Leitfaden zur DSGVO-Meldung von Datenpannen

Halten Sie die 72-Stunden-Frist der DSGVO ein, auch über mehr als 50 Tochtergesellschaften hinweg

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Einheiten dabei unterstützt, die 72-Stunden-Frist der DSGVO für die Meldung von Datenpannen einzuhalten – mit zentralisierten Incident-Workflows, automatisierter Eskalation und auditbereiter Dokumentation.

Die Uhr beginnt zu laufen, sobald irgendeine Einheit in Ihrer Gruppe Kenntnis erlangt – nicht erst, wenn die Zentrale davon erfährt. Holen Sie sich das Schritt-für-Schritt-Playbook, das Datenschutzteams mit mehreren Einheiten nutzen, um auch unter Druck konform zu bleiben.

Kein Spam. Jederzeit abbestellbar. Ihre Daten werden in der Schweiz verarbeitet und gehostet.

In der Schweiz gehostete Infrastruktur ISO 27001 konform ausgerichtet Vertrauen von über 150 Organisationen revDSG- und DSGVO-konform
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Wo Organisationen mit mehreren Einheiten scheitern

Warum 72 Stunden für die meisten Organisationen mit mehreren Einheiten nicht ausreichen

Die DSGVO-Meldepflichten bei Datenpannen zu kennen, ist das eine. Sie unter Druck über Tochtergesellschaften, Rechtsordnungen und voneinander getrennte Systeme hinweg umzusetzen, ist der Punkt, an dem Compliance tatsächlich scheitert.

Fragmentierte Kenntnisnahme

Eine Datenpanne ereignet sich bei einer Tochtergesellschaft. Das lokale IT-Team ermittelt 36 Stunden lang, bevor es eskaliert. Wenn der Gruppen-Datenschutzbeauftragte informiert wird, ist das 72-Stunden-Fenster nach Artikel 33 fast geschlossen – oder bereits abgelaufen. Ohne zentralisierte Incident-Erfassung über jede Einheit hinweg läuft die Uhr ab, bevor sie für die Zentrale überhaupt zu laufen beginnt.

Ergebnis: Automatisierte Eskalations-Workflows reduzierten die Verzögerung bei der Kenntnisnahme von Datenpannen für ein Unternehmen mit mehreren Einheiten über mehrere Einheiten hinweg auf unter 4 Stunden.

Unternehmen mit mehreren Einheiten, 24/7-Unterstützung durch Datenschutzbeauftragte über mehrere Einheiten hinweg via Priverion

Fehlende Verbindung zum Verarbeitungsverzeichnis

Sie können die Auswirkungen einer Datenpanne nicht beurteilen, wenn Sie kein genaues, aktuelles Verzeichnis von Verarbeitungstätigkeiten haben. Wenn Ihr Verarbeitungsverzeichnis zuletzt vor 14 Monaten aktualisiert wurde, basiert Ihre Folgenabschätzung der Datenpanne auf Sand. Meldungen nach Artikel 33 verlangen, dass Sie die Art der Verletzung beschreiben (Kategorien und ungefähre Zahlen der betroffenen Personen und Datensätze). Veraltete Verarbeitungsverzeichnisse machen das unter Zeitdruck unmöglich.

Ergebnis: Ein Schweizer Versicherer erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 % mit vollständig automatisierten Workflows – jederzeit auditbereite Dokumentation.

Ein Schweizer Versicherer – 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses via automatisierter Rezertifizierung von Priverion

Lücken in der Dokumentation

Artikel 33 Absatz 5 verpflichtet Verantwortliche, ALLE Datenpannen zu dokumentieren – nicht nur meldepflichtige – einschliesslich Fakten, Auswirkungen und Abhilfemassnahmen. Die meisten Organisationen mit mehreren Einheiten verfolgen dies über per E-Mail geteilte Tabellen. Kein Auditor akzeptiert das als belastbares Datenpannen-Register. Wenn eine Aufsichtsbehörde Ihr Datenpannen-Protokoll anfordert, brauchen Sie auditbereite Nachweispakete – nicht einen Ordner voller uneinheitlich formatierter Excel-Dateien.

Ergebnis: Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand innerhalb von 6 Monaten um 60 % – sein Datenschutzbeauftragter konzentriert sich nun auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.

Flugzeughersteller – 60 % weniger administrativer Compliance-Aufwand in den ersten 6 Monaten mit Priverion

Verwirrung über die Zuständigkeit

Welche Aufsichtsbehörde benachrichtigen Sie, wenn eine Datenpanne betroffene Personen in 8 Ländern betrifft, der Verantwortliche aber in einem 9. niedergelassen ist? Der "One-Stop-Shop"-Mechanismus der DSGVO hat Feinheiten, die im Voraus erstellte Entscheidungsbäume erfordern – nicht das Googeln in Echtzeit um 2 Uhr morgens. Grenzüberschreitende Meldungen von Datenpannen erfordern vorkonfigurierte Eskalationswege pro Einheit und Rechtsordnung.

Ergebnis: Ein Gesundheitsdienstleister erreichte eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung – die Vorab-Kartierung von Datenflüssen Dritter über die Einheiten hinweg, bevor Vorfälle eintreten.

Ein Gesundheitsdienstleister – 100 % Abdeckung der Lieferanten-Risikobewertung via Priverion

Blinde Flecken bei DSFA / TIA

Hochrisiko-Verarbeitungen, die nie mittels einer Datenschutz-Folgenabschätzung (DSFA) bewertet wurden, bedeuten, dass Sie keine vorhandene Risikobasis haben, an der Sie die Schwere einer Datenpanne messen können. Wenn Artikel 34 fragt, ob die Verletzung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat", brauchen Sie eine dokumentierte Risikobewertung zur Beantwortung – nicht das Bauchgefühl. Fehlende DSFA verwandeln jede Datenpanne in eine Worst-Case-Annahme-Übung.

Ergebnis: Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001 – einschliesslich DSFA-Dokumentation, die als Basis für die Datenpannen-Reaktion dient.

Ein Medizintechnikunternehmen – über 200 eingesparte Stunden bei der Vorbereitung auf ISO 27001 via Priverion

Versäumnisse bei der Meldung durch Auftragsverarbeiter

Auftragsverarbeiter müssen den Verantwortlichen "unverzüglich" benachrichtigen – es gibt keinen 72-Stunden-Schutz für Auftragsverarbeiter. In Gruppen mit mehreren Einheiten mit gemeinsamen Diensten oder gruppeninternen Auftragsverarbeitungsverträgen (AVV) erkennt eine als Auftragsverarbeiter tätige Tochtergesellschaft möglicherweise nicht, dass sie die verantwortliche Einheit sofort benachrichtigen muss. Ohne eine einheitliche Karte der Lieferanten und der gruppeninternen Verarbeitung wird dieser vergessene Auslöser zur Compliance-Lücke, die Aufsichtsbehörden zuerst ausnutzen. Wenn Durchsetzungsmassnahmen Meldeverzögerungen anführen, bricht die Kette überwiegend genau hier.

Ergebnis: Die einheitsübergreifende Datenkartierung bietet gruppenweite Transparenz über die Beziehungen zwischen Verantwortlichen und Auftragsverarbeitern – sodass jede Einheit genau weiss, wen sie benachrichtigen muss.

Funktion der Priverion-Plattform – einheitsübergreifende Datenkartierung für gruppenweite Transparenz

Holen Sie sich Ihr kostenloses Datenpannen-Playbook

Ein Schritt-für-Schritt-Leitfaden für Organisationen mit mehreren Einheiten – kostenloses PDF, kein Spam.

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen gewann über 200 Stunden zurück, die zuvor für die manuelle Aktenführung aufgewendet wurden – Zeit, die in die Vorbereitung der ISO-27001-Zertifizierung umgeleitet wurde.

60%

Geringere Kosten gegenüber Legacy-Plattformen

Ein Flugzeughersteller erreichte Compliance auf Enterprise-Niveau zu wesentlich geringeren Gesamtkosten als bei typischen Enterprise-GRC-Verträgen vergleichbaren Umfangs – keine Gebühren pro Nutzer, keine Fallstricke beim modulweisen Ausbau.

3 Mt.

Vorzeitig fertig bei ISO 27001

Ein Medizintechnikunternehmen schloss die Vorbereitung des ISO-27001-Audits drei Monate vor dem ursprünglichen Zeitplan ab – dank der integrierten Nachweispakete von Priverion.

Was Datenschutzverantwortliche über Priverion sagen

Basierend auf Kundeninterviews und Umfrageantworten, Q1 2025

"Wir sind von 47 voneinander getrennten Tabellen zu einer einzigen Plattform über alle Tochtergesellschaften hinweg gewechselt. Als unsere erste echte Datenpanne eintrat, hatten wir die Meldung in 18 Stunden bereit – einschliesslich der grenzüberschreitenden Bewertung. Das wäre vorher unmöglich gewesen."

Gruppen-Datenschutzbeauftragter

Flugzeughersteller – 11 Einheiten in 4 Rechtsordnungen

"Allein die automatisierte Rezertifizierung des Verarbeitungsverzeichnisses rechtfertigte den Wechsel. Aber was wirklich zählt, ist, dass jede Einheit nun jederzeit über auditbereite Dokumentation verfügt. Unsere Verfahren mit den Aufsichtsbehörden sind wirklich unkompliziert geworden."

Leiterin Datenschutz bei einem Schweizer Versicherer

100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses über alle Einheiten hinweg

"Wir haben im ersten Jahr über 200 Stunden manueller Compliance-Arbeit eingespart. Die Vorbereitung auf ISO 27001, die neun Monate dauern sollte, war in sechs erledigt. Die Nachweispakete von Priverion entsprachen direkt den Anforderungen der Auditoren."

CTO und Datenschutzbeauftragter bei einem Medizintechnikunternehmen

3 Monate vor dem Zeitplan bei ISO 27001

"Eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung bedeutet, dass wir genau wissen, wohin Daten fliessen, bevor ein Vorfall eintritt. Als ein Auftragsverarbeiter im letzten Quartal eine Datenpanne hatte, hatten wir die Meldung an den Verantwortlichen innerhalb von Stunden bereit – nicht erst nach Tagen."

Compliance Managerin bei einem Gesundheitsdienstleister

100 % Abdeckung der Lieferanten-Risikobewertung

ISO 27001 konform ausgerichtet

Informationssicherheits-Management

100 % in der Schweiz gehostet

Schweizer Datenschutzrecht ist anwendbar

revDSG-konform

Schweizer Datenschutzgesetz (DSG)

Über 150 Organisationen

In ganz Europa und der Schweiz

Priverion vs. OneTrust

Enterprise-Niveau ohne Enterprise-Komplexität

Mittelständische Unternehmen brauchen keine Plattform, die für die Beschaffungszyklen der Fortune 50 gebaut wurde. Sie brauchen eine, die gruppenweite Datenschutz-Compliance löst – ohne Überfrachtung, ohne Budgetüberraschungen und ohne das Risiko der US-Datenlokalisierung.

Die OneTrust-Erfahrung

Datenverarbeitung mit Sitz in den USA

Daten werden in US-Infrastruktur verarbeitet und unterliegen dem CLOUD Act und FISA 702. Nach Schrems II entsteht dadurch ein fortlaufendes Übermittlungsrisiko für europäische Organisationen.

Preise pro Modul und pro Nutzer

Die Kosten steigen, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Die Budgetplanbarkeit verschwindet, wenn Ihre Gruppenstruktur wächst.

Für die Fortune 500 gebaut

So funktionsreich, dass es überfordert. Mittelständische Teams verbringen Monate mit der Implementierung und nutzen am Ende doch nur einen Bruchteil der Funktionen.

Fragmentierte Modularchitektur

Sie benötigen Verarbeitungsverzeichnis, DSFA, Lieferantenmanagement und Incident-Bearbeitung? Das sind vier separate Kaufgespräche und potenziell vier unterschiedliche UX-Muster.

Über 200 oberflächliche Integrationen

Eine lange Liste an Konnektoren wirkt auf dem Papier beeindruckend, schafft aber Wartungsaufwand. Die meisten mittelständischen Teams nutzen weniger als 10.

Die Priverion-Erfahrung

Garantierte Schweizer Datensouveränität

In der Schweiz entwickelt, in der Schweiz gehostet, europäische Datenlokalisierung. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur – kein Marketing-Häkchen, sondern eine rechtliche Absicherung für grenzüberschreitende Übermittlungen.

Planbare, transparente Preise

Bepreist nach Anzahl der Unternehmen und Organisationsgrösse – nicht pro Nutzer oder pro Modul. Keine Ausbaufallen, wenn Ihre dritte Tochtergesellschaft live geht oder Ihr fünfter Geschäftsbereich Zugang benötigt.

Speziell für Gruppen mit mehreren Einheiten entwickelt

Einsatzbereit in Wochen, nicht in Monaten. Ein Flugzeughersteller ging in den ersten 6 Monaten von 47 Tabellen zu einer vollständig automatisierten Rezertifizierung über – und senkte dabei den administrativen Compliance-Aufwand um 60 %.

Flugzeughersteller – erste 6 Monate des Priverion-Einsatzes

All-in-One-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA, Lieferanten-Risiko, Incident-Management, Bearbeitung von Betroffenenanfragen, Datenkartierung und KI-gestützte Compliance – eine Plattform, ein Vertrag, eine einheitliche Erfahrung über jede Einheit hinweg.

Tiefe Integrationen, wo es darauf ankommt

Sinnvolle Verbindungen zu HR-, Beschaffungs- und IT-Asset-Management-Systemen – den Workflows, die die Datenschutz-Compliance tatsächlich speisen. Nicht 200 oberflächliche Konnektoren, die Wartungsaufwand verursachen.

Seien Sie bereit, bevor die nächste Datenpanne eintritt

Holen Sie sich das Playbook, mit dem Datenschutzteams mit mehreren Einheiten die 72-Stunden-Frist einhalten

Entwickelt aus realen Workflows zur Reaktion auf Datenpannen in Organisationen, die 5 bis über 50 Tochtergesellschaften verwalten. Mit Entscheidungsbäumen, Eskalationsvorlagen und der Dokumentations-Checkliste, nach der Aufsichtsbehörden tatsächlich fragen.

6 Vorlagen

Sofort einsetzbare Dokumente zur Datenpannen-Reaktion

72-Stunden-Zeitplan

Mit Rollenzuweisungen pro Einheit

100 % kostenlos

Keine Verpflichtung erforderlich

Holen Sie sich Ihr kostenloses Datenpannen-Playbook

Kein Spam. Kein Verkaufsgespräch. Nur eine praktische Ressource für Datenschutzteams unter Druck.

Kostenlose Ressource

Laden Sie das Playbook zur Datenpannen-Reaktion herunter

Ein Schritt-für-Schritt-Leitfaden für Organisationen mit mehreren Einheiten, die die DSGVO-Meldung von Datenpannen operationalisieren müssen – nicht nur verstehen.

Das ist enthalten:

  • 72-Stunden-Zeitplan mit Rollenzuweisungen für Gruppen-Datenschutzbeauftragte und Verantwortliche der Tochtergesellschaften
  • Entscheidungsbaum: melden vs. dokumentieren – wann Artikel 33 gilt und wann nicht
  • Ablaufdiagramm für grenzüberschreitende Meldungen bei Datenpannen über mehrere Rechtsordnungen
  • Eskalationsvorlage von Auftragsverarbeiter zu Verantwortlichem für gruppeninterne Vorfälle
  • Kontaktverzeichnis der Aufsichtsbehörden für die EU/den EWR und die Schweiz
  • Dokumentations-Checkliste nach einer Datenpanne, ausgerichtet auf Artikel 33 Absatz 5

Kein Spam. Jederzeit abbestellbar. Ihre Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und sind durch das Schweizer Datenschutzrecht geschützt. Wir geben Ihre Informationen niemals an Dritte weiter.

Holen Sie sich Ihr kostenloses Datenpannen-Playbook
Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Die Artikel 33 und 34 der DSGVO erlegen Verantwortlichen strenge Meldepflichten bei Datenpannen auf: die Aufsichtsbehörde innerhalb von 72 Stunden informieren und betroffene Personen bei hohem Risiko unverzüglich benachrichtigen. Organisationen mit mehreren Einheiten stehen vor verschärften Herausforderungen – fragmentierte Kenntnisnahme, veraltete Verarbeitungsverzeichnisse, Verwirrung über die Zuständigkeit und Lücken bei der Meldung durch Auftragsverarbeiter. Eine zentralisierte, in der Schweiz gehostete GRC-Plattform wie Priverion hilft dabei, die Incident-Erfassung zu vereinheitlichen, die Eskalation zu automatisieren und auditbereite Datenpannen-Register über alle Tochtergesellschaften hinweg zu führen.

Definitionen

Was ist eine Verletzung des Schutzes personenbezogener Daten nach der DSGVO?

Eine Verletzung des Schutzes personenbezogener Daten ist in Artikel 4 Absatz 12 DSGVO definiert als "eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden". Diese Definition umfasst Verletzungen der Vertraulichkeit, Verletzungen der Integrität und Verletzungen der Verfügbarkeit. Quelle: DSGVO Artikel 4 Absatz 12

Was ist die Meldepflicht innerhalb von 72 Stunden?

Die 72-Stunden-Meldung bezieht sich auf die Pflicht nach Artikel 33 Absatz 1 DSGVO, dass Verantwortliche die zuständige Aufsichtsbehörde "möglichst binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde", über eine Verletzung des Schutzes personenbezogener Daten informieren, es sei denn, die Verletzung führt voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung nicht innerhalb von 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. Quelle: DSGVO Artikel 33

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung ist ein nach Artikel 35 DSGVO erforderlicher Prozess für Verarbeitungsvorgänge, die "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" haben. DSFA dienen als vorhandene Risikobasis, die bei der Bewertung der Schwere einer Datenpanne nach Artikel 34 entscheidend ist. Quelle: DSGVO Artikel 35

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten ist die nach Artikel 30 DSGVO erforderliche Dokumentation, die jede Verarbeitungstätigkeit, ihre Zwecke, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, die Übermittlungen und die Aufbewahrungsfristen beschreibt. Ein aktuelles Verarbeitungsverzeichnis ist für eine genaue Folgenabschätzung von Datenpannen unerlässlich. Quelle: DSGVO Artikel 30

Statistiken und massgebliche Quellen

Gemäss den EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten beginnt die 72-Stunden-Uhr in dem Moment, in dem der Verantwortliche mit "angemessener Gewissheit" davon ausgehen kann, dass ein Sicherheitsvorfall personenbezogene Daten kompromittiert hat (EDSA-Leitlinien 9/2022). Der EDSA betont, dass die Kenntnisnahme bei jeder Einheit innerhalb eines Konzerns die Uhr für die gesamte Gruppe in Gang setzen kann.

Der Bericht ENISA Threat Landscape 2023 stellte fest, dass Ransomware und Datenpannen nach wie vor zu den grössten Bedrohungen für Organisationen in der EU gehören, wobei die Sektoren Gesundheitswesen, öffentliche Verwaltung und digitale Infrastruktur am häufigsten betroffen sind (ENISA Threat Landscape 2023).

Nach Artikel 83 Absatz 4 Buchstabe a DSGVO können Verstösse gegen die Meldepflichten bei Datenpannen zu Bussgeldern von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist (DSGVO Artikel 83).

Der IAPP-EY Privacy Governance Report 2023 stellte fest, dass eine durchschnittliche Organisation 5,2 Vollzeit-Datenschutzmitarbeitende beschäftigt, dass es Gruppen mit mehreren Einheiten jedoch häufig an einer zentralisierten Koordination bei Datenpannen mangelt – eine Lücke, die direkt zu Meldeverzögerungen beiträgt (IAPP-EY-Bericht 2023).

Häufig gestellte Fragen

Was besagt die DSGVO-Pflicht zur Meldung von Datenpannen innerhalb von 72 Stunden?

Nach Artikel 33 DSGVO müssen Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden über eine Verletzung des Schutzes personenbezogener Daten informieren, es sei denn, die Verletzung führt voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Meldung muss die Art der Verletzung, die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Massnahmen beschreiben. Quelle: DSGVO Artikel 33

Wann müssen betroffene Personen über eine DSGVO-Datenpanne informiert werden?

Artikel 34 DSGVO verpflichtet Verantwortliche, betroffene Personen "unverzüglich" zu benachrichtigen, wenn eine Verletzung voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Ausnahmen gelten, wenn der Verantwortliche geeignete technische Schutzmassnahmen (z. B. Verschlüsselung) umgesetzt hat, Massnahmen ergriffen hat, die sicherstellen, dass das hohe Risiko nicht mehr wahrscheinlich ist, oder wenn die individuelle Benachrichtigung einen unverhältnismässigen Aufwand erfordern würde. Quelle: DSGVO Artikel 34

Welche Sanktionen drohen bei verspäteter Meldung einer DSGVO-Datenpanne?

Die Nichteinhaltung der Meldepflichten bei Datenpannen nach Artikel 33 und 34 kann zu Bussgeldern von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist, nach Artikel 83 Absatz 4 Buchstabe a DSGVO. Quelle: DSGVO Artikel 83

Gilt die 72-Stunden-Frist auch für Auftragsverarbeiter?

Nein. Nach Artikel 33 Absatz 2 DSGVO müssen Auftragsverarbeiter den Verantwortlichen "unverzüglich" benachrichtigen, nachdem ihnen eine Verletzung bekannt geworden ist. Die 72-Stunden-Uhr für die Meldung an die Aufsichtsbehörde beginnt, sobald der Verantwortliche Kenntnis erlangt, nicht der Auftragsverarbeiter. Quelle: DSGVO Artikel 33 Absatz 2

Was muss eine Meldung einer Datenpanne an eine Aufsichtsbehörde enthalten?

Artikel 33 Absatz 3 verlangt, dass die Meldung Folgendes enthält: (a) die Art der Verletzung einschliesslich der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze; (b) den Namen und die Kontaktdaten des Datenschutzbeauftragten; (c) die wahrscheinlichen Folgen; und (d) die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen. Quelle: DSGVO Artikel 33 Absatz 3

Wie wirkt sich der One-Stop-Shop-Mechanismus auf grenzüberschreitende Meldungen von Datenpannen aus?

Nach Artikel 56 DSGVO koordiniert die federführende Aufsichtsbehörde grenzüberschreitende Untersuchungen. Die EDSA-Leitlinien 9/2022 stellen klar, dass Verantwortliche die federführende Behörde nach wie vor innerhalb von 72 Stunden informieren müssen und dass die federführende Behörde Informationen mit den betroffenen Behörden teilt. Organisationen mit mehreren Einheiten sollten im Voraus festlegen, welche Behörde für jede verantwortliche Einheit federführend ist. Quelle: EDSA-Leitlinien 9/2022

Was ist der Unterschied zwischen Artikel 33 und Artikel 34 DSGVO?

Artikel 33 regelt die Meldung an die Aufsichtsbehörde (innerhalb von 72 Stunden, es sei denn, das Risiko ist unwahrscheinlich). Artikel 34 regelt die Benachrichtigung der betroffenen Personen (unverzüglich, nur bei hohem Risiko). Artikel 33 gilt für alle Verletzungen, die ein Risiko darstellen; Artikel 34 hat eine höhere Schwelle, die ein "hohes Risiko für die Rechte und Freiheiten natürlicher Personen" voraussetzt. Artikel 33 | Artikel 34

Müssen Organisationen Datenpannen dokumentieren, die nicht meldepflichtig sind?

Ja. Artikel 33 Absatz 5 DSGVO verpflichtet Verantwortliche, alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren, unabhängig davon, ob sie meldepflichtig sind – einschliesslich der Fakten, Auswirkungen und ergriffenen Abhilfemassnahmen. Dieses Datenpannen-Register muss für die Überprüfung durch die Aufsichtsbehörde verfügbar sein. Quelle: DSGVO Artikel 33 Absatz 5

Vergleich: Meldung von Datenpannen nach DSGVO vs. Schweizer revDSG

AspektDSGVO (EU/EWR)Schweizer revDSG (revDSG)
RechtsgrundlageArtikel 33 & 34 DSGVOArtikel 24 revDSG
Meldung an die BehördeInnerhalb von 72 Stunden"So rasch als möglich" (keine feste Frist)
Schwelle für die Meldung an die BehördeSofern nicht voraussichtlich ohne RisikoVoraussichtlich hohes Risiko zur Folge
Benachrichtigung der betroffenen PersonenUnverzüglich (hohes Risiko)Wenn zum Schutz erforderlich oder vom EDÖB verlangt
Pflicht des AuftragsverarbeitersDen Verantwortlichen unverzüglich benachrichtigenDen Verantwortlichen so rasch als möglich benachrichtigen
DokumentationspflichtAlle Verletzungen (Artikel 33 Absatz 5)Gesetzlich nicht ausdrücklich vorgeschrieben
Höchstbusse10 Mio. EUR oder 2 % des weltweiten Umsatzes250'000 CHF (persönliche Haftung)
AufsichtsbehördeFederführende Behörde im One-Stop-ShopEDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter)

Quellen: DSGVO Artikel 33 | Schweizer revDSG auf Fedlex