Das Wichtigste zum Thema “DSGVO-Verstoß melden” in Kürze
In der Regel muss jeder Datenschutzverstoß der zuständigen Datenschutzbehörde gemeldet werden. Ein Ausnahme besteht, wenn ein geringes Verletzungsrisiko der personenbezogenen Daten vorliegt. Mehr dazu lesen Sie hier.
Wem der DSGVO-Verstoß zu melden ist, richtet sich nach dem Ort der Datenpanne und der verarbeitenden Stelle. In der Tabelle weiter unten haben wir Ihnen die örtlichen Zuständigkeiten übersichtlich zusammengefasst.
Einen Datenschutzverstoß definiert die DSGVO allgemein als Verletzung des Schutzes personenbezogener Daten. Diese kann in der Vernichtung, dem Verlust, der Veränderung oder der Offenlegung der Daten liegen.
Bußgeldrechner: DSGVO-Verstöße
Wie können Sie einen Datenschutzverstoß melden?

Inhaltsverzeichnis
Die Datenschutz-Grundverordnung (DSGVO) legt strenge Regelungen fest, wenn es um den Umgang mit personenbezogenen Daten geht. Von Zeit zu Zeit kann es vorkommen, dass diese Regeln gebrochen werden – sei es vorsätzlich oder aus Versehen. In einem solchen Fall ist es wichtig, den Verstoß gegen die DSGVO zu melden. Doch wie läuft das ab? Wer ist Ansprechpartner, wenn Sie Datenschutzverstöße melden wollen? Und generell: Was ist überhaupt ein Datenschutzverstoß? Diesen Fragen gehen wir im folgenden Ratgeber auf den Grund.
Datenschutz: Einen Verstoß erkennen und melden
Bevor es um die Frage geht, wie Sie einen DSGVO-Verstoß melden können, ist es zunächst wichtig zu klären, was überhaupt unter einem solchen Verstoß verstanden wird.

Nach der DSGVO liegt ein Datenschutzverstoß ganz allgemein dann vor, wenn der Schutz personenbezogener Daten verletzt wurde. Die Rede ist dann auch von der sogenannten Datenpanne. Im Einzelnen wird zwischen zwei Alternativen unterschieden:
- Vernichtung, Verlust oder Veränderung der personenbezogenen Daten
- unbefugte Offenlegung bzw. unbefugter Zugang von/zu personenbezogenen Daten
Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden können. Verantwortliche eines Unternehmens/einer Institution (z. B. Datenschutzbeauftragte) sind sogar zu einer entsprechenden Meldung verpflichtet. Dies ist in Art. 33 der DSGVO geregelt. Dort heißt es:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Eine Meldung ist laut. Art. 33 DSGVO nicht erforderlich, wenn ein geringes Verletzungsrisiko bzgl. der personenbezogenen Daten besteht. Dies ist bspw. dann der Fall wenn sicher verschlüsselte Datenträger verloren gegangen sind, auf denen sich entsprechende Daten befinden.
Bei wem müssen Sie Datenschutzverstöße melden?
Um einen DSGVO-Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Auch Betroffene können hier mögliche Datenschutzverstöße anzeigen.
Je nachdem wo die personenbezogenen Daten (unzulässig) verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde. In der folgenden Tabelle haben wir übersichtlich aufgelistet, wer in Ihrem jeweiligen Bundesland für den Datenschutz zuständig ist. Beachten Sie jedoch, dass in einigen Fällen der Bundesdatenschutzbeauftragte oder auch spezielle Datenschutzbehörden unabhängig vom Ort des Verstoßes zuständig sind.
Landesdatenschutzbeauftragte in Deutschland
Bundesland | Landesdatenschutzbeauftragte/r | Homepage |
---|---|---|
Baden-Württemberg | Dr. Stefan Brink | Homepage |
Bayern | Prof. Dr. Thomas Petri | Homepage |
Berlin | Volker Brozio (kommissarisch) | Homepage |
Brandenburg | Dagmar Hartge | Homepage |
Bremen | Dr. Imke Sommer | Homepage |
Hamburg | Thomas Fuchs | Homepage |
Hessen | Prof. Dr. Alexander Roßnagel | Homepage |
Mecklenburg-Vorpommern | Heinz Müller | Homepage |
Niedersachsen | Barbara Thiel | Homepage |
Nordrhein-Westfalen | Bettina Gayk | Homepage |
Rheinland-Pfalz | Prof. Dr. Dieter Kugelmann | Homepage |
Saarland | Monika Grethel | Homepage |
Sachsen | Dr. Juliane Hundert | Homepage |
Sachsen-Anhalt | Albert Cohaus (kommissarisch) | Homepage |
Schleswig-Holstein | Marit Hansen | Homepage |
Thüringen | Dr. Lutz Hasse | Homepage |
Bildnachweise: Fotolia.com/peterschreiber.media, Fotolia.com/mangpor2004
Nadin meint
Wenn ein Fotograf ohne einem Vertrag und ohne mündlicher Vereinbarung Fotos öffentlich von mir verwendet, verkauft und öffentlich zur Verfügung stellt, kann ich was dagegen tun?
Hugo meint
Das ganze Thema wird ironischerweise interessant, wenn eine Webseite in vielen Punkten möglicherweise gegen die DSGVO verstößt (kein Cookie-Hinweis, jede Menge Social-Media-Cookies, Google-Ressourcen, kein HTTPS), aber die Webseite zudem gegen die Impressumspflicht verstößt, das heißt, kein „Unternehmenssitz“ angegeben ist. Die Webseite besitzt einen Spenden-Button und Sponsoren-Links, es handelt sich also um eine kommerzielle Seite.
Der Webspace-Hoster sitzt nach IP-geolocation in NRW, die Webseite hat eine .de-Domain, aber ansonsten gibt es keine persönlichen Informationen zum Betreiber. NRW bietet ein online ausfüllbares Beschwerdeformular, dass per Post oder Fax (!!) geschickt werden muss, zusammen mit kopierten Unterlagen (Webseite ausdrucken?) zum DSGVO-Verstoß. Bonus: man muss Namen und Sitz des „Unternehmens“ mit angeben.. Glückwunsch, Deutschland. Großartig umgesetzt, die Neulandpolitik hat es geschafft.
B. meint
Jemand veröffentlicht bei Facebook eine gerichtliche Verfügung und lässt dabei den Namen der Person gegen die, die gerichtliche Verfügung gerichtet ist ungeschwärzt stehen.
Auf den Hinweis an die postende, dass dies datenschutzrechtlich nicht richtig sei! Erwiderte die postende Person, es sei ihr egal.
Bei der postenden Person als auch der benannten Person, handelt es sich um Privatpersonen.
Es geht offensichtlich nur um das schädigen der benannten Person.
Christian meint
Hallo,
an wen muss ich mich wenden, wenn ich nur alle Cookies einwilligen kann, nicht jedoch abwählen?
(Website bietet keine Möglichkeit, Cookies abzulehnen, egal ob einzelne oder alle.)
Danke!
Annette meint
Ich teile mir mit meinem Ex-Mann einen PKW der Marke Citröen. Jetzt nutzt er die App „My Citröen“, die, unter anderem, die zurückgelegten Fahrten speichert. Und zwar wirklich alle, auch die Fahrten von mir, wenn der Ex-Mann gar nicht im Auto sitzt. Mit angefahrenen Adressen, Uhrzeit, usw. Das Auto zeigt es nicht an, dass eine Aufzeichnung stattfindet und ich hsbe keine Möglichkeit, die Daten zu löschen. Ist so eine Aufzeichnung datenschutzrechtlich in Ordnung?
seba meint
ich habe vor einem monat einen groben verstoß beim datenschutzbeauftragten gemeldet, bis her ist nichts passiert, der verstoß dauert an! wie soll ich vorgehen?
Berndt meint
In einem Streit mit einer Partnervermittlung hat diese meine Daten ( Name , Vorname ) aus einer Banküberweisung an ein Inkassobüro weiter gegeben
eine Vollmacht ( Partnervermittlung/Inkassobüro liegt nicht vor.
Über eine Einschätzung würde ich mich freuen ( Danke )
Andreas meint
Darf die Schufa einfach meine neue Adresse an eine Firma namens Riser ID Services weiter geben ohne das ich irgendetwas mit der Firma zu tun habe bzw. ich dazu meine Einwilligung gegeben habe bzw. mich überhaupt darüber informiert hat? Beide äußern sich dazu nicht. Ist mir auch nur aufgefallen, weil ich zufällig einen Ausdruck meiner gespeicherten Daten angefordert habe.
Positron meint
Guten Tag,
muß die Anonymität des DSGVO-Beschwerdeführers durch die LfDs gewahrt bleiben bzw. unter welchen Vorraussetzung muss die Identität offen gelegt werden? (Reicht z.B. Akteneinsicht zur Offenlegung aus?)
Danke
Frank meint
Die Teenager Plattform Gutefrage.net verstößt seit letzter Woche gegen den Datenschutz. Die Nutzung ist nur noch möglich, indem Webecookies angenommen werden müssen, oder es muss ein Zahlabo abgeschlossen werden. Es handelt sich um eine Nutzerplattform, also um keinen Zeitschriftenverlag. Ich finde es eine Frechheit, das Minderjährige und Menschen, die akut Hilfe suchen so erpresst werden, der Datenverarbeitung zuzustimmen.
Karl meint
Es fehlt noch immer die Antwort auf Christians Frage. An wen muß ich mich wenden, wenn das Cookie banner nicht den gesetzlichen Vorschriften entspricht; wenn eine Auswahlmöglichkeit nicht besteht?
Aldurin meint
Frage:
Wenn ich weiß, das ein Unternehmen eine veraltete Software verwendet, die keine Sicherheitsupdates mehr herstellt, ist das dann schon eine Datenschutzverletzung?
Ich kenne ein Unternehmen welches immer noch (heute 04/2022) Windows 7 verwendet. Die Sicherheitsupdates wurden ende 2019 eingestellt. Es werden hoch sensible personalisierte Daten auf den entsprechenden Servern gelagert und ich bin unschlüssig, ob ich dieses Unternehmen melden sollte oder nicht, da ich mir unsicher bin ob dies bereits eine DSGVO Verletzung ist.
Sofern das eine Verletzung wäre, würde ich die Meldung gern Anonym veranlassen, gibt es diese Möglichkeit oder muss ich meine Personalien angeben? (Bundesland: Rheinland-Pfalz)
Ich bitte um Antwort auf die Fragen.
Grüße