Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenpannen · DSGVO Art. 33, 34

Datenpanne: Erstreaktion in den ersten 72 Stunden

Sie haben Kenntnis von einer Datenpanne erlangt? Damit beginnt die 72-Stunden-Frist nach Art. 33 DSGVO. Diese Seite ist die Schritt-für-Schritt-Anleitung für die ersten drei Tage.

Sofort (innerhalb der ersten Stunde)

  1. Schadensbegrenzung geht vor Dokumentation. Lecks schließen, Zugriff sperren, Datenfluss stoppen.
  2. Kurz-Notiz mit Datum, Uhrzeit, Quelle der Kenntnis, erster Einschätzung — formlos, später ins Verzeichnis übernommen.
  3. DSB informieren (uns), auch wenn unklar ist, ob es meldepflichtig ist. Frühzeitige Einbindung ist immer richtig.
  4. Geschäftsführung / Vorstand informieren — die Entscheidung über die Meldung liegt formal beim Verantwortlichen.

In den ersten 24 Stunden

  • Ursache und Umfang aufklären — was genau ist passiert, wann, wer ist betroffen, welche Daten?
  • Risikobewertung nach den Kriterien des EDSA-Leitfadens 9/2022: Vertraulichkeit, Integrität, Verfügbarkeit; Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.
  • Vorläufige Meldung an die Aufsicht vorbereiten, auch wenn nicht alle Details geklärt sind (Art. 33 Abs. 4 DSGVO erlaubt die schrittweise Information).
  • Beweissicherung: Logs einfrieren, Mail-Header sichern, betroffene Systeme aus der Rotation nehmen aber nicht löschen.

Bis 72 Stunden

  • Meldung an die zuständige Aufsichtsbehörde abgesetzt (online, formal mit den vorgesehenen Feldern). Wenn nicht meldepflichtig: dokumentierte Begründung ablegen.
  • Bei hohem Risiko zusätzlich: Benachrichtigung der Betroffenen (Art. 34 DSGVO). Sprache: klar, ohne juristischen Jargon.
  • Eintrag im Datenpannen-Verzeichnis (Art. 33 Abs. 5) abgeschlossen.

Was nicht zu tun ist

  • Nicht abwarten in der Hoffnung, die Lage klärt sich. Die 72-Stunden-Frist läuft ab Kenntniserlangung, nicht ab Klärung.
  • Keine Schuldzuweisung nach außen. Die interne Aufarbeitung kommt später.
  • Kein “wir prüfen noch” als Meldegrund — Art. 33 Abs. 4 erlaubt die unvollständige Erstmeldung.

Vorlagen

In der Vorlagen-Bibliothek (Phase 6 in Vorbereitung) finden Sie bald:

  • TPL-006 — Erstinformation Betroffene Stufe 1 (für Art. 34)
  • TPL-007 — Spezial-Fall offener E-Mail-Verteiler

Bis dahin: schreiben Sie uns an xdsb@xdsb.eu und wir liefern den passenden Mustertext zurück.

Weiterführend