Cybernotfall
Pillar-Ratgeber Datenpanne · Stand: Juni 2026

Die 72-Stunden-Frist nach Art. 33 DSGVO: Wann läuft sie wirklich?

Kenntniserlangung, ‚unverzüglich', ‚nach Möglichkeit binnen 72 Stunden' und stufenweise Meldung — die aufsichtsbehördliche Praxis hinter dem oft missverstandenen Fristbegriff.

Warum die Auslegung der Frist über das Bußgeldrisiko entscheidet

Art. 33 DSGVO ist eine der am häufigsten geprüften Vorschriften der DSGVO. Die Aufsichtsbehörden interessieren sich bei einer Datenpanne in fast allen Fällen zuerst dafür, wann der Verantwortliche Kenntnis erlangt hat und wann er die Meldung erstattet hat. Aus dem Verhältnis dieser beiden Zeitpunkte ergibt sich, ob die Frist gewahrt oder gerissen wurde — und damit ein wesentlicher Faktor der Bußgeldbemessung nach Art. 83 DSGVO. In der Praxis ist die Frage des Fristbeginns deshalb oft wichtiger als die Frage, was inhaltlich gemeldet wird.

Der Fristbeginn ist im Verordnungstext bewusst weich gefasst, was zu einer behördlich-richterlichen Auslegung geführt hat, die wir im Folgenden in den relevanten Punkten verdichten.

Was Kenntniserlangung im Sinne von Art. 33 DSGVO bedeutet

Kenntnis ist nicht gleich Verdacht. Ein bloßer Anhalt, dass etwas „nicht stimmt", löst die Frist nicht aus. Ebenso wenig genügt es, wenn die IT-Abteilung über Ungewöhnliches stolpert, ohne dass eine Bewertung erfolgt ist. Andererseits ist Kenntnis nicht gleichbedeutend mit vollständig aufgeklärtem Sachverhalt. Die europäischen Datenschutzbeauftragten haben in den Leitlinien 9/2022 zur Meldung von Datenschutzverletzungen klargestellt: Kenntnis liegt vor, sobald der Verantwortliche eine angemessene Gewissheit hat, dass ein Sicherheitsvorfall stattgefunden hat, der zu einer Verletzung des Schutzes personenbezogener Daten geführt hat.

In der Praxis bedeutet das: Wenn nach einer ersten kurzen Plausibilisierung (z. B. Bestätigung, dass ein E-Mail-Postfach mit personenbezogenen Daten kompromittiert wurde oder dass ein Server tatsächlich verschlüsselt ist) feststeht, dass es sich nicht um einen Fehlalarm handelt, läuft die Frist. Wartet der Verantwortliche bis zur abgeschlossenen forensischen Untersuchung, hat er die Frist regelmäßig schon verstrichen lassen.

Wer für den Verantwortlichen Kenntnis erlangt

Eine eigene Tücke liegt in der Frage, wem Kenntnis zugerechnet wird. Die DSGVO spricht vom Verantwortlichen, also der juristischen Person. Kenntnis muss daher jemandem zugehen, dessen Wissen dem Verantwortlichen zugerechnet wird. Das Vertretungsorgan ist der klare Adressat. Darüber hinaus wird in der aufsichtsbehördlichen Praxis das Wissen derjenigen Personen zugerechnet, die für die Erstbewertung von Sicherheitsvorfällen organisatorisch zuständig sind — also IT-Sicherheitsbeauftragte, CISO, Datenschutzkoordinatoren, je nach interner Organisation auch die IT-Leitung.

Daraus folgt eine wichtige Konsequenz für die Notfallorganisation: Wer Sicherheitsvorfälle in einer Wissensblase versinken lässt, weil die operative IT nicht weiß, wann sie eskalieren muss, schiebt den formalen Fristbeginn nicht hinaus, sondern riskiert nur, dass die Frist ohne Kenntnis des Krisenstabs läuft. Eine klare Eskalationsregel, die den Krisenstab innerhalb weniger Stunden einberuft, ist deshalb keine Compliance-Folklore, sondern Fristschutz.

‚Unverzüglich' und ‚nach Möglichkeit binnen 72 Stunden'

Art. 33 Abs. 1 DSGVO verlangt eine Meldung „unverzüglich und möglichst binnen 72 Stunden". Die Reihenfolge ist nicht zufällig. Unverzüglich ist der primäre Maßstab; die 72 Stunden sind eine Höchstfrist, nicht ein Recht auf Aufschub. Wer bereits nach 8 Stunden meldebereit ist, muss melden. Die häufig gehörte Aussage „wir haben ja noch Zeit bis 72 Stunden" ist deshalb missverständlich und in der aufsichtsbehördlichen Praxis ein typisches Indiz für unzureichende Notfallorganisation.

Praktisch sinnvoll ist daher eine zweistufige Logik: Sobald der Krisenstab eine tragfähige Erstbewertung hat, wird eine Erstmeldung erstattet — auch dann, wenn noch nicht alles aufgeklärt ist. Ergänzungen erfolgen stufenweise nach Art. 33 Abs. 4 DSGVO. Diese Vorgehensweise schützt die Frist und vermittelt der Aufsichtsbehörde Kooperationsbereitschaft, die wiederum bei der Bußgeldbemessung positiv berücksichtigt wird.

Die stufenweise Meldung nach Art. 33 Abs. 4 DSGVO

Art. 33 Abs. 4 DSGVO erlaubt es ausdrücklich, eine Meldung in Etappen zu erstatten. Das ist kein Trick, sondern die vom Verordnungsgeber vorgesehene Antwort auf die Realität, dass Sicherheitsvorfälle selten innerhalb von 72 Stunden vollständig aufgeklärt sind. Die Erstmeldung enthält, was zur Verfügung steht: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, voraussichtliche Folgen, ergriffene Maßnahmen. Was noch nicht feststeht, wird nachgemeldet.

Die Praxis zeigt, dass Erstmeldungen mit ehrlich gekennzeichneten offenen Punkten regelmäßig besser bewertet werden als formal vollständige, aber materiell ungenaue Meldungen. Aufsichtsbehörden sehen die ehrliche Stufenmeldung als Zeichen funktionierender Notfallorganisation; die geschönte „vollständige" Meldung führt spätestens bei der Nachbearbeitung zu Vertrauensverlust.

Folgen einer Fristüberschreitung

Eine verspätete Meldung ist eine eigenständige Verletzung des Art. 33 DSGVO. Sie ist nach Art. 33 Abs. 1 S. 2 DSGVO ausdrücklich zu begründen. In der Bemessung des Bußgeldes nach Art. 83 Abs. 2 DSGVO zählt sie als belastender Faktor, weil sie das Aufsichtshandeln verzögert und Betroffenen die Möglichkeit nimmt, sich rechtzeitig vor Folgeschäden zu schützen. Bußgelder, die allein wegen Fristüberschreitung verhängt werden, sind selten — Bußgelder, in denen die Fristüberschreitung als verschärfender Faktor zählt, häufig.

Wer die Frist gerissen hat, sollte nicht zögern, sondern sofort melden, die Verspätung offen begründen, eingeleitete Gegenmaßnahmen darstellen und intern eine Ursachenanalyse der Eskalation einleiten. Eine spätere Erklärung gegenüber der Aufsichtsbehörde fällt deutlich leichter, wenn das Unternehmen erkennbar aus dem Vorfall gelernt hat.

Vom Fristbeginn zur Risikoabwägung nach Art. 34 DSGVO

Wer die Frist nach Art. 33 sauber im Griff hat, kann sich der Folgeentscheidung widmen: Liegt ein hohes Risiko für die Rechte und Freiheiten Betroffener vor, sind die Betroffenen nach Art. 34 DSGVO unverzüglich zu benachrichtigen. Die Risikobewertung ist eigenständig und nicht identisch mit der Frage, ob überhaupt eine meldepflichtige Verletzung vorliegt. Wir vertiefen die Risikoanalyse im eigenen Beitrag des Datenpanne-Themenbereich.

Häufige Fragen

Wann beginnt die 72-Stunden-Frist konkret?
Mit der Kenntniserlangung des Verantwortlichen. Kenntniserlangung liegt vor, wenn mit einem hinreichenden Grad an Gewissheit feststeht, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Verletzung des Schutzes personenbezogener Daten geführt hat. Reine Vermutungen oder bloße Anomalien reichen nicht; eine erste forensische Plausibilisierung dagegen meist schon.
Wem wird Kenntnis zugerechnet?
Dem Verantwortlichen. In Unternehmen wird Kenntnis dem Vertretungsorgan zugerechnet, aber auch Kenntnis von Mitarbeitenden in Schlüsselrollen (IT-Leitung, Datenschutzkoordinator, Sicherheitsverantwortliche) kann genügen, wenn diese intern für die Erstbewertung zuständig sind.
Was bedeutet ‚unverzüglich, wenn möglich binnen 72 Stunden'?
Die 72 Stunden sind eine Höchstfrist, nicht eine Wartefrist. Wer schon nach 12 Stunden meldefähig ist, muss melden. Die Frist beginnt nicht zu laufen, sobald der Sachverhalt vollständig aufgeklärt ist — sie läuft ab Kenntnis und endet 72 Stunden später, unabhängig vom Ermittlungsstand.
Was passiert bei Fristüberschreitung?
Die verspätete Meldung ist eine eigenständige Pflichtverletzung. Sie ist zu begründen (Art. 33 Abs. 1 S. 2 DSGVO) und wird bei der Bußgeldbemessung als belastender Faktor berücksichtigt. Eine Heilung durch Nachmeldung ist möglich, beseitigt aber nicht die Verletzung.
Was, wenn nicht alle Informationen binnen 72 Stunden vorliegen?
Art. 33 Abs. 4 DSGVO erlaubt eine stufenweise Meldung. Es ist innerhalb der Frist zu melden, was bekannt ist; ergänzende Informationen werden nachgereicht. Die unvollständige Meldung ist nicht bußgeldfreundlicher zu bewerten als eine späte vollständige Meldung.
Müssen wir auch melden, wenn das Risiko für Betroffene gering ist?
Ja, sofern überhaupt eine Verletzung des Schutzes personenbezogener Daten vorliegt. Nur wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, entfällt die Meldepflicht — diese Ausnahme ist eng auszulegen und sorgfältig zu dokumentieren.

Sie sind in einem laufenden Datenpannenfall? Über die Kontaktseite erreichen Sie uns kurzfristig. Bei akuter technischer Lage zusätzlich unsere 24/7-Notfallnummer für Unternehmen: +49 171 5160827.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil