CompliantDesk

DSGVO für den Mittelstand

Datenpanne melden: die 72-Stunden-Meldepflicht

DSGVOArt. 33 & 34 DSGVO

Bei einer Verletzung des Schutzes personenbezogener Daten haben Sie nur 72 Stunden Zeit, die Aufsichtsbehörde zu informieren. Bei hohem Risiko müssen Sie zusätzlich die betroffenen Personen benachrichtigen.

Worum geht es?

Eine Datenpanne im Sinne der DSGVO ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt - vom Ransomware-Angriff bis zur falsch adressierten E-Mail. Nach Art. 33 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, informieren, sofern ein Risiko für Betroffene besteht. Ist das Risiko hoch, kommt nach Art. 34 DSGVO eine Benachrichtigung der betroffenen Personen hinzu. Entscheidend ist: Jede Panne muss intern dokumentiert werden, auch wenn keine Meldung nötig ist - diese Dokumentation ist selbst Teil der Nachweispflicht.

Das müssen Sie konkret tun

  • Meldung an die Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden
  • Beschreibung von Art der Panne, betroffenen Datenkategorien und ungefährer Personenzahl
  • Darstellung wahrscheinlicher Folgen und der ergriffenen Gegenmaßnahmen
  • Benachrichtigung der Betroffenen bei voraussichtlich hohem Risiko (Art. 34 DSGVO)
  • Lückenlose interne Dokumentation jeder Datenpanne, auch ohne Meldepflicht

So setzen Sie es mit CompliantDesk um

  • Datenpannen im Vorfälle-Modul erfassen, das die 72-Stunden-Frist und Meldefristen automatisch berechnet
  • Fristen für Behörden- und Betroffenenbenachrichtigung sichtbar im Kalender nachhalten
  • Ursachenanalyse und Gegenmaßnahmen je Vorfall dokumentieren statt im E-Mail-Verlauf
  • Meldungen und Korrespondenz mit der Aufsichtsbehörde als Nachweis revisionssicher ablegen
  • Wiederholte Pannen als Risiken im Risiko-Register bewerten und Maßnahmen ableiten

Typische Fehler

Die 72-Stunden-Frist erst ab vollständiger Aufklärung statt ab Bekanntwerden rechnen
Kleinere Pannen gar nicht dokumentieren
Betroffene bei hohem Risiko nicht oder zu spät benachrichtigen
Keinen definierten Prozess haben und im Ernstfall Zeit mit Zuständigkeitsfragen verlieren

Häufig gestellte Fragen

Muss ich jede Datenpanne der Behörde melden?

Nein. Meldepflichtig sind nur Pannen mit voraussichtlichem Risiko für die Rechte und Freiheiten Betroffener. Intern dokumentieren müssen Sie aber jede Datenpanne, unabhängig davon, ob eine Meldung erfolgt.

Wann beginnt die 72-Stunden-Frist?

Die Frist läuft ab dem Zeitpunkt, zu dem Ihnen die Verletzung bekannt wird, nicht erst ab vollständiger Aufklärung. Ist eine fristgerechte Meldung nicht möglich, kann sie schrittweise mit einer Begründung der Verzögerung erfolgen.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen