Leitfaden zu Art. 34 DSGVO

Schluss mit dem Rätselraten, wann betroffene Personen nach einer Verletzung zu benachrichtigen sind: Holen Sie sich das exakte Framework

Aktualisiert 2026-06-23
Key Takeaways: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Datenschutzteams dabei unterstützt, Verletzungsmeldungen nach Art. 34 DSGVO über mehrere Einheiten einer Unternehmensgruppe hinweg zu steuern.

Holen Sie sich das Schritt-für-Schritt-Entscheidungsframework zu Art. 34, die Meldevorlagen und die Checkliste für die Koordination über mehrere Einheiten, mit denen Datenschutzteams in über 50 Organisationen Verletzungsmeldungen ohne Rätselraten, Panik oder regulatorisches Risiko bewältigen.

Kein Spam. Sofortiger Zugriff auf die Checkliste und die Vorlagen.

Oder lesen Sie weiter für die vollständige Aufschlüsselung zu Art. 34

Vertrauen von Datenschutzteams bei

Eingesetzt von Datenschutzteams, die Compliance über mehr als 50 Einheiten in Finanzdienstleistungen, Pharma, Industrie und Technologie steuern, darunter ein Flugzeughersteller, ein Gesundheitsdienstleister und ein Medizintechnikunternehmen.

50+

Verwaltete Einheiten

4.8/5

Durchschnittliche Kundenbewertung (Q1 2025)

100%

In der Schweiz gehostete Daten

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Was Datenschutzfachleute sagen

Ergebnisse von Datenschutzteams wie dem Ihren

60% weniger Verwaltungszeit

«Wir haben den Verwaltungsaufwand für Compliance innerhalb von sechs Monaten um 60% reduziert. Unser Datenschutzbeauftragter widmet sich jetzt Risikobeurteilungen und strategischen Entscheidungen, statt Dokumentation über Tabellen hinweg hinterherzujagen.»

Leiter Datenschutz, Flugzeughersteller

Luftfahrtfertigung, Datenschutzprogramm über mehrere Einheiten

200+ Stunden eingespart

«Wir haben über 200 Stunden bei der Compliance-Dokumentation eingespart und die ISO-27001-Vorbereitung drei Monate vor Plan abgeschlossen. Die auditfertigen Nachweispakete waren auf Abruf verfügbar, was das hektische Zusammensuchen vor Anfragen der Aufsichtsbehörde überflüssig machte.»

Compliance-Verantwortlicher bei einem Medizintechnikunternehmen

Gesundheitstechnologie, ISO-27001-zertifiziert

Breach-Koordination rund um die Uhr

«Wir steuern den Support für den Datenschutzbeauftragten und die Koordination der Breach-Reaktion über mehrere Einheiten hinweg aus einer einzigen Plattform. Die rechtsraumbezogenen blinden Flecken, die wir mit E-Mail-basierten Prozessen hatten, sind verschwunden, und jede Meldeentscheidung wird je Einheit nachverfolgt.»

Konzern-Datenschutzbeauftragter bei einem Technologieunternehmen

Technologie, Datenschutzsteuerung über mehrere Einheiten

Auf Basis von Kundenangaben. Daten des Flugzeugherstellers und des Medizintechnikunternehmens aus den ersten 12 Monaten nach der Einführung. Daten des Technologieunternehmens aus der laufenden Zusammenarbeit.

Framework zu Art. 34

Die vollständige Aufschlüsselung zu Art. 34: Wann, was und wie Sie betroffene Personen benachrichtigen

Art. 34 ist eine der am häufigsten falsch eingeschätzten Bestimmungen der DSGVO. Benachrichtigen Sie, wenn Sie es nicht sollten, lösen Sie unnötige Panik aus. Versäumen Sie es, wenn Sie es sollten, drohen Durchsetzungsmassnahmen. Hier ist das Framework, um es richtig zu machen.

Schritt 1

Bestimmen, ob die Verletzung den Schwellenwert des «hohen Risikos» erreicht

Art. 34 Abs. 1 greift nur, wenn eine Verletzung «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat». Das ist eine höhere Hürde als die Meldung an die Aufsichtsbehörde nach Art. 33, die für jede Verletzung gilt, die nicht voraussichtlich kein Risiko zur Folge hat.

Faktoren, die eine Verletzung typischerweise in den Bereich des «hohen Risikos» rücken:

  • Besondere Kategorien personenbezogener Daten sind betroffen (Gesundheit, Biometrie, rassische/ethnische Herkunft, politische Meinungen)
  • Finanzdaten, die Betrug ermöglichen könnten (Bankkonten, Kreditkartennummern)
  • Eine grosse Zahl betroffener Personen
  • Daten, die zu Identitätsdiebstahl, Diskriminierung oder körperlichem Schaden führen könnten
  • Schutzbedürftige betroffene Personen sind betroffen (Kinder, Patienten, Mitarbeitende)
  • Die Daten waren zum Zeitpunkt der Verletzung nicht verschlüsselt oder pseudonymisiert

Die entscheidende Frage lautet nicht «Wie schwer war die Verletzung?», sondern «Wie wahrscheinlich ist es, dass die betroffenen Personen einen realen Schaden erleiden?». Ihre Risikobeurteilung muss die Begründung dokumentieren, denn die Aufsichtsbehörden werden danach fragen.

Schritt 2

Die drei Ausnahmen prüfen, die die Meldepflicht entfallen lassen

Art. 34 Abs. 3 sieht drei Ausnahmen vor. Greift eine davon, müssen Sie betroffene Personen nicht benachrichtigen, jedoch müssen Sie weiterhin dokumentieren, warum die Ausnahme greift.

Ausnahme (a): Geeignete Schutzmassnahmen waren vorhanden

Sie haben technische und organisatorische Massnahmen angewendet, die die personenbezogenen Daten für alle nicht zum Zugriff befugten Personen unzugänglich machen. Das häufigste Beispiel ist die Verschlüsselung: Wurden die betroffenen Daten mit einem starken Algorithmus verschlüsselt und der Schlüssel nicht kompromittiert, greift diese Ausnahme wahrscheinlich.

Ausnahme (b): Anschliessende Massnahmen beseitigen das Risiko

Sie haben unmittelbar nach der Verletzung Massnahmen ergriffen, die sicherstellen, dass das hohe Risiko für die betroffenen Personen voraussichtlich nicht mehr eintritt. Beispielsweise haben Sie die Verletzung erkannt und eingedämmt, bevor tatsächlich auf Daten zugegriffen wurde, oder ein verlorenes Gerät aus der Ferne gelöscht, bevor es entsperrt wurde.

Ausnahme (c): Unverhältnismässiger Aufwand

Wäre die individuelle Benachrichtigung mit einem unverhältnismässigen Aufwand verbunden (etwa, weil Sie nicht alle betroffenen Personen identifizieren oder kontaktieren können), müssen Sie stattdessen eine öffentliche Bekanntmachung vornehmen oder eine ähnliche Massnahme ergreifen, die betroffene Personen ebenso wirksam informiert. Dies ist die am häufigsten falsch angewendete Ausnahme; die Aufsichtsbehörden legen «unverhältnismässiger Aufwand» eng aus.

Schritt 3

Den Inhalt der Meldung verfassen

Art. 34 Abs. 2 verweist auf Art. 33 Abs. 3 lit. b, c und d. Ihre Meldung an betroffene Personen muss vier Elemente enthalten, vermittelt «in klarer und einfacher Sprache»:

  • Die Art der Verletzung: Beschreiben Sie, was geschehen ist, in Worten, die die empfangende Person verstehen kann. Vermeiden Sie Juristendeutsch und technische Fachsprache. «Ein unbefugter Dritter hat auf Ihre Kontoinformationen zugegriffen» ist besser als «Es ist ein Sicherheitsvorfall im Zusammenhang mit der Offenlegung von Zugangsdaten aufgetreten».
  • Kontaktdaten des Datenschutzbeauftragten: Der Name und die Kontaktdaten Ihres Datenschutzbeauftragten oder einer anderen Anlaufstelle, bei der weitere Informationen eingeholt werden können.
  • Voraussichtliche Folgen: Seien Sie ehrlich und konkret. «Dies kann bedeuten, dass Ihre E-Mail-Adresse und Ihr Passwort unbefugten Parteien zugänglich sind, was zum Zugriff auf andere Konten genutzt werden könnte, falls Sie dasselbe Passwort verwenden» ist nützlicher als «Es könnte ein Risiko für Ihre personenbezogenen Daten bestehen».
  • Massnahmen zur Abmilderung: Beschreiben Sie, was Sie unternommen haben und was Sie empfehlen: Passwort-Zurücksetzungen, Kontoüberwachung, Kreditsperren, Ansprechstellen für Fragen.
Schritt 4

Den richtigen Kommunikationskanal wählen

Die DSGVO schreibt keinen bestimmten Kanal vor, doch die Meldung muss die betroffenen Personen tatsächlich erreichen. Berücksichtigen Sie:

  • Direkte E-Mail: Am häufigsten bei Online-Verletzungen. Stellen Sie sicher, dass Sie an verifizierte Adressen versenden und die Zustellung nachweisen können.
  • Briefpost: Geeignet bei Verletzungen mit Offline-Daten oder wenn keine E-Mail-Adressen verfügbar sind.
  • Eigene Incident-Seite: Als Ergänzung nützlich, als alleinige Meldemethode jedoch in der Regel nicht ausreichend.
  • In-App-Benachrichtigung: Kann bei aktiven Nutzern eines digitalen Dienstes funktionieren, verfehlt jedoch inaktive Konten.

Dokumentieren Sie die Begründung Ihrer Kanalwahl. Fragt eine Aufsichtsbehörde, warum Sie bei einer Verletzung, die ältere Patienten betrifft, E-Mail statt Brief gewählt haben, brauchen Sie eine belastbare Antwort.

Schritt 5

Die Meldung umsetzen und den Audit-Trail sichern

Art. 34 verlangt «unverzüglich». Anders als die 72-Stunden-Frist von Art. 33 gibt es keine feste Uhr, doch die Aufsichtsbehörden erwarten Massnahmen, sobald Sie über genügend Informationen verfügen, um eine sinnvolle Orientierung zu geben.

Was Ihr Audit-Trail erfassen muss:

  • Zeitstempel der Entscheidung über die Risikobeurteilung
  • Namen und Rollen der an der Entscheidung beteiligten Personen
  • Die Begründung für oder gegen eine Meldung (einschliesslich Ausnahmenanalyse)
  • Entwurfsversionen und endgültiger Inhalt der Meldung
  • Kanalwahl und Zustellnachweis
  • Folgekommunikation und Anfragen betroffener Personen

Hier scheitern tabellenbasierte Prozesse. Verlangt eine Aufsichtsbehörde sechs Monate später Ihr Breach-Dossier, brauchen Sie jede Entscheidung, jeden Zeitstempel und jede Kommunikation an einem Ort, nicht verstreut über E-Mail-Verläufe, gemeinsame Laufwerke und einzelne Notizbücher.

Schritt 6

Die Komplexität mehrerer Einheiten bewältigen

Für Organisationen, die mehrere Tochtergesellschaften über verschiedene Rechtsräume hinweg führen, wird die Meldung nach Art. 34 exponentiell komplexer:

  • Welche Einheit ist der Verantwortliche für die betroffenen Personen?
  • Gelten in verschiedenen Rechtsräumen zusätzliche lokale Anforderungen über Art. 34 DSGVO hinaus?
  • Müssen Meldungen in der Landessprache jedes betroffenen Rechtsraums versandt werden?
  • Wer genehmigt den Inhalt der Meldung: der Konzern-Datenschutzbeauftragte, der lokale Datenschutzbeauftragte oder die Rechtsabteilung im jeweiligen Rechtsraum?
  • Wie verhindern Sie widersprüchliche Kommunikation verschiedener Tochtergesellschaften zum selben Vorfall?

Genau für dieses Szenario wurde Priverion entwickelt. Die einheitsübergreifende Datenkartierung identifiziert, welche Tochtergesellschaften betroffene Daten halten, das Incident-Management koordiniert die Reaktion über die Einheiten hinweg, und auditfertige Nachweispakete erfassen den vollständigen Entscheidungsverlauf, je Einheit, je Rechtsraum.

Zentrale Funktionen

Die Werkzeuge, die Pflichten nach Art. 34 in einen wiederholbaren Prozess verwandeln

Die Meldung einer Verletzung an betroffene Personen scheitert, wenn sie von Erinnerung, Tabellen und spontanen E-Mail-Ketten abhängt. Diese Funktionen ersetzen Rätselraten durch einen strukturierten, prüfbaren Ablauf, insbesondere wenn Sie Vorfälle über mehrere Einheiten hinweg steuern.

Incident-Management mit integriertem Risk-Scoring

Wird eine Verletzung gemeldet, führt die Plattform Ihr Team durch eine strukturierte Beurteilung und erfasst dabei Art der Verletzung, Datenkategorien, Zahl der betroffenen Personen und Schutzbedürftigkeitsfaktoren. KI-gestütztes Risk-Scoring hilft Ihnen festzustellen, ob der Schwellenwert des «hohen Risikos» nach Art. 34 erreicht ist, sodass Ihr Datenschutzbeauftragter eine fundierte Entscheidung trifft statt eines Bauchgefühls unter Druck.

Ergebnis: Der Flugzeughersteller hat den Verwaltungsaufwand für Compliance in den ersten 6 Monaten um 60% reduziert, sodass sein Datenschutzbeauftragter sich auf Risikobeurteilungen und strategische Entscheidungen konzentrieren kann, statt Dokumentation hinterherzujagen.

Flugzeughersteller, erste 6 Monate nach der Einführung

Einheitsübergreifende Breach-Koordination

Berührt eine Verletzung betroffene Personen über mehrere Tochtergesellschaften und Rechtsräume hinweg, brauchen Sie eine einzige Quelle der Wahrheit, keine Kette weitergeleiteter E-Mails. Priverion verschafft konzernweite Sicht auf jeden aktiven Vorfall, bildet betroffene Einheiten automatisch über Ihre einheitsübergreifende Datenkartierung ab und verfolgt Meldeentscheidungen je Rechtsraum, sodass nichts durchs Raster fällt.

Ergebnis: Ein Technologieunternehmen steuert Support für den Datenschutzbeauftragten und die Koordination der Breach-Reaktion über mehrere Einheiten rund um die Uhr aus einer einheitlichen Plattform und beseitigt damit die rechtsraumbezogenen blinden Flecken, die manuelle Prozesse erzeugen.

Technologieunternehmen, Steuerung des Datenschutzprogramms über mehrere Einheiten

Auditfertige Nachweispakete

Die Einhaltung von Art. 34 endet nicht, wenn Sie die Meldung absenden. Die Aufsichtsbehörden erwarten eine Dokumentation Ihrer Risikobeurteilung, der Begründung hinter Ihrer Meldeentscheidung, des Inhalts der Kommunikation und des Zustellnachweises. Priverion erstellt vollständige Nachweispakete mit zeitgestempelten Audit-Trails in Minuten, nicht in den Wochen hektischen Zusammensuchens, die tabellenbasierte Prozesse erfordern.

Ergebnis: Ein Medizintechnikunternehmen hat über 200 Stunden bei der Vorbereitung der Compliance-Dokumentation eingespart, mit auditfertigen Nachweisen auf Abruf für Anfragen der Aufsichtsbehörde.

Medizintechnikunternehmen, Zeitraum der ISO-27001-Vorbereitung

Ein ehrlicher Hinweis: Priverion deckt keine Cookie-Consent-Banner, Ethik-Hotlines oder ESG-Berichterstattung ab. Wir gehen in der Steuerung des Datenschutzprogramms in die Tiefe (Incident-Reaktion, Verarbeitungsverzeichnis, DSFAs, Lieferantenrisiko und Betroffenenanfragen), damit Ihre Breach-Abläufe tatsächlich funktionieren, wenn es darauf ankommt.

200+

Bei der Compliance-Dokumentation eingesparte Stunden

Ein Medizintechnikunternehmen hat während der ISO-27001-Vorbereitung über 200 Stunden zurückgewonnen, indem manuelle Dokumentation durch automatisierte Abläufe ersetzt wurde, erste 12 Monate

60%

Weniger Verwaltungsaufwand für Compliance

Auf Basis der Ergebnisse des Flugzeugherstellers, Preise je Einheit ohne Aufschläge pro Nutzer oder pro Modul

3 Mt.

Vor Plan bei der ISO-27001-Bereitschaft

Ein Medizintechnikunternehmen hat den Zeitplan für die ISO-27001-Zertifizierung mithilfe der auditfertigen Nachweispakete von Priverion um drei Monate beschleunigt

Gratis-Ressource

Holen Sie sich das Breach-Notification-Kit zu Art. 34

Schritt-für-Schritt-Checkliste, Entscheidungsbaum für die Risikobeurteilung, zwei Meldevorlagen (direkt und öffentliche Bekanntmachung) sowie ein Koordinationsablauf über mehrere Einheiten. Entwickelt für Datenschutzbeauftragte und Compliance-Verantwortliche.

Kein Spam. Wir senden Ihnen die Vorlagen und nichts weiter, ausser Sie melden sich aktiv an.

Wettbewerbsbewusst

Warum Mittelstandsteams OneTrust für Priverion verlassen

OneTrust bediente ein breites Käuferprofil, einschliesslich Fortune-500-Organisationen mit grösseren, dedizierten GRC-Teams. Sie brauchen Compliance auf Enterprise-Niveau, aber ohne Enterprise-Komplexität und ohne Enterprise-Rechnungen.

Das Erlebnis mit OneTrust

Modulare Preise, die sich aufsummieren

Eine Abrechnung pro Nutzer und pro Modul bedeutet, dass Ihre Kosten unvorhersehbar steigen, sobald Sie eine Tochtergesellschaft, ein Teammitglied oder einen neuen Compliance-Bedarf hinzufügen. Budgetanträge werden zu vierteljährlichen Verhandlungen.

In den USA gehostete Infrastruktur

In einer Welt nach Schrems II schafft das Speichern Ihrer Datenschutz-Compliance-Daten bei einem US-Anbieter genau das Risiko grenzüberschreitender Übermittlungen, das Sie eigentlich steuern wollen. Die Ironie schreibt sich von selbst.

Für die Fortune 500 gebaut

Über 200 Integrationen, ESG-Module, Ethik-Hotlines: Funktionen, die Ihrer Admin-Konsole Komplexität hinzufügen, aber nicht Ihrem Datenschutzprogramm. Ihr Datenschutzbeauftragter braucht keine Plattform, die ein eigenes Team zum Betrieb erfordert.

Monatelange Einführung

Enterprise-Einführungen ziehen sich regelmässig über sechs Monate hin, mit dedizierten Projektteams, externen Beratern und langwierigen Onboarding-Zyklen, bevor Sie überhaupt einen Compliance-Nutzen sehen.

Undurchsichtige KI-Verarbeitung

Eine unklare Datenverarbeitung bei KI-Funktionen wirft Fragen auf, wohin Ihre Compliance-Daten fliessen – ein schwieriges Gespräch mit Ihrer Aufsichtsbehörde.

Das Erlebnis mit Priverion

Vorhersehbare, all-inclusive Preise

Preise auf Basis der Zahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder über alle Tochtergesellschaften hinzu, ohne Ihre Rechnung wachsen zu sehen. Ihr CFO wird die Planbarkeit zu schätzen wissen.

Garantierte Schweizer Datensouveränität

In der Schweiz entwickelt, in der Schweiz gehostet, jede Datenverarbeitung innerhalb der Schweizer Infrastruktur. Europäische Datenresidenz ist kein Marketing-Häkchen, sondern eine rechtliche Anforderung für grenzüberschreitende Datenübermittlungen, die Ihre DSFA für das Tool selbst vereinfacht.

Eigens für konzernweiten Datenschutz gebaut

Verarbeitungsverzeichnis, DSFAs, Lieferantenbeurteilungen, Incident-Management, Bearbeitung von Betroffenenanfragen und einheitsübergreifende Datenkartierung: alles, was ein Datenschutzprogramm über mehrere Einheiten braucht, und nichts, was es nicht braucht. Wir decken keine ESG, Ethik-Hotlines oder Cookie-Einwilligung ab. Dieser Fokus ist gewollt.

Einsatzbereit in Wochen, nicht in Monaten

Der Flugzeughersteller hat innerhalb der ersten 6 Monate, einschliesslich Einführung, eine Reduktion des Verwaltungsaufwands für Compliance um 60% erreicht. Keine dedizierten Projektteams oder externen Berater erforderlich.

Fallstudie Flugzeughersteller, erste 6 Monate nach der Einführung

Transparente KI mit menschlicher Aufsicht

KI-gestütztes Verfassen von DSFAs, Risk-Scoring und regulatorisches Mapping, alles innerhalb der Schweizer Infrastruktur verarbeitet. Jede KI-Ausgabe wird von Ihrem Team geprüft, bevor sie zu einem Compliance-Nachweis wird. Keine Kundendaten werden für das Modelltraining verwendet. Die KI unterstützt, der Mensch entscheidet.

Der Wechsel ist einfacher, als Sie denken. Die meisten Teams sind in unter 8 Wochen vollständig migriert.

30-minütige Tour buchen
FAQ

Häufig gestellte Fragen zur Verletzungsmeldung nach Art. 34

Wann verlangt Art. 34 DSGVO eine Meldung an betroffene Personen?

Art. 34 verlangt eine Meldung, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist ein höherer Schwellenwert als die Meldung an die Aufsichtsbehörde nach Art. 33, die für alle Verletzungen gilt ausser für solche, die voraussichtlich kein Risiko zur Folge haben. Entscheidend ist, ob die betroffenen Personen voraussichtlich einen realen Schaden erleiden: Identitätsdiebstahl, finanziellen Verlust, Diskriminierung oder Reputationsschaden.

Was muss eine Meldung nach Art. 34 enthalten?

Die Meldung muss die Art der Verletzung in klarer und einfacher Sprache beschreiben, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle angeben, die voraussichtlichen Folgen der Verletzung beschreiben sowie die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Folgen darlegen. Vermeiden Sie Juristendeutsch; Aufsichtsbehörden haben Organisationen für Meldungen gebüsst, die zwar formal konform, für eine durchschnittliche Person aber unverständlich waren.

Wann ist eine Meldung nach Art. 34 NICHT erforderlich?

Eine Meldung ist nicht erforderlich, wenn: (a) Sie geeignete technische und organisatorische Schutzmassnahmen auf die betroffenen Daten angewendet haben, etwa eine Verschlüsselung, bei der der Schlüssel nicht kompromittiert wurde; (b) Sie anschliessend Massnahmen ergriffen haben, die sicherstellen, dass das hohe Risiko voraussichtlich nicht mehr eintritt; oder (c) dies mit einem unverhältnismässigen Aufwand verbunden wäre, in welchem Fall stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Massnahme erforderlich ist. Alle drei Ausnahmen müssen in Ihrem Breach-Dossier dokumentiert werden.

Wie schnell müssen betroffene Personen nach Art. 34 benachrichtigt werden?

Art. 34 verlangt, dass die Meldung «unverzüglich» erfolgt, gibt aber keine feste Frist wie die 72-Stunden-Regel von Art. 33 vor. In der Praxis erwarten die Aufsichtsbehörden eine Kommunikation, sobald das hohe Risiko festgestellt wurde und Sie über genügend Informationen verfügen, um den betroffenen Personen eine sinnvolle Orientierung zu geben. Verzögerungen von Wochen ohne Begründung haben zu Durchsetzungsmassnahmen geführt.

Was ist der Unterschied zwischen Art. 33 und Art. 34 DSGVO?

Art. 33 regelt die Meldung an die Aufsichtsbehörde (72-Stunden-Frist, gilt für die meisten Verletzungen). Art. 34 regelt die Meldung an betroffene Personen (keine feste Frist, sondern «unverzüglich») und gilt nur, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen zur Folge hat. Viele Organisationen vermischen die beiden, was entweder zu Über-Meldung (unnötige Panik) oder Unter-Meldung (regulatorisches Risiko) führt.

Wie steuert man Meldungen nach Art. 34 über mehrere Tochtergesellschaften hinweg?

Die Verletzungsmeldung über mehrere Einheiten hinweg erfordert eine zentralisierte Incident-Management-Plattform, die betroffene Einheiten abbildet, Meldeentscheidungen je Rechtsraum nachverfolgt und einen einzigen Audit-Trail führt. Eine manuelle Koordination über E-Mail-Ketten zwischen Tochtergesellschaften schafft Lücken, die Aufsichtsbehörden bei Untersuchungen aufdecken. Die einheitsübergreifende Datenkartierung und der Incident-Management-Ablauf von Priverion wurden speziell für dieses Szenario entwickelt.

Schluss mit der Breach-Reaktion in Tabellen

Sehen Sie, wie konzernweite Datenschutzsteuerung aussieht, wenn sie wirklich funktioniert

In 30 Minuten gehen wir Ihr konkretes Setup über mehrere Einheiten durch: wie automatisierte ROPA-Rezertifizierung, KI-gestützte DSFAs und tochtergesellschaftsübergreifende Datenkartierung für Organisationen wie die Ihre funktionieren. Alles auf Schweizer Infrastruktur gebaut, mit Preisen, die Sie nicht für Ihr Wachstum bestrafen.

60%

weniger Verwaltungsaufwand für Compliance

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der Audit-Vorbereitung

Medizintechnikunternehmen, ISO-27001-Bereitschaft

Wochen

bis zum Go-live, nicht Monate

Durchschnitt über alle Kundeneinführungen

30-minütige Tour buchen

Kein Verkaufsgespräch. Kein Druck. Nur Ihre Compliance-Herausforderungen, abgebildet auf eine funktionierende Lösung.

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung, zu Aktualisierungen des Schweizer revDSG und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit kündbar.

Gratis-Breach-Kit erhalten
Über diese Seite — Quellen, Definitionen und FAQs

Key Takeaways — DSGVO-Meldung einer Verletzung an betroffene Personen

Art. 34 DSGVO verpflichtet Verantwortliche, betroffene Personen unverzüglich zu benachrichtigen, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Dieser Schwellenwert ist höher als die Meldung an die Aufsichtsbehörde nach Art. 33. Drei Ausnahmen nach Art. 34 Abs. 3 — Verschlüsselung, anschliessende Risikobeseitigung und unverhältnismässiger Aufwand — können die Pflicht entfallen lassen, jede muss jedoch dokumentiert werden. Wirksame Programme zur Verletzungsmeldung erfordern vorab erstellte Vorlagen, klare Eskalationswege und prüfbare Entscheidungsprotokolle über jede Einheit einer Unternehmensgruppe hinweg.

Definitionen

Was ist eine Verletzung des Schutzes personenbezogener Daten nach der DSGVO?

Eine Verletzung des Schutzes personenbezogener Daten ist in Art. 4 Abs. 12 DSGVO definiert als «eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmässigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden». (DSGVO Art. 4 — EUR-Lex)

Was ist Art. 34 DSGVO?

Art. 34 DSGVO regelt die Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten. Er lautet: «Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich über die Verletzung.» (DSGVO Art. 34 — EUR-Lex)

Was ist der Schwellenwert des «hohen Risikos»?

Der Schwellenwert des hohen Risikos nach Art. 34 wird anhand der Schwere und der Wahrscheinlichkeit eines Schadens für die betroffenen Personen beurteilt. Die EDSA-Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten liefern praktische Fallstudien, die veranschaulichen, wann Verletzungen diesen Schwellenwert überschreiten. (EDSA-Leitlinien 01/2021)

Was ist Art. 33 DSGVO?

Art. 33 DSGVO verpflichtet Verantwortliche, der zuständigen Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. (DSGVO Art. 33 — EUR-Lex)

Statistiken und Branchendaten

Laut dem EDSA-Jahresbericht 2023 erhielten die europäischen Datenschutzbehörden 2023 über 130'000 Meldungen von Verletzungen des Schutzes personenbezogener Daten und setzten damit einen seit dem Inkrafttreten der DSGVO 2018 anhaltenden Aufwärtstrend von Jahr zu Jahr fort. (EDSA-Jahresbericht 2023)

Der Bericht ENISA Threat Landscape 2024 stellte fest, dass Ransomware- und Datenexfiltrationsangriffe weiterhin die häufigsten Ursachen für Verletzungen des Schutzes personenbezogener Daten in der EU sind, wobei das Gesundheitswesen und die öffentliche Verwaltung zu den am stärksten betroffenen Sektoren zählen. (ENISA Threat Landscape)

Laut dem IAPP-EY Privacy Governance Report 2023 gaben 73% der Organisationen an, dass ihre Datenschutzteams in die Breach-Reaktion eingebunden sind, doch nur 38% verfügen über vollständig automatisierte Abläufe zur Verletzungsmeldung. (IAPP-EY Privacy Governance Report)

Die EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO stellen klar, dass die 72-Stunden-Frist nach Art. 33 beginnt, sobald der Verantwortliche mit einem «hinreichenden Mass an Sicherheit» davon ausgeht, dass eine Verletzung vorliegt, und dass die Meldung nach Art. 34 «unverzüglich» erfolgen sollte, sobald die Beurteilung des hohen Risikos abgeschlossen ist. (EDSA-Leitlinien 9/2022)

Häufig gestellte Fragen

Wann verlangt Art. 34 DSGVO eine Meldung an betroffene Personen?

Art. 34 Abs. 1 verlangt eine Meldung, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist ein höherer Schwellenwert als die Meldung an die Aufsichtsbehörde nach Art. 33, die gilt, sofern die Verletzung nicht «voraussichtlich kein Risiko zur Folge hat». Der Verantwortliche muss Schwere, Wahrscheinlichkeit eines Schadens, Sensibilität der Daten und die Zahl der betroffenen Personen beurteilen. (DSGVO Art. 34)

Was sind die drei Ausnahmen von der Meldung an betroffene Personen nach Art. 34 Abs. 3?

Art. 34 Abs. 3 sieht drei Ausnahmen vor: (a) der Verantwortliche hat geeignete technische und organisatorische Massnahmen (z. B. eine starke Verschlüsselung) angewendet, die die Daten unzugänglich machen; (b) der Verantwortliche hat anschliessend Massnahmen ergriffen, die sicherstellen, dass das hohe Risiko voraussichtlich nicht mehr eintritt; (c) die individuelle Benachrichtigung wäre mit einem unverhältnismässigen Aufwand verbunden, in welchem Fall stattdessen eine öffentliche Bekanntmachung erfolgen muss. Jede Ausnahme muss dokumentiert werden. (DSGVO Art. 34)

Was muss eine Verletzungsmeldung an betroffene Personen enthalten?

Nach Art. 34 Abs. 2 muss die Meldung in klarer und einfacher Sprache beschreiben: die Art der Verletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder der Anlaufstelle, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Folgen. (DSGVO Art. 34)

Welche Frist gilt für die Meldung an betroffene Personen nach Art. 34?

Art. 34 verlangt eine Meldung «unverzüglich», gibt aber keine feste Frist wie das 72-Stunden-Fenster von Art. 33 vor. In der Praxis erwarten die Aufsichtsbehörden, dass Verantwortliche benachrichtigen, sobald sie über genügend Informationen verfügen, um den betroffenen Personen eine sinnvolle Orientierung zu geben. Verzögerungen müssen begründet und dokumentiert werden.

Wie unterscheidet sich Art. 34 von Art. 33 DSGVO?

Art. 33 regelt die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden für jede Verletzung, die nicht voraussichtlich kein Risiko zur Folge hat. Art. 34 regelt die Meldung an betroffene Personen und gilt nur, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat. Art. 34 hat keine feste Frist, verlangt aber «unverzügliches» Handeln. Art. 34 enthält zudem drei spezifische Ausnahmen, die in Art. 33 nicht vorgesehen sind. (Art. 33 | Art. 34)

Kann eine Verschlüsselung die Pflicht zur Benachrichtigung betroffener Personen entfallen lassen?

Ja. Nach Art. 34 Abs. 3 lit. a gilt: Waren die betroffenen Daten durch eine starke Verschlüsselung geschützt und wurde der Verschlüsselungsschlüssel nicht kompromittiert, sind die Daten für unbefugte Personen unzugänglich. In diesem Fall ist das hohe Risiko für die betroffenen Personen faktisch neutralisiert und eine Meldung ist nicht erforderlich. Der Verantwortliche muss jedoch dokumentieren, dass die Verschlüsselung angemessen war und der Schlüssel sicher blieb. (EDSA-Leitlinien 9/2022)

Was geschieht, wenn ein Verantwortlicher es versäumt, betroffene Personen zu benachrichtigen, obwohl dies erforderlich ist?

Ein Verstoss gegen Art. 34 kann zu Geldbussen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist, gemäss Art. 83 Abs. 4 lit. a DSGVO. Über Bussen hinaus kann ein Versäumnis der Meldung zu Reputationsschäden, zum Verlust des Kundenvertrauens und zu zivilrechtlichen Haftungsansprüchen betroffener Personen führen. (DSGVO Art. 83)

Wie sollten Organisationen mit mehreren Einheiten Meldungen nach Art. 34 koordinieren?

Unternehmensgruppen mit mehreren rechtlichen Einheiten, die als getrennte Verantwortliche handeln, müssen die Breach-Reaktion über die Rechtsräume hinweg koordinieren. Jede Einheit muss unabhängig beurteilen, ob Art. 34 auf Grundlage ihrer eigenen Verarbeitungstätigkeiten und der von ihr kontrollierten betroffenen Personen anwendbar ist. Eine zentralisierte Plattform zur Breach-Steuerung — wie Priverion — ermöglicht konzernweite Sicht, eine einheitliche Methodik der Risikobeurteilung und einheitsbezogene Audit-Trails, die der Prüfung durch die Aufsichtsbehörde standhalten.

Vergleich: Art. 33 vs. Art. 34 DSGVO

KriteriumArt. 33 — AufsichtsbehördeArt. 34 — Betroffene Personen
AuslöseschwelleVerletzung nicht voraussichtlich ohne RisikoVerletzung voraussichtlich mit hohem Risiko
FristInnerhalb von 72 Stunden nach KenntnisUnverzüglich (keine feste Uhr)
EmpfängerZuständige AufsichtsbehördeBetroffene Personen direkt
InhaltsanforderungenArt. 33 Abs. 3 lit. a–d: Art, Datenschutzbeauftragter, Folgen, MassnahmenArt. 34 Abs. 2 mit Verweis auf 33 Abs. 3 lit. b–d: Art, Datenschutzbeauftragter, Folgen, Massnahmen
AusnahmenNur wenn die Verletzung voraussichtlich kein Risiko zur Folge hatDrei Ausnahmen nach Art. 34 Abs. 3: Verschlüsselung, anschliessende Massnahmen, unverhältnismässiger Aufwand
Strafe bei NichteinhaltungBis zu 10 Mio. EUR oder 2% des weltweiten UmsatzesBis zu 10 Mio. EUR oder 2% des weltweiten Umsatzes
DokumentationspflichtAlle Verletzungen müssen nach Art. 33 Abs. 5 dokumentiert werdenRisikobeurteilung und Ausnahmenanalyse müssen dokumentiert werden

Massgebliche Quellen und weiterführende Literatur