DSGVO Artikel 33: Die 72-Stunden-Meldepflicht bei Datenpannen (2026)

DSGVO Artikel 33: Die 72-Stunden-Meldepflicht bei Datenpannen

DSGVO Artikel 33 verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung an die zuständige Aufsichtsbehörde zu melden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die 72-Stunden-Frist beginnt mit der Kenntnis, nicht mit dem Abschluss Ihrer Untersuchung. Ein Fristversäumnis ist ein eigenständiger, bußgeldbewehrter Verstoß.

Die durchschnittliche Zahl täglicher Meldungen im EWR stieg 2025 deutlich auf 443 pro Tag — ein Plus von 22 %, so der DLA Piper GDPR Fines and Data Breach Survey: Januar 2026. Für die meisten B2B-Unternehmen liegt die Schwierigkeit bei Artikel 33 nicht im Kennen der Regel — sondern darin, die Frist korrekt anlaufen zu lassen und eine belastbare Meldung zu erstellen, während der Vorfall noch andauert.

Die wichtigsten Erkenntnisse

• Die Frist beträgt 72 Stunden ab Kenntnis, nicht ab dem Eintritt der Verletzung oder ab Abschluss der Forensik.
• „Kenntnis" ist ein definierter Auslöser. Nach den EDSA-Leitlinien 9/2022 beginnt sie, sobald mit hinreichender Sicherheit feststeht, dass personenbezogene Daten kompromittiert wurden.
• Nicht jede Verletzung ist meldepflichtig. Gemeldet wird nur, wenn ein Risiko wahrscheinlich ist — dokumentiert werden muss jedoch immer intern.
• Die Meldung kann gestuft erfolgen (Artikel 33 Abs. 4), wenn nicht alle Fakten binnen 72 Stunden feststehen.
• Auftragsverarbeiter müssen Verantwortliche unverzüglich benachrichtigen (Artikel 33 Abs. 2), damit dieser seine Frist einhalten kann.
• Eine unterlassene Meldung ist eigenständig bußgeldbewehrt — bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes nach Artikel 83 Abs. 4.

Direkt zu:

• Was Artikel 33 verlangt
• Wann die 72-Stunden-Frist beginnt
• Inhalt der Meldung
• Gestufte Meldung
• Die Pflicht des Auftragsverarbeiters
• Interne Dokumentation
• Wann Sie nicht melden müssen
• Bußgelder und Durchsetzung
• Die Lage in UK und Norwegen
• Artikel 33 operativ umsetzen

---

Was Artikel 33 verlangt

Artikel 33 Abs. 1 der Verordnung (EU) 2016/679 formuliert die Kernpflicht in einem Satz:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der … zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung … voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."

Drei Elemente steuern alles Weitere. Erstens ist der Auslöser die Kenntniserlangung. Zweitens beträgt die Frist 72 Stunden, eingeschränkt durch „möglichst" und überlagert vom Maßstab „unverzüglich". Drittens ist die Schwelle ein wahrscheinliches Risiko für betroffene Personen — darunter besteht keine Meldepflicht gegenüber der Behörde.

Eine „Verletzung des Schutzes personenbezogener Daten" ist in Artikel 4 Nr. 12 weit definiert: eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang führt. Dazu zählen Ransomware (Verlust der Verfügbarkeit), eine fehlgeleitete E-Mail (unbefugte Offenlegung) und ein verlorenes Notebook (Risiko unbefugten Zugangs) — nicht nur gezielte externe Angriffe.

---

Wann die 72-Stunden-Frist beginnt

Hier liegt der häufigste Fehler. Die 72 Stunden beginnen weder mit dem Vorfall selbst noch mit dem Abschluss der Untersuchung. Sie beginnen mit der Kenntniserlangung.

Die EDSA-Leitlinien 9/2022 definieren Kenntnis als den Zeitpunkt, zu dem der Verantwortliche „mit hinreichender Sicherheit" davon ausgeht, dass ein Sicherheitsvorfall zu einer Kompromittierung personenbezogener Daten geführt hat. Volle forensische Gewissheit ist nicht erforderlich — eine begründete Annahme genügt.

In der Praxis:

• Eine automatische SIEM- oder Intrusion-Detection-Warnung löst die Frist nicht allein aus — aber nur, wenn niemand darauf reagiert. Von Organisationen wird erwartet, dass Warnungen zügig gesichtet werden. Sie können die Kenntnis nicht hinauszögern, indem Sie Ihr eigenes Monitoring ignorieren.
• Die Frist beginnt, wenn eine verantwortliche Person ein glaubwürdiges Signal prüft und zu dem Schluss kommt, dass eine Verletzung wahrscheinlich vorliegt.
• Eine kurze, verhältnismäßige Phase zur Bestätigung des Vorfalls ist zulässig — sie darf jedoch kein Verzögerungsmanöver sein.

Praktische Folge: Ihr Incident-Response-Prozess braucht einen klaren, protokollierten Moment „Wir gehen nun von einer Betroffenheit personenbezogener Daten aus" — denn diesen Zeitstempel wird eine Aufsichtsbehörde prüfen. Dieselbe Disziplin trägt die noch engere 24-Stunden-Frühwarnfrist nach NIS2, die viele Unternehmen parallel erfüllen müssen.

---

Inhalt der Meldung

Artikel 33 Abs. 3 legt den Mindestinhalt der Meldung an die Aufsichtsbehörde fest:

Element	Inhalt
Art der Verletzung	Beschreibung der Art der Verletzung, soweit möglich mit Kategorien und ungefährer Zahl betroffener Personen und Datensätze
Kontaktstelle	Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Auskunftsstelle
Wahrscheinliche Folgen	Beschreibung der wahrscheinlichen Folgen der Verletzung
Ergriffene Maßnahmen	Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Schadensbegrenzung

Die meisten EU- und EWR-Aufsichtsbehörden stellen Online-Formulare bereit, die diese vier Punkte abbilden. Die binnen 72 Stunden realistisch verfügbaren Informationen sind selten vollständig — genau deshalb sieht Artikel 33 eine gestufte Meldung vor.

---

Gestufte Meldung (Artikel 33 Abs. 4)

Artikel 33 Abs. 4 ist das Ventil, das die 72-Stunden-Regel praktikabel macht:

„Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen."

Der EDSA bestätigt, dass die Meldung „nicht verschoben werden muss, bis Risiko und Auswirkungen vollständig bewertet sind". Die vollständige Risikobewertung kann parallel zur Meldung laufen, neue Informationen werden gestuft nachgereicht. Das ist vor allem bei komplexen Cybervorfällen relevant, bei denen tiefe Forensik nötig ist.

Das praktische Vorgehen: Reichen Sie binnen 72 Stunden eine Erstmeldung mit dem bekannten Stand ein — auch wenn dieser lautet „Uns ist ein unbefugter Zugriff bekannt, der schätzungsweise X Datensätze betrifft; Untersuchung läuft" — und ergänzen Sie sie, sobald sich die Fakten verdichten. Artikel 33 Abs. 1 verlangt, Verzögerungen über 72 Stunden hinaus zu begründen; die gestufte Meldung erspart Ihnen die Wahl zwischen Tempo und Genauigkeit.

---

Die Pflicht des Auftragsverarbeiters (Artikel 33 Abs. 2)

Artikel 33 Abs. 2 verpflichtet den Auftragsverarbeiter zur Unterstützung des Verantwortlichen:

„Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung … unverzüglich, nachdem ihm die Verletzung bekannt wurde."

Die DSGVO setzt keine feste Frist für die Meldung des Auftragsverarbeiters an den Verantwortlichen — die EDSA-Leitlinien 9/2022 empfehlen jedoch, dies innerhalb der eigenen 72 Stunden ab Kenntnis zu tun, da die Frist des Verantwortlichen erst mit dessen Information anlaufen kann. Für B2B-SaaS-Unternehmen, die als Auftragsverarbeiter agieren, ist dies auch ein vertraglicher Punkt: Ihre Auftragsverarbeitungsverträge nach Artikel 28 verpflichten Sie meist zu einem engeren Meldefenster (oft 24–48 Stunden), damit der Verantwortliche seine eigene Frist einhalten kann.

---

Interne Dokumentation der Verletzung (Artikel 33 Abs. 5)

Auch wenn eine Verletzung nicht meldepflichtig ist, verlangt Artikel 33 Abs. 5 eine Dokumentationspflicht:

„Der Verantwortliche dokumentiert Verletzungen … einschließlich aller im Zusammenhang … stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen."

Dieses interne Verletzungsregister muss der Aufsichtsbehörde die Überprüfung der Einhaltung ermöglichen. Die Rechenschaftspflicht nach Artikel 5 Abs. 2 macht dies unverzichtbar: Entscheiden Sie, dass eine Verletzung unter der Meldeschwelle lag, brauchen Sie eine dokumentierte, belastbare Begründung warum. Eine Risikobewertung, die Sie im Nachhinein nicht rekonstruieren können, ist aus Durchsetzungssicht eine Bewertung, die nie stattgefunden hat.

---

Wann Sie nicht melden müssen

Die Schwelle in Artikel 33 Abs. 1 lautet „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen". Die Bewertung obliegt dem Verantwortlichen, erfolgt im 72-Stunden-Fenster und bestimmt zwei getrennte Entscheidungen:

1. Aufsichtsbehörde benachrichtigen? Erforderlich, wenn ein Risiko wahrscheinlich ist (Artikel 33).
2. Betroffene Personen benachrichtigen? Erforderlich nur, wenn ein hohes Risiko wahrscheinlich ist — die höhere Schwelle des Artikels 34.

Die beiden Schwellen sind bewusst unterschiedlich. Viele Verletzungen überschreiten die Artikel-33-Schwelle (Behörde melden), ohne die Artikel-34-Schwelle (Betroffene informieren) zu erreichen. Die EDSA-Beispielleitlinien werten das Risiko von Identitätsdiebstahl, finanziellem Verlust und der Offenlegung besonderer Datenkategorien als starke Indikatoren für ein hohes Risiko. Verschlüsselung, die die Daten für Angreifer unverständlich macht, ist ein zentraler mildernder Faktor.

---

Bußgelder und Durchsetzung

Verstöße gegen Artikel 33 fallen in die niedrigere Bußgeldstufe nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Entscheidend: Eine unterlassene Meldung gilt als eigenständiger Verstoß — Sie können für die verspätete oder fehlende Meldung unabhängig von einem Bußgeld für das zugrunde liegende Sicherheitsversagen nach Artikel 32 belangt werden. Eine unterlassene Meldung kann zudem in einen Verstoß gegen die Rechenschaftspflicht nach Artikel 5 Abs. 2 münden, der in die höhere Stufe fällt.

Die Durchsetzung speziell wegen Meldeversäumnissen nimmt zu:

• Polen (2025): Die polnische Aufsichtsbehörde verhängte gegen das Kreiskrankenhaus in Września 6.800 Euro wegen Verstößen gegen Artikel 33 und 34 sowie gegen die Nationale Staatsanwaltschaft 19.800 Euro wegen Verstößen gegen Artikel 6, 33 und 34 (EDSA-News).
• Norwegen: Das Datatilsynet verhängte gegen ein US-Unternehmen 2,5 Mio. NOK gezielt wegen unterlassener Meldung binnen 72 Stunden — und bestätigte, dass die Frist mit der Kenntnis beginnt, nicht erst mit dem vollständigen Überblick (DLA Piper Norwegen).
• Volumen: Deutschland und Polen zählen weiterhin zu den meldestärksten Mitgliedstaaten, EWR-weit liegen die Meldungen nun bei durchschnittlich 443 pro Tag (DLA Piper, Januar 2026).

Das Signal der Behörden ist konsistent: Eine saubere, fristgerechte Meldung wirkt nach Artikel 83 Abs. 2 mildernd, Verheimlichung oder Verzögerung erschwerend.

---

Die Lage in UK und Norwegen

Artikel 33 ist eine europäische Pflicht, keine reine EU-27-Angelegenheit — und die Mechanik der Meldepflicht ist über die gesamte europäische Compliance-Landschaft hinweg bemerkenswert einheitlich.

Vereinigtes Königreich. Die UK GDPR (über den Data Protection Act 2018 fortgeführt und angepasst) behält dieselbe 72-Stunden-Frist bei, mit Meldung an die Information Commissioner's Office (ICO) statt an eine EU-Behörde. Der Data (Use and Access) Act 2025, der am 19. Juni 2025 Royal Assent erhielt, lockerte die DSGVO-Meldefrist nicht — und brachte ab 20. August 2025 sogar das separate PECR-Meldefenster für Telekommunikationsanbieter von 24 auf dieselben 72 Stunden in Einklang. Die Europäische Kommission schloss ihre Prüfung ab und leitete die Erneuerung des UK-Angemessenheitsbeschlusses ein, sodass die EU-UK-Datenflüsse ununterbrochen weiterlaufen. Zur ICO-Durchsetzungshistorie zählen die Bußgelder gegen British Airways (20 Mio. £) und Marriott (18,4 Mio. £).

Norwegen und der EWR. Norwegen ist kein EU-Mitglied, wendet die DSGVO aber über das EWR-Abkommen an (anwendbar in Norwegen seit Juli 2018). Verantwortliche melden an das Datatilsynet, die norwegische Datenschutzbehörde, innerhalb desselben 72-Stunden-Fensters. Wie die oben genannte Maßnahme zeigt, legt das Datatilsynet den Auslöser „Kenntnis" streng aus. Unternehmen, die in der EU, im EWR und in UK tätig sind, sollten 72 Stunden als einheitliche Planungsgröße behandeln — die Frist wird durch Grenzübertritt nicht länger.

---

Artikel 33 im Trust Center operativ umsetzen

Die Regel zu kennen ist der einfache Teil. Sie unter Druck einzuhalten — nachts um zwei, mitten im Vorfall, mit unvollständigen Fakten — erfordert, dass der Workflow vor der Verletzung existiert. Drei Fähigkeiten machen aus Artikel 33 statt einer Panik einen Prozess:

1. Eine vorbereitete Meldevorlage, die den vier Punkten aus Artikel 33 Abs. 3 zugeordnet ist, sodass die Erstmeldung ein Ausfüllen und kein Verfassen ist.
2. Ein protokollierter Kenntniszeitpunkt und eine Entscheidungsspur, damit Sie belegen können, wann Sie Kenntnis erlangten und warum Sie das Risiko so bewertet haben — der Kern eines Artikel-33-Abs.-5-Nachweises.
3. Eine Meldekette für Auftragsverarbeiter mit vertraglichen Fristen, damit Ihre Frist möglichst früh anläuft, wenn ein Unterauftragsverarbeiter die Quelle ist.

Hier trifft Pannenbereitschaft auf kontinuierliches Monitoring: Derselbe Nachweis, der die Angemessenheit Ihrer Artikel-32-Sicherheitsmaßnahmen belegt, ist der Nachweis, den eine Aufsichtsbehörde nach einer Verletzung verlangt. Die Trust-Center-Plattform von Orbiq hält diesen Nachweis — Sicherheitsmaßnahmen, Unterauftragsverarbeiterlisten, AV-Verträge und Pannendokumentation — an einem stets aktuellen Ort, sodass Ihre Darstellung der „ergriffenen Maßnahmen" bereitsteht, bevor Sie sie brauchen. Für Rechts- und Datenschutzteams, die die Meldeentscheidung verantworten, zeigt unser Leitfaden zum Trust Center für Rechtsteams, wie Register und Workflow prüfbar bleiben.

Artikel 33 belohnt Organisationen, die die unscheinbare Vorarbeit geleistet haben. Die 72-Stunden-Frist ist unerbittlich — aber durchaus zu schaffen, wenn Kenntnis, Bewertung und Meldung eine eingeübte Abfolge statt einer Improvisation sind.

---

Quellen & Referenzen

1. Verordnung (EU) 2016/679 (DSGVO) — Volltext — Amtsblatt der Europäischen Union.
2. gdpr-info.eu — Artikel 33 (Meldung an die Aufsichtsbehörde) — Artikeltext und Erwägungsgründe.
3. EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Version 2.0) — Maßgebliche Auslegung von „Kenntnis", gestufter Meldung und Risikobewertung.
4. DLA Piper GDPR Fines and Data Breach Survey: Januar 2026 — 443 Meldungen pro Tag im EWR, plus 22 %.
5. Polnische Aufsichtsbehörde: Bußgeld von 19.800 Euro wegen unterlassener Meldung — EDSA-News, 2025.
6. Polnische Aufsichtsbehörde: Bußgeld von 6.800 Euro (Kreiskrankenhaus Września) — EDSA-News, 2025.
7. Norwegen: 2,5 Mio. NOK Bußgeld wegen unterlassener Meldung binnen 72 Stunden — DLA Piper Norwegen, Datatilsynet.
8. ICO — Personal data breaches: a guide — UK GDPR 72-Stunden-Meldung.
9. Data (Use and Access) Act 2025 — Überblick zur UK-Datenschutzreform — Norton Rose Fulbright.
10. Datatilsynet — Norwegische Datenschutzbehörde — Leitfaden zur Meldung von Datenpannen (Norwegen / EWR).

---

Weiterführende Artikel

• DSGVO-Compliance: Vollständiger Leitfaden für 2026 (Artikel 28, 32, 33, 34)
• DSGVO Artikel 34: Benachrichtigung betroffener Personen bei einer Datenpanne
• Subprocessor-Management nach DSGVO Artikel 28
• NIS2-Meldepflicht: Die 24-Stunden-Frist
• Kontinuierliches Monitoring