- DSGVO Art. 33: Benachrichtigen Sie Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis eines Verstoßes
- Artikel 34: Betroffene unverzüglich benachrichtigen, wenn der Verstoß hochgefährdet ist
- Die Uhr beginnt, wenn ein Teil Ihrer Organisation bewusst wird — nicht nur IT oder legal
- Die Benachrichtigung kann schrittweise erfolgen – erste Benachrichtigung innerhalb von 72 Stunden, Einzelheiten folgen
Eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO beschränkt sich nicht nur auf Hackerangriffe. Dazu gehören jede versehentliche oder unrechtmäßige Zerstörung, jeder Verlust, jede Änderung, die unbefugte Offenlegung oder der unbefugte Zugriff auf personenbezogene Daten. Eine an den falschen Empfänger gesendete E-Mail, ein verlorener Laptop, eine versehentlich veröffentlichte Tabelle – all das kann eine Meldepflicht bei Verstößen auslösen.
Das 72-Stunden-Fenster ist eine der operativ anspruchsvollsten Anforderungen der DSGVO. Hier ist ein getesteter Reaktionsplan.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Hour 0–4: Contain and assess
- Activate your incident response team — DPO, IT security, legal, communications lead
- Contain the breach — revoke access, isolate systems, recover lost devices, stop the leak
- Preserve evidence — log files, email headers, access records. Do not destroy anything
- Document everything — time of discovery, who identified it, what actions were taken when
- Assess scope — what data was affected? How many individuals? What categories (health, financial, criminal)?
Hour 4–24: Risk assessment
Determine whether the breach is “likely to result in a risk to the rights and freedoms of natural persons.” Most breaches clear this bar and therefore require supervisory authority notification. Only low-risk breaches (e.g., encrypted data with no known decryption risk) are exempt.
Assess separately whether the breach is “likely to result in high risk” which triggers direct notification to affected individuals under Article 34. High-risk indicators include:
- Offengelegte Daten besonderer Kategorien (Gesundheit, Biometrie, Strafregister, Religion)
- Finanzdaten, die Betrug oder Identitätsdiebstahl ermöglichen könnten
- Große Zahl betroffener Personen
- Gefährdete Bevölkerungsgruppen (Kinder, Patienten) unter den Betroffenen
- Daten in den Händen eines böswilligen Akteurs statt versehentlicher Offenlegung
Hour 24–48: Draft notification
Gemäß Artikel 33 muss Ihre Meldung Folgendes enthalten:
- Art des Verstoßes (Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze)
- Name und Kontaktdaten Ihres Datenschutzbeauftragten oder einer anderen Kontaktstelle
- Wahrscheinliche Folgen des Verstoßes
- Maßnahmen, die ergriffen oder vorgeschlagen wurden, um den Verstoß zu beheben, einschließlich Schadensbegrenzung
Eine schrittweise Benachrichtigung ist zulässig: Wenn Sie nicht alle Details innerhalb von 72 Stunden bereitstellen können, übermitteln Sie, was Sie wissen, und weisen Sie darauf hin, dass weitere Informationen folgen. Die fristgerechte Abgabe einer unvollständigen Meldung ist besser als eine vollständige Meldung nach Ablauf der Frist.
Hour 48–72: Submit and notify individuals
- Übermittlung an die Aufsichtsbehörde über deren Online-Portal (z. B. Datatilsynet in Norwegen, ICO im Vereinigten Königreich, CNIL in Frankreich)
- Bei hohem Risiko: Benachrichtigen Sie die betroffenen Personen in einfacher Sprache und erläutern Sie, was passiert ist, welche Daten betroffen waren, welche Konsequenzen dies haben könnte und welche Schritte sie unternehmen sollten
- Dokumentieren Sie die Einreichung inklusive Referenznummer und Bestätigung
Post-72h: Dokumente und Vermittler
- Führen Sie ein vollständiges Verstoßregister (Artikel 33 Absatz 5 verlangt die Dokumentation aller Verstöße, unabhängig davon, ob eine Meldung erforderlich war)
- Führen Sie eine Ursachenanalyse durch
- Präventive Maßnahmen umsetzen und testen
- Aktualisieren Sie Ihren Incident-Response-Plan basierend auf den gewonnenen Erkenntnissen
- Informieren Sie Ihre Aufsichtsbehörde über Aktualisierungen der Erstmeldung
See also: GDPR for Law Firms — GDPR for Regulated Businesses
Häufig gestellte Fragen
Wenn Ihre Organisation Kenntnis von der Sicherheitsverletzung erhält – nicht, wenn die IT-Abteilung sie bestätigt, nicht, wenn die Rechtsabteilung sie überprüft, und auch nicht, wenn der Datenschutzbeauftragte informiert wird. Wenn ein Mitarbeiter an vorderster Front den Verstoß am Freitagabend entdeckt, beginnt die Uhr am Freitagabend zu laufen. Deshalb müssen interne Meldeverfahren schnell und klar sein.
Die Meldepflicht richtet sich nach dem Risikograd und nicht nach dem Datenvolumen. Bei einem geringfügigen Verstoß gegen die Offenlegung von Gesundheitsakten oder Finanzdaten kann eine Benachrichtigung erforderlich sein. Bei einem großen Verstoß gegen bereits öffentliche Daten ist dies möglicherweise nicht der Fall. Führen Sie für jeden Verstoß, unabhängig von der Größe, eine ordnungsgemäße Risikobewertung durch.
Aufsichtsbehörden nehmen verspätete Meldungen ernst. Die Strafen können erheblich sein. Allerdings können die Strafen gemildert werden, wenn man sich nach Treu und Glauben bemüht, eine glaubwürdige Erklärung für die Verzögerung liefert und strenge Abhilfemaßnahmen trifft. Eine späte Benachrichtigung ist immer besser als keine Benachrichtigung.
Nein. Eine individuelle Benachrichtigung gemäß Artikel 34 ist nur dann erforderlich, wenn der Verstoß „wahrscheinlich ein hohes Risiko für Einzelpersonen mit sich bringt“. Dies ist ein höherer Grenzwert als der Meldeschwellenwert der Aufsichtsbehörde. Aber gehen Sie lieber auf die Seite der Benachrichtigung – wenn Sie es versäumen, Einzelpersonen bei Bedarf zu benachrichtigen, kann dies zu höheren Bußgeldern führen.
Gemäß Artikel 33 Absatz 5 der DSGVO sind alle Organisationen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten zu dokumentieren – auch solche, bei denen keine Benachrichtigung der Aufsichtsbehörde erforderlich war. Dieses Register muss Folgendes enthalten: den Sachverhalt, die Auswirkungen und die ergriffenen Abhilfemaßnahmen. Aufsichtsbehörden prüfen im Rahmen von Audits die Verstoßregister.
HubSecure bietet verschlüsselte sichere Datenspeicherung, Zugriffsprotokollierung und Berechtigungskontrollen, die das Risiko von Sicherheitsverletzungen reduzieren. Für Firmen, die Kundendaten verwalten, bedeutet der Prüfpfad von HubSecure, dass Sie schnell genau feststellen können, auf welche Daten von wem zugegriffen wurde – entscheidend für die 72-Stunden-Bewertung.
Sehen Sie HubSecure in Aktion
Der Prüfpfad von HubSecure, Secure Vault und die Vorfallprotokollierung helfen Ihnen, das 72-Stunden-Benachrichtigungsfenster einzuhalten – und dies Ihrer Aufsichtsbehörde nachzuweisen.
Siehe auch: HubSecure DPA und EU-Standardvertragsklauseln · Sicherheitsübersicht
Offizielle Quellen und weiterführende Literatur
Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.
Anmerkungen zur Erkennbarkeit
Dieser Leitfaden ist für die Produkt- und Betriebsbewertung geschrieben, nicht als Rechtsberatung. Bei Erfüllungsverpflichtungen bestätigen Sie die Anforderungen mit qualifiziertem Rat oder dem zuständigen Regulierungsorgan.
Verwandte HubSecure Referenzen: Sicherheit · DPA · Subprozessoren · AML/KYC Glossar · RBAC Glossar
Bewertet für regulierte Teams
Gefertigt durch das redaktionelle Team HubSecure für Operatoren, Compliance-Führer und IT-Bewerter, die eine sichere Client-Betriebssoftware bewerten.
Autoren · Reviewer · Redaktion