CERTISCAN
Kostenlos, ohne Anmeldung

Datenpanne: Muss ich melden? (72 Stunden)

Datenpanne: Muss ich melden? Risikoprüfung nach Art. 33/34 DSGVO. Art der Daten und Risiko eingeben. Kostenloser CERTISCAN Rechner.

Meldepflicht prüfen

Wann wurde die Datenpanne bekannt?
Je sensibler, desto höher das Risiko
Verschlüsselte Daten senken das Risiko
Schätzung genügt
Risiko
Risikobewertung nach DSGVO
⚠️ Meldung an Behörde erforderlich
Risiko-Score5 / 15
Meldung an Behörde (Art. 33)Ja – Pflicht
Meldung an Betroffene (Art. 34)Nein
72-Stunden-Frist endet30.03.2026, 00:00
Verbleibend50 Stunden
Betroffene Personen10
RechtsgrundlageArt. 33, 34 DSGVO
Achtung: Die 72-Stunden-Frist beginnt ab Kenntnis der Datenpanne. Dokumentieren Sie den Vorfall, ergriffene Maßnahmen und die Risikoeinschätzung. CERTISCAN protokolliert alle Schritte revisionssicher im Audit-Trail.

📧 Ergebnis als PDF per E-Mail erhalten

Kostenlos, unverbindlich und sofort in Ihrem Postfach.

Ich stimme der Datenschutzerkl\u00e4rung zu. *
Ja, ich m\u00f6chte Praxis-Tipps zu Compliance & HR erhalten (max. 2\u00d7/Monat, jederzeit abbestellbar).

Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.

Automatisch berechnen mit CERTISCAN

CERTISCAN dokumentiert Datenpannen-Prozesse im WORM-Audit-Trail. 72-Stunden-Fristüberwachung, Maßnahmen-Tracking und Behördenkommunikation. Ab 29 €/Monat.

14 Tage kostenlos testen →Mehr zu Hinweisgeberschutz

Datenpanne – muss ich melden? Art. 33/34 DSGVO

Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten) muss innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Der kostenlose CERTISCAN Rechner hilft bei der Risikoeinschätzung.

Beispiel: Ein USB-Stick mit Personaldaten (Gehalt, Adressen) von 50 Mitarbeitern geht verloren. Das ist eine Datenpanne mit hohem Risiko – Meldung an die Behörde innerhalb von 72 Stunden und Benachrichtigung der betroffenen Personen sind Pflicht.

Die drei Meldepflicht-Stufen

  • Kein Risiko: Keine Meldung erforderlich (z.B. verschlüsselter Laptop verloren)
  • Risiko: Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
  • Hohes Risiko: Meldung an Behörde UND Benachrichtigung der Betroffenen (Art. 34 DSGVO)

Warum CERTISCAN für Datenpannen-Management?

CERTISCAN dokumentiert den gesamten Datenpannen-Prozess: Erkennung, Risikoeinschätzung, Maßnahmen, Meldung und Nachbereitung. Alles im WORM-Audit-Trail – revisionssicher auf deutschen Servern. Ab 29 €/Monat.

Berechnung gepr\u00fcft von Christoph Schulz, Gr\u00fcnder CERTISCAN. Letzte Aktualisierung: M\u00e4rz 2026.

Meldepflicht prüfen: CERTISCAN vs. Alternativen

FunktionCERTISCANE-Mail/ExcelOhne Prozess
Datenpannen-DokumentationWORM-Audit-TrailE-Mail-OrdnerKeine
72h-FristüberwachungAutomatischManuellKeine
RisikobewertungStrukturiertFormlosAd-hoc
Maßnahmen-TrackingTeilweise
RevisionssicherheitWORM (SHA-256)FraglichKeine
Hosting DeutschlandHetzner DEUnterschiedlich
DSGVO-konformVollständigTeilweiseNein
Kosten29 €/Mo0 €0 €

Alles über Datenpannen und Meldepflichten

Gesetzliche Grundlage

  • Art. 33 DSGVO: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden
  • Art. 34 DSGVO: Benachrichtigung der betroffenen Personen bei hohem Risiko
  • Art. 4 Nr. 12 DSGVO: Definition "Verletzung des Schutzes personenbezogener Daten"
  • § 65 BDSG: Ergänzende Vorschriften für öffentliche Stellen

Was ist eine Datenpanne?

Jede Verletzung der Sicherheit, die zu folgender Situation führt:

  • Vernichtung: Daten sind unwiderruflich gelöscht
  • Verlust: Daten sind nicht mehr verfügbar (z.B. Ransomware)
  • Veränderung: Daten wurden unbefugt geändert
  • Unbefugte Offenlegung: Daten sind öffentlich oder Dritten zugänglich
  • Unbefugter Zugang: Dritte hatten Zugriff auf Daten

Risikobewertung

Die Meldepflicht hängt vom Risiko für die betroffenen Personen ab:

  1. Art der Daten: Bankdaten > Gesundheitsdaten > Kontaktdaten > öffentliche Daten
  2. Anzahl Betroffener: Mehr Betroffene = höheres Risiko
  3. Schwere der Folgen: Diskriminierung, Identitätsdiebstahl, finanzielle Schäden
  4. Besondere Gruppen: Kinder, Beschäftigte in Abhängigkeit
  5. Verschlüsselung: Verschlüsselte Daten = geringeres Risiko

72-Stunden-Frist

  • Beginn: Ab Kenntnis der Datenpanne (nicht ab Entdeckung)
  • Kenntnis: Wenn der Verantwortliche mit hinreichender Sicherheit weiß, dass eine Panne vorliegt
  • Verspätete Meldung: Möglich mit Begründung (Art. 33 Abs. 1 Satz 2 DSGVO)
  • Wochenende/Feiertag: Die 72-Stunden-Frist läuft auch an Wochenenden!

Typische Datenpannen im FM

  • Verlorener USB-Stick: Personalstammdaten, Gehaltslisten
  • E-Mail an falschen Empfänger: Mitarbeiterlisten, Zeitauswertungen
  • Einbruch/Diebstahl: Laptop mit unverschlüsselten Daten
  • Ransomware: Verschlüsselung der gesamten Firmendaten
  • Phishing: Zugangsdaten kompromittiert

Inhalt der Meldung (Art. 33 Abs. 3 DSGVO)

  1. Art der Verletzung (was ist passiert?)
  2. Kategorien und Anzahl betroffener Personen
  3. Kontaktdaten des DSB
  4. Wahrscheinliche Folgen
  5. Ergriffene oder vorgeschlagene Maßnahmen

Verwandte Themen

H\u00e4ufig gestellte Fragen

Jede Verletzung der Sicherheit personenbezogener Daten: Verlust, Diebstahl, unbefugte Offenlegung, unbefugter Zugang oder unbefugte Änderung. Auch ein versehentlich verschickter E-Mail-Verteiler im CC statt BCC ist eine Datenpanne.
Wenn die Panne ein Risiko für die betroffenen Personen darstellt, müssen Sie innerhalb von 72 Stunden die Aufsichtsbehörde informieren. Bei hohem Risiko müssen auch die Betroffenen selbst benachrichtigt werden.
Ab dem Zeitpunkt, zu dem der Verantwortliche Kenntnis von der Datenpanne erlangt. Die Frist läuft auch an Wochenenden und Feiertagen. Deshalb ist ein Notfallprozess wichtig.
Eine verspätete Meldung ist möglich, muss aber begründet werden. Die verspätete oder unterlassene Meldung ist selbst ein DSGVO-Verstoß und kann mit Bußgeldern bis 10 Mio. € oder 2% des Jahresumsatzes bestraft werden.
Nach Art. 34 DSGVO bei hohem Risiko: z.B. Bankdaten, Passwörter, Gesundheitsdaten betroffen, große Anzahl Betroffener, mögliche Diskriminierung oder Identitätsdiebstahl. Im Zweifel immer benachrichtigen.
Wenn kein Risiko besteht: z.B. verschlüsselter Laptop verloren (Schlüssel nicht kompromittiert), Daten sofort gelöscht, nur anonymisierte Daten betroffen. Aber: Auch nicht-meldepflichtige Pannen müssen intern dokumentiert werden!
An die zuständige Landesdatenschutzbehörde (z.B. LfDI NRW, BayLDA). Die meisten bieten Online-Meldeformulare an. CERTISCAN kann die Meldedaten aufbereiten.
CERTISCAN dokumentiert den gesamten Prozess: Erkennung, Risikobewertung, Maßnahmen und Meldung – alles im WORM-Audit-Trail. Die 72-Stunden-Frist wird automatisch überwacht. Ab 29 €/Monat.
Ja! Art. 33 Abs. 5 DSGVO verpflichtet zur Dokumentation ALLER Datenpannen – auch der nicht-meldepflichtigen. Die Dokumentation muss die Fakten, Auswirkungen und ergriffenen Maßnahmen enthalten.
Die unterlassene Meldung ist ein eigenständiger DSGVO-Verstoß: Bußgeld bis 10 Mio. € oder 2% des Jahresumsatzes. Dazu kommen Schadensersatzansprüche der Betroffenen und Reputationsschäden.

Verwandte Themen

Datenschutz Bußgeld-RechnerBußgeldrisiko bei VerstößenDSGVO Auskunft Frist-RechnerAuskunftsfristen berechnenDSB-Pflicht-PrüfungAb wann Pflicht?Löschfristen-RechnerAufbewahrungsfristenHinSchG Bußgeld-RechnerHinweisgeberschutz

Bereit f\u00fcr automatische Berechnung?

14 Tage kostenlos. Keine Kreditkarte. Keine K\u00fcndigung n\u00f6tig.

CERTISCAN kostenlos testen