Akuter Cyberangriff? 24/7 Notfallnummer für Unternehmen — anwaltliche Soforthilfe.
Anrufen: +49 171 5160827
Cybernotfall
Soforthilfe · Datenleck

Datenabfluss bemerkt: Meldepflicht und erste Schritte

Ab Kenntniserlangung läuft die 72-Stunden-Frist nach Art. 33 DSGVO. Wer zögert, riskiert Bußgelder zusätzlich zum eigentlichen Vorfall.

Was jetzt zu tun ist

  1. Vorfall intern feststellen und dokumentieren (Zeitpunkt, Art, vermuteter Umfang).
  2. Datenschutzbeauftragten und rechtliche Beratung sofort und parallel einbinden.
  3. Risiko für die Betroffenen bewerten.
  4. Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden vorbereiten.
  5. Bei hohem Risiko Betroffene nach Art. 34 DSGVO benachrichtigen.
  6. Prüfen, ob zusätzlich eine NIS2-Meldung an das BSI nötig ist.

Vertiefung

Der vollständige Leitfaden mit Fristberechnung, Pflichtangaben und Sonderfällen steht im Ratgeber Datenpanne melden: die 72-Stunden-Frist.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil