DSGVO Artikel 34: Benachrichtigung betroffener Personen bei Datenpannen (2026)

DSGVO Artikel 34: Benachrichtigung betroffener Personen bei Datenpannen

DSGVO Artikel 34 verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten den betroffenen Personen unverzüglich mitzuteilen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Dies ist bewusst eine höhere Schwelle als die Meldepflicht an die Aufsichtsbehörde nach Artikel 33: Viele meldepflichtige Verletzungen müssen den Betroffenen selbst nie mitgeteilt werden.

Kunden mitzuteilen, dass ihre Daten offengelegt wurden, ist der Moment, in dem aus einem internen Vorfall ein öffentliches, reputatives und rechtliches Ereignis wird. Artikel 34 regelt genau, wann dieser Moment rechtlich geboten ist, was Sie sagen müssen — und ebenso wichtig — die drei Fälle, in denen Sie befreit sind.

Die wichtigsten Erkenntnisse

• Der Auslöser ist ein „hohes Risiko" für Personen — eine höhere Hürde als die „Risiko"-Schwelle, die die Meldung nach Artikel 33 auslöst.
• Die Frist lautet „unverzüglich", keine feste 72 Stunden. In der Praxis erwarten Behörden eine prompte Mitteilung, sobald das hohe Risiko feststeht.
• Die Mitteilung muss in klarer und einfacher Sprache erfolgen und drei Pflichtangaben enthalten.
• Drei Ausnahmen gelten (Artikel 34 Abs. 3): wirksame Verschlüsselung, nachträgliche risikomindernde Maßnahmen oder unverhältnismäßiger Aufwand (dann öffentliche Bekanntmachung).
• Die Aufsichtsbehörde kann die Mitteilung anordnen (Artikel 34 Abs. 4), selbst wenn Sie sie für nicht erforderlich hielten.
• Eine unterlassene Mitteilung ist bußgeldbewehrt nach Artikel 83 Abs. 4 — bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes.

Direkt zu:

• Was Artikel 34 verlangt
• Hohes Risiko vs. Risiko: Artikel 34 vs. Artikel 33
• Inhalt der Mitteilung
• Frist: „unverzüglich"
• Die drei Ausnahmen
• Wann die Behörde Sie verpflichten kann
• Bußgelder und Durchsetzung
• Die Lage in UK und Norwegen
• Artikel 34 operativ umsetzen

---

Was Artikel 34 verlangt

Artikel 34 Abs. 1 der Verordnung (EU) 2016/679 formuliert die Pflicht direkt:

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung."

Die Pflicht besteht gegenüber den betroffenen Personen — den Menschen, deren Daten verletzt wurden — nicht gegenüber einer Behörde. Es ist der Transparenzmechanismus der DSGVO in seiner schärfsten Form: Menschen haben ein Recht zu erfahren, wenn eine Verletzung sie echtem Schaden aussetzt, damit sie Schutzschritte ergreifen können — Passwörter ändern, auf Betrug achten, eine Karte sperren.

Eine Verletzung ist „voraussichtlich mit einem hohen Risiko verbunden", wenn sie erhebliche nachteilige Folgen für Personen haben kann — etwa Diskriminierung, Identitätsdiebstahl oder Betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit oder ein anderer erheblicher wirtschaftlicher oder gesellschaftlicher Nachteil. Die EDSA-Leitlinien 9/2022 und die zugehörigen Beispiele werten das Risiko des Identitätsdiebstahls als besonders starken Indikator.

---

Hohes Risiko vs. Risiko: Artikel 34 vs. Artikel 33

Der am häufigsten missverstandene Punkt: Die Artikel 33 und 34 verwenden zwei unterschiedliche Schwellen und erzeugen zwei getrennte Entscheidungen.

Dimension	Artikel 33 — Behörde melden	Artikel 34 — Personen benachrichtigen
Schwelle	Wahrscheinlich ein Risiko	Wahrscheinlich ein hohes Risiko
Empfänger	Zuständige Aufsichtsbehörde	Betroffene Personen
Frist	72 Stunden ab Kenntnis	Unverzüglich
Ausnahmen	Unter der Risikoschwelle	Drei konkrete Ausnahmen (Art. 34 Abs. 3)
Bußgeldstufe	Bis 10 Mio. € / 2 % (Art. 83 Abs. 4)	Bis 10 Mio. € / 2 % (Art. 83 Abs. 4)

Eine Verletzung kann eine Meldung an die Behörde (Artikel 33) erfordern, ohne eine Benachrichtigung der Personen (Artikel 34) auszulösen. Eine Verletzung, die Artikel 34 auslöst, löst fast immer auch Artikel 33 aus. Die Risikobewertung des Verantwortlichen — idealerweise im selben 72-Stunden-Fenster — muss beide Fragen beantworten und die Begründung in jedem Fall nach Artikel 33 Abs. 5 dokumentieren.

---

Inhalt der Mitteilung

Artikel 34 Abs. 2 verlangt, dass die Mitteilung in klarer und einfacher Sprache die Art der Verletzung beschreibt und mindestens dieselben inhaltlichen Angaben wie die Behördenmeldung enthält, ohne die technische Kategorisierung:

Element	Inhalt
Kontaktstelle	Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Auskunftsstelle
Wahrscheinliche Folgen	Beschreibung der wahrscheinlichen Folgen der Verletzung
Ergriffene Maßnahmen	Beschreibung der Maßnahmen zur Behebung und zur Begrenzung möglicher nachteiliger Auswirkungen

„Klare und einfache Sprache" ist eine inhaltliche Anforderung, keine Stilfrage. Die Mitteilung richtet sich an gewöhnliche Menschen, nicht an Juristen — Juristendeutsch, Beschönigung oder das Verstecken der Kernaussage kann selbst als Verstoß gewertet werden. Bewährt ist: zuerst sagen, was passiert ist, welche Daten betroffen sind und welche konkreten Schritte die Person jetzt unternehmen sollte.

---

Frist: „unverzüglich"

Anders als Artikel 33 setzt Artikel 34 keine feste numerische Frist — der Maßstab ist „unverzüglich". Das ist kein Freibrief zum Warten. Sobald das hohe Risiko feststeht, läuft die Uhr, und Behörden erwarten eine prompte Mitteilung. Erwägungsgrund 86 legt nahe, dass die Mitteilung so schnell wie nach vernünftigem Ermessen möglich erfolgen sollte, in enger Abstimmung mit der Aufsichtsbehörde und nach deren Vorgaben.

In der Praxis stimmen Verantwortliche den Zeitpunkt der Artikel-34-Mitteilung häufig mit der Aufsichtsbehörde ab, die die Artikel-33-Meldung erhalten hat — insbesondere wenn Strafverfolgungsbehörden um eine kurze Verzögerung bitten, um Ermittlungen nicht zu gefährden.

---

Die drei Ausnahmen (Artikel 34 Abs. 3)

Artikel 34 Abs. 3 nennt drei Fälle, in denen eine Benachrichtigung der betroffenen Personen nicht erforderlich ist:

Ausnahme	Bedeutung
Wirksame Schutzmaßnahmen	Der Verantwortliche hatte geeignete technisch-organisatorische Schutzmaßnahmen getroffen — insbesondere Verschlüsselung —, die die Daten für Unbefugte unverständlich machen. Sind die verletzten Daten stark verschlüsselt und die Schlüssel nicht kompromittiert, entfällt das hohe Risiko.
Nachträgliche Maßnahmen	Der Verantwortliche hat anschließend Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr eintritt — etwa das sofortige Sperren kompromittierter Zugangsdaten oder das Fernlöschen eines verlorenen Geräts vor einem Zugriff.
Unverhältnismäßiger Aufwand	Eine individuelle Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden. Dann muss der Verantwortliche stattdessen eine öffentliche Bekanntmachung oder eine ähnliche, ebenso wirksame Maßnahme vornehmen.

Verschlüsselung ist in der Praxis die wichtigste der drei: Sie ist der zuverlässigste Weg, eine Verletzung unter die Artikel-34-Schwelle zu bringen — weshalb „die verletzten Daten waren im Ruhezustand verschlüsselt" eine so folgenreiche Tatsache ist. Das ist die direkte Auszahlung starker Artikel-32-Sicherheitsmaßnahmen.

---

Wann die Behörde Sie verpflichten kann (Artikel 34 Abs. 4)

Selbst wenn ein Verantwortlicher zu dem Schluss kommt, dass keine Benachrichtigung nötig ist, gibt Artikel 34 Abs. 4 der Aufsichtsbehörde die Befugnis, dieses Urteil zu übergehen:

„Hat der Verantwortliche die betroffene Person nicht bereits … benachrichtigt, so kann die Aufsichtsbehörde … von ihm verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass [eine der Ausnahmen] erfüllt ist."

Die Risikobewertung des Verantwortlichen ist also nicht das letzte Wort. Eine Behörde, die Ihre Einschätzung nicht teilt — dass das Risiko unter der Schwelle lag oder eine Ausnahme griff —, kann die Mitteilung anordnen. Ein starkes Argument, die Artikel-34-Bewertung ebenso sorgfältig zu dokumentieren wie die Meldung selbst: Stellt die Behörde später Ihre Entscheidung infrage, ist Ihre zeitnahe Begründung Ihre Verteidigung.

---

Bußgelder und Durchsetzung

Verstöße gegen Artikel 34 fallen in die niedrigere Bußgeldstufe nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des gesamten weltweiten Jahresumsatzes. Wie bei Artikel 33 kann eine unterlassene Mitteilung zudem einen Verstoß gegen die Rechenschaftspflicht nach Artikel 5 Abs. 2 stützen, der in die höhere Stufe fällt (bis 20 Mio. € / 4 %).

Durchsetzungsbeispiele verbinden zunehmend Artikel 33 und 34:

• Polen (2025): Die polnische Aufsichtsbehörde verhängte gegen das Kreiskrankenhaus in Września 6.800 Euro wegen Verstößen gegen Artikel 33 und 34 sowie gegen die Nationale Staatsanwaltschaft 19.800 Euro wegen Verstößen gegen Artikel 6, 33 und 34 (EDSA-News).
• Aufsehenerregende Bußgelder wie gegen British Airways (20 Mio. £, ICO) und Marriott (18,4 Mio. £, ICO) verdeutlichen, wie Verletzungen, die Millionen Personen betreffen, entlang der gesamten Meldekette geprüft werden — von der Sicherheit nach Artikel 32 bis zur Mitteilung nach Artikel 34.
• Volumen: Da EWR-weite Meldungen mittlerweile durchschnittlich 443 pro Tag erreichen (DLA Piper, Januar 2026), ist der Anteil, der zur Benachrichtigung Betroffener eskaliert, ein zentrales Signal für Behörden.

---

Die Lage in UK und Norwegen

Wie Artikel 33 ist die Pflicht zur Benachrichtigung Betroffener ein gesamteuropäischer Standard, keine EU-27-Besonderheit.

Vereinigtes Königreich. Die UK GDPR behält Artikel 34 inhaltlich bei: Ist eine Verletzung voraussichtlich mit einem hohen Risiko verbunden, muss der Verantwortliche die Personen unverzüglich informieren, wobei die ICO Vorgaben und Aufsicht bereitstellt. Der Data (Use and Access) Act 2025 (Royal Assent 19. Juni 2025) schwächte diese Pflicht nicht, und die Europäische Kommission leitete nach Prüfung der Reformen die Erneuerung des UK-Angemessenheitsbeschlusses ein — die EU-UK-Datenflüsse laufen weiter, die Erwartungen an die Pannenbehandlung bleiben angeglichen. Die ICO-Bußgelder gegen British Airways und Marriott zeigen, wie eng die britische Durchsetzung der EU-Logik folgt.

Norwegen und der EWR. Norwegen wendet die DSGVO über das EWR-Abkommen an (in Kraft seit Juli 2018), sodass Artikel 34 norwegische Verantwortliche identisch bindet, beaufsichtigt durch das Datatilsynet. Ist eine Verletzung voraussichtlich mit einem hohen Risiko verbunden, müssen betroffene Personen in Norwegen unverzüglich informiert werden — dieselbe Schwelle, dieselben Inhaltsanforderungen, dieselben Ausnahmen. Für Organisationen, die in der EU, im EWR und in UK tätig sind, lautet die praktische Schlussfolgerung: Entwerfen Sie ein Benachrichtigungs-Playbook nach dem Maßstab des hohen Risikos, nicht drei.

---

Artikel 34 im Trust Center operativ umsetzen

Artikel 34 ist der reputativ heikelste Moment im Pannenlebenszyklus und kaum gut zu bewältigen, wenn man ihn improvisiert. Drei Vorarbeiten machen den Unterschied:

1. Ein Entscheidungsrahmen für hohes Risiko, der Verletzungstypen den EDSA-Risikoindikatoren zuordnet (Identitätsdiebstahl, finanzieller Verlust, besondere Datenkategorien), sodass die Hochrisiko-Feststellung konsistent und belastbar ist — und einer Anfechtung nach Artikel 34 Abs. 4 standhält.
2. Eine vorab freigegebene, klar formulierte Mitteilungsvorlage mit den drei Pflichtangaben, bereit zum Ausfüllen, damit Sie kundengerichtete Texte nicht unter Rechts- und Zeitdruck verfassen.
3. Ein Inventar des Verschlüsselungsstatus, denn ob verletzte Daten unverständlich gemacht wurden (die erste Ausnahme nach Artikel 34 Abs. 3), entscheidet häufig darüber, ob Sie überhaupt benachrichtigen müssen.

Hier verbindet sich Pannenkommunikation mit der breiteren Vertrauenslage. Dasselbe kontinuierliche Monitoring, das Ihre Sicherheitskontrollen belegt, sagt Ihnen im Moment einer Verletzung auch, welche Datenspeicher betroffen und ob sie verschlüsselt waren — die Eingabe Ihrer Artikel-34-Entscheidung. Die Trust-Center-Plattform von Orbiq hält diesen Nachweis aktuell und prüfungsbereit, und für die Rechts- und Datenschutzteams, die die Mitteilungsentscheidung verantworten, zeigt unser Leitfaden zum Trust Center für Rechtsteams, wie Register, Risikobewertung und Workflow an einem belastbaren Ort bleiben.

Gemeinsam mit seinem Pendant, Artikel 33 zur 72-Stunden-Regel, gelesen, vervollständigt Artikel 34 das Bild der DSGVO-Pannenreaktion: die Behörde melden, wenn ein Risiko besteht, die Menschen informieren, wenn ein hohes Risiko besteht, und die Begründung für beides dokumentieren — jedes Mal.

---

Quellen & Referenzen

1. Verordnung (EU) 2016/679 (DSGVO) — Volltext — Amtsblatt der Europäischen Union.
2. gdpr-info.eu — Artikel 34 (Benachrichtigung der betroffenen Person) — Artikeltext und Erwägungsgründe.
3. gdpr-info.eu — Artikel 33 (Meldung an die Aufsichtsbehörde) — Begleitende Meldepflicht.
4. EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Version 2.0) — Risikobewertung, Hochrisiko-Beispiele und Mitteilungsleitlinien.
5. DLA Piper GDPR Fines and Data Breach Survey: Januar 2026 — 443 Meldungen pro Tag im EWR, plus 22 %.
6. Polnische Aufsichtsbehörde: Bußgeld von 6.800 Euro (Artikel 33 und 34) — EDSA-News, 2025.
7. Polnische Aufsichtsbehörde: Bußgeld von 19.800 Euro (Artikel 6, 33 und 34) — EDSA-News, 2025.
8. ICO — Personal data breaches: a guide — UK GDPR Benachrichtigung Betroffener.
9. Data (Use and Access) Act 2025 — Überblick zur UK-Datenschutzreform — Norton Rose Fulbright.
10. Datatilsynet — Norwegische Datenschutzbehörde — Leitfaden zur Meldung von Datenpannen (Norwegen / EWR).

---

Weiterführende Artikel

• DSGVO Artikel 33: Die 72-Stunden-Meldepflicht bei Datenpannen
• DSGVO-Compliance: Vollständiger Leitfaden für 2026 (Artikel 28, 32, 33, 34)
• Subprocessor-Management nach DSGVO Artikel 28
• Trust Center für Rechtsteams
• Kontinuierliches Monitoring