FAQ · 72-Stunden-Frist

Wann muss eine Datenschutzpanne gemeldet werden?

Bei einem Risiko für Rechte und Freiheiten betroffener Personen muss eine Meldung an die Aufsichtsbehörde grundsätzlich binnen 72 Stunden geprüft und vorbereitet werden.

Aktualisiert: 1. Mai 2026
Quelle: Art. 33 DSGVO

Kurzantwort

Nicht jede interne Störung ist meldepflichtig. Sobald personenbezogene Daten offengelegt, verloren, verändert oder unberechtigt zugänglich wurden, muss das Risiko strukturiert bewertet werden.

Was sofort zählt

Zeitpunkt, betroffene Daten, Personenzahl, Ursache, Gegenmaßnahmen und verbleibendes Risiko sollten sofort festgehalten werden. Ohne diese Fakten wird die 72-Stunden-Frist schnell zur Schätzarbeit.

Kommunikation

Neben der Meldung an die Behörde kann auch eine Information der Betroffenen erforderlich sein. Das hängt davon ab, ob ein hohes Risiko besteht und ob wirksame Schutzmaßnahmen greifen.

Prüfliste

Vorfallzeitpunkt und Entdeckung dokumentieren
Datenarten und betroffene Personengruppen erfassen
Risiko bewerten und Gegenmaßnahmen starten
Meldepflicht und Betroffeneninformation entscheiden

Wann muss eine Datenschutzpanne gemeldet werden?

Kurzantwort

Was sofort zählt

Kommunikation

Prüfliste

Verwandte Datenschutzfragen

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Dürfen Mitarbeitende personenbezogene Daten in KI-Tools eingeben?

Website-Tracking bleibt ein schneller DSGVO-Risikotest