ISB und Datenschutzbeauftragten informieren
   • Geschäftsleitung benachrichtigen
   • Incident Response Team zusammenrufen
2. Analyse (4–24 Stunden):
   • Art und Umfang der Verletzung bestimmen
   • Betroffene Datenkategorien und Personengruppen identifizieren
   • Anzahl betroffener Personen schätzen
   • Risikobewertung durchführen
   • Entscheidung über Meldepflicht treffen und dokumentieren
3. Meldung (24–72 Stunden):
   • Meldung an Aufsichtsbehörde vorbereiten und absetzen
   • Ggf. Benachrichtigung der Betroffenen vorbereiten
   • Strafanzeige erstatten (bei Cyberkriminalität empfohlen)
   • Cyberversicherung informieren
4. Nachbereitung (1–4 Wochen):
   • Vollständige forensische Analyse
   • Ursachenanalyse (Root Cause Analysis)
   • Langfristige Abhilfemaßnahmen implementieren
   • Ggf. Ergänzungsmeldung an Aufsichtsbehörde
   • Lessons Learned und Prozessverbesserungen
   • Dokumentation vervollständigen

Bußgelder bei Verstößen gegen Art. 33 DSGVO

Verstöße gegen die Meldepflicht des Art. 33 DSGVO können nach Art. 83 Abs. 4 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist.

In der Praxis wurden bereits empfindliche Bußgelder verhängt:

• Booking.com (NL): 475.000 Euro wegen verspäteter Meldung (22 Tage statt 72 Stunden)
• Twitter/X (IE): 450.000 Euro wegen verspäteter und unvollständiger Meldung
• Diverse KMU (DE): 5.000–50.000 Euro wegen unterlassener Meldung

Wichtig für die Höhe des Bußgeldes sind: die Schwere der Verletzung, die Dauer der Verzögerung, ob Vorsatz oder Fahrlässigkeit vorlag, und welche Maßnahmen nach dem Vorfall ergriffen wurden.

Rolle des Informationssicherheitsbeauftragten bei Datenpannen

Der Informationssicherheitsbeauftragte spielt bei der Behandlung von Datenschutzverletzungen eine zentrale Rolle:

• Prävention: Durch den Aufbau eines ISMS und die Implementierung technischer und organisatorischer Maßnahmen reduziert der ISB die Wahrscheinlichkeit von Datenpannen
• Erkennung: Monitoring-Systeme und Meldeprozesse, die der ISB etabliert hat, ermöglichen die frühzeitige Erkennung von Vorfällen
• Reaktion: Der ISB koordiniert die technische Reaktion auf Sicherheitsvorfälle — Eindämmung, Forensik, Wiederherstellung
• Zusammenarbeit mit DSB: ISB und Datenschutzbeauftragter arbeiten bei Datenpannen eng zusammen — der ISB liefert die technische Analyse, der DSB bewertet die datenschutzrechtlichen Konsequenzen

Ein gut aufgestelltes Incident Response Team mit klarer Rollenverteilung zwischen ISB, DSB, IT-Leitung und Geschäftsführung ist der Schlüssel für eine effektive Reaktion innerhalb der 72-Stunden-Frist.

Häufig gestellte Fragen zu Art. 33 DSGVO

Muss jede Datenpanne gemeldet werden?

Nein. Nur wenn die Verletzung voraussichtlich zu einem Risiko für die Betroffenen führt. Die Entscheidung muss jedoch dokumentiert werden — auch wenn Sie sich gegen eine Meldung entscheiden.

Was passiert, wenn ich die 72-Stunden-Frist überschreite?

Eine geringfügige Überschreitung mit Begründung wird in der Regel toleriert. Eine deutliche Überschreitung oder das vollständige Unterlassen der Meldung kann zu Bußgeldern führen. Melden Sie lieber spät als gar nicht.

Wer ist für die Meldung zuständig?

Der Verantwortliche im Sinne der DSGVO — also das Unternehmen, das die Zwecke und Mittel der Datenverarbeitung bestimmt. In der Praxis wird die Meldung vom Datenschutzbeauftragten in Abstimmung mit der Geschäftsleitung vorgenommen.

Muss der Auftragsverarbeiter auch melden?

Der Auftragsverarbeiter muss die Datenschutzverletzung nach Art. 33 Abs. 2 DSGVO dem Verantwortlichen unverzüglich melden. Die Meldung an die Aufsichtsbehörde obliegt dann dem Verantwortlichen. Klare Regelungen im Auftragsverarbeitungsvertrag sind hier zentral.

Kann ich die Meldung später ergänzen?

Ja. Art. 33 Abs. 4 DSGVO erlaubt eine schrittweise Meldung. Reichen Sie zunächst die bekannten Informationen ein und ergänzen Sie Details, sobald sie vorliegen.

Gilt Art. 33 DSGVO auch für Vereine und kleine Unternehmen?

Ja. Die Meldepflicht gilt für alle Verantwortlichen, unabhängig von der Größe. Auch ein Verein mit 50 Mitgliedern muss eine Datenpanne melden, wenn ein Risiko für die Betroffenen besteht.

Wie melde ich bei der sächsischen Aufsichtsbehörde?

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) bietet ein Online-Meldeformular auf ihrer Website an. Alternativ ist eine Meldung per E-Mail oder Fax möglich. Die Kontaktdaten finden Sie auf der Website der SDTB.

DATUREX GmbH: Ihr Partner bei Datenpannen und Meldepflichten

Als externer Informationssicherheitsbeauftragter unterstützt die DATUREX GmbH Sie bei der Vorbereitung auf und der Bewältigung von Datenschutzverletzungen. Unsere Leistungen:

• Erstellung von Incident Response Plänen und Meldeprozessen
• Schulung Ihrer Mitarbeiter zur Erkennung und Meldung von Vorfällen
• Unterstützung bei der Risikobewertung im Ernstfall
• Begleitung des Meldeprozesses an die Aufsichtsbehörde
• Forensische Erstanalyse und Koordination mit IT-Forensik-Dienstleistern
• Aufbau eines ISMS zur Prävention von Datenschutzverletzungen

Kontaktieren Sie uns für ein unverbindliches Erstgespräch. Wir helfen Ihnen, für den Ernstfall gewappnet zu sein — und im Idealfall dafür zu sorgen, dass es gar nicht erst so weit kommt.