Es ist Montagmorgen, 8:14 Uhr. Ihre Mitarbeiterin meldet: „Der Server ist verschlüsselt, ich komme nicht mehr an die Patientendaten." In diesem Moment beginnt nicht nur die IT-Krise — es beginnt auch die Uhr für Ihre gesetzliche DSGVO-Meldepflicht. 72 Stunden. Nicht ab dem Angriff. Sondern ab diesem Moment.
Was in diesen 72 Stunden passieren muss, an wen Sie sich wenden müssen, was bei Versäumnis droht — und warum eine Cyberversicherung genau hier ihren größten Wert beweist.
Die 72-Stunden-Frist gilt für jeden Datenschutzvorfall, bei dem personenbezogene Daten betroffen sind — unabhängig von Unternehmensgröße oder Branche. Als Arztpraxis, Kanzlei oder KMU sind Sie genauso meldepflichtig wie ein Konzern.
Was ist die DSGVO-Meldepflicht?
Art. 33 DSGVO verpflichtet jeden Verantwortlichen — also jedes Unternehmen, das personenbezogene Daten verarbeitet — eine „Verletzung des Schutzes personenbezogener Daten" innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden, sobald er davon Kenntnis erlangt.
Eine solche „Verletzung" liegt vor, wenn personenbezogene Daten versehentlich oder unrechtmäßig vernichtet, verloren gegangen, verändert, unbefugt offengelegt oder zugänglich gemacht wurden. Ein Ransomware-Angriff erfüllt diese Definition fast immer — denn selbst wenn Daten „nur" verschlüsselt und nicht exfiltriert wurden, gilt der Verlust der Verfügbarkeit als meldepflichtiger Vorfall.
Eine Steuerberatungskanzlei wird Opfer eines Ransomware-Angriffs. Die Mandantendaten sind verschlüsselt, aber — soweit bekannt — nicht abgeflossen. Meldepflicht? Ja. Die Datenschutzaufsicht muss informiert werden, da personenbezogene Daten (Mandantennamen, Steuer-IDs, Kontoverbindungen) vorübergehend nicht verfügbar sind und das Risiko einer Exfiltration nicht ausgeschlossen werden kann.
Wann beginnt die 72-Stunden-Frist?
Der entscheidende Zeitpunkt ist das „Bekanntwerden" des Vorfalls — nicht der Angriff selbst. Das klingt einfach, ist aber eine häufige Fehlerquelle:
| Zeitpunkt | Startet die Frist? |
|---|---|
| Angreifer dringt in System ein (nachts, unbemerkt) | Nein |
| Mitarbeiter bemerkt Verschlüsselung / Fehlermeldung | Ja — ab hier laufen die 72h |
| IT-Dienstleister informiert Sie telefonisch | Ja — ab diesem Anruf |
| Ihre interne IT bestätigt den Vorfall nach Analyse | Nein — die Frist läuft bereits |
Das heißt: Sie müssen nicht auf die vollständige forensische Analyse warten. Die DSGVO akzeptiert ausdrücklich eine Erstmeldung mit unvollständigen Informationen — solange diese nachgereicht werden. Warten bis zur vollständigen Klärung kostet wertvolle Zeit und kann die Frist verstreichen lassen.
Was muss gemeldet werden?
Art. 33 Abs. 3 DSGVO schreibt den Mindestinhalt einer Meldung vor. In der Praxis verlangen die Aufsichtsbehörden folgende Angaben:
- 1 Art der Verletzung: Ransomware-Angriff, Datenleck, unbefugter Zugriff, versehentliche Übermittlung — und soweit möglich: wie es dazu kam
- 2 Betroffene Datenkategorien: Welche Kategorien personenbezogener Daten sind betroffen? (z.B. Gesundheitsdaten, Finanzdaten, Ausweisdaten, Kontaktdaten)
- 3 Ungefähre Anzahl Betroffener: Wie viele Personen sind betroffen? Auch Schätzungen sind zulässig, wenn genaue Zahlen noch nicht bekannt sind
- 4 Wahrscheinliche Folgen: Welche Risiken entstehen für die Betroffenen? Identitätsdiebstahl, finanzielle Schäden, Diskriminierung?
- 5 Ergriffene Maßnahmen: Was wurde bisher getan, um den Schaden zu begrenzen und weitere Vorfälle zu verhindern?
- 6 Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für Rückfragen der Behörde
An wen melden — und wie?
In Deutschland ist die Meldung an die Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes zu richten, in dem das Unternehmen seinen Hauptsitz hat. Eine zentrale Behörde gibt es nicht.
| Bundesland | Zuständige Behörde |
|---|---|
| Bayern (nicht-öffentlich) | Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) |
| Baden-Württemberg | LfDI Baden-Württemberg |
| Berlin | Berliner Beauftragte für Datenschutz |
| Hamburg | HmbBfDI |
| NRW | LDI NRW |
| Alle anderen Länder | Jeweiliger Landesbeauftragter für Datenschutz |
Die meisten Behörden bieten ein Online-Meldeformular an, das rund um die Uhr erreichbar ist. Einige akzeptieren auch eine E-Mail oder ein Fax als fristwahrende Meldung — wichtig ist, dass die Eingangsbestätigung dokumentiert wird.
Neben der Behördenmeldung (Art. 33 DSGVO) kann auch eine direkte Benachrichtigung der betroffenen Personen (Art. 34 DSGVO) erforderlich sein — wenn der Vorfall voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt. Für eine Arztpraxis nach einem Ransomware-Angriff auf Patientendaten ist das nahezu immer der Fall. Diese Benachrichtigung muss „unverzüglich" erfolgen — also so schnell wie möglich, ohne unnötige Verzögerung.
Was droht bei Verstoß gegen die Meldepflicht?
Wer die Meldepflicht versäumt, riskiert empfindliche Konsequenzen — unabhängig davon, ob der ursprüngliche Angriff selbst Schäden verursacht hat:
| Verstoß | Max. Bußgeld (Art. 83 DSGVO) |
|---|---|
| Keine oder verspätete Meldung an Aufsichtsbehörde (Art. 33) | 10 Mio. € oder 2 % Jahresumsatz |
| Unterlassene Benachrichtigung Betroffener (Art. 34) | 10 Mio. € oder 2 % Jahresumsatz |
| Unvollständige oder irreführende Meldung | Bis 10 Mio. € (Ermessen der Behörde) |
In der Praxis werden Bußgelder bei erstmaligen Verstößen und erkennbarer Kooperationsbereitschaft oft deutlich niedriger angesetzt. Entscheidend ist jedoch: Wer aktiv meldet und Maßnahmen nachweist, wird milder behandelt als wer schweigt.
Zusätzlich zu Bußgeldern können betroffene Personen nach Art. 82 DSGVO Schadensersatz vom Verantwortlichen verlangen — auch für immaterielle Schäden wie Stress, Angst oder Reputationsverlust. Sammelklagen nehmen in Deutschland und Europa spürbar zu.
Wie hilft eine Cyberversicherung bei der Meldepflicht?
Genau hier liegt einer der unterschätzten Kernnutzen einer guten Cyberversicherung: Sie liefert nicht nur Geld — sie liefert sofortige operative Unterstützung in den 72 entscheidenden Stunden.
- 1 24/7-Notfall-Hotline: Beim ersten Anruf steht ein spezialisierter Datenschutzanwalt zur Seite, der bewertet, ob und was gemeldet werden muss — und die Meldung rechtssicher formuliert
- 2 IT-Forensik: Digitale Forensiker ermitteln schnell, welche Daten betroffen sind — entscheidend für die Vollständigkeit der Behördenmeldung und für die Frage, ob Betroffene benachrichtigt werden müssen
- 3 Übernahme der Meldungskosten: Rechtsberatung, Forensik und Krisenkommunikation sind typischerweise Teil des Versicherungsschutzes — auch wenn kein versicherter Vermögensschaden eingetreten ist
- 4 Benachrichtigungsmanagement: Falls betroffene Personen informiert werden müssen, koordiniert die Versicherung Inhalt, Format und Versand — entlastet das Unternehmen in einer ohnehin kritischen Phase
- 5 Bußgeldverteidigung: Wird dennoch ein Bußgeldverfahren eingeleitet, stellt die Versicherung Rechtsbestand bereit — und übernimmt je nach Police die Verteidigungskosten
Die DSGVO-Meldepflicht ist kein bürokratisches Detail — sie ist eine gesetzliche Pflicht mit erheblichen Konsequenzen bei Versäumnis. 72 Stunden klingen nach viel, sind es in der Praxis aber nicht: IT-Forensik, Bewertung der betroffenen Daten, juristische Prüfung und Formulierung der Meldung — all das geschieht unter maximalem Zeitdruck. Eine Cyberversicherung macht den Unterschied zwischen einem kontrollierten, rechtssicheren Prozess und einem panikhaften Aufschub, der am Ende teurer wird als der Angriff selbst.
Häufige Fragen zur DSGVO-Meldepflicht
Wann beginnt die 72-Stunden-Frist?
Die Frist beginnt in dem Moment, in dem Ihr Unternehmen von der Datenpanne Kenntnis erlangt — also wenn ein Mitarbeiter den Vorfall erstmals bemerkt und intern meldet. Nicht der Zeitpunkt des Angriffs, sondern das interne Bekanntwerden ist maßgeblich. Auch wenn die vollständige Analyse noch aussteht, läuft die Frist bereits ab dem ersten Verdachtsmoment.
Muss ich jeden Cyberangriff melden?
Nein — nur wenn personenbezogene Daten betroffen sind und der Vorfall voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Ein rein technischer Ausfall ohne Datenbezug ist nicht meldepflichtig. Bei Ransomware auf Systemen mit Kundendaten, Patientendaten oder Mitarbeiterdaten ist die Meldepflicht in aller Regel gegeben — auch wenn keine Exfiltration nachgewiesen wurde.
Was passiert, wenn ich die 72 Stunden verpasse?
Eine verspätete Meldung ist besser als gar keine. Melden Sie den Vorfall so schnell wie möglich und erklären Sie die Verzögerung nachvollziehbar. Die Aufsichtsbehörden unterscheiden zwischen unverschuldeter Verzögerung (z.B. Wochenende, IT-Ausfall) und bewusstem Verschweigen. Bußgelder sind bei aktiver Kooperation und erkennbaren Gegenmaßnahmen deutlich geringer. Sprechen Sie unbedingt vorher mit einem Datenschutzanwalt — Ihre Cyberversicherung stellt diesen bereit.
Brauche ich einen Datenschutzbeauftragten?
Ein betrieblicher Datenschutzbeauftragter (DSB) ist nach DSGVO und BDSG ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, Pflicht — oder wenn besondere Datenkategorien (Gesundheitsdaten, biometrische Daten etc.) verarbeitet werden. Für Arztpraxen gilt faktisch immer eine DSB-Pflicht. Der DSB muss im Meldeprozess eingebunden sein und der Aufsichtsbehörde als Kontaktperson angegeben werden.