Das Wichtigste zum Thema “DSGVO-Verstoß melden” in Kürze
In der Regel muss jeder Datenschutzverstoß der zuständigen Datenschutzbehörde gemeldet werden. Ein Ausnahme besteht, wenn ein geringes Verletzungsrisiko der personenbezogenen Daten vorliegt. Mehr dazu lesen Sie hier.
Wem der DSGVO-Verstoß zu melden ist, richtet sich nach dem Ort der Datenpanne und der verarbeitenden Stelle. In der Tabelle weiter unten haben wir Ihnen die örtlichen Zuständigkeiten übersichtlich zusammengefasst.
Einen Datenschutzverstoß definiert die DSGVO allgemein als Verletzung des Schutzes personenbezogener Daten. Diese kann in der Vernichtung, dem Verlust, der Veränderung oder der Offenlegung der Daten liegen.
Bußgeldrechner: DSGVO-Verstöße
Wie können Sie einen Datenschutzverstoß melden?

Inhaltsverzeichnis
Die Datenschutz-Grundverordnung (DSGVO) legt strenge Regelungen fest, wenn es um den Umgang mit personenbezogenen Daten geht. Von Zeit zu Zeit kann es vorkommen, dass diese Regeln gebrochen werden – sei es vorsätzlich oder aus Versehen. In einem solchen Fall ist es wichtig, den Verstoß gegen die DSGVO zu melden. Doch wie läuft das ab? Wer ist Ansprechpartner, wenn Sie Datenschutzverstöße melden wollen? Und generell: Was ist überhaupt ein Datenschutzverstoß? Diesen Fragen gehen wir im folgenden Ratgeber auf den Grund.
Datenschutz: Einen Verstoß erkennen und melden
Bevor es um die Frage geht, wie Sie einen DSGVO-Verstoß melden können, ist es zunächst wichtig zu klären, was überhaupt unter einem solchen Verstoß verstanden wird.

Nach der DSGVO liegt ein Datenschutzverstoß ganz allgemein dann vor, wenn der Schutz personenbezogener Daten verletzt wurde. Die Rede ist dann auch von der sogenannten Datenpanne. Im Einzelnen wird zwischen zwei Alternativen unterschieden:
- Vernichtung, Verlust oder Veränderung der personenbezogenen Daten
- unbefugte Offenlegung bzw. unbefugter Zugang von/zu personenbezogenen Daten
Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden können. Verantwortliche eines Unternehmens/einer Institution (z. B. Datenschutzbeauftragte) sind sogar zu einer entsprechenden Meldung verpflichtet. Dies ist in Art. 33 der DSGVO geregelt. Dort heißt es:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Eine Meldung ist laut. Art. 33 DSGVO nicht erforderlich, wenn ein geringes Verletzungsrisiko bzgl. der personenbezogenen Daten besteht. Dies ist bspw. dann der Fall wenn sicher verschlüsselte Datenträger verloren gegangen sind, auf denen sich entsprechende Daten befinden.
Bei wem müssen Sie Datenschutzverstöße melden?
Um einen DSGVO-Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Auch Betroffene können hier mögliche Datenschutzverstöße anzeigen.
Je nachdem wo die personenbezogenen Daten (unzulässig) verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde. In der folgenden Tabelle haben wir übersichtlich aufgelistet, wer in Ihrem jeweiligen Bundesland für den Datenschutz zuständig ist. Beachten Sie jedoch, dass in einigen Fällen der Bundesdatenschutzbeauftragte oder auch spezielle Datenschutzbehörden unabhängig vom Ort des Verstoßes zuständig sind.
Landesdatenschutzbeauftragte in Deutschland
Bundesland | Landesdatenschutzbeauftragte/r | Homepage |
---|---|---|
Baden-Württemberg | Dr. Stefan Brink | Homepage |
Bayern | Prof. Dr. Thomas Petri | Homepage |
Berlin | Volker Brozio (kommissarisch) | Homepage |
Brandenburg | Dagmar Hartge | Homepage |
Bremen | Dr. Imke Sommer | Homepage |
Hamburg | Thomas Fuchs | Homepage |
Hessen | Prof. Dr. Alexander Roßnagel | Homepage |
Mecklenburg-Vorpommern | Heinz Müller | Homepage |
Niedersachsen | Barbara Thiel | Homepage |
Nordrhein-Westfalen | Bettina Gayk | Homepage |
Rheinland-Pfalz | Prof. Dr. Dieter Kugelmann | Homepage |
Saarland | Monika Grethel | Homepage |
Sachsen | Dr. Juliane Hundert | Homepage |
Sachsen-Anhalt | Albert Cohaus (kommissarisch) | Homepage |
Schleswig-Holstein | Marit Hansen | Homepage |
Thüringen | Dr. Lutz Hasse | Homepage |
Bildnachweise: Fotolia.com/peterschreiber.media, Fotolia.com/mangpor2004
Nadin meint
Wenn ein Fotograf ohne einem Vertrag und ohne mündlicher Vereinbarung Fotos öffentlich von mir verwendet, verkauft und öffentlich zur Verfügung stellt, kann ich was dagegen tun?
Nala meint
Das ist kein Datenschutz- sondern ein Urheberrechts-Verstoß. Du kannst den Täter auf Unterlassung verklagen, Schadensersatz fordern und Strafanzeige stellen.
Hugo meint
Das ganze Thema wird ironischerweise interessant, wenn eine Webseite in vielen Punkten möglicherweise gegen die DSGVO verstößt (kein Cookie-Hinweis, jede Menge Social-Media-Cookies, Google-Ressourcen, kein HTTPS), aber die Webseite zudem gegen die Impressumspflicht verstößt, das heißt, kein „Unternehmenssitz“ angegeben ist. Die Webseite besitzt einen Spenden-Button und Sponsoren-Links, es handelt sich also um eine kommerzielle Seite.
Der Webspace-Hoster sitzt nach IP-geolocation in NRW, die Webseite hat eine .de-Domain, aber ansonsten gibt es keine persönlichen Informationen zum Betreiber. NRW bietet ein online ausfüllbares Beschwerdeformular, dass per Post oder Fax (!!) geschickt werden muss, zusammen mit kopierten Unterlagen (Webseite ausdrucken?) zum DSGVO-Verstoß. Bonus: man muss Namen und Sitz des „Unternehmens“ mit angeben.. Glückwunsch, Deutschland. Großartig umgesetzt, die Neulandpolitik hat es geschafft.
B. meint
Jemand veröffentlicht bei Facebook eine gerichtliche Verfügung und lässt dabei den Namen der Person gegen die, die gerichtliche Verfügung gerichtet ist ungeschwärzt stehen.
Auf den Hinweis an die postende, dass dies datenschutzrechtlich nicht richtig sei! Erwiderte die postende Person, es sei ihr egal.
Bei der postenden Person als auch der benannten Person, handelt es sich um Privatpersonen.
Es geht offensichtlich nur um das schädigen der benannten Person.
Christian meint
Hallo,
an wen muss ich mich wenden, wenn ich nur alle Cookies einwilligen kann, nicht jedoch abwählen?
(Website bietet keine Möglichkeit, Cookies abzulehnen, egal ob einzelne oder alle.)
Danke!
Annette meint
Ich teile mir mit meinem Ex-Mann einen PKW der Marke Citröen. Jetzt nutzt er die App „My Citröen“, die, unter anderem, die zurückgelegten Fahrten speichert. Und zwar wirklich alle, auch die Fahrten von mir, wenn der Ex-Mann gar nicht im Auto sitzt. Mit angefahrenen Adressen, Uhrzeit, usw. Das Auto zeigt es nicht an, dass eine Aufzeichnung stattfindet und ich hsbe keine Möglichkeit, die Daten zu löschen. Ist so eine Aufzeichnung datenschutzrechtlich in Ordnung?
seba meint
ich habe vor einem monat einen groben verstoß beim datenschutzbeauftragten gemeldet, bis her ist nichts passiert, der verstoß dauert an! wie soll ich vorgehen?
Berndt meint
In einem Streit mit einer Partnervermittlung hat diese meine Daten ( Name , Vorname ) aus einer Banküberweisung an ein Inkassobüro weiter gegeben
eine Vollmacht ( Partnervermittlung/Inkassobüro liegt nicht vor.
Über eine Einschätzung würde ich mich freuen ( Danke )
Andreas meint
Darf die Schufa einfach meine neue Adresse an eine Firma namens Riser ID Services weiter geben ohne das ich irgendetwas mit der Firma zu tun habe bzw. ich dazu meine Einwilligung gegeben habe bzw. mich überhaupt darüber informiert hat? Beide äußern sich dazu nicht. Ist mir auch nur aufgefallen, weil ich zufällig einen Ausdruck meiner gespeicherten Daten angefordert habe.
Positron meint
Guten Tag,
muß die Anonymität des DSGVO-Beschwerdeführers durch die LfDs gewahrt bleiben bzw. unter welchen Vorraussetzung muss die Identität offen gelegt werden? (Reicht z.B. Akteneinsicht zur Offenlegung aus?)
Danke
Frank meint
Die Teenager Plattform Gutefrage.net verstößt seit letzter Woche gegen den Datenschutz. Die Nutzung ist nur noch möglich, indem Webecookies angenommen werden müssen, oder es muss ein Zahlabo abgeschlossen werden. Es handelt sich um eine Nutzerplattform, also um keinen Zeitschriftenverlag. Ich finde es eine Frechheit, das Minderjährige und Menschen, die akut Hilfe suchen so erpresst werden, der Datenverarbeitung zuzustimmen.
Karl meint
Es fehlt noch immer die Antwort auf Christians Frage. An wen muß ich mich wenden, wenn das Cookie banner nicht den gesetzlichen Vorschriften entspricht; wenn eine Auswahlmöglichkeit nicht besteht?
Frank meint
Ich schlage vor, dass Sie die entsprechende Webseite nicht verwenden. Andere Nutzer der Webseite scheint ihr Problem nicht zu stören.
Aldurin meint
Frage:
Wenn ich weiß, das ein Unternehmen eine veraltete Software verwendet, die keine Sicherheitsupdates mehr herstellt, ist das dann schon eine Datenschutzverletzung?
Ich kenne ein Unternehmen welches immer noch (heute 04/2022) Windows 7 verwendet. Die Sicherheitsupdates wurden ende 2019 eingestellt. Es werden hoch sensible personalisierte Daten auf den entsprechenden Servern gelagert und ich bin unschlüssig, ob ich dieses Unternehmen melden sollte oder nicht, da ich mir unsicher bin ob dies bereits eine DSGVO Verletzung ist.
Sofern das eine Verletzung wäre, würde ich die Meldung gern Anonym veranlassen, gibt es diese Möglichkeit oder muss ich meine Personalien angeben? (Bundesland: Rheinland-Pfalz)
Ich bitte um Antwort auf die Fragen.
Grüße
Jonas meint
Hallo Aldurin,
soweit ich weiß bekommen geschäftlich geführte Windows Lizenzen eine verlängerte Frist, weil es je nach Größe des Unternehmens ein riesiger organasiatischer Akt ist, immer das aktuellste Betriebssystem zu verwenden. Außerdem laufen einige Spezialanwendungen eventuell nicht auf den aktuellen Systemen, sondern müssen aufwendig portiert werden. Bevor eine Meldung abgesetzt wird, würde ich erstmal bei der IT Abteilung in Erfahrung bringen, welche Gründe für besagte veraltete Betriebssysteme vorliegen. Meist kann die Firma nicht, wie sie gerne wollte, ihr sind schlicht aus Ermangelung an Alternativen die Hände gebunden.
Gruß Jonas
Veronika meint
Ich habe eine Frage.
Bei mir im Betrieb ist ein täglicher Corona Schnelltest Pflicht. Da dieser nicht überwacht wird liegen für die Dokumentation auf einem Tisch für alle Mitarbeiter frei zugänglich Listen aus mit Namen , Geburtsdaten. Der Impfstatus wird dadurch signalisiert , daß die Namen der Ungeimpften in rot getippt sind , mit dem Vermerk 2× wöchentlich PCR Test .
Meine Frage nun wo kann man als Arbeitnehmer so etwas melden ?
wobeco meint
Ich habe für jede Webseite mit Registrierungsoption eine eigene Mailadresse vergeben, um so erkennen zu können, ob diese Daten ggf. gehackt oder verkauft worden sind – dann wird diese unberechtigterweise von einem Dritten benutzt werden.
Wenn ich jetzt diese Vermutung hege – wen informiere ich in welchem Umfang und gegenüber wem mache ich dann mit welchen Worten meine Betroffenenrechte geltend: der Firma und/oder dem Landes-/Bundes-Datenschutzbeauftragten?
Renate meint
Meine Handy-Nummer wurde vom „Verbund Pflegehilfe“ (Mainz) ohne mein Einverständnis an die vermittelten Pflegedienste weitergegeben. Da unter den angebotenen Pflegediensten zufällig auch mein derzeitiger Pflegedienst aufgelistet war, hat dieser davon Kenntnis bekommen, dass ich die Absicht habe, den Pflegedienst zu wechseln.
Die Folge: Ich wurde sofort telefonisch kontaktiert und erhielt am nächsten Tag die Kündigung.
Eine solche Praxis wird dann wohl auch andere pflegebedürftige Menschen betreffen.
Joachim meint
Zitat aus dem Beitrag zu DSGVO-Verstoß: „Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden können. Verantwortliche eines Unternehmens/einer Institution (z. B. Datenschutzbeauftragte) sind sogar zu einer entsprechenden Meldung verpflichtet. Dies ist in Art. 33 der DSGVO geregelt…“
Das stimmt so nicht. Grundsätzlich ist der Datenschutzbeauftragte nicht Verantwortlicher eines Unternehmens oder einer Institution; daher obliegt ihm auch nicht die Meldepflicht gegenüber der Aufsichtsbehörde. Die Meldepflicht besteht ausnahmslos nur für Vorstände, Geschäftsführer oder Unternehmer selbst.
Joah meint
Ich habe mit einem Änderungsbescheid eines Sozialamts den Änderungsbescheid einer mir fremden Person im selben Briefumschlag mitgeschickt bekommen. Ich habe das Amt in Kenntnis darüber gesetzt.
Allerdings außer automatisierter Eingangsbestätigung kam keinerlei Reaktion.
Ich habe das dem Datenschutzamt meines Bundeslandes gemeldet, da ich in meiner Stadt keinen Verantwortlichen finden konnte.
Ist das übertrieben von mir? Ich finde es beunruhigend da ich jetzt über die Identität einer mir fremden Person samt ihrer Einkommensverhältnisse und Wohnort voll im Bilde bin. Ich werde das zwar nicht missbrauchen, aber in falschen Händen könnte man damit Schaden anrichten.
Über Antworten freue ich mich
Holger meint
Ich habe heute per Opodo App meinen online Check in angefordert.
Per E-Mail habe ich dann „meinen“ persönlichen Link zum download des Boarding Pass erhalten.
Blöd nur, dass der Boarding pass jemand völlig anderem gehört. Auf dem Boardingpass steht logischerweise auch der Name und die Buchungsnummer der fremden Person drauf. Diesen Flug könnte ich ja bösartiger Weise stornieren. Mach ich na klar nicht.
Das ist doch ein klarer Verstoß gegen die DSGVO, oder
Danke und Gruß
Holger
Demian meint
Ein niederländisches Unternehmen benutzt meine personenbezogenen Daten ohne das wir eine geschäftliche Beziehung hsben. An welche Behörde richte ich als deutscher Staatsbürger meine Beschwerde?
Frank meint
Wenn ich mich hier den einen oder anderen Kommentar durchlese, dann frage ich mich echt, ob es nurnoch darum geht die DSGVO religiös wörtlich auszulegen und bei Zweifeln ein möglichst noch strenge Interpretation zu erfinden.
Mein Gott, was spricht dagegen, das der Fotograf ein Foto von mir macht?
Oder, wenn Gutefrage.de Werbecookies setzten will und keine andere Option zulässt, dann geht halt nicht auf diese Webseite. Lasst mal die Kirche im Dorf! Wenn hier alle soviel Angst vor der Digitalen Welt haben, dann schaltet alles ab und geht in den Wald. Aber belästigt nicht den Rest der Welt, der die Dinge nutzten möchte. Ausserhalb Deutschlands fängt man schon an über die Deutschen zu lachen und überholt in Richtung Zukunft.
Der Aufstand der schlesischen Weber hat auch nicht die Dampfmaschinen verhindert.
Inga aus HHBN meint
Mein Ex-Arbeitgeber (seit 30.06.2022) leitet meine persönlichen E-Mails ohne meine Einwilligungserklärung weiter und zwar an die Chefin persönlich – das hat eine ehemalige Arbeitskollegin berichtet und ich habe heute den Test über ein Fake E-Mail Account ausgeführt. E-Mail an meine alte E-Mail Adresse geschickt und ich erhalte keine Fehlermeldung.
Wir kamen überhaupt auf das Thema, weil ich als ehemalige Angestellte das Thema schon mitbekommen hatte (E-Mail Weiterleitung von ehemaligen Mitarbeitern). Meine Ex Chefin hat nach Hinweis, dass das so nicht erlaubt ist, das Ganze immer sehr lächerlich angetan.
Was mache ich denn nun? Ist das schon ein Thema für die Datenschutzbehörde?
Julián meint
Eine private Person hat eine Wildkamera bzw. Überwachungskamera an einen Mast der Bahn innerhalb des Bahngrundstücks installiert, die Kamera ist in Richtung private Grundstücke gerichtet, sodass Bewohner der Grundstücke aufgenommen werden. Da es sich um Gärten handelt, ist nicht bei jedem Grundstück eine Sichtschutz vorhanden. Gemäß Modellbeschreibung, ist die angehängte Kamera für die Aufnahme von Bilder und Videos fähig, außerdem ist das Gerät auch in der Lage, sich an das Internet zu verbinden.
Meine Familie und ich (ink. meine Kinder) werden auch von dieser Kamera aufgenommen, dies haben wir aber nie zugestimmt.
Wir haben den Fall bei der Polizei gemeldet, sie meinten aber, dies sei nicht strafbar, da dort kein Sichtschutz vorhanden ist. Wir fühlen uns in unserer privaten Sphäre verletz und überwacht. Könnte mir jemand sagen, wie wir mit diesem Fall vorgehen sollen? Wo sollen wir den Fall melden?
Vielen Dank!