Schluss mit dem Rätselraten, wann betroffene Personen nach einer Verletzung zu benachrichtigen sind: Holen Sie sich das exakte Framework
Holen Sie sich das Schritt-für-Schritt-Entscheidungsframework zu Art. 34, die Meldevorlagen und die Checkliste für die Koordination über mehrere Einheiten, mit denen Datenschutzteams in über 50 Organisationen Verletzungsmeldungen ohne Rätselraten, Panik oder regulatorisches Risiko bewältigen.
Kein Spam. Sofortiger Zugriff auf die Checkliste und die Vorlagen.
Was Datenschutzfachleute sagen
Ergebnisse von Datenschutzteams wie dem Ihren
60% weniger Verwaltungszeit
«Wir haben den Verwaltungsaufwand für Compliance innerhalb von sechs Monaten um 60% reduziert. Unser Datenschutzbeauftragter widmet sich jetzt Risikobeurteilungen und strategischen Entscheidungen, statt Dokumentation über Tabellen hinweg hinterherzujagen.»
Luftfahrtfertigung, Datenschutzprogramm über mehrere Einheiten
200+ Stunden eingespart
«Wir haben über 200 Stunden bei der Compliance-Dokumentation eingespart und die ISO-27001-Vorbereitung drei Monate vor Plan abgeschlossen. Die auditfertigen Nachweispakete waren auf Abruf verfügbar, was das hektische Zusammensuchen vor Anfragen der Aufsichtsbehörde überflüssig machte.»
Gesundheitstechnologie, ISO-27001-zertifiziert
Breach-Koordination rund um die Uhr
«Wir steuern den Support für den Datenschutzbeauftragten und die Koordination der Breach-Reaktion über mehrere Einheiten hinweg aus einer einzigen Plattform. Die rechtsraumbezogenen blinden Flecken, die wir mit E-Mail-basierten Prozessen hatten, sind verschwunden, und jede Meldeentscheidung wird je Einheit nachverfolgt.»
Technologie, Datenschutzsteuerung über mehrere Einheiten
Auf Basis von Kundenangaben. Daten des Flugzeugherstellers und des Medizintechnikunternehmens aus den ersten 12 Monaten nach der Einführung. Daten des Technologieunternehmens aus der laufenden Zusammenarbeit.
Die vollständige Aufschlüsselung zu Art. 34: Wann, was und wie Sie betroffene Personen benachrichtigen
Art. 34 ist eine der am häufigsten falsch eingeschätzten Bestimmungen der DSGVO. Benachrichtigen Sie, wenn Sie es nicht sollten, lösen Sie unnötige Panik aus. Versäumen Sie es, wenn Sie es sollten, drohen Durchsetzungsmassnahmen. Hier ist das Framework, um es richtig zu machen.
Bestimmen, ob die Verletzung den Schwellenwert des «hohen Risikos» erreicht
Art. 34 Abs. 1 greift nur, wenn eine Verletzung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Das ist eine höhere Hürde als die Meldung an die Aufsichtsbehörde nach Art. 33, die für jede Verletzung gilt, die nicht voraussichtlich kein Risiko zur Folge hat.
Faktoren, die eine Verletzung typischerweise in den Bereich des «hohen Risikos» rücken:
- Besondere Kategorien personenbezogener Daten sind betroffen (Gesundheit, Biometrie, rassische/ethnische Herkunft, politische Meinungen)
- Finanzdaten, die Betrug ermöglichen könnten (Bankkonten, Kreditkartennummern)
- Eine grosse Zahl betroffener Personen
- Daten, die zu Identitätsdiebstahl, Diskriminierung oder körperlichem Schaden führen könnten
- Schutzbedürftige betroffene Personen sind betroffen (Kinder, Patienten, Mitarbeitende)
- Die Daten waren zum Zeitpunkt der Verletzung nicht verschlüsselt oder pseudonymisiert
Die entscheidende Frage lautet nicht «Wie schwer war die Verletzung?», sondern «Wie wahrscheinlich ist es, dass die betroffenen Personen einen realen Schaden erleiden?». Ihre Risikobeurteilung muss die Begründung dokumentieren, denn die Aufsichtsbehörden werden danach fragen.
Die drei Ausnahmen prüfen, die die Meldepflicht entfallen lassen
Art. 34 Abs. 3 sieht drei Ausnahmen vor. Greift eine davon, müssen Sie betroffene Personen nicht benachrichtigen, jedoch müssen Sie weiterhin dokumentieren, warum die Ausnahme greift.
Ausnahme (a): Geeignete Schutzmassnahmen waren vorhanden
Sie haben technische und organisatorische Massnahmen angewendet, die die personenbezogenen Daten für alle nicht zum Zugriff befugten Personen unzugänglich machen. Das häufigste Beispiel ist die Verschlüsselung: Wurden die betroffenen Daten mit einem starken Algorithmus verschlüsselt und der Schlüssel nicht kompromittiert, greift diese Ausnahme wahrscheinlich.
Ausnahme (b): Anschliessende Massnahmen beseitigen das Risiko
Sie haben unmittelbar nach der Verletzung Massnahmen ergriffen, die sicherstellen, dass das hohe Risiko für die betroffenen Personen voraussichtlich nicht mehr eintritt. Beispielsweise haben Sie die Verletzung erkannt und eingedämmt, bevor tatsächlich auf Daten zugegriffen wurde, oder ein verlorenes Gerät aus der Ferne gelöscht, bevor es entsperrt wurde.
Ausnahme (c): Unverhältnismässiger Aufwand
Wäre die individuelle Benachrichtigung mit einem unverhältnismässigen Aufwand verbunden (etwa, weil Sie nicht alle betroffenen Personen identifizieren oder kontaktieren können), müssen Sie stattdessen eine öffentliche Bekanntmachung vornehmen oder eine ähnliche Massnahme ergreifen, die betroffene Personen ebenso wirksam informiert. Dies ist die am häufigsten falsch angewendete Ausnahme; die Aufsichtsbehörden legen «unverhältnismässiger Aufwand» eng aus.
Den Inhalt der Meldung verfassen
Art. 34 Abs. 2 verweist auf Art. 33 Abs. 3 lit. b, c und d. Ihre Meldung an betroffene Personen muss vier Elemente enthalten, vermittelt «in klarer und einfacher Sprache»:
- Die Art der Verletzung: Beschreiben Sie, was geschehen ist, in Worten, die die empfangende Person verstehen kann. Vermeiden Sie Juristendeutsch und technische Fachsprache. «Ein unbefugter Dritter hat auf Ihre Kontoinformationen zugegriffen» ist besser als «Es ist ein Sicherheitsvorfall im Zusammenhang mit der Offenlegung von Zugangsdaten aufgetreten».
- Kontaktdaten des Datenschutzbeauftragten: Der Name und die Kontaktdaten Ihres Datenschutzbeauftragten oder einer anderen Anlaufstelle, bei der weitere Informationen eingeholt werden können.
- Voraussichtliche Folgen: Seien Sie ehrlich und konkret. «Dies kann bedeuten, dass Ihre E-Mail-Adresse und Ihr Passwort unbefugten Parteien zugänglich sind, was zum Zugriff auf andere Konten genutzt werden könnte, falls Sie dasselbe Passwort verwenden» ist nützlicher als «Es könnte ein Risiko für Ihre personenbezogenen Daten bestehen».
- Massnahmen zur Abmilderung: Beschreiben Sie, was Sie unternommen haben und was Sie empfehlen: Passwort-Zurücksetzungen, Kontoüberwachung, Kreditsperren, Ansprechstellen für Fragen.
Den richtigen Kommunikationskanal wählen
Die DSGVO schreibt keinen bestimmten Kanal vor, doch die Meldung muss die betroffenen Personen tatsächlich erreichen. Berücksichtigen Sie:
- Direkte E-Mail: Am häufigsten bei Online-Verletzungen. Stellen Sie sicher, dass Sie an verifizierte Adressen versenden und die Zustellung nachweisen können.
- Briefpost: Geeignet bei Verletzungen mit Offline-Daten oder wenn keine E-Mail-Adressen verfügbar sind.
- Eigene Incident-Seite: Als Ergänzung nützlich, als alleinige Meldemethode jedoch in der Regel nicht ausreichend.
- In-App-Benachrichtigung: Kann bei aktiven Nutzern eines digitalen Dienstes funktionieren, verfehlt jedoch inaktive Konten.
Dokumentieren Sie die Begründung Ihrer Kanalwahl. Fragt eine Aufsichtsbehörde, warum Sie bei einer Verletzung, die ältere Patienten betrifft, E-Mail statt Brief gewählt haben, brauchen Sie eine belastbare Antwort.
Die Meldung umsetzen und den Audit-Trail sichern
Art. 34 verlangt «unverzüglich». Anders als die 72-Stunden-Frist von Art. 33 gibt es keine feste Uhr, doch die Aufsichtsbehörden erwarten Massnahmen, sobald Sie über genügend Informationen verfügen, um eine sinnvolle Orientierung zu geben.
Was Ihr Audit-Trail erfassen muss:
- Zeitstempel der Entscheidung über die Risikobeurteilung
- Namen und Rollen der an der Entscheidung beteiligten Personen
- Die Begründung für oder gegen eine Meldung (einschliesslich Ausnahmenanalyse)
- Entwurfsversionen und endgültiger Inhalt der Meldung
- Kanalwahl und Zustellnachweis
- Folgekommunikation und Anfragen betroffener Personen
Hier scheitern tabellenbasierte Prozesse. Verlangt eine Aufsichtsbehörde sechs Monate später Ihr Breach-Dossier, brauchen Sie jede Entscheidung, jeden Zeitstempel und jede Kommunikation an einem Ort, nicht verstreut über E-Mail-Verläufe, gemeinsame Laufwerke und einzelne Notizbücher.
Die Komplexität mehrerer Einheiten bewältigen
Für Organisationen, die mehrere Tochtergesellschaften über verschiedene Rechtsräume hinweg führen, wird die Meldung nach Art. 34 exponentiell komplexer:
- Welche Einheit ist der Verantwortliche für die betroffenen Personen?
- Gelten in verschiedenen Rechtsräumen zusätzliche lokale Anforderungen über Art. 34 DSGVO hinaus?
- Müssen Meldungen in der Landessprache jedes betroffenen Rechtsraums versandt werden?
- Wer genehmigt den Inhalt der Meldung: der Konzern-Datenschutzbeauftragte, der lokale Datenschutzbeauftragte oder die Rechtsabteilung im jeweiligen Rechtsraum?
- Wie verhindern Sie widersprüchliche Kommunikation verschiedener Tochtergesellschaften zum selben Vorfall?
Genau für dieses Szenario wurde Priverion entwickelt. Die einheitsübergreifende Datenkartierung identifiziert, welche Tochtergesellschaften betroffene Daten halten, das Incident-Management koordiniert die Reaktion über die Einheiten hinweg, und auditfertige Nachweispakete erfassen den vollständigen Entscheidungsverlauf, je Einheit, je Rechtsraum.
Die Werkzeuge, die Pflichten nach Art. 34 in einen wiederholbaren Prozess verwandeln
Die Meldung einer Verletzung an betroffene Personen scheitert, wenn sie von Erinnerung, Tabellen und spontanen E-Mail-Ketten abhängt. Diese Funktionen ersetzen Rätselraten durch einen strukturierten, prüfbaren Ablauf, insbesondere wenn Sie Vorfälle über mehrere Einheiten hinweg steuern.
Incident-Management mit integriertem Risk-Scoring
Wird eine Verletzung gemeldet, führt die Plattform Ihr Team durch eine strukturierte Beurteilung und erfasst dabei Art der Verletzung, Datenkategorien, Zahl der betroffenen Personen und Schutzbedürftigkeitsfaktoren. KI-gestütztes Risk-Scoring hilft Ihnen festzustellen, ob der Schwellenwert des «hohen Risikos» nach Art. 34 erreicht ist, sodass Ihr Datenschutzbeauftragter eine fundierte Entscheidung trifft statt eines Bauchgefühls unter Druck.
Ergebnis: Der Flugzeughersteller hat den Verwaltungsaufwand für Compliance in den ersten 6 Monaten um 60% reduziert, sodass sein Datenschutzbeauftragter sich auf Risikobeurteilungen und strategische Entscheidungen konzentrieren kann, statt Dokumentation hinterherzujagen.
Flugzeughersteller, erste 6 Monate nach der Einführung
Einheitsübergreifende Breach-Koordination
Berührt eine Verletzung betroffene Personen über mehrere Tochtergesellschaften und Rechtsräume hinweg, brauchen Sie eine einzige Quelle der Wahrheit, keine Kette weitergeleiteter E-Mails. Priverion verschafft konzernweite Sicht auf jeden aktiven Vorfall, bildet betroffene Einheiten automatisch über Ihre einheitsübergreifende Datenkartierung ab und verfolgt Meldeentscheidungen je Rechtsraum, sodass nichts durchs Raster fällt.
Ergebnis: Ein Technologieunternehmen steuert Support für den Datenschutzbeauftragten und die Koordination der Breach-Reaktion über mehrere Einheiten rund um die Uhr aus einer einheitlichen Plattform und beseitigt damit die rechtsraumbezogenen blinden Flecken, die manuelle Prozesse erzeugen.
Technologieunternehmen, Steuerung des Datenschutzprogramms über mehrere Einheiten
Auditfertige Nachweispakete
Die Einhaltung von Art. 34 endet nicht, wenn Sie die Meldung absenden. Die Aufsichtsbehörden erwarten eine Dokumentation Ihrer Risikobeurteilung, der Begründung hinter Ihrer Meldeentscheidung, des Inhalts der Kommunikation und des Zustellnachweises. Priverion erstellt vollständige Nachweispakete mit zeitgestempelten Audit-Trails in Minuten, nicht in den Wochen hektischen Zusammensuchens, die tabellenbasierte Prozesse erfordern.
Ergebnis: Ein Medizintechnikunternehmen hat über 200 Stunden bei der Vorbereitung der Compliance-Dokumentation eingespart, mit auditfertigen Nachweisen auf Abruf für Anfragen der Aufsichtsbehörde.
Medizintechnikunternehmen, Zeitraum der ISO-27001-Vorbereitung
Ein ehrlicher Hinweis: Priverion deckt keine Cookie-Consent-Banner, Ethik-Hotlines oder ESG-Berichterstattung ab. Wir gehen in der Steuerung des Datenschutzprogramms in die Tiefe (Incident-Reaktion, Verarbeitungsverzeichnis, DSFAs, Lieferantenrisiko und Betroffenenanfragen), damit Ihre Breach-Abläufe tatsächlich funktionieren, wenn es darauf ankommt.
200+
Bei der Compliance-Dokumentation eingesparte Stunden
Ein Medizintechnikunternehmen hat während der ISO-27001-Vorbereitung über 200 Stunden zurückgewonnen, indem manuelle Dokumentation durch automatisierte Abläufe ersetzt wurde, erste 12 Monate
60%
Weniger Verwaltungsaufwand für Compliance
Auf Basis der Ergebnisse des Flugzeugherstellers, Preise je Einheit ohne Aufschläge pro Nutzer oder pro Modul
3 Mt.
Vor Plan bei der ISO-27001-Bereitschaft
Ein Medizintechnikunternehmen hat den Zeitplan für die ISO-27001-Zertifizierung mithilfe der auditfertigen Nachweispakete von Priverion um drei Monate beschleunigt
Holen Sie sich das Breach-Notification-Kit zu Art. 34
Schritt-für-Schritt-Checkliste, Entscheidungsbaum für die Risikobeurteilung, zwei Meldevorlagen (direkt und öffentliche Bekanntmachung) sowie ein Koordinationsablauf über mehrere Einheiten. Entwickelt für Datenschutzbeauftragte und Compliance-Verantwortliche.
Kein Spam. Wir senden Ihnen die Vorlagen und nichts weiter, ausser Sie melden sich aktiv an.
Warum Mittelstandsteams OneTrust für Priverion verlassen
OneTrust bediente ein breites Käuferprofil, einschliesslich Fortune-500-Organisationen mit grösseren, dedizierten GRC-Teams. Sie brauchen Compliance auf Enterprise-Niveau, aber ohne Enterprise-Komplexität und ohne Enterprise-Rechnungen.
Das Erlebnis mit OneTrust
Modulare Preise, die sich aufsummieren
Eine Abrechnung pro Nutzer und pro Modul bedeutet, dass Ihre Kosten unvorhersehbar steigen, sobald Sie eine Tochtergesellschaft, ein Teammitglied oder einen neuen Compliance-Bedarf hinzufügen. Budgetanträge werden zu vierteljährlichen Verhandlungen.
In den USA gehostete Infrastruktur
In einer Welt nach Schrems II schafft das Speichern Ihrer Datenschutz-Compliance-Daten bei einem US-Anbieter genau das Risiko grenzüberschreitender Übermittlungen, das Sie eigentlich steuern wollen. Die Ironie schreibt sich von selbst.
Für die Fortune 500 gebaut
Über 200 Integrationen, ESG-Module, Ethik-Hotlines: Funktionen, die Ihrer Admin-Konsole Komplexität hinzufügen, aber nicht Ihrem Datenschutzprogramm. Ihr Datenschutzbeauftragter braucht keine Plattform, die ein eigenes Team zum Betrieb erfordert.
Monatelange Einführung
Enterprise-Einführungen ziehen sich regelmässig über sechs Monate hin, mit dedizierten Projektteams, externen Beratern und langwierigen Onboarding-Zyklen, bevor Sie überhaupt einen Compliance-Nutzen sehen.
Undurchsichtige KI-Verarbeitung
Eine unklare Datenverarbeitung bei KI-Funktionen wirft Fragen auf, wohin Ihre Compliance-Daten fliessen – ein schwieriges Gespräch mit Ihrer Aufsichtsbehörde.
Das Erlebnis mit Priverion
Vorhersehbare, all-inclusive Preise
Preise auf Basis der Zahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder über alle Tochtergesellschaften hinzu, ohne Ihre Rechnung wachsen zu sehen. Ihr CFO wird die Planbarkeit zu schätzen wissen.
Garantierte Schweizer Datensouveränität
In der Schweiz entwickelt, in der Schweiz gehostet, jede Datenverarbeitung innerhalb der Schweizer Infrastruktur. Europäische Datenresidenz ist kein Marketing-Häkchen, sondern eine rechtliche Anforderung für grenzüberschreitende Datenübermittlungen, die Ihre DSFA für das Tool selbst vereinfacht.
Eigens für konzernweiten Datenschutz gebaut
Verarbeitungsverzeichnis, DSFAs, Lieferantenbeurteilungen, Incident-Management, Bearbeitung von Betroffenenanfragen und einheitsübergreifende Datenkartierung: alles, was ein Datenschutzprogramm über mehrere Einheiten braucht, und nichts, was es nicht braucht. Wir decken keine ESG, Ethik-Hotlines oder Cookie-Einwilligung ab. Dieser Fokus ist gewollt.
Einsatzbereit in Wochen, nicht in Monaten
Der Flugzeughersteller hat innerhalb der ersten 6 Monate, einschliesslich Einführung, eine Reduktion des Verwaltungsaufwands für Compliance um 60% erreicht. Keine dedizierten Projektteams oder externen Berater erforderlich.
Fallstudie Flugzeughersteller, erste 6 Monate nach der Einführung
Transparente KI mit menschlicher Aufsicht
KI-gestütztes Verfassen von DSFAs, Risk-Scoring und regulatorisches Mapping, alles innerhalb der Schweizer Infrastruktur verarbeitet. Jede KI-Ausgabe wird von Ihrem Team geprüft, bevor sie zu einem Compliance-Nachweis wird. Keine Kundendaten werden für das Modelltraining verwendet. Die KI unterstützt, der Mensch entscheidet.
Der Wechsel ist einfacher, als Sie denken. Die meisten Teams sind in unter 8 Wochen vollständig migriert.
30-minütige Tour buchenHäufig gestellte Fragen zur Verletzungsmeldung nach Art. 34
Wann verlangt Art. 34 DSGVO eine Meldung an betroffene Personen?
Art. 34 verlangt eine Meldung, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist ein höherer Schwellenwert als die Meldung an die Aufsichtsbehörde nach Art. 33, die für alle Verletzungen gilt ausser für solche, die voraussichtlich kein Risiko zur Folge haben. Entscheidend ist, ob die betroffenen Personen voraussichtlich einen realen Schaden erleiden: Identitätsdiebstahl, finanziellen Verlust, Diskriminierung oder Reputationsschaden.
Was muss eine Meldung nach Art. 34 enthalten?
Die Meldung muss die Art der Verletzung in klarer und einfacher Sprache beschreiben, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle angeben, die voraussichtlichen Folgen der Verletzung beschreiben sowie die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Folgen darlegen. Vermeiden Sie Juristendeutsch; Aufsichtsbehörden haben Organisationen für Meldungen gebüsst, die zwar formal konform, für eine durchschnittliche Person aber unverständlich waren.
Wann ist eine Meldung nach Art. 34 NICHT erforderlich?
Eine Meldung ist nicht erforderlich, wenn: (a) Sie geeignete technische und organisatorische Schutzmassnahmen auf die betroffenen Daten angewendet haben, etwa eine Verschlüsselung, bei der der Schlüssel nicht kompromittiert wurde; (b) Sie anschliessend Massnahmen ergriffen haben, die sicherstellen, dass das hohe Risiko voraussichtlich nicht mehr eintritt; oder (c) dies mit einem unverhältnismässigen Aufwand verbunden wäre, in welchem Fall stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Massnahme erforderlich ist. Alle drei Ausnahmen müssen in Ihrem Breach-Dossier dokumentiert werden.
Wie schnell müssen betroffene Personen nach Art. 34 benachrichtigt werden?
Art. 34 verlangt, dass die Meldung «unverzüglich» erfolgt, gibt aber keine feste Frist wie die 72-Stunden-Regel von Art. 33 vor. In der Praxis erwarten die Aufsichtsbehörden eine Kommunikation, sobald das hohe Risiko festgestellt wurde und Sie über genügend Informationen verfügen, um den betroffenen Personen eine sinnvolle Orientierung zu geben. Verzögerungen von Wochen ohne Begründung haben zu Durchsetzungsmassnahmen geführt.
Was ist der Unterschied zwischen Art. 33 und Art. 34 DSGVO?
Art. 33 regelt die Meldung an die Aufsichtsbehörde (72-Stunden-Frist, gilt für die meisten Verletzungen). Art. 34 regelt die Meldung an betroffene Personen (keine feste Frist, sondern «unverzüglich») und gilt nur, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen zur Folge hat. Viele Organisationen vermischen die beiden, was entweder zu Über-Meldung (unnötige Panik) oder Unter-Meldung (regulatorisches Risiko) führt.
Wie steuert man Meldungen nach Art. 34 über mehrere Tochtergesellschaften hinweg?
Die Verletzungsmeldung über mehrere Einheiten hinweg erfordert eine zentralisierte Incident-Management-Plattform, die betroffene Einheiten abbildet, Meldeentscheidungen je Rechtsraum nachverfolgt und einen einzigen Audit-Trail führt. Eine manuelle Koordination über E-Mail-Ketten zwischen Tochtergesellschaften schafft Lücken, die Aufsichtsbehörden bei Untersuchungen aufdecken. Die einheitsübergreifende Datenkartierung und der Incident-Management-Ablauf von Priverion wurden speziell für dieses Szenario entwickelt.
The Privacy Compliance Briefing
Monatliche Einblicke zur DSGVO-Durchsetzung, zu Aktualisierungen des Schweizer revDSG und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.
Kein Spam. Jederzeit kündbar.


