Akuter Cyberangriff? 24/7 Notfallnummer für Unternehmen — anwaltliche Soforthilfe.
Anrufen: +49 171 5160827
Cybernotfall
Ratgeber Akut · Stand: Juni 2026

Datenpanne melden: Die 72-Stunden-Frist nach einem Cyberangriff

Verifizierter Rechtsstand Juni 2026 zu Art. 33, 34 DSGVO, § 65 BDSG und der NIS2-Meldekette.

Wann eine Meldepflicht besteht

Die Meldepflicht nach Art. 33 DSGVO greift bei einer Verletzung des Schutzes personenbezogener Daten, wenn diese voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Eine solche Verletzung liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, offengelegt werden oder ein unbefugter Zugang erfolgt.

Ein Ransomware-Angriff erfüllt diese Voraussetzung regelmäßig. Schon die Verschlüsselung der Daten ist eine Verletzung der Verfügbarkeit und damit meldepflichtig, auch wenn keine Daten abgeflossen sind. Kommt ein Datenabfluss hinzu, etwa weil die Angreifer mit Veröffentlichung drohen, liegt zusätzlich eine Verletzung der Vertraulichkeit vor.

Keine Meldepflicht besteht ausnahmsweise, wenn die Verletzung voraussichtlich kein Risiko für die Betroffenen darstellt, etwa wenn die betroffenen Daten wirksam verschlüsselt waren und für die Angreifer unbrauchbar sind.

Die 72-Stunden-Frist im Detail

FrageAntwort
Wie lange?unverzüglich, möglichst binnen 72 Stunden
Ab wann läuft die Frist?ab Kenntniserlangung, also sobald hinreichende Sicherheit über die Verletzung besteht
An wen?an die zuständige Datenschutz-Aufsichtsbehörde
Was, wenn 72 Stunden nicht reichen?Meldung trotzdem abgeben, fehlende Angaben nachreichen, Verspätung begründen

Wichtig ist das Verständnis von unverzüglich. Es bedeutet ohne schuldhaftes Zögern. Die 72 Stunden sind eine Höchstgrenze, keine komfortable Wartezeit. Wer den Vorfall intern erst lange eskaliert, bevor er die Behörde informiert, riskiert eine Fristüberschreitung. Die Frist beginnt mit der Kenntniserlangung, also dem Moment, in dem das Unternehmen mit hinreichender Sicherheit von einer Verletzung ausgehen kann.

Was die Meldung enthalten muss

Art. 33 Abs. 3 DSGVO gibt die Pflichtangaben vor. Die Meldung muss mindestens beschreiben:

  • die Art der Verletzung, soweit möglich mit Kategorien und ungefährer Zahl der betroffenen Personen und Datensätze
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
  • die wahrscheinlichen Folgen der Verletzung
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und zur Abmilderung möglicher Schäden

Liegen noch nicht alle Informationen vor, kann die Meldung schrittweise erfolgen. Es ist besser, fristgerecht mit Teilangaben zu melden und nachzuliefern, als die Frist verstreichen zu lassen.

Wann zusätzlich die Betroffenen zu informieren sind

Besteht durch die Verletzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, müssen nach Art. 34 DSGVO auch die betroffenen Personen benachrichtigt werden, und zwar unverzüglich. Das ist etwa der Fall, wenn besondere Datenkategorien betroffen sind, wie Gesundheitsdaten, oder wenn die Angreifer mit der Veröffentlichung sensibler Daten drohen. Die Benachrichtigung kann unterbleiben, wenn die Daten wirksam verschlüsselt waren oder nachträgliche Maßnahmen das hohe Risiko beseitigt haben.

Die zweite Meldepflicht: NIS2

Unternehmen, die unter das NIS2-Umsetzungsgesetz fallen, trifft seit dem 6. Dezember 2025 eine zusätzliche, davon unabhängige Meldepflicht an das BSI. Diese folgt einer eigenen Kette: eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Wer sowohl personenbezogene Daten verloren hat als auch NIS2-pflichtig ist, muss daher parallel zwei Meldewege bedienen, an die Datenschutz-Aufsichtsbehörde und an das BSI. Diese doppelte Pflicht wird in der Praxis oft übersehen.

Was eine verspätete Meldung kostet

Die Aufsichtsbehörden ahnden Verstöße gegen die Meldepflicht eigenständig, zusätzlich zu möglichen Sanktionen für den Vorfall selbst. Der Bußgeldrahmen reicht bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Dass dies kein theoretisches Risiko ist, zeigt der Fall Booking.com, wo eine um Wochen verspätete Meldung mit einem Bußgeld in sechsstelliger Höhe geahndet wurde.

Die ersten Schritte im Überblick

  1. Vorfall feststellen und dokumentieren
    Zeitpunkt, Art und vermuteter Umfang. Wer hat was, wann bemerkt.
  2. DSB und Anwalt parallel einbinden
    Datenschutzbeauftragten und rechtliche Beratung sofort und parallel einbinden, nicht nacheinander.
  3. Risiko bewerten
    Besteht ein Risiko für die Betroffenen? Davon hängt die Meldepflicht ab.
  4. Meldung an die Aufsichtsbehörde
    Bei Risiko die Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden vorbereiten und abgeben.
  5. Betroffene benachrichtigen
    Prüfen, ob zusätzlich die Betroffenen nach Art. 34 DSGVO zu benachrichtigen sind.
  6. NIS2-Meldung prüfen
    Falls NIS2-pflichtig, zusätzlich Frühwarnung in 24 Stunden und Meldung in 72 Stunden an das BSI.
  7. Alles dokumentieren
    Alle Schritte und Entscheidungen dokumentieren, auch wenn keine Meldepflicht angenommen wird.

Häufige Fragen

Muss ich jeden Cyberangriff der Behörde melden?
Meldepflichtig sind Verletzungen personenbezogener Daten mit Risiko für die Betroffenen. Ein Ransomware-Angriff erfüllt das regelmäßig. Besteht ausnahmsweise kein Risiko, etwa bei wirksam verschlüsselten Daten, kann die Meldepflicht entfallen. Der Vorfall ist aber intern zu dokumentieren.
Ab wann laufen die 72 Stunden?
Ab Kenntniserlangung, also sobald Sie mit hinreichender Sicherheit von einer Datenschutzverletzung ausgehen können. Nicht ab dem Angriff selbst, sondern ab dem Moment, in dem Sie ihn bemerken und einordnen können.
Was, wenn ich die 72 Stunden nicht einhalten kann?
Melden Sie trotzdem fristgerecht mit den verfügbaren Angaben und liefern Sie fehlende Informationen nach. Eine verspätete Meldung muss begründet werden. Gar nicht zu melden ist die schlechteste Option.
Muss ich auch meine Kunden informieren?
Bei hohem Risiko für die Betroffenen ja, nach Art. 34 DSGVO. Das gilt besonders bei sensiblen Daten oder wenn die Angreifer mit Veröffentlichung drohen.
Gilt die Frist auch, wenn keine Daten abgeflossen sind?
Ja. Schon die Verschlüsselung Ihrer Daten durch Ransomware ist eine Verletzung der Verfügbarkeit und damit meldepflichtig, auch ohne Datenabfluss.

Akut betroffen? Die 72-Stunden-Frist läuft ab dem Moment, in dem Sie den Vorfall bemerken. Über die Kontaktseite erreichen Sie kurzfristig anwaltliche Soforthilfe für die fristgerechte Meldung.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil