Cybernotfall
Datenschutzrecht · Stand: Juni 2026

Art. 34 DSGVO

Verpflichtung des Verantwortlichen, betroffene Personen über eine Datenschutzverletzung zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Auch bekannt als: Benachrichtigung Betroffener

Rechtsgrundlagen
  • Art. 34 DSGVO
  • Erwägungsgrund 86 DSGVO

Regelungsgehalt

Während Art. 33 DSGVO die Meldung an die Behörde regelt, verpflichtet Art. 34 DSGVO zur Benachrichtigung der betroffenen Personen. Voraussetzung ist ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen. Die Benachrichtigung muss unverzüglich erfolgen, eine starre 72-Stunden-Frist gilt hier nicht, jede Verzögerung wird aber kritisch bewertet.

Wann ein hohes Risiko vorliegt

Maßstab sind Art der Daten, Identifizierbarkeit, Dauerhaftigkeit möglicher Folgen und Schwere des Schadens. Hoch ist das Risiko insbesondere bei Sozialdaten, Gesundheitsdaten, Finanzdaten, Identitätsdaten in Kombination mit Geburtsdatum oder bei Daten besonders schutzbedürftiger Personen.

Bei einem Ransomware-Vorfall mit Datenabfluss ist regelmäßig vom hohen Risiko auszugehen, weil die abgeflossenen Daten typischerweise zur Erpressung Einzelner oder zur Vorbereitung weiterer Straftaten verwendet werden können.

Ausnahmen

Eine Benachrichtigung kann unterbleiben, wenn die Daten durch geeignete technische Maßnahmen wie starke Verschlüsselung unzugänglich gemacht wurden, wenn nachträglich Maßnahmen ergriffen wurden, die das hohe Risiko entfallen lassen, oder wenn die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde. In diesem Fall tritt eine öffentliche Bekanntmachung an die Stelle der Einzelbenachrichtigung.

Inhalt der Benachrichtigung

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen. Sie enthält Art der Verletzung, Kontaktdaten der Anlaufstelle, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen. Empfehlungen zur Schadensbegrenzung, etwa Passwortwechsel oder Aufmerksamkeit für Phishing, gehören in jede Benachrichtigung mit hohem Risiko.

Praxis

Aufsichtsbehörden können anordnen, dass eine Benachrichtigung nachgeholt wird, wenn der Verantwortliche das hohe Risiko zu Unrecht verneint hat. Eine sorgfältig dokumentierte Risikobewertung ist daher zentral. Sie sollte schriftlich vorliegen und Faktoren wie Datenkategorien, Umfang, mutmaßliche Empfängerseite und Eindämmungsmaßnahmen würdigen.

Häufige Fragen

Häufige Fragen

Reicht eine Information auf der Webseite
Nur in den Ausnahmefällen, in denen eine Einzelbenachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde. Im Regelfall ist individuell zu benachrichtigen, ergänzend ist eine Webseitenmeldung sinnvoll.
Was, wenn sich erst später ein hohes Risiko zeigt
Dann ist die Benachrichtigung unverzüglich nachzuholen. Die Frist beginnt mit der neuen Erkenntnislage.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil