Stand: 10.06.2026. Der Europäische Datenschutzausschuss hat heute ein gemeinsames Muster für Meldungen von Datenschutzverletzungen angenommen. Was nach Formular klingt, kann für Unternehmen in der Praxis deutlich mehr bedeuten. Denn bei Datenpannen entscheidet oft nicht nur, ob eine Meldung abgegeben wird, sondern wie vollständig, schnell und vergleichbar sie bei der Aufsicht ankommt.

Der Beschluss fiel in der jüngsten Plenarsitzung des EDSA. In derselben Sitzung sprach der Ausschuss auch mit EU-Kommissar Michael McGrath über digitale Regulierung, internationale Datentransfers, Kinderschutz und die Ausstattung der Datenschutzbehörden. Für die tägliche Compliance-Arbeit ist aber vor allem die neue Vorlage spannend. Sie soll Organisationen und Datenschutzaufsichten helfen, Meldungen nach Artikel 33 DSGVO einheitlicher zu strukturieren.

Das Problem beginnt nicht erst bei der Panne

Artikel 33 DSGVO verlangt, dass Verantwortliche eine Verletzung des Schutzes personenbezogener Daten grundsätzlich binnen 72 Stunden an die zuständige Aufsichtsbehörde melden, wenn ein Risiko für Betroffene besteht. In der Praxis ist genau diese Phase häufig chaotisch. IT, Rechtsabteilung, Datenschutzbeauftragte, Dienstleister und Management versuchen gleichzeitig zu klären, was passiert ist, welche Daten betroffen sind, wie viele Menschen betroffen sein könnten und welche Maßnahmen bereits laufen.

Ein gemeinsames Meldeformular kann diesen Druck nicht wegzaubern. Es kann aber sichtbar machen, welche Informationen die Behörden erwarten und welche Lücken intern schnell geschlossen werden müssen. Der EDSA schreibt, die Vorlage solle sicherstellen helfen, dass Meldungen die nach Artikel 33 DSGVO erforderlichen Informationen enthalten. Außerdem soll sie den Behörden die Bewertung der Fälle erleichtern.

Warum die Vorlage für kleine Organisationen besonders relevant ist

Der Ausschuss betont ausdrücklich den Nutzen für kleinere Organisationen, denen oft keine eigenen Datenschutzbeauftragten oder juristischen Ressourcen zur Verfügung stehen. Das ist ein wichtiger Punkt. Große Unternehmen können für Incident Response eigene Teams, externe Kanzleien und Sicherheitsdienstleister einbinden. Kleinere Vereine, Praxen, Handwerksbetriebe oder lokale Dienstleister stehen nach einem verlorenen Laptop, einem kompromittierten E-Mail-Konto oder einer falsch verschickten Datei schnell allein vor der Frage, was jetzt genau an die Behörde muss.

Die neue Vorlage soll vordefinierte Auswahlmöglichkeiten und Hinweise zum Ausfüllen bieten. Dadurch kann sie wie eine Checkliste wirken. Das hilft nicht nur beim eigentlichen Absenden, sondern auch bei der Vorbereitung. Wer seine internen Prozesse daran ausrichtet, kann vorab festlegen, wer im Ernstfall welche Informationen liefert. Genau diese Vorarbeit entscheidet oft darüber, ob die 72-Stunden-Frist noch geordnet eingehalten werden kann.

Einheitlichkeit kann auch strengere Vergleichbarkeit bedeuten

Für Unternehmen hat Harmonisierung zwei Seiten. Einerseits sinkt der Aufwand, wenn Meldeprozesse in Europa ähnlicher werden und nicht jede Aufsicht andere Formate erwartet. Andererseits werden Meldungen vergleichbarer. Wenn Behörden strukturierte Angaben zu Ursache, Datenarten, Betroffenen, Risiken und Gegenmaßnahmen erhalten, fallen unvollständige oder ausweichende Antworten schneller auf.

Das ist kein Nachteil, wenn die Incident-Prozesse belastbar sind. Es wird aber zum Risiko, wenn Unternehmen Datenpannen bisher vor allem improvisiert behandeln. Ein Formular mit klaren Feldern zwingt dazu, die eigene Faktenlage zu ordnen. Wer im Ernstfall nicht sagen kann, welche Systeme betroffen sind, welche Dienstleister beteiligt waren oder welche Schutzmaßnahmen bereits greifen, bekommt das Problem nicht durch bessere Sprache gelöst.

Die Konsultation läuft bis Anfang August

Der EDSA hat die Vorlage nicht sofort als endgültiges Pflichtformat für alle Aufsichten in Betrieb gesetzt. Sie geht zunächst in eine öffentliche Konsultation bis zum 5. August 2026. Stakeholder können also Rückmeldungen zum Inhalt der Vorlage geben. Erst danach will der Ausschuss über den Zeitplan für die praktische Umsetzung durch alle Datenschutzbehörden entscheiden.

Für Datenschutzteams ist das trotzdem ein guter Zeitpunkt, die eigenen Meldeprozesse zu prüfen. Die Vorlage zeigt, wohin die Reise geht: weniger Freitext, mehr Struktur, mehr Vergleichbarkeit. Auch wenn nationale Portale und technische Umsetzungen noch folgen, können Organisationen bereits jetzt testen, ob sie die erwarteten Informationen intern schnell zusammenbekommen.

Was Verantwortliche jetzt konkret prüfen sollten

Erstens sollte klar sein, wer eine mögliche Datenschutzverletzung intern bewertet. Zweitens braucht es eine Liste der Informationen, die innerhalb der ersten Stunden beschafft werden müssen. Dazu gehören betroffene Systeme, Kategorien personenbezogener Daten, Zahl der Betroffenen, mögliche Folgen, ergriffene Maßnahmen und Kontaktpersonen. Drittens sollten Dienstleisterverträge und Eskalationswege so funktionieren, dass Auftragsverarbeiter eine Panne nicht erst dann melden, wenn die 72 Stunden fast vorbei sind.

Der eigentliche Nachrichtenwert des heutigen EDSA-Beschlusses liegt deshalb nicht in einem neuen PDF, sondern in der Richtung der Aufsichtspraxis. Datenschutzverletzungen sollen in Europa einheitlicher gemeldet, schneller eingeordnet und besser vergleichbar werden. Wer seine Prozesse sauber dokumentiert, kann davon profitieren. Wer Datenpannen erst beim Ausfüllen eines Behördenformulars versteht, wird künftig weniger Ausreden haben.

Quellen: Europäischer Datenschutzausschuss, Meldung vom 10.06.2026 zur gemeinsamen Vorlage für Datenschutzverletzungsmeldungen, öffentliche Konsultation zur Vorlage für Meldungen nach Artikel 33 DSGVO.

Bild: Pexels, https://www.pexels.com/photo/1181354/