Cybernotfall
Datenschutzrecht · Stand: Juni 2026

Art. 33 DSGVO

Verpflichtung des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Kenntnis bei der zuständigen Aufsichtsbehörde zu melden.

Auch bekannt als: 72-Stunden-Frist, Meldepflicht Datenpanne

Rechtsgrundlagen
  • Art. 33 DSGVO
  • Art. 4 Nr. 12 DSGVO
  • Erwägungsgrund 85 DSGVO

Regelungsgehalt

Art. 33 DSGVO regelt die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde. Der Verantwortliche muss die Verletzung unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme melden, sofern sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Liegt kein solches Risiko vor, entfällt die Meldepflicht, der Vorfall ist dennoch intern zu dokumentieren.

Erfolgt die Meldung später als nach 72 Stunden, ist die Verzögerung in der Meldung zu begründen. Die Frist ist eine Soll-Frist, aber Aufsichtsbehörden legen sie eng aus.

Pflichtinhalt der Meldung

Die Meldung muss enthalten: eine Beschreibung der Art der Verletzung mit Kategorien und ungefährer Zahl der Betroffenen und Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, die wahrscheinlichen Folgen der Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Risikominderung.

Lassen sich nicht alle Angaben fristgerecht zusammentragen, können sie schrittweise nachgereicht werden. Eine erste Meldung mit den bekannten Eckdaten ist besser als eine späte vollständige Meldung.

Wann die Frist beginnt

Die Frist beginnt mit Kenntnisnahme durch den Verantwortlichen. Kenntnis liegt vor, wenn eine hinreichende Gewissheit über den Eintritt einer Datenpanne besteht. Reine Verdachtsmomente reichen noch nicht, eine zu lange Prüfungsphase wird aber als Verschleppung gewertet.

Bei Auftragsverarbeitern beginnt die Frist mit der Meldung an den Verantwortlichen. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, hat aber selbst keine Meldepflicht gegenüber der Aufsichtsbehörde.

Dokumentationspflicht

Art. 33 Abs. 5 DSGVO verpflichtet zur Dokumentation aller Datenpannen, also auch der nicht meldepflichtigen. Das interne Vorfallregister enthält Sachverhalt, Bewertung, Begründung der Meldeentscheidung und ergriffene Maßnahmen. Es ist Grundlage späterer Aufsichtsverfahren und Teil der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Folgen bei Verstoß

Verstöße gegen Art. 33 DSGVO werden nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet, je nachdem, welcher Betrag höher ist. Späte oder unvollständige Meldungen wirken in der Bußgeldzumessung als erschwerender Umstand.

Häufige Fragen

Häufige Fragen

Ist eine Wochenend-Frist zu beachten
Ja. Die 72 Stunden laufen kalendarisch, nicht in Arbeitstagen. Eine entsprechende Rufbereitschaft des Datenschutzbeauftragten ist Stand der Praxis.
Welche Aufsichtsbehörde ist zuständig
In Deutschland die jeweils landeszuständige Datenschutzbehörde am Sitz der Niederlassung. Bei grenzüberschreitenden Verarbeitungen kommt das One-Stop-Shop-Prinzip mit federführender Behörde zur Anwendung.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil