Restore original skills for datenschutzrecht

datenschutzrecht/README.md

@@ -221,56 +221,269 @@ datenschutzrecht/
 
 ## Alle Skills im Ueberblick
 
-Automatisch generierte Komplett-Liste aller 47 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
+Automatisch generierte Komplett-Liste aller 260 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
 
 | Skill | Beschreibung |
 | --- | --- |
+| `allgemein` | Einstieg, Schnelltriage und Workflow-Routing im Datenschutzrecht-Plugin. Fragt Rolle, Ziel, Fristen, Unterlagen, Risiken und Wunsch-Output ab, schlägt passende Spezial-Skills aus diesem Plugin vor und führt in einen klaren Arbeitsplan. B... |
+| `anwendungsfall-triage` | Datenschutzrechtlichen Sachverhalt einordnen und Bearbeitungsroute bestimmen. Art. 2 3 DSGVO Anwendungsbereich § 1 BDSG. Prüfraster: Anwendungsbereich personenbezogene Daten Verantwortlicher Auftragsverarbeiter Drittland. Output: Triage-... |
+| `avv-art-26-joint-controllership-deutsch` | Joint-Controller-Vereinbarung nach Art. 26 DSGVO in deutscher Vertragssprache. Behandelt Aufgabenverteilung Anlaufstelle fuer Betroffene Transparenz Innenregress und EuGH-Rechtsprechung zu Fanpages Like-Button und Zeugen Jehovas. Output:... |
+| `avv-art-28-dsgvo-grundtatbestand` | Grundtatbestand der Auftragsverarbeitung nach Art. 28 DSGVO. Klaert Rollenzuordnung Verantwortlicher gegen Auftragsverarbeiter wenn ein Dienstleister personenbezogene Daten im fremden Auftrag verarbeitet. Wann gilt Art. 28 wann Art. 26 w... |
+| `avv-art-28-mindestinhalte-checkliste` | Vollstaendige Pflichtinhalte-Checkliste fuer einen AVV nach Art. 28 Abs. 3 lit. a bis h DSGVO. Jede der acht Pflichtklauseln mit Sollformulierung Fallback-Position und Auditfrage. Geeignet fuer das Drafting eines neuen AVV oder das Audit... |
 | `avv-audit-avv-cloud-avv-eu-avv-konzern-avv` | Avv Audit Und Kontrollrechte, Avv Cloud Und Subverarbeitung Art 28 Iv, Avv Eu Us Data Privacy Framework Bezug, Avv Konzern Und Multi Party Konstellation, Avv Prüfung: Avv Audit Und Kontrollrechte; Avv Cloud Und Subverarbeitung Art 28 Iv;... |
+| `avv-audit-und-kontrollrechte` | Audit- und Kontrollrechte des Verantwortlichen gegenueber dem Auftragsverarbeiter nach Art. 28 Abs. 3 lit. h DSGVO. Behandelt Vor-Ort-Audits Selbstauskunft Zertifikate sowie das Verhaeltnis zwischen Audit-Recht und Geschaeftsgeheimnis. O... |
 | `avv-bestehender-avv-rolemix-avv-tom-datenpanne-meldung` | Avv Prüfung Bestehender Vertraege Audit, Avv Rolemix Getrennt Vs Gemeinsam Verantwortlich, Avv Tom Art 32 Dsgvo Anlage, Datenpanne Meldung, Datenschutz Auskunftei Restschuldbefreiung Art17: Avv Prüfung Bestehender Vertraege Audit; Avv Ro... |
+| `avv-cloud-und-subverarbeitung-art-28-iv` | Auftragsverarbeitung bei Cloud-Diensten und Sub-Verarbeitung nach Art. 28 Abs. 2 und Abs. 4 DSGVO. Behandelt die Sub-AV-Kette das Genehmigungsverfahren die Informationspflicht beim Wechsel sowie die Haftungsdurchleitung. Output: Sub-AV-K... |
+| `avv-eu-kommission-musterklauseln-2021-915` | EU-Kommissions-Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter nach Beschluss (EU) 2021/915 vom 04.06.2021. Diese Klauseln sind nicht zu verwechseln mit den Drittlands-SCC nach Beschluss (EU) 2021/914. Anwendun... |
+| `avv-eu-us-data-privacy-framework-bezug` | Behandlung des EU-US Data Privacy Framework (DPF) im AVV. Angemessenheitsbeschluss EU-Kommission vom 10.07.2023 Beschluss (EU) 2023/1795. Anforderungen an Selbstzertifizierung Pruefung der Listung Fallback ueber SCC 2021/914 und Transfer... |
 | `avv-haftung-datenschutz-schadensersatz-dsfa-risikoanalyse-dsr` | Avv Haftung Risikoallokation Art 82 Dsgvo, Datenschutz Schadensersatz Art 82 Dsgvo Gerichtsstreit, Dsfa Risikoanalyse Eintrittswahrscheinlichkeit Schaden, Dsr Schadensersatz Art82 Spezial, Dsv Bussgeldverteidigung Art 83: Avv Haftung Ris... |
+| `avv-haftung-risikoallokation-art-82-dsgvo` | Haftungsverteilung Risikoallokation und Haftungscaps im AVV im Lichte von Art. 82 DSGVO. Klaert Aussenhaftung gegenueber Betroffenen Innenregress zwischen Verantwortlichem und Auftragsverarbeiter sowie zulaessige und unzulaessige vertrag... |
+| `avv-konzern-und-multi-party-konstellation` | AVV im Konzern und in Multi-Party-Konstellationen. Behandelt Konzern-AVV mit zentraler Group-IT Shared-Service-Center und konzernweiter Liste der Auftragsverarbeiter. Klaert die Frage ob Konzern als Einheit auftritt oder jede Gesellschaf... |
+| `avv-loeschung-rueckgabe-nach-vertragsende` | Pflicht zur Loeschung oder Rueckgabe personenbezogener Daten nach Ende des Auftragsverarbeitungsvertrags gemaess Art. 28 Abs. 3 lit. g DSGVO. Wahlrecht des Verantwortlichen Format und Nachweis Aufbewahrungsausnahmen sowie Backup- und Log... |
+| `avv-pruefung` | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO prüfen oder erstellen wenn Dritter Daten im Auftrag verarbeitet. Art. 28 DSGVO AVV-Pflicht § 62 BDSG. Prüfraster: Pflichtinhalte Art. 28 Abs. 3 Weisungsgebundenheit Subauftragsverarbeiter R... |
+| `avv-pruefung-bestehender-vertraege-audit` | Pruefung bestehender AVV-Vertraege Vendor-Inventur AVV-Audit und Vertragsfolgemanagement. Behandelt die systematische Durchsicht eines AVV-Bestands die Identifikation veralteter Klauseln SCC-Altmuster fehlender DPF-Bezug und sub-AV-Liste... |
+| `avv-rolemix-getrennt-vs-gemeinsam-verantwortlich` | Abgrenzung Rollenmix Art. 4 Nr. 7 versus Art. 26 versus Art. 28 DSGVO. Wann sind zwei Akteure getrennte Verantwortliche wann gemeinsam Verantwortliche wann Verantwortlicher und Auftragsverarbeiter. Test-Schema fuer Mischkonstellationen m... |
+| `avv-tom-art-32-dsgvo-anlage` | TOM-Anlage zum AVV nach Art. 32 DSGVO. Strukturierte Aufstellung der technischen und organisatorischen Massnahmen mit Pseudonymisierung Verschluesselung Vertraulichkeit Integritaet Verfuegbarkeit Belastbarkeit sowie regelmaessige Pruefun... |
 | `behoerdenpaket-datenpanne-datenschutzrecht-dpia` | Spezial Behoerdenpaket Zahlen Schwellen Und Berechnung, Spezial Datenpanne Schriftsatz Brief Und Memo Bausteine, Spezial Datenschutzrecht Compliance Dokumentation Und Akte, Spezial Dpia Dokumentenmatrix Und Lueckenliste, Spezial Drittlan... |
+| `datenpanne-meldung` | Datenpanne nach Art. 33 34 DSGVO melden wenn Sicherheitsverletzung personenbezogener Daten vorliegt. Art. 33 34 DSGVO Meldepflichten § 65 BDSG. Prüfraster: Meldepflicht 72-Stunden-Frist Schwere Risikobewertung Behordenmeldung Betroffenen... |
+| `datenschutz-auskunftei-restschuldbefreiung-art17` | Art. 17 DSGVO im Auskunfteifall: Interessenabwägung, öffentliche Registerfrist, Einschränkung, Widerspruch und gerichtliche Durchsetzung. |
+| `datenschutz-auskunftsersuchen-art-15-praxis` | Auskunftsersuchen nach Art. 15 DSGVO praxisgerecht abarbeiten. Frist Art. 12 III DSGVO ein Monat Verlaengerung um zwei Monate moeglich Begruendung im ersten Monat. Sieben-Fragen-Diagnose zur Mandantenbeurteilung. Schritt-fuer-Schritt-Anl... |
 | `datenschutz-auskunftsersuchen-art-bank-ablehnung-beschwerde` | Datenschutz Auskunftsersuchen Art 15 Praxis, Datenschutz Bank Ablehnung Score Beweisplan, Datenschutz Beschwerde Art 77 Aufsichtsbehoerde, Datenschutz Beschwerde Aufsicht Auskunftei, Datenschutz Betroffenenrechte Art 15 22 Orchestriert:... |
+| `datenschutz-bank-ablehnung-score-beweisplan` | Beweis- und Anspruchsplan bei Konto-, Kredit-, Leasing- oder Mietablehnung wegen Auskunftei-/Score-Daten. |
+| `datenschutz-beschwerde-art-77-aufsichtsbehoerde` | Beschwerde Art. 77 DSGVO bei zustaendiger Aufsichtsbehoerde einreichen oder abwehren. Sieben-Fragen-Diagnose: Beschwerdefuehrer oder Beschwerdegegner Aufsicht zustaendig BfDI § 13 BDSG oder Land § 40 BDSG Sachverhalt Norm konkret Beweise... |
+| `datenschutz-beschwerde-aufsicht-auskunftei` | Beschwerde nach Art. 77 DSGVO gegen SCHUFA/Credit Agency: Zuständigkeit, Sachverhalt, Anträge, Belege, gerichtliche Kontrolle. |
+| `datenschutz-betroffenenrechte-art-15-22-orchestriert` | Saemtliche Betroffenenrechte nach Art. 15 bis 22 DSGVO orchestriert bearbeiten Auskunft Berichtigung Loeschung Einschraenkung Datenuebertragbarkeit Widerspruch automatisierte Entscheidung. Sieben-Fragen-Diagnose und Schritt-fuer-Schritt-... |
+| `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung` | Bußgeldverteidigung nach Art. 83 DSGVO bis 4 Prozent Jahresumsatz oder 20 Mio. EUR. EDSA-Leitlinien 04/2022 zur Bemessung. Sieben-Fragen-Diagnose: Anhörung oder Bußgeldbescheid, Aufsichtsbehörde, Norm DSGVO/BDSG, Bezugsumsatz, Vorwurf, V... |
+| `datenschutz-datenpanne-art-33-34-72h-incident-response` | Datenpannen-Incident-Response Art. 33 und 34 DSGVO. 72-Stunden-Frist ab Kenntnis Art. 33 I DSGVO und Benachrichtigung Betroffener bei hohem Risiko Art. 34 I DSGVO. Sieben-Fragen-Diagnose: Wer hat wann was entdeckt Datenkategorien Anzahl... |
 | `datenschutz-datenpanne-art-erstgespraech-mandantenmatrix` | Datenschutz Datenpanne Art 33 34 72H Incident Response, Datenschutz Erstgespraech Mandantenmatrix 7 Fragen, Datenschutz Kreditagentur Auskunft Art15 Scorelogik, Datenschutz Loeschpflicht Art 17 Und Aufbewahrung, Datenschutz Mandantenkomm... |
+| `datenschutz-erstgespraech-mandantenmatrix-7-fragen` | Strukturiertes Erstgespraech im Datenschutzmandat. Sieben gezielte Fragen ordnen den Sachverhalt in eine Mandantenmatrix ein: Rolle nach Art. 4 DSGVO Verantwortlicher oder Auftragsverarbeiter oder gemeinsam Verantwortlicher Art. 26 DSGVO... |
+| `datenschutz-kreditagentur-auskunft-art15-scorelogik` | Auskunft gegenüber Auskunfteien: gespeicherte Daten, Empfänger, Herkunft, Scorelogik, Kategorien, Löschfristen und Kopie. |
+| `datenschutz-livecheck-bfdi-laender-aufsichtsbehoerden` | Livecheck-Skill fuer aktuelle Veroeffentlichungen BfDI und Landesdatenschutzbehoerden vor Abgabe Schriftsatz oder Stellungnahme. Sieben-Fragen-Diagnose: Mandatsgebiet zustaendige Aufsicht Rechtsbereich Verarbeitungsart EuGH Vorabentschei... |
+| `datenschutz-loeschpflicht-art-17-und-aufbewahrung` | Konflikt Loeschpflicht Art. 17 DSGVO und Aufbewahrungspflichten HGB § 257 AO § 147 GoBD geordnet aufloesen. Sieben-Fragen-Diagnose: Datenkategorie Verarbeitungszweck Rechtsgrundlage konkurrierende Pflicht Sperrung statt Loeschung Backup-... |
+| `datenschutz-mandantenkommunikation-aufsichtsbehoerde` | Kommunikation mit Aufsichtsbehoerden BfDI und Landesbehoerden inhaltlich und taktisch fuehren. Sieben-Fragen-Diagnose: Welche Aufsicht zustaendig BfDI § 13 BDSG oder Land § 40 BDSG welcher Anlass Pruefung Anhoerung Mandant antwortbereit.... |
+| `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit` | Schadensersatzklage nach Art. 82 DSGVO materieller und immaterieller Schaden vor deutschen Zivilgerichten. EuGH C-300/21 Oesterreichische Post C-340/21 Bulgarian Sofia C-687/21 MediaMarkt C-741/21 juris C-456/22 VX gegen Saale. Sieben-Fr... |
+| `datenschutz-schufa-insolvenzdaten-loeschung` | Löschung von SCHUFA-/Auskunfteidaten zur Restschuldbefreiung nach EuGH C-26/22/C-64/22 mit Art. 5 sowie Art. 17 DSGVO und öffentlichen Insolvenzbekanntmachungen. |
 | `datenschutz-schufa-scoring-art22-datenschutzrecht-dpa-controller` | Datenschutz Schufa Insolvenzdaten Löschung, Datenschutz Scoring Art22 Schufa C63421, Datenschutzrecht Anpassen, Datenschutzrecht Mandat Arbeitsbereich, Dpa En Controller Controller Tmpl: Datenschutz Schufa Insolvenzdaten Löschung; Datens... |
+| `datenschutz-scoring-art22-schufa-c63421` | Bonitätsscoring nach EuGH C-634/21: automatisierte Entscheidung, maßgebliches Kriterium für Dritte, Transparenz, Auskunft, Widerspruch und DSFA. |
+| `datenschutzrecht-anpassen` | Bestehende Datenschutzdokumentation oder Richtlinien an neue Anforderungen oder Verarbeitungstätigkeiten anpassen. Art. 5 24 DSGVO Rechenschaftspflicht. Prüfraster: Bestandsaufnahme Lueckenanalyse DSGVO-Anforderungen BDSG-Besonderheiten... |
 | `datenschutzrecht-kaltstart-interview` | Neues Datenschutzmandat durch strukturiertes Erstgespraech aufnehmen. Art. 5 6 DSGVO Grundsaetze § 26 BDSG Beschaeftigtendaten. Prüfraster: Verarbeitungszweck Datenarten betroffene Personen Empfaenger Aufbewahrungsdauer Risiken. Output:... |
+| `datenschutzrecht-mandat-arbeitsbereich` | Datenschutzrechtliches Mandat strukturieren und Arbeitsbereich abgrenzen. Art. 5 24 DSGVO §§ 1 ff. BDSG. Prüfraster: Mandatsumfang Zuständigkeiten Fristen Risikostufe externe Datenschutzberatung. Output: Mandatssteckbrief Arbeitsplan Rol... |
+| `dpa-en-controller-controller-tmpl` | English language Controller-to-Controller data sharing agreement template used between two independent controllers exchanging personal data under the GDPR. Used when neither Article 26 nor Article 28 GDPR applies but the parties want a c... |
+| `dpa-en-template-controller-processor` | English language Data Processing Agreement (DPA) template under Article 28 GDPR between a controller and a processor. Use when the contract language is English (cross-border deals UK Ireland US providers) and the parties require a stand-... |
+| `dpa-en-tom-annex-template` | English language technical and organisational measures (TOM) annex template for a DPA under Article 32 GDPR. Covers pseudonymisation encryption confidentiality integrity availability resilience recoverability and regular testing. Output:... |
 | `dpa-template-dpa-tom-dpia-summary-dpia-template` | Dpa En Template Controller Processor, Dpa En Tom Annex Template, Dpia En Summary For Management, Dpia En Template Full Version, Drittlandstransfer Prüfung: Dpa En Template Controller Processor; Dpa En Tom Annex Template; Dpia En Summary... |
+| `dpia-en-summary-for-management` | Concise English DPIA management summary aligned with Art. 35 GDPR for board executive committee or non-legal stakeholders. Output: one-pager covering processing necessity risk measures residual risk approval recommendation. |
+| `dpia-en-template-full-version` | Full English DPIA template aligned with Art. 35 GDPR covering description necessity proportionality risk to data subjects measures residual risk approval. Output: ready-to-fill DPIA template in English for cross-border or English-speakin... |
+| `drittlandstransfer-pruefung` | Datentransfer in Drittlaender außerhalb EU und EWR auf Zulässigkeit prüfen. Art. 44 ff. DSGVO Kapitel V Drittlandstransfer. Prüfraster: Angemessenheitsbeschluss SCC BCR Schrems-II-Folgen Transfer Impact Assessment zusaetzliche Massnahmen... |
+| `drittlandtransfer-behoerdenpaket-output` | Behördenfähiges Dokumentations- und Antwortpaket für Drittlandtransfers erstellen: Deckvermerk, Transferregister, DPF/SCC/TIA-Nachweise, TOMs, Subprozessoren, Maßnahmenplan und Antwort an deutsche Datenschutzaufsicht. |
+| `dsb-bestellungspflicht-pruefung` | Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung. Output: Bestellungsprüfm... |
+| `dsfa-art-35-dsgvo-trigger-und-anwendungsbereich` | Pruefung wann eine DSFA nach Art. 35 DSGVO ueberhaupt erforderlich ist. Trigger-Pruefung Anwendungsbereich Schwellwert. Generalklausel Art. 35 Abs. 1 voraussichtlich hohes Risiko; Regelbeispiele Art. 35 Abs. 3; Pflichtlisten Art. 35 Abs.... |
 | `dsfa-beweislast-dsgvo-erstellung-sonderfall-generator-red-paket` | Spezial Dsfa Beweislast Und Darlegungslast, Spezial Dsgvo Erstpruefung Und Mandatsziel, Spezial Erstellung Sonderfall Und Edge Case, Spezial Generator Red Team Und Qualitaetskontrolle, Spezial Paket Internationaler Bezug Und Schnittstell... |
+| `dsfa-bfdi-und-laender-blacklist` | Abgleich einer Verarbeitung mit der BfDI-Pflichtliste nach Art. 35 Abs. 4 DSGVO und mit den Listen der Landesdatenschutzbehoerden. Output: dokumentierter Listenabgleich mit Trefferanalyse und ggf. Verweis auf zwingende DSFA. |
+| `dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii` | Dokumentation der DSFA als Beleg der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Aktenstruktur Versionierung Aufbewahrung Beweiswert. Output: DSFA-Akte mit Aktenuebersicht und Aufbewahrungsregeln. |
 | `dsfa-drittlandtransfer-behoerdenpaket-dsb-bestellungspflicht` | Drittlandtransfer Behoerdenpaket Output, Dsb Bestellungspflicht Prüfung, Dsfa Art 35 Dsgvo Trigger Und Anwendungsbereich, Dsfa Bfdi Und Länder Blacklist, Dsfa Dokumentation Und Rechenschaftspflicht Art 5 Ii: Drittlandtransfer Behoerdenpa... |
+| `dsfa-edpb-leitlinien-9-19-anwendung` | Anwendung der EDPB-/EDSA-Leitlinien WP 248 rev.01 zur DSFA: die neun Kriterien fuer voraussichtlich hohes Risiko strukturiert pruefen. Output: Kriterien-Tabelle mit Subsumtion und Schwellwertergebnis. |
 | `dsfa-edpb-leitlinien-erstellung-internationale-datentransfers` | Dsfa Edpb Leitlinien 9 19 Anwendung, Dsfa Erstellung, Dsfa Für Internationale Datentransfers, Dsfa Für Ki Systeme Schnittstelle Art 26 Kivo, Dsfa Methodik Cnil Pia Vs Bsfd Bsi: Dsfa Edpb Leitlinien 9 19 Anwendung; Dsfa Erstellung; Dsfa F... |
+| `dsfa-erstellung` | Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchführen wenn hohes Risiko für Betroffene vorliegt. Art. 35 36 DSGVO DSFA § 67 BDSG. Prüfraster: Risikobewertung Verarbeitungsbeschreibung Notwendigkeit Verhältnismäßigkeit Massnahmen... |
+| `dsfa-fuer-internationale-datentransfers` | DSFA bei internationalen Datentransfers nach Kapitel V DSGVO: Integration der Transfer Impact Assessment (TIA) in die DSFA, Pruefung Angemessenheit SCC BCR Ausnahmen Art. 49. Output: erweiterte DSFA-Sektion fuer Drittlandbezug. |
+| `dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo` | DSFA fuer KI-Systeme an der Schnittstelle zur KI-Verordnung: Koordination Art. 35 DSGVO mit Art. 26 KI-VO Betreiberpflichten und Art. 27 KI-VO Grundrechte-Folgenabschaetzung. Output: integriertes DSFA-FRIA-Konzept. |
+| `dsfa-methodik-cnil-pia-vs-bsfd-bsi` | Vergleich der DSFA-Methoden: CNIL PIA Software (Frankreich) gegenueber dem BSI Standard-Datenschutzmodell (SDM) und dem BSFD-Ansatz. Output: Methodenwahl mit Begruendung, Anwendungshinweisen und Werkzeugauswahl. |
 | `dsfa-restrisiko-art-stakeholder-konsultation-template-deutsch` | Dsfa Restrisiko Und Art 36 Konsultation, Dsfa Stakeholder Konsultation Art 35 9, Dsfa Template Deutsch Vollvorlage, Dsfa Typische Fehler Bei Erstpruefung, Dsfa Update Bei Aenderungen Und Revision: Dsfa Restrisiko Und Art 36 Konsultation;... |
+| `dsfa-restrisiko-und-art-36-konsultation` | Restrisiko nach Massnahmen bewerten und Vorab-Konsultation Art. 36 DSGVO vorbereiten. Output: Konsultationsantrag mit Verarbeitungsbeschreibung Massnahmen Restrisiko Begruendung warum die Konsultation erforderlich ist. |
+| `dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden` | Risikoanalyse im Rahmen der DSFA: Eintrittswahrscheinlichkeit mal Schadenschwere fuer Bedrohungsszenarien systematisch ermitteln. Output: Risikomatrix mit Begruendung Ampelfarbe und Begruendung der Stufung. |
+| `dsfa-stakeholder-konsultation-art-35-9` | Konsultation der Betroffenen oder ihrer Vertreter nach Art. 35 Abs. 9 DSGVO im Rahmen einer DSFA: Pruefung Erforderlichkeit Form Reichweite Dokumentation. Output: Konsultationsplan mit Begruendung Form und Dokumentation. |
+| `dsfa-template-deutsch-vollvorlage` | Deutsche DSFA-Vollvorlage nach Art. 35 Abs. 7 DSGVO mit ausgefuellten Platzhaltern fuer alle sechs Pflichtsektionen Beschreibung Verhaeltnismaessigkeit Risiken Massnahmen Restrisiko Freigabe. Output: vollstaendige DSFA-Vorlage zum Befuel... |
+| `dsfa-typische-fehler-bei-erstpruefung` | Katalog typischer Fehler bei der DSFA-Erstpruefung und Gegenmassnahmen. Output: Fehlerkatalog mit Pruefliste fuer DSB und Verantwortliche samt Beispielen aus Aufsichtspraxis. |
+| `dsfa-update-bei-aenderungen-und-revision` | Aktualisierung einer DSFA bei wesentlichen Aenderungen der Verarbeitung nach Art. 35 Abs. 11 DSGVO. Output: Revisionsplan mit Trigger-Liste Aenderungsanalyse Risikoreassessment und Versionshistorie. |
+| `dsgvo-auskunft` | Auskunftsersuchen nach Art. 15 DSGVO prüfen und beantworten wenn Betroffener Auskunft verlangt. Art. 15 12 DSGVO Betroffenenrechte. Prüfraster: Identitätsnachweis Vollständigkeitsprüfung Auskunftsinhalt Fristen Einschraenkungsgründe. Out... |
+| `dsgvo-auskunft-antwort` | DSGVO-Auskunftsantwort an Betroffenen vollständig und rechtskonform gestalten. Art. 15 12 Abs. 3 DSGVO Antwortpflicht. Prüfraster: Antwortinhalt Format Fristen Klarheit Weglassungsgründe Begleitschreiben. Output: vollständiges Auskunftss... |
 | `dsgvo-auskunft-dsgvo-auskunft-dsr-betroffenenrechte-dsr` | Dsgvo Auskunft, Dsgvo Auskunft Antwort, Dsr Betroffenenrechte Prozess Leitfaden, Dsr Internationaler Datentransfer Spezial, Dsr Rechtsgrundlage Bauleiter: Dsgvo Auskunft; Dsgvo Auskunft Antwort; Dsr Betroffenenrechte Prozess Leitfaden; D... |
+| `dsr-betroffenenrechte-prozess-leitfaden` | Leitfaden Betroffenenrechte-Prozess Art. 15 ff. DSGVO: Auskunft, Berichtigung, Loeschung, Datenuebertragbarkeit. Pruefraster fuer Verantwortlichen und Auftragsverarbeiter. |
+| `dsr-internationaler-datentransfer-spezial` | Spezialfall internationaler Datentransfer Art. 44 ff. DSGVO: Angemessenheitsbeschluss, SCC, Transfer Impact Assessment, US-Datenschutzrahmen. Pruefraster fuer Konzern. |
+| `dsr-rechtsgrundlage-bauleiter` | Bauleiter Rechtsgrundlage Art. 6 DSGVO: Einwilligung, Vertrag, Pflicht, Interesse, oeffentliches Interesse. Pruefraster fuer typische Verarbeitungstaetigkeiten. |
+| `dsr-schadensersatz-art82-spezial` | Spezialfall Schadensersatz Art. 82 DSGVO: materiell und immateriell, EuGH-Rechtsprechung Bagatell-Klausel, Beweislast. Pruefraster fuer Klaegervertreter. |
+| `dsv-art-9-besondere-kategorien` | Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; g... |
 | `dsv-art-besondere-aufnahme-statusinformation-benachrichtigung` | Dsv Art 9 Besondere Kategorien, Dsv Aufnahme Statusinformation, Dsv Benachrichtigung Art 34 Ausnahmen, Dsv Benachrichtigung Art 34 Betroffene, Dsv Benachrichtigung Art 34 Schwelle Hohes Risiko: Dsv Art 9 Besondere Kategorien; Dsv Aufnahm... |
+| `dsv-aufnahme-statusinformation` | Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpos... |
+| `dsv-benachrichtigung-art-34-ausnahmen` | Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes... |
+| `dsv-benachrichtigung-art-34-betroffene` | Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung;... |
+| `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` | Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen... |
+| `dsv-beweissicherung` | Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabb... |
 | `dsv-beweissicherung-dsv-dsfa-dsv-erstgespraech-dsv` | Dsv Beweissicherung, Dsv Dsfa Update Nach Vorfall, Dsv Erstgespraech Vorfallmeldung, Dsv Eskalationsmatrix, Dsv Interne Dokumentation Art 33 Abs 5: Dsv Beweissicherung; Dsv Dsfa Update Nach Vorfall; Dsv Erstgespraech Vorfallmeldung; Dsv... |
+| `dsv-bussgeldverteidigung-art-83` | Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit... |
+| `dsv-dsfa-update-nach-vorfall` | Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation d... |
+| `dsv-erstgespraech-vorfallmeldung` | Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedar... |
+| `dsv-eskalationsmatrix` | Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertret... |
+| `dsv-forensische-erstsicherung` | Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsp... |
 | `dsv-forensische-erstsicherung-massenbenachrichtigung-meldekette` | Dsv Forensische Erstsicherung, Dsv Massenbenachrichtigung, Dsv Meldekette Auftragsverarbeiter, Dsv Meldung Grenzueberschreitend, Dsv Meldung Kritis Sektoraufsicht: Dsv Forensische Erstsicherung; Dsv Massenbenachrichtigung; Dsv Meldekette... |
+| `dsv-interne-dokumentation-art-33-abs-5` | Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schn... |
+| `dsv-kein-risiko-dokumentation` | Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; S... |
 | `dsv-kein-risiko-kinderdaten-besondere-kommunikationssperre` | Dsv Kein Risiko Dokumentation, Dsv Kinderdaten Besondere Schutzbeduerftigkeit, Dsv Kommunikationssperre, Dsv Lead Authority Konzern, Dsv Lessons Learned Nachbereitung: Dsv Kein Risiko Dokumentation; Dsv Kinderdaten Besondere Schutzbeduer... |
+| `dsv-kinderdaten-besondere-schutzbeduerftigkeit` | Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identit... |
+| `dsv-kommunikationssperre` | Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelu... |
+| `dsv-lead-authority-konzern` | Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperati... |
+| `dsv-lessons-learned-nachbereitung` | Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Ü... |
+| `dsv-massenbenachrichtigung` | Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewell... |
+| `dsv-meldekette-auftragsverarbeiter` | Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertrags... |
+| `dsv-meldung-art-33-pflichtangaben` | Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der... |
 | `dsv-meldung-art-baylda-bfdi-bln-bdi-hbdi-lfd-sachsen` | Dsv Meldung Art 33 Pflichtangaben, Dsv Meldung Baylda, Dsv Meldung Bfdi, Dsv Meldung Bln Bdi, Dsv Meldung Hbdi und 5 weitere Themen: Dsv Meldung Art 33 Pflichtangaben; Dsv Meldung Baylda; Dsv Meldung Bfdi; Dsv Meldung Bln Bdi; Dsv Meldun... |
+| `dsv-meldung-baylda` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentlich... |
+| `dsv-meldung-bfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbeh... |
+| `dsv-meldung-bln-bdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; O... |
+| `dsv-meldung-grenzueberschreitend` | Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsich... |
+| `dsv-meldung-hbdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen;... |
+| `dsv-meldung-hmbbfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche St... |
+| `dsv-meldung-kritis-sektoraufsicht` | Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meld... |
+| `dsv-meldung-lda-brandenburg` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für... |
+| `dsv-meldung-ldi-nrw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und f... |
+| `dsv-meldung-lfd-niedersachsen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Onli... |
+| `dsv-meldung-lfd-sachsen-anhalt` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; O... |
+| `dsv-meldung-lfdi-bremen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für n... |
+| `dsv-meldung-lfdi-bw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg... |
 | `dsv-meldung-lfdi-bw-mv-rlp-saarland` | Dsv Meldung Lfdi Bremen, Dsv Meldung Lfdi Bw, Dsv Meldung Lfdi Mv, Dsv Meldung Lfdi Rlp, Dsv Meldung Lfdi Saarland: Dsv Meldung Lfdi Bremen; Dsv Meldung Lfdi Bw; Dsv Meldung Lfdi Mv; Dsv Meldung Lfdi Rlp; Dsv Meldung Lfdi Saarland. Führt... |
+| `dsv-meldung-lfdi-mv` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommer... |
+| `dsv-meldung-lfdi-rlp` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und... |
+| `dsv-meldung-lfdi-saarland` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarla... |
+| `dsv-meldung-saechsdsb` | Reicht eine Meldung nach Art. 33 DSGVO bei der Sächsische Datenschutz- und Transparenzbeauftragte (SaechsDSB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen und für nicht-öffentliche Stellen; Online-F... |
 | `dsv-meldung-saechsdsb-tlfdi-uld-sh-nachmeldung-aktualisierung` | Dsv Meldung Saechsdsb, Dsv Meldung Tlfdi, Dsv Meldung Uld Sh, Dsv Nachmeldung Aktualisierung Art 33 Abs 4, Dsv Risikobewertung Edsa Leitlinie: Dsv Meldung Saechsdsb; Dsv Meldung Tlfdi; Dsv Meldung Uld Sh; Dsv Nachmeldung Aktualisierung A... |
+| `dsv-meldung-tlfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Thüringen und für nicht-öffe... |
+| `dsv-meldung-uld-sh` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Schleswig-Holstein und für nicht-öffentliche S... |
+| `dsv-nachmeldung-aktualisierung-art-33-abs-4` | Erstellt die Nachmeldung zu einer vorläufigen Erstmeldung nach Art. 33 Abs. 4 DSGVO. Behandelt: 14-Tage-Frist der Berliner Praxis; Ergänzung der Datenarten; Korrektur der Anzahl Betroffener; Update der Gegenmaßnahmen; Information zur Pre... |
+| `dsv-paragraf-203-stgb-berufsgeheimnis` | Bewertet einen Datenschutzvorfall bei Berufsgeheimnisträgern nach § 203 StGB. Behandelt: Ärzte; Rechtsanwälte; Steuerberater; Wirtschaftsprüfer; Psychotherapeuten; Sozialarbeiter; berufsmäßige Gehilfen; mitwirkende Personen nach § 203 Ab... |
 | `dsv-paragraf-dsv-pressemitteilung-dsv-sammelklagen-dsv-vvt` | Dsv Paragraf 203 Stgb Berufsgeheimnis, Dsv Pressemitteilung Krisenkommunikation, Dsv Sammelklagen Praevention, Dsv Vvt Update Nach Vorfall, Funktionsuebertragung Vs Auftragsverarbeitung: Dsv Paragraf 203 Stgb Berufsgeheimnis; Dsv Pressem... |
+| `dsv-pressemitteilung-krisenkommunikation` | Entwirft eine Pressemitteilung und begleitende Krisenkommunikation bei einem Datenschutzvorfall mit öffentlicher Wahrnehmung. Behandelt: rechtliche Pflichten aus Art. 34 Abs. 3 lit. c DSGVO (öffentliche Bekanntmachung); Inhalt; Tonfall;... |
+| `dsv-rechtsprechung-immaterieller-schaden-bgh-olg` | Analysiert die deutsche Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO im Lichte der EuGH-Vorgaben. Behandelt: BGH-Entscheidungen zur Substantiierung; OLG-Linien zur Bagatellschwelle; OLG-Entscheidungen zur Beweislast... |
+| `dsv-risikobewertung-edsa-leitlinie` | Führt die Risikobewertung eines Datenschutzvorfalls anhand der EDSA-Leitlinie 9/2022 zu Beispielen für die Meldung von Datenschutzverletzungen durch. Behandelt: Beispielfallgruppen Ransomware; Datenexfiltration; Insider; Verlust; Fehlver... |
 | `dsv-risikobewertung-enisa-art-schnelltriage-risiko-sozialdaten` | Dsv Risikobewertung Enisa Schweregrad, Dsv Risikobewertung Schwellen Art 33 34, Dsv Schnelltriage Risiko, Dsv Sofortmassnahmen Checkliste, Dsv Sozialdaten Sgb: Dsv Risikobewertung Enisa Schweregrad; Dsv Risikobewertung Schwellen Art 33 3... |
+| `dsv-risikobewertung-enisa-schweregrad` | Wendet die ENISA-Methodik Recommendations for a methodology of the assessment of severity of personal data breaches auf einen konkreten Vorfall an. Behandelt: Data Processing Context DPC; Ease of Identification EI; Circumstances of Breac... |
+| `dsv-risikobewertung-schwellen-art-33-34` | Strukturiert die Schwellenwertentscheidung nach Art. 33 und Art. 34 DSGVO als anwaltlichen Entscheidungsbaum. Behandelt: voraussichtlich-kein-Risiko-Schwelle Art. 33 Abs. 1; Meldeschwelle; voraussichtlich-hohes-Risiko Art. 34 Abs. 1; Aus... |
+| `dsv-sammelklagen-praevention` | Entwickelt eine Strategie zur Prävention und Steuerung von Sammelklagen und Massenverfahren nach einer Massendatenpanne. Behandelt: Verbandsklage-Richtlinie; UKlaG; KapMuG-Analogien; Inkasso-Plattformen; anwaltliche Akquise-Wellen; Bewei... |
+| `dsv-sanktion-akteneinsicht-49-owig-147-stpo` | Datenschutzrecht-Brückenskill: Akteneinsicht § 49 OWiG und § 147 StPO: Behördenakte, Beschwerden, technische Anlagen, Bemessungsunterlagen und interne Vermerke auswerten. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigu... |
 | `dsv-sanktion-akteneinsicht-anhoerung-owig-anwesenheit-vertretung` | Dsv Sanktion Akteneinsicht 49 Owig 147 Stpo, Dsv Sanktion Anhoerung 55 Owig, Dsv Sanktion Anwesenheit 73 Owig Vertretung, Dsv Sanktion Aufsichtsbehoerden Auskunftsverlangen Art 58 1, Dsv Sanktion Behoerdenkommunikation Reputationsschutz... |
+| `dsv-sanktion-anhoerung-55-owig` | Datenschutzrecht-Brückenskill: Anhörung nach § 55 OWiG: Reaktion auf Anhörung vorbereiten, Aussagefreiheit wahren und Akteneinsicht anstoßen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsichtsbehördenkommunik... |
+| `dsv-sanktion-anwesenheit-73-owig-vertretung` | Datenschutzrecht-Brückenskill: Anwesenheit und Entbindung § 73 OWiG: Erscheinenspflicht, Entbindung und Vertretung von Unternehmen und Organen im Termin steuern. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsi... |
+| `dsv-sanktion-aufsichtsbehoerden-auskunftsverlangen-art-58-1` | Datenschutzrecht-Brückenskill: Auskunftsverlangen Art. 58 Abs. 1 DSGVO beantworten: Auskunfts-, Vorlage- und Prüfverlangen beantworten, ohne spätere Bußgeldverteidigung zu beschädigen. Spezialskill für Datenschutz-Sanktionsverfahren, Buß... |
+| `dsv-sanktion-behoerdenkommunikation-reputationsschutz` | Datenschutzrecht-Brückenskill: Behördenkommunikation mit Reputationsschutz: Ton, Timing, Presse, Veröffentlichung, Kundenkommunikation und Verteidigungsrechte koordinieren. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidi... |
+| `dsv-sanktion-behoerdenstrategie-kooperation-oder-schweigen` | Datenschutzrecht-Brückenskill: Kooperation oder Schweigen strategisch wählen: Kooperationsnutzen, Art.-83-Milderung, Aussagefreiheit, Scope-Erweiterung und Folgeklagen abwägen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldvert... |
+| `dsv-sanktion-behoerdenvergleich-erledigung-und-auflagen` | Datenschutzrecht-Brückenskill: Erledigung mit der Aufsicht verhandeln: Informelle Erledigung, Verwarnung, Auflage, reduzierte Geldbuße oder Rücknahme rechtlich sauber verhandeln. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldve... |
+| `dsv-sanktion-bescheid-oder-anhoerung-richtig-lesen` | Datenschutzrecht-Brückenskill: Behördenpost richtig lesen: Auskunftsverlangen, Beschwerdeweiterleitung, Anhörung, Verwarnung, Anordnung, Zwangsgeldandrohung und Bußgeldbescheid voneinander unterscheiden. Spezialskill für Datenschutz-Sank... |
+| `dsv-sanktion-beschlussverfahren-72-owig` | Datenschutzrecht-Brückenskill: Beschlussverfahren § 72 OWiG: Schriftliche Erledigung per Beschluss prüfen, wenn Tatsachen und Verfahrenslage dafür taugen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsichtsbeh... |
+| `dsv-sanktion-beschwerde-betroffener-behoerdenverfahren` | Datenschutzrecht-Brückenskill: Beschwerde eines Betroffenen als Auslöser: Art.-77-Beschwerde, Behördenprüfung, Betroffenenkommunikation und Art.-82-Folgerisiko sauber steuern. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverte... |
 | `dsv-sanktion-beschwerde-einspruch-owig-fristenzentrale` | Dsv Sanktion Beschwerde Betroffener Behoerdenverfahren, Dsv Sanktion Einspruch 67 Owig Frist Und Form, Dsv Sanktion Fristenzentrale Zustellung Und Wiedervorlage, Dsv Sanktion Fristverlaengerung Behörde Ohne Nachteile, Dsv Sanktion Parall... |
+| `dsv-sanktion-beweisrecht-stpo-im-owig-datenschutz` | Datenschutzrecht-Brückenskill: Beweisrecht im Datenschutz-OWiG: Strafprozessuale Beweislogik auf DSGVO-Vorwürfe übertragen, ohne zivilrechtliche Darlegungslast zu simulieren. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldvertei... |
+| `dsv-sanktion-bussgeldbescheid-65-owig-analyse` | Datenschutzrecht-Brückenskill: Bußgeldbescheid § 65 OWiG analysieren: Tenor, Tat, Norm, Begründung, Bemessung, Zustellung und Rechtsbehelf des Bußgeldbescheids zerlegen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigun... |
 | `dsv-sanktion-datenpanne-akteneinsicht-vorlage-durchsuchung` | Dsv Sanktion Datenpanne Vor Bussgeld Selbstmeldung, Dsv Sanktion Dokumentenmatrix Akteneinsicht Vorlage Und Luecken, Dsv Sanktion Durchsuchung Beschlagnahme Und Datenzugriff, Dsv Sanktion Fruehstellungnahme Vor Bussgeldbescheid, Dsv Sank... |
+| `dsv-sanktion-datenpanne-vor-bussgeld-selbstmeldung` | Datenschutzrecht-Brückenskill: Datenpanne vor Bußgeld Selbstmeldung taktisch nutzen: Art.-33/34-Meldung, 72-Stunden-Timeline, Remediation und Bußgeldmilderung verbinden. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigun... |
+| `dsv-sanktion-dokumentenmatrix-akteneinsicht-vorlage-und-luecken` | Datenschutzrecht-Brückenskill: Dokumentenmatrix vor Akteneinsicht: VVT, DSFA, TOM, AVV, Löschkonzept, Incident-Timeline, DSB-Vermerke, Schulungen und Logs einsammeln. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung,... |
+| `dsv-sanktion-durchsuchung-beschlagnahme-und-datenzugriff` | Datenschutzrecht-Brückenskill: Durchsuchung Beschlagnahme und Datenzugriff: Extremfälle von Behördenzugriffen auf Server, Kommunikation, Mandatsunterlagen und Geschäftsgeheimnisse vorbereiten. Spezialskill für Datenschutz-Sanktionsverfah... |
+| `dsv-sanktion-einspruch-67-owig-frist-und-form` | Datenschutzrecht-Brückenskill: Einspruch § 67 OWiG Frist und Form: Zweiwochenfrist sichern und fristwahrenden Einspruch ohne unnötige Begründung einlegen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsichtsbeh... |
+| `dsv-sanktion-fristenzentrale-zustellung-und-wiedervorlage` | Datenschutzrecht-Brückenskill: Fristenzentrale Zustellung und Wiedervorlage: Zustellung, Bekanntgabe, Rechtsbehelfsbelehrung, Einspruchsfrist, Behördenfrist und gerichtliche Eilfrist absichern. Spezialskill für Datenschutz-Sanktionsverfa... |
+| `dsv-sanktion-fristverlaengerung-behoerde-ohne-nachteile` | Datenschutzrecht-Brückenskill: Fristverlängerung gegenüber Aufsicht: Fristverlängerung und Teilantwort beantragen, ohne Verzögerung oder Pflichtverletzung einzuräumen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung,... |
+| `dsv-sanktion-fruehstellungnahme-vor-bussgeldbescheid` | Datenschutzrecht-Brückenskill: Frühstellungnahme vor Bußgeldbescheid: Vor Bescheid mit gesicherten Tatsachen Einstellung, Verwarnung oder milde Maßnahme erreichen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Auf... |
+| `dsv-sanktion-hauptverhandlung-71-owig` | Datenschutzrecht-Brückenskill: Hauptverhandlung § 71 OWiG: Hauptverhandlung mit StPO-Logik, Beweisaufnahme, Zeugen, Sachverständigen und Anträgen vorbereiten. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsicht... |
 | `dsv-sanktion-kaltstart-verfahrensstand-und-mandatsziel` | Datenschutzrecht-Brückenskill: Kaltstart Verfahrensstand und Mandatsziel: Anhörung, Bußgeldbescheid, Art.-58-Anordnung, Verwaltungsstreit und Gerichtsphase in zehn Minuten trennen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeld... |
+| `dsv-sanktion-kosten-auslagen-und-d-und-o-risiko` | Datenschutzrecht-Brückenskill: Kosten Auslagen und D&O-Risiko: Verteidigungskosten, Bußgeld, D&O-Meldung, Organhaftung und Versicherungsdeckung abschätzen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsichtsbe... |
+| `dsv-sanktion-mandanteninterview-ohne-selbstbelastung` | Datenschutzrecht-Brückenskill: Mandanteninterview ohne Selbstbelastung: Fakten sammeln, ohne neue Eingeständnisse, überschießende Datenoffenlegung oder unkluge Wertungen zu produzieren. Spezialskill für Datenschutz-Sanktionsverfahren, Bu... |
+| `dsv-sanktion-massnahmenplan-als-sanktionsminderung` | Datenschutzrecht-Brückenskill: Maßnahmenplan als Sanktionsminderung: Root Cause, Sofortmaßnahme, Owner, Budget, Wirksamkeitsmessung und Nachweise bußgeldmindernd aufbereiten. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldvertei... |
+| `dsv-sanktion-organisationsverschulden-ersteinschaetzung` | Datenschutzrecht-Brückenskill: Organisationsverschulden ersteinschätzen: Schuldhaftes Unternehmensverhalten nach EuGH C-807/21/C-683/21 anhand Organisation, Wissen und Pflichtverstoß prüfen. Spezialskill für Datenschutz-Sanktionsverfahre... |
+| `dsv-sanktion-parallelverfahren-art-82-massenklagen` | Datenschutzrecht-Brückenskill: Parallelverfahren Art. 82 DSGVO und Massenklagen: Bußgeldverteidigung mit Schadensersatzabwehr, Massenklagen und Anerkenntnisrisiken abstimmen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldvertei... |
+| `dsv-sanktion-parallelverfahren-strafrecht-42-bdsg` | Datenschutzrecht-Brückenskill: Parallelverfahren § 42 BDSG und Strafrecht: Strafrechtliche Datenschutzrisiken, Durchsuchung, Aussageverhalten und Verteidigerkoordination erkennen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldv... |
+| `dsv-sanktion-rechtsbeschwerde-79-owig` | Datenschutzrecht-Brückenskill: Rechtsbeschwerde § 79 OWiG: Rechtsbeschwerde, Zulassung, Verfahrensrügen und unionsrechtliche Vorlagefragen prüfen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufsichtsbehördenkom... |
+| `dsv-sanktion-rechtsweg-router` | Datenschutzrecht-Brückenskill: Rechtsweg-Router Bußgeld Verwaltungsgericht Zivilverfahren: Geldbuße, Art.-58-Maßnahme, Art.-82-Schadensersatz und Strafrechtsspur aus demselben Vorfall trennen. Spezialskill für Datenschutz-Sanktionsverfah... |
 | `dsv-sanktion-rechtsweg-sanktionsmandat-schlussprodukt-scope-cut` | Dsv Sanktion Rechtsweg Router, Dsv Sanktion Sanktionsmandat Schlussprodukt Planen, Dsv Sanktion Scope Cut Behoerdenfragen Einhegen, Dsv Sanktion Selbstbelastungsfreiheit Und Mitwirkungspflichten, Dsv Sanktion Staatsanwaltschaft Im Dsgvo... |
+| `dsv-sanktion-sachverstaendige-it-forensik-im-bussgeldverfahren` | Datenschutzrecht-Brückenskill: IT-Forensik und Sachverständige: Gutachten zu Logs, TOMs, Verschlüsselung, Löschung, Zugriffen und Datenabfluss gerichtsfest vorbereiten. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung... |
+| `dsv-sanktion-sanktionsmandat-schlussprodukt-planen` | Datenschutzrecht-Brückenskill: Schlussprodukt des Sanktionsmandats planen: Einstellung, Verwarnung, reduzierte Geldbuße, aufgehobene Anordnung, Vergleich, Urteil oder Rechtsbeschwerde als Zielbild definieren. Spezialskill für Datenschutz... |
+| `dsv-sanktion-scope-cut-behoerdenfragen-einhegen` | Datenschutzrecht-Brückenskill: Scope Cut Behördenfragen einhegen: Zu weite Behördenfragen nach Zeitraum, System, Datenart, Gesellschaft und Betroffenenkreis begrenzen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung,... |
+| `dsv-sanktion-selbstbelastungsfreiheit-und-mitwirkungspflichten` | Datenschutzrecht-Brückenskill: Selbstbelastung und Mitwirkungspflichten: Auskunftspflichten gegenüber der Aufsicht und Aussagefreiheit im Bußgeldverfahren balancieren. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung,... |
+| `dsv-sanktion-staatsanwaltschaft-im-dsgvo-owig` | Datenschutzrecht-Brückenskill: Staatsanwaltschaft im DSGVO-OWiG-Verfahren: Rolle der Staatsanwaltschaft nach Akteneingang und Zustimmungserfordernis der Aufsicht bei Einstellung erklären. Spezialskill für Datenschutz-Sanktionsverfahren,... |
+| `dsv-sanktion-unternehmensgruppe-und-federfuehrende-aufsicht` | Datenschutzrecht-Brückenskill: Unternehmensgruppe und federführende Aufsicht: Hauptniederlassung, One-Stop-Shop, gemeinsame Verantwortlichkeit und Konzernadressat prüfen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigu... |
 | `dsv-sanktion-unternehmensgruppe-veroeffentlichung-schadensersatz` | Dsv Sanktion Unternehmensgruppe Und Federfuehrende Aufsicht, Dsv Sanktion Veroeffentlichung Von Bussgeldentscheidungen, Dsv Sanktion Verteidigerrolle Dsb Gf Und Externe Berater, Dsv Schadensersatz Art 82, Datenschutz Livecheck Bfdi Lände... |
+| `dsv-sanktion-veroeffentlichung-von-bussgeldentscheidungen` | Datenschutzrecht-Brückenskill: Veröffentlichung von Bußgeldentscheidungen: Namensnennung, Behördenpublikation, Geschäftsgeheimnisse und Reputationsschutz steuern. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigung, Aufs... |
+| `dsv-sanktion-verteidigerrolle-dsb-gf-und-externe-berater` | Datenschutzrecht-Brückenskill: Rollenklärung Verteidiger DSB Geschäftsleitung externe Berater: Datenschutzbeauftragten, Geschäftsleitung, externe Anwälte, IT-Forensik und PR-Beratung konfliktfrei koordinieren. Spezialskill für Datenschut... |
+| `dsv-sanktion-wiedereinsetzung-nach-fristversaeumnis` | Datenschutzrecht-Brückenskill: Wiedereinsetzung nach Fristversäumnis: Versäumte Einspruchs- oder Rechtsmittelfristen mit Zustellungs- und Büroorganisationsprüfung retten. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigu... |
+| `dsv-sanktion-zustaendigkeit-amtsgericht-landgericht-41-bdsg` | Datenschutzrecht-Brückenskill: Zuständigkeit Amtsgericht Landgericht § 41 BDSG: Prüfen, ob wegen Geldbuße über 100.000 EUR das Landgericht statt Amtsgericht entscheidet. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverteidigun... |
+| `dsv-sanktion-zwischenverfahren-69-owig` | Datenschutzrecht-Brückenskill: Zwischenverfahren § 69 OWiG: Nach Einspruch Rücknahme, weitere Ermittlungen oder Vorlage über Staatsanwaltschaft an das Gericht taktisch nutzen. Spezialskill für Datenschutz-Sanktionsverfahren, Bußgeldverte... |
+| `dsv-schadensersatz-art-82` | Verteidigt den Verantwortlichen gegen Schadensersatzansprüche nach Art. 82 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Anspruchsvoraussetzungen; materieller und immaterieller Schaden; EuGH-Rechtsprechung (insbesondere Österre... |
+| `dsv-schnelltriage-risiko` | Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung. Behandelt: Vertraulichkeits-, Integritäts- und Verfügbarkeitsverletzung; Datenkategorien;... |
+| `dsv-sofortmassnahmen-checkliste` | Generiert eine priorisierte Sofortmaßnahmen-Checkliste innerhalb der ersten Stunden nach Bekanntwerden eines Datenschutzvorfalls. Behandelt: Eindämmung; Beweissicherung; Zugriffsbeschränkung; Passwort-Reset; Account-Sperrung; Netzwerkseg... |
+| `dsv-sozialdaten-sgb` | Bewertet einen Datenschutzvorfall bei Sozialleistungsträgern, Sozialversicherungen und sozialen Diensten nach den Sondervorschriften der Sozialgesetzbücher. Behandelt: Sozialdatenbegriff § 67 SGB X; Sozialgeheimnis § 35 SGB I; Verhältnis... |
+| `dsv-spezialfaelle-uebersicht` | Liefert eine schnelle Übersicht über häufige Spezialfälle eines Datenschutzvorfalls und verweist auf vertiefte Skills. Behandelt: Ransomware; Insider-Threat; Fehlversand E-Mail/Brief; Endgeräteverlust; verlorener Datenträger; Cloud-Fehlk... |
 | `dsv-spezialfaelle-uebersicht-stakeholder-mapping-tonfall` | Dsv Spezialfaelle Uebersicht, Dsv Stakeholder Mapping, Dsv Tonfall Krisenkommunikation, Dsv Verdacht Vs Festgestellt, Dsv Zeitleiste: Dsv Spezialfaelle Uebersicht; Dsv Stakeholder Mapping; Dsv Tonfall Krisenkommunikation; Dsv Verdacht Vs... |
+| `dsv-stakeholder-mapping` | Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher. Behandelt: Geschäftsleitung; Datenschutzbeauftragter; IT-Sicherheit; Betriebsrat; Auftragsverarbeiter... |
+| `dsv-tonfall-krisenkommunikation` | Bestimmt den richtigen Tonfall und die Sprachregelung in der Krisenkommunikation nach einem Datenschutzvorfall. Behandelt: Vermeidung von Verharmlosung; Vermeidung von Panikmache; matter-of-factly; Reasoning vor Conclusion; Vermeidung se... |
+| `dsv-verdacht-vs-festgestellt` | Bewertet, ob der Mandant bereits Kenntnis von einer Verletzung im Sinne Art. 33 Abs. 1 DSGVO hat oder ob noch bloßer Verdacht vorliegt. Behandelt: Abgrenzung Verdacht und Kenntnis; angemessene Sicherheit der Feststellung; Pflicht zur unv... |
+| `dsv-vvt-update-nach-vorfall` | Steuert die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Identifikation der betroffenen Verarbeitungen; Anpassung der technischen und organisatorische... |
+| `dsv-zeitleiste` | Erstellt eine minutiös rekonstruierte Zeitleiste vom Eintritt der Verletzung bis zur Meldung und Benachrichtigung. Behandelt: Eintritt; Erstwahrnehmung; Meldung an Service-Desk; Eingang Datenschutzpostfach; Kenntnisbegriff Art. 33 DSGVO;... |
+| `funktionsuebertragung-vs-auftragsverarbeitung` | Abgrenzung Funktionsuebertragung gegen Auftragsverarbeitung Art. 28 DSGVO bei Berufsgeheimnistraegern Inkasso Steuerberatung Wirtschaftspruefung und externe Rechtsdienstleistung. Wann handelt der Dritte als eigener Verantwortlicher und w... |
 | `joint-controller-joint-controllership-ki-verordnung` | Joint Controller Vereinbarung, Joint Controllership En Template, Ki Verordnung Compliance, Mandantendaten Ki, Rechtsabteilung Datenpanne Mit Erpressung Und Meldelogik: Joint Controller Vereinbarung; Joint Controllership En Template; Ki V... |
+| `joint-controller-vereinbarung` | Joint-Controller-Vereinbarung nach Art. 26 DSGVO erstellen wenn zwei oder mehr Verantwortliche gemeinsam entscheiden. Art. 26 DSGVO Gemeinsame Verantwortlichkeit. Prüfraster: gemeinsame Zwecke und Mittel Aufgabenverteilung Anlaufstelle B... |
+| `joint-controllership-en-template` | English language joint controller agreement template under Article 26 GDPR. Allocates responsibilities for information duties data subject requests security incidents and DPIA. Includes published essence clause required by Article 26 (2)... |
+| `ki-verordnung-compliance` | KI-Systeme auf Anforderungen der KI-VO und Datenschutz prüfen. KI-VO Risikoklassen Art. 5 9 DSGVO Einwilligung. Prüfraster: Risikoklasse Verbote Hochrisiko-KI Dokumentationspflichten DSGVO-Schnittmengen Transparenzpflichten. Output: KI-C... |
+| `mandantendaten-ki` | Datenschutzkonforme Verwendung von Mandantendaten beim Einsatz von KI-Tools in der Kanzlei prüfen. Art. 5 6 DSGVO BRAO § 43a Verschwiegenheit. Prüfraster: Rechtsgrundlage Zweckbindung Vertraulichkeit Anwaltsprivileg AVV KI-Anbieter. Outp... |
 | `output-waehlen-workflow-redteam-dsv-rechtsprechung-datenschutz` | Workflow Output Waehlen, Workflow Redteam Qualitygate, Dsv Rechtsprechung Immaterieller Schaden Bgh Olg, Datenschutz Bussgeldverfahren Art 83 Dsgvo Verteidigung, Dsv Sanktion Beschlussverfahren 72 Owig: Workflow Output Waehlen; Workflow... |
+| `rechtsabteilung-datenpanne-mit-erpressung-und-meldelogik` | Rechtsabteilungs-Spezialskill für Datenpanne mit Erpressung und Meldelogik: 72-Stunden-Meldung, Forensik, Betroffenenkommunikation und Litigation Hold werden praktisch geführt. Mit Normen, Rechtsprechungsanker, Belegmatrix und schneller... |
+| `rechtsabteilung-joint-controller-im-plattform-oekosystem` | Rechtsabteilungs-Spezialskill für Joint Controller im Plattform-Ökosystem: Gemeinsame Verantwortlichkeit wird für Plattform, Händler, Franchise und Konzern sauber dokumentiert. Mit Normen, Rechtsprechungsanker, Belegmatrix und schneller... |
 | `rechtsabteilung-joint-controller-meta-datenminimierung-schufa` | Rechtsabteilung Joint Controller Im Plattform Oekosystem, Rechtsabteilung Meta Datenminimierung Und Zweckbindung, Rechtsabteilung Schufa Und Credit Scoring Im Kundenprozess, Rechtsabteilung Unternehmensgeldbusse Nach Deutsche Wohnen, Reg... |
+| `rechtsabteilung-meta-datenminimierung-und-zweckbindung` | Rechtsabteilungs-Spezialskill für Meta-Datenminimierung und Zweckbindung: Social-, AdTech- und CRM-Daten werden auf Speichergrenzen und Zweckverschiebungen abgeklopft. Mit Normen, Rechtsprechungsanker, Belegmatrix und schneller Handlungs... |
+| `rechtsabteilung-schufa-und-credit-scoring-im-kundenprozess` | Rechtsabteilungs-Spezialskill für Schufa- und Credit-Scoring im Kundenprozess: Scoring-Workflows werden auf maßgeblichen Entscheidungseinfluss und menschliche Nachprüfung geprüft. Mit Normen, Rechtsprechungsanker, Belegmatrix und schnell... |
+| `rechtsabteilung-unternehmensgeldbusse-nach-deutsche-wohnen` | Rechtsabteilungs-Spezialskill für Unternehmensgeldbuße nach Deutsche Wohnen: Rechtsabteilungen verteidigen Bußgelder ohne die falsche Fixierung auf eine identifizierte natürliche Täterperson. Mit Normen, Rechtsprechungsanker, Belegmatrix... |
 | `rechtsgrundlage-mandantenentscheidung-review` | Spezial Rechtsgrundlage Mandantenentscheidung, Spezial Review Risikoampel Und Gegenargumente, Spezial Verarbeitungsverzeichnis Formular Portal Und Einreichung, Tia Edpb Roadmap 6 Schritte Deutsch, Tia En Data Privacy Framework Status: Sp... |
+| `regulierungs-luecken-analyse` | Regulatorische Luecken im Datenschutzrecht identifizieren und Handlungsoptionen aufzeigen. Art. 5 6 24 DSGVO BDSG. Prüfraster: Bestandsaufnahme bestehender Massnahmen Soll-Ist-Abgleich Lueckenbewertung Prioritaeten. Output: Lueckenanalys... |
+| `richtlinien-monitor` | Datenschutzrichtlinien und Unternehmensanweisungen auf Aktualitaet und Konformität monitoren. Art. 24 32 DSGVO TOMs §§ 4 ff. BDSG. Prüfraster: Richtlinienbestand Aenderungsbedarf neue Verarbeitungstätigkeiten gesetzliche Neuerungen Umset... |
+| `ropa-art-30-controller-deutsch-vorlage` | Vollvorlage fuer das Verzeichnis von Verarbeitungstaetigkeiten des Verantwortlichen nach Art. 30 Abs. 1 DSGVO. Tabellenstruktur mit allen sieben Mindestinhalten, ausgefuelltes Beispiel fuer Personalverwaltung, Mandantenakte, Kontaktformu... |
+| `ropa-art-30-dsgvo-grundlagen` | Grundlagen des Verzeichnisses von Verarbeitungstaetigkeiten nach Art. 30 DSGVO. Anwendungsbereich, Schwellenwert, Mindestinhalte Controller und Processor, Verhaeltnis zu § 70 BDSG, Vorlagepflicht gegenueber der Aufsichtsbehoerde. Einstie... |
+| `ropa-art-30-processor-deutsch-vorlage` | Vollvorlage fuer das Verzeichnis von Verarbeitungstaetigkeiten des Auftragsverarbeiters nach Art. 30 Abs. 2 DSGVO. Vier Mindestinhalte, Auftraggeberliste, Verarbeitungskategorien, Drittlandtransfer, TOM-Verweis. Beispiele fuer Hosting, S... |
 | `ropa-art-anwendungsfall-triage-avv-art-avv-art-avv-art` | Ropa Art 30 Processor Deutsch Vorlage, Anwendungsfall Triage, Avv Art 26 Joint Controllership Deutsch, Avv Art 28 Dsgvo Grundtatbestand, Avv Art 28 Mindestinhalte Checkliste: Ropa Art 30 Processor Deutsch Vorlage; Anwendungsfall Triage;... |
+| `ropa-bdsg-besondere-art-9-categories` | RoPA-Besonderheiten bei besonderen Datenkategorien nach Art. 9 DSGVO (Gesundheit, biometrische Daten, Religion, Gewerkschaftszugehoerigkeit), bei Beschaeftigtendaten § 26 BDSG und strafrechtlichen Verurteilungen Art. 10 DSGVO. Erhoehte A... |
+| `ropa-en-controller-template` | Full English-language template for the Records of Processing Activities (RoPA) of the controller under Article 30(1) GDPR. Seven mandatory contents, cover sheet, three worked examples (HR, client files, CRM with US sub-processor), and a... |
+| `ropa-en-processor-template` | Full English-language template for the Records of Processing Activities (RoPA) of the processor under Article 30(2) GDPR. Four mandatory contents, controller list, processing categories, third-country transfers, sub-processor annex. For... |
+| `ropa-fuer-ki-anwendungen-besonderheiten` | Besonderheiten des Verzeichnisses von Verarbeitungstaetigkeiten bei KI-Anwendungen: Trainingsdatensaetze, Inferenz, RAG, Prompt-Logs, Fine-Tuning, Vector Stores, automatisierte Entscheidungen (Art. 22 DSGVO), Bezug zur KI-Verordnung. Mit... |
+| `ropa-konzernumlauf-und-multi-entity` | Verzeichnis von Verarbeitungstaetigkeiten in Konzern- und Multi-Entity-Strukturen. Konzernklausel-Mythos, Rollenverteilung (Verantwortlicher gemeinsam Verantwortlich Auftragsverarbeiter), zentrale vs. dezentrale Pflege, Intercompany-Date... |
 | `ropa-processor-template-ki-anwendungen-konzernumlauf-multi` | Ropa En Processor Template, Ropa Für Ki Anwendungen Besonderheiten, Ropa Konzernumlauf Und Multi Entity, Spezial Auskunft Behörden Gericht Und Registerweg, Spezial Bdsg Tatbestand Beweis Und Belege: Ropa En Processor Template; Ropa Für K... |
 | `ropa-richtlinien-monitor-art-controller-dsgvo-grundlagen-bdsg` | Richtlinien Monitor, Ropa Art 30 Controller Deutsch Vorlage, Ropa Art 30 Dsgvo Grundlagen, Ropa Bdsg Besondere Art 9 Categories, Ropa En Controller Template: Richtlinien Monitor; Ropa Art 30 Controller Deutsch Vorlage; Ropa Art 30 Dsgvo... |
+| `spezial-auskunft-behoerden-gericht-und-registerweg` | Auskunft: Behörden-, Gerichts- oder Registerweg im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-bdsg-tatbestand-beweis-und-belege` | Bdsg: Tatbestandsmerkmale, Beweisfragen und Beleglage im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-behoerdenpaket-zahlen-schwellen-und-berechnung` | Behoerdenpaket: Zahlen, Schwellenwerte und Berechnung im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-datenpanne-schriftsatz-brief-und-memo-bausteine` | Datenpanne: Schriftsatz-, Brief- und Memo-Bausteine im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-datenschutzrecht-compliance-dokumentation-und-akte` | Datenschutzrecht: Compliance-Dokumentation und Aktenvermerk im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-dpia-dokumentenmatrix-und-lueckenliste` | Dpia: Dokumentenmatrix, Lückenliste und Nachforderung im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-drittlandstransfer-verhandlung-vergleich-und-eskalation` | Drittlandstransfer: Verhandlung, Vergleich und Eskalation im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-dsfa-beweislast-und-darlegungslast` | Dsfa: Beweislast, Darlegungslast und Substantiierung im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-dsgvo-erstpruefung-und-mandatsziel` | DSGVO: Erstprüfung, Rollenklärung und Mandatsziel im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-erstellung-sonderfall-und-edge-case` | Erstellung: Sonderfall und Edge-Case-Prüfung im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-generator-red-team-und-qualitaetskontrolle` | Generator: Red-Team und Qualitätskontrolle im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-paket-internationaler-bezug-und-schnittstellen` | Paket: Internationaler Bezug und Schnittstellen im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-rechtsgrundlage-mandantenentscheidung` | Rechtsgrundlage: Mandantenkommunikation und Entscheidungsvorlage im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
 | `spezial-rechtsquellen-fristennotiz-und-naechster-schritt` | Rechtsquellen: Fristennotiz und nächster Schritt im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-review-risikoampel-und-gegenargumente` | Review: Risikoampel, Gegenargumente und Verteidigungslinien im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-standardvertragsklauseln-mehrparteienkonflikt` | Standardvertragsklauseln: Mehrparteienkonflikt und Interessenmatrix im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-tdddg-fristen-form-und-zustaendigkeit` | Tdddg: Fristen, Form, Zuständigkeit und Rechtsweg im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
 | `spezial-transfer-livequellen-und-rechtsprechungscheck` | Transfer: Livequellen- und Rechtsprechungscheck im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `spezial-verarbeitungsverzeichnis-formular-portal-und-einreichung` | Verarbeitungsverzeichnis: Formular, Portal und Einreichungslogik im Plugin datenschutzrecht; schärft Rollen, Belege, Fachnormen, Risiken, Gegenargumente und nächsten verwertbaren Schritt statt austauschbarer Standardprüfung. |
+| `standardvertragsklauseln-scc-paket` | Standardvertragsklauseln fuer Drittlandtransfers nach Art. 46 DSGVO vorbereiten: SCC-Modulwahl 1-4, Annex I-III, Subprozessoren, TOMs, AVV-Schnittstelle, TIA-Andockung, Signatur- und Behördenpaket ohne Veränderung der offiziellen Klauseln. |
 | `tdddg-avv-eu-avv-loeschung-standardvertragsklauseln` | Spezial Tdddg Fristen Form Und Zustaendigkeit, Avv Eu Kommission Musterklauseln 2021 915, Avv Löschung Rueckgabe Nach Vertragsende, Spezial Standardvertragsklauseln Mehrparteienkonflikt, Standardvertragsklauseln Scc Paket: Spezial Tdddg... |
+| `tia-edpb-roadmap-6-schritte-deutsch` | EDPB-Empfehlung 01/2020 als operative Sechs-Schritte-Roadmap fuer das Transfer Impact Assessment. Schritt 1 Know your transfers; Schritt 2 Identify transfer tool; Schritt 3 Assess law and practice; Schritt 4 Adopt supplementary measures;... |
+| `tia-en-data-privacy-framework-status` | English-language assessment of the current EU-US Data Privacy Framework (DPF) as Art. 45 GDPR transfer instrument. Commission Implementing Decision (EU) 2023/1795 of 10 July 2023, Executive Order 14086 basis, listing process, HR/Non-HR c... |
+| `tia-en-six-step-roadmap` | English-language version of the EDPB Recommendation 01/2020 six-step roadmap for Transfer Impact Assessment. Step 1 know your transfers; Step 2 identify transfer tool; Step 3 assess law and practice; Step 4 adopt supplementary measures;... |
+| `tia-eu-us-data-privacy-framework-aktueller-stand` | Aktueller Stand zum EU-US Data Privacy Framework (DPF) als Angemessenheitsbeschluss nach Art. 45 DSGVO. Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023, Grundlage Executive Order 14086, Listing-Verfahren, HR/Non-HR-Abdeckung, Onwar... |
+| `tia-laender-bewertung-china-india-brazil-uk` | TIA-Laenderbewertung jenseits der USA: Vereinigtes Koenigreich (Angemessenheit), China (PIPL, Sicherheitsgesetze), Indien (DPDPA), Brasilien (LGPD). Pruefraster fuer Drittlandsrecht Behoerdenzugriff Praxis und Empfehlung Transferinstrume... |
+| `tia-schrems-ii-eugh-c-311-18-grundlagen` | Schrems II als Grundlage des Transfer Impact Assessment. EuGH Urteil C-311/18 vom 16.07.2020 Facebook Ireland und Schrems. Tragende Aussagen, Folgen fuer Art. 46 DSGVO, Pflicht zur Pruefung der Schutzgleichwertigkeit (essentially equival... |
 | `tia-six-tia-eu-tia-laender-tia-schrems-tia-us` | Tia En Six Step Roadmap, Tia Eu Us Data Privacy Framework Aktueller Stand, Tia Länder Bewertung China India Brazil Uk, Tia Schrems Ii Eugh C 311 18 Grundlagen, Tia Us Fisa 702 Und Eo 12333 Bewertung: Tia En Six Step Roadmap; Tia Eu Us Da... |
+| `tia-us-fisa-702-und-eo-12333-bewertung` | Bewertung der US-Ueberwachungsgrundlagen FISA Section 702 und Executive Order 12333 fuer das TIA. Sachstand der EuGH-Kritik aus Schrems II, Reform durch EO 14086 (DPF-Grundlage), Folgen fuer Cloud-Provider, electronic communication servi... |
+| `tia-zusaetzliche-schutzmassnahmen-encryption-pseudonymisierung` | Zusaetzliche Schutzmassnahmen (Supplementary Measures) nach EDPB-Empfehlung 01/2020 Annex 2. Technische Massnahmen Verschluesselung Pseudonymisierung Split Processing Key Management; vertragliche Massnahmen Transparenzpflichten Warrant C... |
 | `tia-zusaetzliche-us-transfer-verarbeitungsverzeichnis-vvt` | Tia Zusaetzliche Schutzmassnahmen Encryption Pseudonymisierung, Us Transfer Tia Dokumentation, Verarbeitungsverzeichnis Vvt Generator: Tia Zusaetzliche Schutzmassnahmen Encryption Pseudonymisierung; Us Transfer Tia Dokumentation; Verarbe... |
+| `us-transfer-tia-dokumentation` | US-Drittlandtransfer nach Art. 44 ff. DSGVO dokumentieren: EU-US Data Privacy Framework, DPF-Listing, Schrems I/II-Historie, SCC/BCR-Ausweichpfad, Transfer Impact Assessment, supplementary measures, Behördennachweis und Review-Kalender. |
+| `verarbeitungsverzeichnis-vvt-generator` | Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellen oder aktualisieren. Art. 30 DSGVO VVT-Pflicht. Prüfraster: Pflichtangaben Art. 30 Abs. 1 Verantwortlicher Zweck Kategorien Empfaenger Fristen Massnahmen. Output: volls... |
 | `workflow-allgemein-anschluss-skills-chronologie-belegmatrix` | Allgemein, Workflow Anschluss Skills Router, Workflow Chronologie Und Belegmatrix, Workflow Fristen Und Risikoampel, Workflow Mandantenkommunikation: Allgemein; Workflow Anschluss Skills Router; Workflow Chronologie Und Belegmatrix; Work... |
+| `workflow-anschluss-skills-router` | Anschluss-Skills Router im Plugin datenschutzrecht: schlägt nach der ersten Prüfung die passenden Spezialskills aus demselben Plugin vor. |
+| `workflow-chronologie-und-belegmatrix` | Chronologie und Belegmatrix im Plugin datenschutzrecht: macht aus unordentlichem Material eine Timeline mit Belegstellen und offenen Widersprüchen. |
 | `workflow-dokumentenintake` | Dokumentenintake im Plugin datenschutzrecht: liest Uploads, sortiert Dokumentarten, markiert Fristen und baut eine knappe Arbeitsakte. |
+| `workflow-fristen-und-risikoampel` | Fristen- und Risikoampel im Plugin datenschutzrecht: macht eine Sofortampel für Frist, Zuständigkeit, Haftung, Eilbedarf und fehlende Unterlagen. |
 | `workflow-kaltstart-und-routing` | Kaltstart und Routing im Plugin datenschutzrecht: führt vom ersten Satz oder Dokument in den passenden Arbeitsweg, erkennt Rolle, Ziel, Risiko und Anschluss-Skills. |
+| `workflow-mandantenkommunikation` | Mandantenkommunikation im Plugin datenschutzrecht: übersetzt das Ergebnis in eine klare Nachricht mit Entscheidungspunkten, Risiken und nächsten Schritten. |
+| `workflow-output-waehlen` | Output wählen im Plugin datenschutzrecht: entscheidet zwischen Memo, Schriftsatz, Tabelle, Brief, Checkliste, Vermerk, Redline oder Mandantenübersetzung. |
 | `workflow-rechtsquellen-livecheck` | Rechtsquellen-Livecheck im Plugin datenschutzrecht: zwingt vor tragenden Aussagen zum aktuellen Quellencheck bei Gesetzen, Behörden, Gerichten und Formularen. |
+| `workflow-redteam-qualitygate` | Red-Team Qualitygate im Plugin datenschutzrecht: prüft das Ergebnis auf Halluzinationen, Fristenfehler, Zuständigkeit, Quellen, Beweise und Ton. |
 | `workflow-unterlagen-lueckenliste` | Unterlagen- und Lückenliste im Plugin datenschutzrecht: erstellt eine präzise Nachforderungsliste statt allgemeiner Fragebögen. |
 
 <!-- END SKILLS-OVERVIEW (auto-generated) -->

datenschutzrecht/skills/allgemein/SKILL.md

@@ -0,0 +1,248 @@
+---
+name: allgemein
+description: "Einstieg, Schnelltriage und Workflow-Routing im Datenschutzrecht-Plugin. Fragt Rolle, Ziel, Fristen, Unterlagen, Risiken und Wunsch-Output ab, schlägt passende Spezial-Skills aus diesem Plugin vor und führt in einen klaren Arbeitsplan. Bei Dokument-Upload ohne Begleittext reagiert der Skill eigenständig: ordnet das Material, prüft Eil- und Fristenhinweise, routet in passende Spezial-Skills oder stellt genau eine gezielte Rückfrage."
+---
+
+
+## Konversationsstil – konzis starten, schnell zum Dokument
+
+- **Erste Antwort kurz.** Sachverhalt einordnen, höchstens **eine** unverzichtbare Rückfrage stellen, dann arbeiten.
+- **Kein Lehrbuch-Intro.** Keine Norm-Wiederholung, keine Selbstankündigung – sofort einsteigen.
+- **Schnell zum Dokument.** Sobald die Mindestangaben vorliegen, liefere einen ersten Entwurf mit `[noch zu klären: …]`-Platzhaltern, statt weiter abzufragen.
+- **Allgemein-Skill = Einstieg, nicht Vorlesung.** Triage, Rückfrage falls nötig, dann auf die Spezial-Skills dieses Plugins verweisen oder direkt den ersten Entwurf produzieren.
+- **Ausführlich nur, wenn es das Arbeitsergebnis verlangt:** echte Subsumtion im Gutachtenstil, Tabellen, Chronologien, Risiko-/Beweislastanalysen, Schriftsatz- oder Memo-Text.
+- **Erklärungen nur auf Nachfrage.** Wenn der Nutzer Hintergrund will, ausführlich. Sonst nicht.
+
+
+
+# Datenschutzrecht — Allgemein
+
+## Schnellstart-Workflow
+
+Dieser Allgemein-Skill ist der schöne, schnelle Eingang in das Plugin **Datenschutzrecht**. Er funktioniert wie Empfang, Triage, Projektsteuerung und Qualitätskontrolle in einem: erst knapp klären, dann den richtigen Arbeitsweg wählen, dann passende Spezial-Skills aus diesem Plugin vorschlagen.
+
+**Plugin-Fokus:** DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review als Verantwortlicher und Auftragsverarbeiter, Auskunftsersuchen Art. 15, Datenpannenmeldung Art. 33/34, Drittlandstransfer Art. 44 ff., US-Transfer mit DPF/SCC/TIA, Behördenpaket, Drift-Monitoring.
+
+### 0. Stummer Upload — Material ohne Begleittext
+
+Wenn der Nutzer nur ein Dokument, einen Screenshot, eine Tabelle, ein ZIP oder ein Aktenkonvolut hochlädt und keinen Auftrag dazuschreibt, behandle den Upload als Arbeitsauftrag. Warte nicht auf einen Prompt. Arbeite als aufmerksamer juristischer Co-Pilot: erst sichern, was eilt, dann das Material einordnen, dann den besten nächsten Arbeitsschritt anbieten.
+
+**Pflicht-Reihenfolge bei stummem Upload:**
+
+1. **Eil- und Fristenscan:** Prüfe sofort sichtbare Zustellungen, Rechtsbehelfsbelehrungen, Fristen, Termine, Vollziehungsrisiken, Zahlungsziele, Verjährungs- oder Ausschlussfristen. Wenn etwas eilt, beginne die Antwort mit `Frist zuerst: ...`.
+2. **Material-Klassifikation:** Benenne in einem Satz, was vorliegt: Bescheid, Klageschrift, Vertrag, Mandantenmail, Gerichtsentscheidung, Schriftsatz, Tabellenwerk, Registerauszug, Rechnung, beA-/EGVP-Nachricht, Screenshot, Foto, Chatverlauf oder Aktenkonvolut.
+3. **Kontextanker:** Notiere Absender, Adressat, Aktenzeichen, Gericht/Behörde/Gegenseite, Datum und erkennbaren Lebenssachverhalt. Wenn der Text unleserlich ist, sage genau, welcher Teil fehlt.
+4. **Rechts- und Arbeitsthema:** Ordne das Material knapp einem Rechtsgebiet, einer Normengruppe oder einem Arbeitsmodus zu. Zitiere nur, was im Material oder im Plugin-Kontext wirklich trägt.
+5. **Routing:** Schlage zuerst einen passenden Spezial-Skill aus diesem Plugin vor. Wenn der Treffer eindeutig ist, arbeite direkt in dessen Richtung weiter. Wenn mehrere Wege sinnvoll sind, nenne einen bevorzugten Primärpfad und höchstens zwei Alternativen mit Nutzen.
+6. **Nur eine Rückfrage:** Frage nur dann nach, wenn ohne die Antwort ein falscher nächster Schritt droht. Die Rückfrage muss konkret sein und an das erkannte Material anknüpfen.
+
+**Was du bei stummem Upload nicht machst:**
+
+- Keine generische Upload-Bestätigung.
+- Keine vollständige Intake-Liste aus Abschnitt 1.
+- Keine erfundenen Dokumentdetails, Fristen, Anlagen oder Fundstellen.
+- Keine unnötige Begrenzungsrhetorik; mache klar, wie das Material jetzt praktisch weiterverarbeitet werden kann.
+
+**Antwortformat bei stummem Upload:**
+
+- **Erkannt:** [Materialart, Absender/Aktenzeichen falls sichtbar]
+- **Frist zuerst:** [konkretes Datum/Risiko oder `keine Frist erkennbar`]
+- **Einordnung:** [Rechtsgebiet/Normengruppe/Arbeitsmodus]
+- **Primärer Pfad:** `passender-datenschutz-skill` — [warum dieser Skill hilft]
+- **Alternativen:** `...`, `...`
+- **Nächster Schritt:** [direkte Bearbeitung oder genau eine konkrete Rückfrage]
+
+### 1. Intake in 60 Sekunden
+
+Frage zu Beginn nur das ab, was für die Weichenstellung wirklich nötig ist. Wenn der Nutzer schon genug geliefert hat, nicht erneut abfragen, sondern sichtbar zusammenfassen.
+
+| Punkt | Frage | Warum wichtig? |
+|---|---|---|
+| Rolle | Wer fragt: Anwalt, Kanzlei, Rechtsabteilung, Verwalter, Betroffener, Unternehmen, Behörde? | Perspektive und Ton bestimmen. |
+| Ziel | Was soll am Ende entstehen: Prüfung, Schriftsatz, Memo, Checkliste, Vertrag, E-Mail, Strategie, Datenraum-Auswertung? | Output sofort sauber ausrichten. |
+| Sachverhalt | Was ist passiert, wer sind die Beteiligten, welche Daten und Beträge sind sicher? | Keine Arbeit auf Luft bauen. |
+| Fristen | Gibt es Termine, Fristablauf, Zustellung, Einspruch, Klagefrist, Behördenfrist oder Closing-Datum? | Eilsachen zuerst sichern. |
+| Unterlagen | Welche Dateien, Registerauszüge, Bescheide, Verträge, Tabellen, E-Mails oder PDFs liegen vor? | Aktenarbeit statt Raten. |
+| Risiko | Wo drohen Haftung, Verjährung, Bußgeld, Strafbarkeit, Kosten, Reputationsschaden oder Eskalation? | Priorität und Vorsicht einstellen. |
+| Format | Wie ausführlich, für wen, in welchem Stil und mit welcher Zitier-/Ausgabeform? | Ergebnis direkt verwendbar machen. |
+
+### 2. Sofort-Triage
+
+Arbeite danach in dieser Reihenfolge:
+
+1. **Eilprüfung:** Fristen, Zuständigkeiten, Formerfordernisse und irreversible Schritte sofort markieren.
+2. **Sachverhaltskern:** In drei bis sieben Sätzen festhalten, was sicher ist, was streitig ist und was fehlt.
+3. **Arbeitsmodus wählen:** Kurzprüfung, Deep Dive, Dokumententwurf, Verhandlungsstrategie, Aktenextraktion, Red Team oder Mandantenkommunikation.
+4. **Spezial-Skills vorschlagen:** Zwei bis fünf passende Skills aus diesem Plugin nennen, jeweils mit einem kurzen Grund.
+5. **Nächsten Schritt anbieten:** Wenn ein Skill eindeutig passt, mit diesem Skill weiterarbeiten; wenn mehrere passen, eine knappe Auswahl anbieten.
+6. **Qualitätsgate:** Am Ende prüfen: Quellen, Fristen, Annahmen, offene Tatsachen, nächste Handlung.
+
+### 3. Routing-Regeln
+
+- Schlage **immer zuerst Skills aus diesem Plugin** vor. Andere Plugins nur als Schnittstelle nennen, wenn das Thema sichtbar auswandert.
+- Nenne nie nur einen Skillnamen. Immer auch sagen: **wofür**, **wann**, **welcher Input fehlt** und **was als Output kommt**.
+- Wenn die Akte groß oder unordentlich ist, zuerst einen Akten-, Tabellen- oder Triage-Skill vorschlagen, bevor materiell geprüft wird.
+- Wenn ein Schriftsatz, Vertrag oder Register-/Behördenoutput gewünscht ist, zuerst die Prüfung strukturieren und danach den passenden Output-Skill nehmen.
+- Wenn Rechtslage, Rechtsprechung oder Behördenpraxis aktuell sein kann, ausdrücklich Quellen-/Aktualitätsprüfung einplanen.
+- Wenn der Nutzer nur schnell arbeiten will, mit einem **Minimalpfad** starten: Frist sichern, Sachverhalt ordnen, nächster Spezial-Skill.
+
+### 4. Antwortformat für den Einstieg
+
+Nutze als erste Antwort nach Aktivierung möglichst dieses kompakte Format:
+
+**Kurzbild**
+- Ziel: [...]
+- Rolle/Perspektive: [...]
+- Eilt wegen: [...]
+- Fehlende Unterlagen: [...]
+
+**Vorgeschlagener Workflow**
+1. [...]
+2. [...]
+3. [...]
+
+**Passende Skills aus diesem Plugin**
+| Skill | Warum jetzt? | Erwarteter Output |
+|---|---|---|
+| `...` | [...] | [...] |
+
+**Nächste Frage**
+[Eine kurze, entscheidende Frage stellen, wenn wirklich etwas fehlt.]
+
+### 5. Spezial-Skills in diesem Plugin
+
+| Skill | Wann vorschlagen? |
+|---|---|
+| `anwendungsfall-triage` | Datenschutzrechtlichen Sachverhalt einordnen und Bearbeitungsroute bestimmen. Art. 2 3 DSGVO Anwendungsbereich § 1 BDSG. Prüfraster: Anwendungsbereich personenbezogene Daten Verantwortlicher Auftragsverarbeiter… |
+| `avv-pruefung` | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO prüfen oder erstellen wenn Dritter Daten im Auftrag verarbeitet. Art. 28 DSGVO AVV-Pflicht § 62 BDSG. Prüfraster: Pflichtinhalte Art. 28 Abs. 3 Weisungsgebundenheit… |
+| `datenpanne-meldung` | Datenpanne nach Art. 33 34 DSGVO melden wenn Sicherheitsverletzung personenbezogener Daten vorliegt. Art. 33 34 DSGVO Meldepflichten § 65 BDSG. Prüfraster: Meldepflicht 72-Stunden-Frist Schwere Risikobewertung… |
+| `datenschutzrecht-anpassen` | Bestehende Datenschutzdokumentation oder Richtlinien an neue Anforderungen oder Verarbeitungstätigkeiten anpassen. Art. 5 24 DSGVO Rechenschaftspflicht. Prüfraster: Bestandsaufnahme Lueckenanalyse DSGVO-Anforderungen… |
+| `datenschutzrecht-kaltstart-interview` | Neues Datenschutzmandat durch strukturiertes Erstgespraech aufnehmen. Art. 5 6 DSGVO Grundsaetze § 26 BDSG Beschaeftigtendaten. Prüfraster: Verarbeitungszweck Datenarten betroffene Personen Empfaenger… |
+| `datenschutzrecht-mandat-arbeitsbereich` | Datenschutzrechtliches Mandat strukturieren und Arbeitsbereich abgrenzen. Art. 5 24 DSGVO §§ 1 ff. BDSG. Prüfraster: Mandatsumfang Zuständigkeiten Fristen Risikostufe externe Datenschutzberatung. Output:… |
+| `drittlandstransfer-pruefung` | Datentransfer in Drittlaender außerhalb EU und EWR auf Zulässigkeit prüfen. Art. 44 ff. DSGVO Kapitel V Drittlandstransfer. Prüfraster: Angemessenheitsbeschluss SCC BCR Schrems-II-Folgen Transfer Impact Assessment… |
+| `us-transfer-tia-dokumentation` | US-Drittlandtransfer mit EU-US Data Privacy Framework, DPF-Listing, Schrems-I/II-Historie, SCC/BCR-Ausweichpfad, Transfer Impact Assessment, supplementary measures und Review-Kalender dokumentieren. |
+| `standardvertragsklauseln-scc-paket` | Standardvertragsklauseln vorbereiten: Modul 1-4 wählen, Annex I-III ausfüllen, Subprozessoren, TOMs, AVV-Schnittstelle, TIA-Andockung und Unterzeichnungspaket erstellen. |
+| `drittlandtransfer-behoerdenpaket-output` | Aus Transferregister, DPF/SCC/TIA, TOMs und Subprozessoren ein druckreifes Paket samt Antwortentwurf für deutsche Datenschutzaufsichtsbehörden bauen. |
+| `dsb-bestellungspflicht-pruefung` | Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung.… |
+| `dsfa-erstellung` | Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchführen wenn hohes Risiko für Betroffene vorliegt. Art. 35 36 DSGVO DSFA § 67 BDSG. Prüfraster: Risikobewertung Verarbeitungsbeschreibung Notwendigkeit… |
+| `dsgvo-auskunft` | Auskunftsersuchen nach Art. 15 DSGVO prüfen und beantworten wenn Betroffener Auskunft verlangt. Art. 15 12 DSGVO Betroffenenrechte. Prüfraster: Identitätsnachweis Vollständigkeitsprüfung Auskunftsinhalt Fristen… |
+| `dsgvo-auskunft-antwort` | DSGVO-Auskunftsantwort an Betroffenen vollständig und rechtskonform gestalten. Art. 15 12 Abs. 3 DSGVO Antwortpflicht. Prüfraster: Antwortinhalt Format Fristen Klarheit Weglassungsgründe Begleitschreiben. Output:… |
+| `joint-controller-vereinbarung` | Joint-Controller-Vereinbarung nach Art. 26 DSGVO erstellen wenn zwei oder mehr Verantwortliche gemeinsam entscheiden. Art. 26 DSGVO Gemeinsame Verantwortlichkeit. Prüfraster: gemeinsame Zwecke und Mittel… |
+| `ki-verordnung-compliance` | KI-Systeme auf Anforderungen der KI-VO und Datenschutz prüfen. KI-VO Risikoklassen Art. 5 9 DSGVO Einwilligung. Prüfraster: Risikoklasse Verbote Hochrisiko-KI Dokumentationspflichten DSGVO-Schnittmengen… |
+| `mandantendaten-ki` | Datenschutzkonforme Verwendung von Mandantendaten beim Einsatz von KI-Tools in der Kanzlei prüfen. Art. 5 6 DSGVO BRAO § 43a Verschwiegenheit. Prüfraster: Rechtsgrundlage Zweckbindung Vertraulichkeit Anwaltsprivileg… |
+| `regulierungs-luecken-analyse` | Regulatorische Luecken im Datenschutzrecht identifizieren und Handlungsoptionen aufzeigen. Art. 5 6 24 DSGVO BDSG. Prüfraster: Bestandsaufnahme bestehender Massnahmen Soll-Ist-Abgleich Lueckenbewertung Prioritaeten.… |
+| `richtlinien-monitor` | Datenschutzrichtlinien und Unternehmensanweisungen auf Aktualitaet und Konformität monitoren. Art. 24 32 DSGVO TOMs §§ 4 ff. BDSG. Prüfraster: Richtlinienbestand Aenderungsbedarf neue Verarbeitungstätigkeiten… |
+| `verarbeitungsverzeichnis-vvt-generator` | Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellen oder aktualisieren. Art. 30 DSGVO VVT-Pflicht. Prüfraster: Pflichtangaben Art. 30 Abs. 1 Verantwortlicher Zweck Kategorien Empfaenger Fristen… |
+
+## Worum geht es?
+
+Dieses Plugin unterstuetzt Rechtsanwaelte und Datenschutzbeauftragte bei der Bearbeitung datenschutzrechtlicher Mandate nach DSGVO und BDSG. Es deckt den vollstaendigen Workflow ab: von der ersten Triage ueber Auftragsverarbeitungsvertraege, Datenschutz-Folgenabschaetzungen und Auskunftsersuchen bis zu Datenpannenmeldungen, Drittlandstransfers, US-Transfer-Dokumentation und der laufenden Richtlinienpflege.
+
+Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und gemeinsam Verantwortliche (Art. 26 DSGVO), sowie den Einsatz von KI-Tools im Kanzleialltag.
+
+## Wann brauchen Sie diese Skill?
+
+- Ein Unternehmen erhaelt ein Auskunftsersuchen nach Art. 15 DSGVO und braucht eine rechtskonforme Antwort.
+- Ein Datenschutzbeauftragter muss eine Datenpanne nach Art. 33 DSGVO binnen 72 Stunden an die Aufsichtsbehoerde melden.
+- Eine Kanzlei prueft, ob ein IT-Dienstleister einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO benoetigt.
+- Ein Unternehmen will Daten in ein Drittland (USA, Indien) uebertragen und braucht einen Transfer-Impact-Assessment.
+- Eine Aufsichtsbehoerde fragt nach US-Transfer, DPF-Listing, SCC, TIA und Schrems-II-Dokumentation.
+- Eine Behoerde oder Kanzlei prueft, ob KI-Werkzeuge datenschutzkonform eingesetzt werden koennen.
+
+## Fachbegriffe (kurz erklaert)
+
+- **DSGVO** — Datenschutz-Grundverordnung (EU 2016/679); einheitliches EU-Datenschutzrecht fuer Verarbeitung personenbezogener Daten.
+- **BDSG** — Bundesdatenschutzgesetz; ergaenzt die DSGVO im deutschen Recht, insbesondere fuer Beschaeftigtendatenschutz (§ 26 BDSG).
+- **TDDDG** — Telekommunikation-Digitale-Dienste-Datenschutzgesetz; Nachfolger des TTDSG, regelt Cookies und Online-Tracking.
+- **AVV** — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; Pflichtvertrag, wenn ein Dritter Daten im Auftrag verarbeitet.
+- **DSFA** — Datenschutz-Folgenabschaetzung (Data Protection Impact Assessment, DPIA) nach Art. 35 DSGVO; Pflicht bei hohem Risiko.
+- **Drittland** — Staat ausserhalb des EWR, in den Datentransfers nur unter bestimmten Voraussetzungen zulaessig sind (Art. 44 ff. DSGVO).
+- **VVT** — Verzeichnis der Verarbeitungstaetigkeiten nach Art. 30 DSGVO; Dokumentationspflicht fuer Verantwortliche und Auftragsverarbeiter.
+- **DSB** — Datenschutzbeauftragter; Pflichtposition nach Art. 37 DSGVO und § 38 BDSG ab bestimmten Schwellenwerten.
+
+## Rechtsgrundlagen
+
+- Art. 5 DSGVO (Grundsaetze der Verarbeitung)
+- Art. 6 DSGVO (Rechtmaessigkeit der Verarbeitung)
+- Art. 12-23 DSGVO (Betroffenenrechte)
+- Art. 26 DSGVO (Joint Controller)
+- Art. 28 DSGVO (Auftragsverarbeitung)
+- Art. 30 DSGVO (Verzeichnis der Verarbeitungstaetigkeiten)
+- Art. 33-34 DSGVO (Meldepflicht bei Datenpannen)
+- Art. 35-36 DSGVO (Datenschutz-Folgenabschaetzung)
+- Art. 37-39 DSGVO (Datenschutzbeauftragter)
+- Art. 44-49 DSGVO (Drittlandstransfer)
+- § 26 BDSG (Beschaeftigtendatenschutz)
+- § 38 BDSG (Pflicht zur Bestellung eines DSB)
+
+## Schritt-fuer-Schritt: Einstieg ins Plugin
+
+1. Mandantenkonstellation klaeren: Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher?
+2. Sachverhalt einordnen und Bearbeitungsroute bestimmen (Skill `anwendungsfall-triage`).
+3. Mandat strukturieren und Arbeitsbereich abgrenzen (`datenschutzrecht-kaltstart-interview` oder `datenschutzrecht-mandat-arbeitsbereich`).
+4. Passenden Fachskill auswaehlen (z. B. AVV, DSFA, Drittlandstransfer, Datenpanne).
+5. Eilfristen pruefen: Datenpannenmeldung 72-Stunden-Frist, Auskunftspflicht einen Monat ab Ersuchen.
+
+## Skill-Tour (was gibt es hier?)
+
+- `anwendungsfall-triage` — Datenschutzrechtlichen Sachverhalt einordnen und Bearbeitungsroute bestimmen.
+- `datenschutzrecht-kaltstart-interview` — Neues Datenschutzmandat durch strukturiertes Erstgespraech aufnehmen.
+- `datenschutzrecht-mandat-arbeitsbereich` — Datenschutzrechtliches Mandat strukturieren und Arbeitsbereich abgrenzen.
+- `datenschutzrecht-anpassen` — Bestehende Datenschutzdokumentation oder Richtlinien an neue Anforderungen anpassen.
+- `avv-pruefung` — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO pruefen oder erstellen.
+- `joint-controller-vereinbarung` — Joint-Controller-Vereinbarung nach Art. 26 DSGVO erstellen, wenn zwei oder mehr Verantwortliche gemeinsam entscheiden.
+- `dsfa-erstellung` — Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren bei hohem Risiko.
+- `datenpanne-meldung` — Datenpanne nach Art. 33 und 34 DSGVO melden bei Sicherheitsverletzung personenbezogener Daten.
+- `dsgvo-auskunft` — Auskunftsersuchen nach Art. 15 DSGVO pruefen und Bearbeitungsstrategie bestimmen.
+- `dsgvo-auskunft-antwort` — DSGVO-Auskunftsantwort an Betroffenen vollstaendig und rechtskonform gestalten.
+- `drittlandstransfer-pruefung` — Datentransfer in Drittlaender ausserhalb EU und EWR auf Zulaessigkeit pruefen.
+- `us-transfer-tia-dokumentation` — US-Transfer mit DPF, SCC/BCR-Ausweichpfad, TIA und ergänzenden Maßnahmen dokumentieren.
+- `standardvertragsklauseln-scc-paket` — SCC-Modulwahl, Annex I-III, Subprozessoren und TOMs behördenfest vorbereiten.
+- `drittlandtransfer-behoerdenpaket-output` — Deckvermerk, Anlagenverzeichnis, Behördenantwort und Maßnahmenplan ausgeben.
+- `dsb-bestellungspflicht-pruefung` — Bestellungspflicht fuer Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG pruefen.
+- `verarbeitungsverzeichnis-vvt-generator` — Verzeichnis der Verarbeitungstaetigkeiten nach Art. 30 DSGVO erstellen oder aktualisieren.
+- `ki-verordnung-compliance` — KI-Systeme auf Anforderungen der KI-VO und Datenschutz gemeinsam pruefen.
+- `mandantendaten-ki` — Datenschutzkonforme Verwendung von Mandantendaten beim Einsatz von KI-Tools in der Kanzlei pruefen.
+- `regulierungs-luecken-analyse` — Regulatorische Luecken im Datenschutzrecht identifizieren und Handlungsoptionen aufzeigen.
+- `richtlinien-monitor` — Datenschutzrichtlinien und Unternehmensanweisungen auf Aktualitaet und Konformitaet monitoren.
+
+## Worauf besonders achten
+
+- Datenpannenmeldung nach Art. 33 DSGVO hat eine 72-Stunden-Frist ab Kenntnisnahme — keine Verzoegerung durch interne Abstimmungsrunden.
+- Drittlandstransfer ohne Rechtsgrundlage (Angemessenheitsbeschluss oder Standardvertragsklauseln) ist ein bussgeldrelevanter Verstoss.
+- Auftragsverarbeitungsvertraege muessen vor Beginn der Verarbeitung vorliegen — nicht erst nach Vertragsschluss.
+- § 26 BDSG-Beschaeftigtendatenschutz hat engere Grenzen als die DSGVO-Generalklausel — gesondert pruefen.
+- Cookies und Tracking unterliegen zusaetzlich dem TDDDG — einwilligungspflichtige Dienste nicht mit Art. 6 Abs. 1 lit. f DSGVO rechtfertigen.
+
+## Typische Fehler
+
+- Auftragsverarbeitungsvertrag fehlt: Unternehmen gibt Daten an Cloud-Anbieter weiter ohne AVV nach Art. 28 DSGVO.
+- DSFA-Pflicht verkannt: Hochrisiko-Verarbeitung (z. B. Profilbildung, Scoring) wird ohne Folgenabschaetzung gestartet.
+- Auskunftsantwort unvollstaendig: Betroffener erhaelt keine Information ueber Empfaenger oder Speicherdauer.
+- Drittlandstransfer nach Schrems II nicht geprueft: Alte Safe-Harbor- oder Privacy-Shield-Grundlage wird weiter verwendet.
+- DSB-Bestellungspflicht nicht erkannt: Unternehmen beschaeftigt mehr als 20 Personen mit Datenverarbeitung, bestellt aber keinen DSB.
+
+## Querverweise
+
+- `ki-vo-ai-act-pruefer` — KI-Systeme im Datenschutzkontext; DSGVO und KI-VO ueberschneiden sich bei Hochrisiko-KI.
+- `regulatorisches-recht` — Sektorzeitige Datenschutzanforderungen fuer Finanzunternehmen (MaRisk, DORA).
+- `vertragsrecht` — AVV und Datenschutzklauseln in Lieferanten- und SaaS-Vertraegen.
+- `einfache-leichte-sprache-jura` — DSGVO verlangt verstaendliche Einwilligungserklaerungen und Datenschutzhinweise.
+
+## Quellen und Aktualitaet
+
+- Stand: 05/2026
+- DSGVO (EU 2016/679) in der zum Stand-Datum geltenden Fassung
+- BDSG in der geltenden Fassung
+- TDDDG in der geltenden Fassung
+- Standardvertragsklauseln der EU-Kommission (2021/914)
+- EU-US Data Privacy Framework-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 und offizielle DPF-Participant-Search.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/anwendungsfall-triage/SKILL.md

@@ -0,0 +1,234 @@
+---
+name: anwendungsfall-triage
+description: "Datenschutzrechtlichen Sachverhalt einordnen und Bearbeitungsroute bestimmen. Art. 2 3 DSGVO Anwendungsbereich § 1 BDSG. Prüfraster: Anwendungsbereich personenbezogene Daten Verantwortlicher Auftragsverarbeiter Drittland. Output: Triage-Memo Bearbeitungsroute Normenmap. Abgrenzung: Einstieg und Triage; Detailarbeit in Spezialist-Skills."
+---
+
+# Datenschutz-Triage neuer Verarbeitungsvorgänge
+
+## Zweck
+
+Diese Skill beantwortet die Frage vor jeder Datenschutz-Folgenabschätzung (DSFA):
+Ist eine Prüfung erforderlich — und wenn ja, welche Art?
+
+Die Triage ist schneller als die DSFA-Generierung, aber ihr vorgelagert. Sie erstellt
+die Folgenabschätzung nicht, sondern bestimmt, ob sie geboten ist.
+
+**Vier Klassifikationen:**
+- **FREIGABE** — Keine gesonderte Prüfung. Standardschutzmaßnahmen gelten.
+- **DSA ERFORDERLICH** — Datenschutzprüfung vor oder begleitend zum Einsatz.
+- **DSFA PFLICHT** — Art. 35 DSGVO zwingend; DSB-Einbindung erforderlich.
+- **STOPP** — Verarbeitung widerspricht Datenschutzrichtlinie oder entbehrt jeder
+  Rechtsgrundlage; Neugestaltung vor Fortführung zwingend.
+
+## Eingaben
+
+- Beschreibung des Verarbeitungsvorgangs (Datenarten, Zweck, Betroffenenkreis)
+- Datenkategorien (Art. 4 Nr. 1, Art. 9 DSGVO); Beschäftigtendaten (§ 26 BDSG)?
+- Neu erhoben oder Zweckänderung bei vorhandenen Daten (Art. 5 Abs. 1 lit. b DSGVO)?
+- Auftragsverarbeiter / Drittland-Übermittlung?
+- Automatisierte Entscheidungsfindung (Art. 22 DSGVO)?
+- Cookies / Endgerätezugriff (§§ 24 ff. TDDDG)?
+
+## Rechtlicher Rahmen
+
+### Kernvorschriften
+
+- **DSGVO:** Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 9 (besondere
+  Kategorien), Art. 13/14 (Informationspflichten), Art. 17 (Löschrecht), Art. 22
+  (automatisierte Entscheidungen), Art. 25 (Privacy by Design/Default), Art. 28 (AVV),
+  Art. 30 (Verarbeitungsverzeichnis), Art. 32 (TOM), Art. 35 (DSFA), Art. 44 ff.
+  (Drittlandtransfer).
+- **BDSG:** § 22 (Gesundheits-/Sozialdaten), § 26 (Beschäftigtendatenschutz), § 38
+  (betrieblicher DSB).
+- **TDDDG (ehem. TTDSG):** §§ 24 ff. — Einwilligung für Cookies/Endgerätezugriffe.
+- **Art. 35 Abs. 4 DSGVO** i. V. m. DSK-Positivliste — nationale Pflichttatbestände.
+
+### Leitentscheidungen
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  — Ungültigkeit EU-US-Privacy-Shield; Standardvertragsklauseln erfordern Transfer
+  Impact Assessment; maßgeblich für Art. 44 ff. DSGVO.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  — Automatisiertes Scoring als Entscheidung i. S. d. Art. 22 DSGVO, wenn Dritte
+  maßgeblich darauf abstellen; zentral für Triage von KI-/Scoring-Vorhaben.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  — Datenschutzrechtliche Haftung Art. 82 DSGVO; Beweislastverteilung.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  *(Recht auf Vergessen I)* — Datenschutz als Teil des allgemeinen Persönlichkeitsrechts
+  (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG); Abwägung mit Kommunikationsfreiheiten.
+
+### Kommentare
+
+- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+  — DSFA-Pflicht, Schwellenwerte, Verhältnis zu nationalen Listen.
+- `Simitis/Hornung/Spiecker (Hrsg.), DSGVO, 2. Aufl. 2022, Art. 6 Rn. 30 ff.`
+  — Rechtsgrundlagen; berechtigtes Interesse als Auffangtatbestand.
+- `Gola (Hrsg.), DSGVO, 3. Aufl. 2022, Art. 22 Rn. 5 ff.`
+  — Automatisierte Entscheidungsfindung; Abgrenzung zu Profiling.
+- `Paal/Pauly (Hrsg.), DS-GVO BDSG, 3. Aufl. 2021, Art. 25 DSGVO Rn. 7 ff.`
+  — Privacy by Design und Privacy by Default als Entwurfspflicht.
+- `Ehmann/Selmayr (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 35 Rn. 25 ff.`
+  — Anwendungsbereich der DSFA; Verhältnis zu Art. 5, 25 DSGVO.
+
+## Ablauf
+
+### Schritt 1: Verarbeitungsvorgang klären
+
+Bei vager Beschreibung zuerst nachfragen: Datenkategorien (Art. 9?), Betroffenenkreis
+(Beschäftigte → § 26 BDSG!), Zweck, Neu oder Zweckänderung, Auftragsverarbeiter,
+automatisierte Entscheidung (Art. 22), Endgerätezugriff (§ 24 TDDDG).
+
+### Schritt 2: Hausinternes DSA-Raster
+
+Konfiguriertes Prüfraster aus CLAUDE.md lesen. Trigger erfüllt → mindestens
+**DSA ERFORDERLICH**. Nicht erfüllt → weiter mit Schritt 3.
+
+### Schritt 3: DSFA-Pflichtprüfung (Art. 35 DSGVO)
+
+**Pflichttatbestände (Art. 35 Abs. 3, DSK-Positivliste):**
+- Systematische automatisierte Bewertung persönlicher Aspekte inkl. Profiling mit
+  Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO).
+- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
+
+**Starke Indikatoren (kein Pflichttatbestand, aber DSFA dringend empfohlen):**
+neue Technologie, Kinderdaten, Zusammenführung getrennter Datensätze,
+Diskriminierungspotenzial, Cross-Context-Tracking, verhaltensbasierte Werbung.
+
+Pflichttatbestand erfüllt → **DSFA PFLICHT**. Nur Indikatoren → **DSA ERFORDERLICH**.
+
+### Schritt 4: Datenschutzrichtlinien-Abgleich
+
+Vorhaben gegen konfigurierte Richtlinien prüfen. Typische Konflikte:
+Datenkategorie nicht in Richtlinie erfasst; Drittlandweitergabe ohne Grundlage
+(Art. 44 ff. DSGVO); Löschfristen (Art. 17) überschritten; Zweckbindung (Art. 5
+Abs. 1 lit. b) verletzt; Betroffenenrechte unvollständig.
+
+Direkter Konflikt → **STOPP**. Konflikt muss aufgelöst sein vor Fortführung.
+
+### Schritt 5: Klassifikation und Ausgabe
+
+```
+Kurzergebnis: [DSFA PFLICHT / DSA ERFORDERLICH / FREIGABE / STOPP — ein Satz]
+
+VORGANG: [wie verstanden]
+KLASSIFIKATION: [...]
+Hausinternes DSA-Raster ausgelöst? [Ja / Nein]
+DSFA-Pflicht (Art. 35 DSGVO)? [Ja — Tatbestand / Nein / N/A]
+Richtlinienkonflikt? [Keiner / Ja — konkreter Konflikt]
+Begründung: [1–3 Sätze]
+```
+
+*Voraussetzungen bei DSA / DSFA:*
+
+| Anforderung | Verantwortlich | Erledigt? |
+|---|---|---|
+| Datenschutzprüfung / DSFA (Art. 35 DSGVO) | DSB | ☐ |
+| Berechtigtes-Interesse-Abwägung (Art. 6 Abs. 1 lit. f) | DSB / Legal | ☐ |
+| DSB-Konsultation (DSFA-Pflichtverfahren) | DSB | ☐ |
+| AVV (Art. 28 DSGVO) | Legal | ☐ |
+| Richtlinienaktualisierung vor Launch | DSB | ☐ |
+| Eintrag Verarbeitungsverzeichnis (Art. 30) | DSB | ☐ |
+
+**Rechtsgrundlage (Art. 6 DSGVO):** [lit. a Einwilligung / lit. b Vertrag /
+lit. c rechtliche Verpflichtung / lit. f berechtigte Interessen — oder "unklar"]
+
+Nach Klassifikation immer anbieten: "Soll ich jetzt direkt mit der DSFA beginnen?"
+
+*Bei STOPP:*  
+Konflikt benennen. Optionen: (A) Vorhaben umgestalten, (B) Richtlinie aktualisieren
+(Vereinbarkeit mit Rechtsgrundlage prüfen). Keinen Weg vorschlagen, wenn keiner besteht.
+
+### Schritt 6: Weiterleitung
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  KI-Folgenabschätzung erwägen.
+- **Beschäftigtendatenschutz:** § 26 BDSG und Mitbestimmung (§§ 87 Abs. 1 Nr. 6,
+  94 BetrVG) prüfen.
+
+## Ausgabeformat
+
+Ausgabe im Chat. Bei DSA, DSFA oder STOPP optional Protokolldatei:
+`~/datenschutz-triagen/triage-YYYY-MM-DD-[vorgang].md`.
+
+**Sammel-Triage** (Feature-Liste):
+
+| # | Vorgang | Klassifikation | Blocker |
+|---|---|---|---|
+| 1 | [Vorgang] | FREIGABE | — |
+| 2 | [Vorgang] | DSA ERFORDERLICH | Rechtsgrundlage offen; AVV fehlt |
+| 3 | [Vorgang] | DSFA PFLICHT | Art.-9-Daten, großer Umfang |
+| 4 | [Vorgang] | STOPP | Zweckbindungsverstoß |
+
+## Beispiel
+
+**Vorgang:** ML-basiertes Kreditscoring für Bestandskunden; Ergebnis fließt in
+automatisierte Kreditentscheidung.
+
+**Klassifikation:** DSFA PFLICHT — Art. 35 Abs. 3 lit. a DSGVO: systematische
+automatisierte Bewertung persönlicher Aspekte mit erheblichen Auswirkungen
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+(Schufa-Scoring) reicht es, dass Dritte maßgeblich auf das Scoring abstellen.
+DSB-Konsultation und Verarbeitungsverzeichnis-Eintrag (Art. 30) zwingend.
+
+## Risiken und typische Fehler
+
+- **"Anonymisiert" = FREIGABE:** Pseudonymisierte Daten bleiben personenbezogen
+  (Art. 4 Nr. 1 DSGVO). Re-Identifikationsrisiko konkret prüfen.
+- **"Wir machen das ähnlich":** Bestehende, nie geprüfte Verarbeitungen legitimieren
+  keine neue. Bei anderem Umfang/Zweck/Kategorie: neu triagen.
+- **"Nur ein Pilot":** Pilot mit echten Personendaten unterliegt denselben Anforderungen.
+- **"Der Anbieter regelt Datenschutz":** AVV nach Art. 28 zwingend; Triage bleibt beim
+  Verantwortlichen (Art. 4 Nr. 7 DSGVO).
+- **Inferred Data übersehen:** Score, Risikoklasse, Präferenz = personenbezogenes Datum.
+
+Hinweis: Dieser Skill ersetzt keine anwaltliche Beratung im konkreten Einzelfall.
+
+## Quellenpflicht
+
+Jede Klassifikation muss nennen: einschlägige DSGVO-/BDSG-Normen mit Artikel/Absatz,
+DSK-Listenfundstelle bei DSFA-Pflicht, einschlägige Rechtsprechung in korrekter
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+
+Beispiel Rechtsprechung:
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Beispiel Kommentar:
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+
+## Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei Änderungen der DSK-Blacklist/Whitelist (Art. 35 Abs. 4/5 DSGVO), neuen EDSA-Leitlinien zur DSFA sowie KI-VO-Umsetzungsakten.
+
+**Querverweise:**
+- `datenschutzrecht/skills/dsfa-erstellung/SKILL.md` — vollständige DSFA bei positiver Triage
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — bei Drittlandbezug in der Triage
+- `datenschutzrecht/skills/avv-pruefung/SKILL.md` — bei Auftragsverarbeitung als Verarbeitungsbestandteil
+
+## Aktuelle Rechtsprechung (Ergaenzung v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Output-Template — Triage-Ergebnis
+
+**Adressat:** Datenschutzbeauftragter / Prozessverantwortlicher — Tonfall: sachlich-strukturiert
+
+```
+Datenschutz-Triage-Ergebnis [DATUM]
+Verarbeitungsvorgang: [BEZEICHNUNG]
+Beschreibung: [KURZBESCHREIBUNG]
+
+Einstufung: FREIGABE / DSA ERFORDERLICH / DSFA PFLICHT / STOPP
+
+Rechtsgrundlage: Art. [X] DSGVO [§ BDSG optional]
+Verantwortlichkeit: Art. 24 (allein) / Art. 26 (gemeinsam) / Art. 28 (Auftragsverarbeitung)
+Drittlandbezug: ja (→ Drittlandprüfung) / nein
+DSFA-Pflicht: ja (Grund: [...]) / nein (Begründung: [...])
+
+Naechste Schritte:
+1. [AKTION]
+2. [AKTION]
+
+Frist: [DATUM]
+Verantwortlich: [PERSON / ROLLE]
+```

datenschutzrecht/skills/avv-art-26-joint-controllership-deutsch/SKILL.md

@@ -0,0 +1,141 @@
+---
+name: avv-art-26-joint-controllership-deutsch
+description: "Joint-Controller-Vereinbarung nach Art. 26 DSGVO in deutscher Vertragssprache. Behandelt Aufgabenverteilung Anlaufstelle fuer Betroffene Transparenz Innenregress und EuGH-Rechtsprechung zu Fanpages Like-Button und Zeugen Jehovas. Output: deutscher Klauselsatz fuer Joint-Controller-Vereinbarung."
+---
+
+# Joint-Controller-Vereinbarung Art. 26 DSGVO – deutsche Vertragsfassung
+
+## Zweck / Purpose
+
+Klauselgeruest fuer eine Joint-Controller-Vereinbarung nach Art. 26 DSGVO in deutscher Vertragssprache, mit Aufgabenverteilung, Anlaufstelle fuer Betroffene und Innenregress. Purpose (EN): Joint controller agreement template under Article 26 GDPR in German.
+
+## Wann brauchen Sie diesen Skill
+
+- Zwei oder mehr Akteure entscheiden gemeinsam ueber Zwecke und Mittel der Verarbeitung.
+- Typische Konstellationen: Fanpage und Plattformbetreiber, Co-Branding-Aktionen, Konsortien, Marktplaetze, Tracking-Anbieter und Webseitenbetreiber.
+- Eine Aufsichtsbehoerde fragt nach der Vereinbarung gem. Art. 26 Abs. 1 DSGVO.
+
+## Rechtlicher Rahmen
+
+- Art. 26 Abs. 1 DSGVO: Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel festlegen, legen sie in transparenter Form ihre jeweiligen Verantwortlichkeiten in einer Vereinbarung fest.
+- Art. 26 Abs. 2 DSGVO: Wesentliche Aspekte der Vereinbarung muessen den Betroffenen zur Verfuegung gestellt werden.
+- Art. 26 Abs. 3 DSGVO: Betroffene koennen unabhaengig von der Vereinbarung ihre Rechte gegenueber jedem Verantwortlichen geltend machen.
+- Art. 82 Abs. 4 DSGVO: Gesamtschuldnerische Haftung.
+- EuGH C-25/17 (Zeugen Jehovas) – verifiziert.
+- EuGH C-498/16 (Wirtschaftsakademie / Fanpages) – verifiziert.
+- EuGH C-40/17 (Fashion ID) – verifiziert.
+
+## Ablauf / Checkliste
+
+1. **Konstellation klaeren.**
+   - Welche Akteure?
+   - Welche Verarbeitung ist betroffen?
+   - Welche Zwecke werden gemeinsam verfolgt?
+
+2. **Aufgabenverteilung.**
+   - Informationspflichten Art. 13/14 DSGVO – wer informiert wen?
+   - Betroffenenrechte Art. 15 bis 22 DSGVO – wer bearbeitet?
+   - Sicherheitsmassnahmen Art. 32 DSGVO – wer trifft was?
+   - Meldepflichten Art. 33, 34 DSGVO – wer meldet was?
+   - DSFA Art. 35 DSGVO – wer fuehrt durch?
+   - Vorabkonsultation Art. 36 DSGVO – wer fuehrt durch?
+   - Verarbeitungsverzeichnis Art. 30 DSGVO – wer fuehrt?
+
+3. **Anlaufstelle festlegen.**
+   - Eine zentrale Anlaufstelle fuer Betroffene oder mehrere?
+   - Empfehlung: zentrale Anlaufstelle, um Art. 26 Abs. 3 DSGVO praktisch handhabbar zu machen.
+
+4. **Transparenz nach Art. 26 Abs. 2 DSGVO.**
+   - "Wesentliche Aspekte" der Vereinbarung muessen den Betroffenen zugaenglich gemacht werden.
+   - Praxis: Veroeffentlichung in der Datenschutzerklaerung oder als eigenes Dokument auf der Webseite.
+
+5. **Innenregress.**
+   - Trotz Gesamtschuld nach Art. 82 Abs. 4 DSGVO koennen die Parteien intern den Verschuldensanteil regeln.
+   - Cap-Diskussion analog zum AVV (Querverweis: avv-haftung-risikoallokation-art-82-dsgvo).
+
+## Mustertext / Template
+
+> "Vereinbarung ueber gemeinsame Verantwortlichkeit gemaess Art. 26 DSGVO
+>
+> zwischen
+> [Partei A], (im Folgenden 'Partei A') und
+> [Partei B], (im Folgenden 'Partei B')
+> – nachfolgend gemeinsam 'Parteien' und einzeln 'gemeinsam Verantwortlicher' im Sinne von Art. 26 DSGVO –
+>
+> Praeambel
+>
+> Die Parteien fuehren die in Anlage 1 beschriebenen Verarbeitungstaetigkeiten gemeinsam durch und legen die Zwecke und Mittel der Verarbeitung gemeinsam fest. Sie sind daher gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO und beabsichtigen mit dieser Vereinbarung ihre jeweiligen datenschutzrechtlichen Verantwortlichkeiten transparent festzulegen.
+>
+> § 1 Gegenstand der gemeinsamen Verarbeitung
+> Die gemeinsame Verarbeitung umfasst die in Anlage 1 beschriebenen Verarbeitungstaetigkeiten, Datenarten, Kategorien Betroffener und Empfaengergruppen.
+>
+> § 2 Rollenverteilung
+> (1) Partei A ist verantwortlich fuer
+> a) die Bereitstellung der Verarbeitungsinfrastruktur;
+> b) die Erfuellung der Informationspflichten gemaess Art. 13 und 14 DSGVO gegenueber den ueber Partei A erreichten Betroffenen;
+> c) die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO, die ueber Partei A eingehen;
+> d) die Erfuellung der Meldepflichten gemaess Art. 33 und 34 DSGVO im Hinblick auf Verarbeitungsteile, die Partei A allein steuert.
+> (2) Partei B ist verantwortlich fuer
+> a) die Erhebung und Erstuebermittlung der Daten an Partei A;
+> b) die Erfuellung der Informationspflichten gemaess Art. 13 und 14 DSGVO gegenueber den ueber Partei B erreichten Betroffenen;
+> c) die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO, die ueber Partei B eingehen;
+> d) die Erfuellung der Meldepflichten gemaess Art. 33 und 34 DSGVO im Hinblick auf Verarbeitungsteile, die Partei B allein steuert.
+> (3) Die Parteien fuehren gemeinsam durch:
+> a) die Durchfuehrung einer etwaig erforderlichen DSFA gemaess Art. 35 DSGVO;
+> b) die Festlegung der Loeschfristen;
+> c) die Festlegung der technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO.
+>
+> § 3 Anlaufstelle fuer Betroffene
+> Anlaufstelle fuer Anfragen Betroffener ist Partei A. Partei A leitet Anfragen, die in den Verantwortungsbereich von Partei B fallen, unverzueglich an Partei B weiter. Art. 26 Abs. 3 DSGVO bleibt unberuehrt: Betroffene koennen ihre Rechte gegenueber jeder Partei geltend machen.
+>
+> § 4 Transparenz gegenueber Betroffenen (Art. 26 Abs. 2 DSGVO)
+> Die Parteien stellen den Betroffenen die wesentlichen Aspekte dieser Vereinbarung in ihrer jeweiligen Datenschutzerklaerung zur Verfuegung. Anlage 2 enthaelt eine zur Veroeffentlichung geeignete Kurzfassung.
+>
+> § 5 Sicherheit und Meldepflichten
+> Die Parteien stimmen sich bei einer Datenpanne unverzueglich, spaetestens innerhalb von vierundzwanzig (24) Stunden ab Kenntnis, ueber Meldepflichten gegenueber der Aufsichtsbehoerde und gegenueber Betroffenen ab. Die Federfuehrung fuer die Meldung an die Aufsichtsbehoerde liegt bei der Partei, in deren Verantwortungsbereich der Vorfall faellt; bei gemeinsamem Bereich uebernimmt Partei A die Federfuehrung.
+>
+> § 6 Haftung und Innenregress
+> Die Parteien haften gegenueber Betroffenen gesamtschuldnerisch nach Art. 82 Abs. 4 DSGVO. Im Innenverhaeltnis tragen die Parteien den Schaden im Verhaeltnis ihres jeweiligen Verschuldensanteils gemaess Art. 82 Abs. 5 DSGVO. Die Haftung im Innenverhaeltnis ist auf [BETRAG] EUR pro Schadensfall begrenzt; die Begrenzung gilt nicht bei Vorsatz und grober Fahrlaessigkeit sowie nicht fuer Schaeden aus der Verletzung des Lebens, des Koerpers oder der Gesundheit.
+>
+> § 7 Aufsichtsbehoerden
+> Die Parteien unterstuetzen einander bei Anfragen und Kontrollen durch die Aufsichtsbehoerden.
+>
+> § 8 Laufzeit und Beendigung
+> Diese Vereinbarung wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von sechs (6) Monaten zum Quartalsende gekuendigt werden.
+>
+> Anlage 1: Beschreibung der Verarbeitung
+> Anlage 2: Kurzfassung zur Veroeffentlichung gemaess Art. 26 Abs. 2 DSGVO"
+
+## Typische Drafting-Fehler
+
+- Es wird ein AVV statt eines Joint-Agreement abgeschlossen.
+- Aufgabenverteilung pauschal "beide gemeinsam".
+- Keine Anlaufstelle definiert.
+- Wesentliche Aspekte werden den Betroffenen nicht zugaenglich gemacht (Verstoss gegen Art. 26 Abs. 2 DSGVO).
+- Innenregress nicht geregelt.
+- Bei Webtracking: keine Beruecksichtigung der Erstuebermittlungsphase.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md`
+- `datenschutzrecht/skills/joint-controllership-en-template/SKILL.md`
+- `datenschutzrecht/skills/avv-haftung-risikoallokation-art-82-dsgvo/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 26, Art. 13, Art. 14, Art. 82 Abs. 4 und Abs. 5 DSGVO.
+- EDSA-Leitlinien 07/2020 (Final 07.07.2021).
+- EuGH C-25/17 – verifiziert.
+- EuGH C-498/16 – verifiziert.
+- EuGH C-40/17 – verifiziert.
+- Volltexte ueber curia.europa.eu pruefen.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-art-28-dsgvo-grundtatbestand/SKILL.md

@@ -0,0 +1,101 @@
+---
+name: avv-art-28-dsgvo-grundtatbestand
+description: "Grundtatbestand der Auftragsverarbeitung nach Art. 28 DSGVO. Klaert Rollenzuordnung Verantwortlicher gegen Auftragsverarbeiter wenn ein Dienstleister personenbezogene Daten im fremden Auftrag verarbeitet. Wann gilt Art. 28 wann Art. 26 wann Funktionsuebertragung. Output: Pruefvermerk zur Rollenzuordnung und AVV-Pflicht."
+---
+
+# Auftragsverarbeitung Art. 28 DSGVO – Grundtatbestand
+
+## Zweck / Purpose
+
+Strukturierte Pruefung, ob ein Vertragsverhaeltnis dem Grundtatbestand der Auftragsverarbeitung nach Art. 28 DSGVO unterfaellt und damit ein Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement, DPA) abzuschliessen ist. Purpose (EN): Determine whether a contractual relationship triggers Art. 28 GDPR data processing on behalf of a controller and therefore requires a DPA.
+
+## Wann brauchen Sie diesen Skill
+
+- Mandant bezieht einen IT-/Cloud-/SaaS-Dienst und ist unsicher, ob AVV erforderlich ist.
+- Mandant ist Anbieter und prueft, ob er als Auftragsverarbeiter einzustufen ist.
+- Es bestehen Zweifel, ob nicht stattdessen Art. 26 DSGVO (gemeinsame Verantwortlichkeit) oder eine eigenstaendige Verantwortlichkeit (Funktionsuebertragung, separate Verantwortliche) vorliegt.
+- Eine Aufsichtsbehoerde fragt nach Rollenzuordnung im Verarbeitungsverzeichnis (Art. 30 DSGVO).
+
+## Rechtlicher Rahmen
+
+- Art. 4 Nr. 7 DSGVO: Verantwortlicher entscheidet ueber Zwecke und Mittel.
+- Art. 4 Nr. 8 DSGVO: Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen.
+- Art. 28 Abs. 1 DSGVO: Auswahl nur solcher Auftragsverarbeiter, die hinreichende Garantien bieten.
+- Art. 28 Abs. 3 DSGVO: AVV in Schriftform oder elektronisch; Mindestinhalte lit. a bis h.
+- Art. 28 Abs. 10 DSGVO: Eigenstaendige Verantwortlichkeit des Auftragsverarbeiters bei Ueberschreiten der Weisungen.
+- Art. 29 DSGVO: Weisungsgebundenheit der Verarbeitung.
+- § 62 BDSG: Spezialnormen fuer oeffentliche Stellen.
+- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (angenommen 07.07.2021).
+
+## Ablauf / Checkliste
+
+1. **Sachverhalt erfassen.**
+   - Welche personenbezogenen Daten werden verarbeitet?
+   - Welcher Akteur entscheidet ueber Zweck (Wozu?) und Mittel (Wie?)?
+   - Gibt es Weisungsmoeglichkeiten und Weisungsrechte?
+   - Welchen wirtschaftlichen Vorteil zieht jeder Akteur aus der Verarbeitung?
+
+2. **Drei-Stufen-Test fuer Rollenzuordnung.**
+
+   | Frage | Indiz fuer Auftragsverarbeitung | Indiz gegen Auftragsverarbeitung |
+   |---|---|---|
+   | Wer legt Zweck fest? | Verantwortlicher allein | Dienstleister mitbestimmend |
+   | Wer legt wesentliche Mittel fest? | Verantwortlicher | Dienstleister bestimmt Architektur und Datenlogik |
+   | Eigene Datennutzung des Dienstleisters? | Nein, nur weisungsgebunden | Ja, fuer eigene Zwecke (Werbung, KI-Training, Statistik) |
+   | Wirtschaftliches Interesse | Verantwortlicher | Dienstleister hat eigenes Interesse an Daten |
+   | Berufsbild | Reiner Auftragnehmer | Eigene Rechtsdienstleistung, Berufstraegerstellung |
+
+3. **Negativabgrenzung.**
+   - **Funktionsuebertragung:** Bei Berufsgeheimnistraegern (Steuerberater, Rechtsanwaelte, Aerzte), Inkassodienstleistern und Wirtschaftspruefern ist die Rollenzuordnung wegen § 203 StGB und § 43a Abs. 2 BRAO besonders kritisch (Querverweis: funktionsuebertragung-vs-auftragsverarbeitung).
+   - **Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):** Wenn beide Akteure gemeinsam ueber Zwecke und Mittel entscheiden – EuGH C-210/16 Wirtschaftsakademie, EuGH C-40/17 Fashion ID, EuGH C-25/17 Zeugen Jehovas.
+   - **Getrennte Verantwortlichkeit:** Wenn jeder Akteur dieselben Daten fuer eigene Zwecke mit eigener Rechtsgrundlage verarbeitet.
+
+4. **Rechtsfolge feststellen.**
+   - Auftragsverarbeitung bejaht: AVV-Pflicht nach Art. 28 Abs. 3 DSGVO.
+   - Keine Verarbeitung im Auftrag, sondern Art. 26 DSGVO: Joint-Controller-Vereinbarung (Querverweis: avv-art-26-joint-controllership-deutsch).
+   - Funktionsuebertragung: Eigener Vertragstyp, ggf. Datenuebermittlungsklausel und Geheimhaltungsvereinbarung statt AVV.
+
+5. **Dokumentation.**
+   - Im Verarbeitungsverzeichnis Art. 30 DSGVO: Rolle eintragen.
+   - AVV als Anlage zum Hauptvertrag oder eigenstaendig.
+
+## Mustertext / Template
+
+Praeambel-Klausel fuer einen AVV nach Art. 28 DSGVO:
+
+> "Der Auftraggeber (im Folgenden 'Verantwortlicher' im Sinne des Art. 4 Nr. 7 DSGVO) beauftragt den Auftragnehmer (im Folgenden 'Auftragsverarbeiter' im Sinne des Art. 4 Nr. 8 DSGVO) mit der Verarbeitung personenbezogener Daten im Auftrag und nach Weisung des Verantwortlichen. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind in Anlage 1 abschliessend beschrieben. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verarbeitungspflicht nach Unionsrecht oder dem Recht der Mitgliedstaaten besteht; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet."
+
+## Typische Drafting-Fehler
+
+- AVV abgeschlossen, obwohl tatsaechlich Art. 26 DSGVO (gemeinsame Verantwortlichkeit) gegeben ist – falsche Rollenzuordnung wird durch AVV nicht geheilt.
+- Pauschalverweis auf "Datenschutz" statt konkreter Mindestinhalte nach Art. 28 Abs. 3 lit. a bis h DSGVO.
+- AVV mit Berufstraegern ohne Beruecksichtigung von § 203 StGB.
+- Vermischung mit allgemeinen Geheimhaltungsklauseln; AVV-Pflichten sind eigenstaendig.
+- AVV erst nach Verarbeitungsbeginn abgeschlossen (Art. 28 Abs. 9 DSGVO Form).
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md`
+- `datenschutzrecht/skills/funktionsuebertragung-vs-auftragsverarbeitung/SKILL.md`
+- `datenschutzrecht/skills/avv-art-26-joint-controllership-deutsch/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 4 Nr. 7, Nr. 8, Art. 28, Art. 29.
+- BDSG § 62.
+- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (Final 07.07.2021); abrufbar ueber edpb.europa.eu.
+- EuGH C-25/17 (Zeugen Jehovas) – verifiziertes Aktenzeichen; Volltext ueber curia.europa.eu pruefen.
+- EuGH C-210/16 (Wirtschaftsakademie / Fanpages) – Aktenzeichen verifiziert.
+- EuGH C-40/17 (Fashion ID) – Aktenzeichen verifiziert.
+- Verbindlich zur Zitierweise: `../../../references/zitierweise.md`.
+- Kommentar-, Handbuch- und Aufsatzfundstellen nur, wenn der Mandant die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md

@@ -0,0 +1,106 @@
+---
+name: avv-art-28-mindestinhalte-checkliste
+description: "Vollstaendige Pflichtinhalte-Checkliste fuer einen AVV nach Art. 28 Abs. 3 lit. a bis h DSGVO. Jede der acht Pflichtklauseln mit Sollformulierung Fallback-Position und Auditfrage. Geeignet fuer das Drafting eines neuen AVV oder das Auditing eines bestehenden AVV. Output: Klausel-fuer-Klausel-Pruefraster."
+---
+
+# AVV-Mindestinhalte nach Art. 28 Abs. 3 DSGVO – Klauselcheckliste
+
+## Zweck / Purpose
+
+Pflichtinhalte-Checkliste fuer Auftragsverarbeitungsvertraege nach Art. 28 Abs. 3 DSGVO – Klausel fuer Klausel mit Soll-Position, Fallback und Pruefkriterium. Purpose (EN): Mandatory-content checklist for DPAs under Art. 28 (3) GDPR, clause by clause.
+
+## Wann brauchen Sie diesen Skill
+
+- Beim Drafting eines neuen AVV ist sicherzustellen, dass alle acht Pflichtinhalte vollstaendig sind.
+- Beim Auditing eines vorgelegten AVV ist zu pruefen, ob jede Pflichtklausel ihren Mindestanforderungen genuegt.
+- Bei Aufsichtsbehoerden-Pruefungen ist der vollstaendige Pflichtkatalog nachweisbar zu dokumentieren.
+
+## Rechtlicher Rahmen
+
+- Art. 28 Abs. 3 Satz 1 DSGVO: Vertrag oder anderes Rechtsinstrument in Schriftform, einschliesslich elektronisch.
+- Art. 28 Abs. 3 Satz 2 DSGVO: Gegenstand und Dauer, Art und Zweck der Verarbeitung, Datenkategorien und Kategorien Betroffener, Pflichten und Rechte des Verantwortlichen.
+- Art. 28 Abs. 3 Satz 2 lit. a bis h DSGVO: Acht Pflichtklauseln.
+
+## Ablauf / Checkliste
+
+### Rahmenangaben (Art. 28 Abs. 3 Satz 2 DSGVO)
+
+| Pflichtangabe | Pruefkriterium |
+|---|---|
+| Gegenstand der Verarbeitung | Konkret benannt, nicht "Datenschutz allgemein" |
+| Dauer | Vertragslaufzeit, ggf. Verlaengerung |
+| Art und Zweck | Operative Funktion und Geschaeftszweck |
+| Art der personenbezogenen Daten | Datenarten katalogisiert (Stammdaten, Verkehrsdaten, Inhaltsdaten, besondere Kategorien Art. 9 DSGVO) |
+| Kategorien Betroffener | Mitarbeitende, Mandanten, Kinder, Patienten etc. |
+| Pflichten und Rechte des Verantwortlichen | Mindestens Weisungsrechte, Kontrollrechte, Beendigungsrechte |
+
+### Die acht Pflichtklauseln (Art. 28 Abs. 3 Satz 2 lit. a bis h DSGVO)
+
+**lit. a – Weisungsgebundenheit.** Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, einschliesslich Drittlandtransfer. Auditfrage: Wer fuehrt das Weisungsregister?
+
+**lit. b – Vertraulichkeit.** Personen, die zur Verarbeitung befugt sind, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Auditfrage: Liegen Vertraulichkeitserklaerungen vor?
+
+**lit. c – Technische und organisatorische Massnahmen (TOM, Art. 32 DSGVO).** Auftragsverarbeiter trifft alle erforderlichen Massnahmen nach Art. 32 DSGVO. Auditfrage: TOM-Anlage aktuell und konkret? (Querverweis: avv-tom-art-32-dsgvo-anlage)
+
+**lit. d – Sub-Auftragsverarbeiter (Art. 28 Abs. 2 und Abs. 4 DSGVO).** Einsatz nur mit allgemeiner oder besonderer schriftlicher Genehmigung; bei allgemeiner Genehmigung Informationspflicht ueber geplanten Wechsel. Auditfrage: Aktuelle Liste vorhanden? Widerspruchsfrist angemessen?
+
+**lit. e – Unterstuetzung Betroffenenrechte (Art. 12 bis 23 DSGVO).** Geeignete technische und organisatorische Massnahmen, um Erfuellung der Betroffenenrechte zu unterstuetzen (Auskunft, Loeschung, Berichtigung, Datenuebertragbarkeit). Auditfrage: SLA fuer Betroffenenanfragen?
+
+**lit. f – Unterstuetzung Art. 32 bis 36 DSGVO.** Unterstuetzung bei TOM, Meldepflicht (Art. 33 DSGVO), Benachrichtigung Betroffener (Art. 34 DSGVO), DSFA (Art. 35 DSGVO), Konsultation Aufsichtsbehoerde (Art. 36 DSGVO). Auditfrage: Meldewege definiert?
+
+**lit. g – Loeschung oder Rueckgabe.** Nach Wahl des Verantwortlichen alle personenbezogenen Daten loeschen oder zurueckgeben nach Ende des Auftrags, ausser gesetzliche Aufbewahrungspflichten. Auditfrage: Format der Rueckgabe definiert? (Querverweis: avv-loeschung-rueckgabe-nach-vertragsende)
+
+**lit. h – Audit und Nachweis.** Alle erforderlichen Informationen zum Nachweis bereitstellen; Ueberpruefungen einschliesslich Inspektionen durch Verantwortlichen oder Pruefer ermoeglichen. Auditfrage: Frequenz, Form, Kosten geregelt? (Querverweis: avv-audit-und-kontrollrechte)
+
+## Mustertext / Template
+
+Konsolidierte Pflichtklausel-Liste (Kurzform fuer Vertragsanlage):
+
+```
+§ X Pflichten des Auftragsverarbeiters
+(1) Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO).
+(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
+(3) Technische und organisatorische Massnahmen gemaess Anlage TOM (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DSGVO).
+(4) Sub-Auftragsverarbeiter nach Massgabe von § Y (Art. 28 Abs. 3 lit. d i.V.m. Abs. 2 und Abs. 4 DSGVO).
+(5) Unterstuetzung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO).
+(6) Unterstuetzung bei Sicherheit, Meldepflicht, Benachrichtigung, DSFA, Vorabkonsultation (Art. 28 Abs. 3 lit. f DSGVO).
+(7) Rueckgabe oder Loeschung nach Vertragsende gemaess Anlage Loeschkonzept (Art. 28 Abs. 3 lit. g DSGVO).
+(8) Audit- und Kontrollrechte gemaess § Z (Art. 28 Abs. 3 lit. h DSGVO).
+```
+
+## Typische Drafting-Fehler
+
+- Rahmenangaben fehlen oder sind zu allgemein ("Daten unserer Kunden").
+- lit. a wird auf "Vertragserfuellung" reduziert ohne Weisungsregister.
+- lit. b wird mit allgemeiner Geheimhaltungsklausel verwechselt; spezifische Vertraulichkeit fuer Verarbeitungsbefugte fehlt.
+- TOM-Anlage (lit. c) ist Marketingbroschuere statt konkrete Massnahmen.
+- lit. d laesst Sub-AV-Wechsel ohne Widerspruchsfrist zu.
+- lit. e ohne SLA und ohne Kostenregelung.
+- lit. g ohne klare Wahlmoeglichkeit (Loeschung oder Rueckgabe) und ohne Format.
+- lit. h verweist auf Zertifikate, ohne eigenes Audit-Recht zuzulassen.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-dsgvo-grundtatbestand/SKILL.md`
+- `datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md`
+- `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md`
+- `datenschutzrecht/skills/avv-loeschung-rueckgabe-nach-vertragsende/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 28 Abs. 3 DSGVO – Pflichtinhalte des Vertrags.
+- Art. 28 Abs. 2, Abs. 4 DSGVO – Sub-Auftragsverarbeiter.
+- Art. 28 Abs. 9 DSGVO – Schriftform inklusive elektronisch.
+- Art. 29 DSGVO – Weisungsgebundenheit.
+- EDSA-Leitlinien 07/2020 – Final 07.07.2021; abrufbar ueber edpb.europa.eu.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md

@@ -0,0 +1,119 @@
+---
+name: avv-audit-und-kontrollrechte
+description: "Audit- und Kontrollrechte des Verantwortlichen gegenueber dem Auftragsverarbeiter nach Art. 28 Abs. 3 lit. h DSGVO. Behandelt Vor-Ort-Audits Selbstauskunft Zertifikate sowie das Verhaeltnis zwischen Audit-Recht und Geschaeftsgeheimnis. Output: Audit-Klausel mit Frequenz Verfahren Kostenregel und Eskalation."
+---
+
+# AVV-Audit und Kontrollrechte – Art. 28 Abs. 3 lit. h DSGVO
+
+## Zweck / Purpose
+
+Ausgestaltung des Audit- und Kontrollrechts des Verantwortlichen gegenueber dem Auftragsverarbeiter mit Balance zwischen wirksamer Kontrolle und Wahrung der Geschaeftsablaeufe. Purpose (EN): Audit and inspection rights under Article 28 (3) (h) GDPR.
+
+## Wann brauchen Sie diesen Skill
+
+- Audit-Klauseln im AVV werden verhandelt.
+- Verantwortlicher will ein Vor-Ort-Audit durchfuehren.
+- Auftragsverarbeiter verweist auf Zertifikate (ISO 27001, SOC 2, BSI C5) und will Vor-Ort-Audit ausschliessen.
+- Aufsichtsbehoerde fordert Audit-Nachweise.
+
+## Rechtlicher Rahmen
+
+- Art. 28 Abs. 3 lit. h DSGVO: Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen, einschliesslich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Pruefer durchgefuehrt werden, und traegt zu diesen bei.
+- Art. 32 DSGVO: TOM-Pflicht, die Audit-Grundlage ist.
+- Art. 42, Art. 43 DSGVO: Zertifizierungen und Pruefstellen.
+- Art. 40 DSGVO: Verhaltensregeln (Codes of Conduct).
+- § 17 UWG, § 203 StGB: Schutz von Geschaeftsgeheimnissen und Berufsgeheimnis bei Audit.
+
+## Ablauf / Checkliste
+
+1. **Audit-Frequenz.**
+   - Regelfall: einmal pro Kalenderjahr.
+   - Anlassbezogen: bei Datenpanne, Aenderung der Verarbeitung, Aufsichtsbehoerdenfrage, konkreten Verdachtsmomenten.
+   - Aufsichtsbehoerde direkt: keine Frequenzbegrenzung.
+
+2. **Audit-Form.**
+
+   | Form | Anwendungsfall | Aussagekraft |
+   |---|---|---|
+   | Selbstauskunft (Self-Assessment) | Standardpruefung | Niedrig |
+   | Zertifikatseinsicht (ISO 27001, SOC 2 Type II, BSI C5 Typ 2) | Routine | Mittel |
+   | Schriftlicher Auditbericht des Auftragsverarbeiters | Routine | Mittel |
+   | Vor-Ort-Audit durch den Verantwortlichen oder dessen Pruefer | Anlassbezogen / kritisch | Hoch |
+   | Aufsichtsbehoerdliche Pruefung | bei Anordnung | Hoechste |
+
+3. **Ankuendigungsfrist und Auditor.**
+   - Praxis: 30 Kalendertage Vorankuendigung bei planmaessigem Audit.
+   - Verzicht auf Vorankuendigung bei akuter Datenpanne.
+   - Auditor: Verantwortlicher selbst oder ein vom Verantwortlichen beauftragter Wirtschaftspruefer / Datenschutzauditor.
+   - Wettbewerber-Ausschluss zulaessig, soweit konkret begruendet.
+
+4. **Geschaeftsgeheimnis-Schutz.**
+   - NDA fuer Auditoren.
+   - Schutz von Quellcode, Konfigurationen, Sub-AV-Vertraegen.
+   - Recht des Auftragsverarbeiters, sensible Informationen zu schwaerzen oder in Aggregatsform vorzulegen.
+   - Bei Berufsgeheimnistraegern (§ 203 StGB): Auditor unterliegt selbst der Schweigepflicht.
+
+5. **Kostenregelung.**
+   - Praxis: Verantwortlicher traegt Kosten des planmaessigen Audits.
+   - Auftragsverarbeiter traegt Kosten bei festgestellten Verstoessen.
+   - Bei anlassbezogenen Audits oft 50/50 oder Verursacherprinzip.
+
+6. **Auditergebnis und Folgen.**
+   - Auditbericht binnen 30 Kalendertagen.
+   - Stellungnahme des Auftragsverarbeiters binnen 14 Kalendertagen.
+   - Mangelbehebungsplan mit Fristen.
+   - Eskalation bei wesentlichen Maengeln: Anordnungen, Vertragsanpassung, Sonderkuendigung.
+
+## Mustertext / Template
+
+Audit-Klausel:
+
+> "§ X Audit- und Kontrollrechte
+>
+> (1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem Vertrag festgelegten Pflichten zur Verfuegung (Art. 28 Abs. 3 lit. h DSGVO).
+>
+> (2) Der Verantwortliche kann einmal pro Kalenderjahr ein planmaessiges Audit beim Auftragsverarbeiter durchfuehren oder durch einen von ihm beauftragten unabhaengigen Pruefer durchfuehren lassen. Das planmaessige Audit ist mindestens dreissig (30) Kalendertage im Voraus schriftlich anzukuendigen.
+>
+> (3) Ueber das planmaessige Audit hinaus ist der Verantwortliche bei begruendetem Anlass zur Durchfuehrung eines anlassbezogenen Audits ohne die Frist aus Absatz (2) berechtigt. Ein begruendeter Anlass liegt insbesondere vor bei einer Datenpanne, bei einer Anordnung der Aufsichtsbehoerde sowie bei einem konkreten Hinweis auf eine Pflichtverletzung des Auftragsverarbeiters.
+>
+> (4) Der Auftragsverarbeiter kann anstelle eines Vor-Ort-Audits die Vorlage eines aktuellen Pruefberichts eines unabhaengigen Pruefers nach anerkannten Standards (z. B. ISO 27001 oder SOC 2 Type II oder BSI C5 Typ 2) anbieten. Der Verantwortliche kann dieses Angebot annehmen, wenn der Pruefbericht die zu pruefenden Verarbeitungstaetigkeiten abdeckt und nicht aelter als zwoelf (12) Monate ist.
+>
+> (5) Der Auditor unterliegt der Verschwiegenheit. Der Auftragsverarbeiter kann sensible Geschaeftsgeheimnisse (insbesondere Quellcode, Konfigurationen, Sub-AV-Vertraege) in geschwaerzter Form oder durch geeignete Aggregation vorlegen.
+>
+> (6) Die Kosten des planmaessigen Audits traegt der Verantwortliche. Werden bei einem Audit Pflichtverletzungen des Auftragsverarbeiters festgestellt, traegt der Auftragsverarbeiter die Kosten des betreffenden Audits sowie etwaiger Folgeaudits zur Nachpruefung.
+>
+> (7) Der Auditbericht ist dem Auftragsverarbeiter binnen dreissig (30) Kalendertagen nach Audit zur Stellungnahme vorzulegen. Der Auftragsverarbeiter erstellt einen Mangelbehebungsplan mit angemessenen Fristen.
+>
+> (8) Werden bei einem Audit wesentliche Pflichtverletzungen festgestellt, die der Auftragsverarbeiter trotz angemessener Frist nicht behebt, ist der Verantwortliche zur ausserordentlichen Kuendigung des Hauptvertrags und dieses Auftragsverarbeitungsvertrags berechtigt."
+
+## Typische Drafting-Fehler
+
+- Audit-Recht durch Verweis auf Zertifikate vollstaendig ersetzt – verstoesst gegen Art. 28 Abs. 3 lit. h DSGVO (Mindestrecht auf Inspektion bei berechtigtem Anlass muss bestehen).
+- Kein Frequenz- und Anlasskonzept; entweder unbegrenzte Audits oder gar keine.
+- Kostenregelung pauschal zulasten einer Partei.
+- Geschaeftsgeheimnis-Schutz fehlt; Auditor verpflichtet sich nicht zu NDA.
+- Sub-AV-Audit-Kette nicht geregelt.
+- Bei Berufsgeheimnistraegern (Kanzlei, Praxis) keine Auditor-Schweigepflichtklausel – kann § 203 StGB-Problem ausloesen.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md`
+- `datenschutzrecht/skills/avv-pruefung-bestehender-vertraege-audit/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 28 Abs. 3 lit. h DSGVO.
+- Art. 32, Art. 40, Art. 42, Art. 43 DSGVO.
+- § 17 UWG, § 203 StGB, § 43a Abs. 2 BRAO.
+- ISO/IEC 27001:2022, SOC 2 Trust Services Criteria, BSI C5:2020.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md

@@ -0,0 +1,104 @@
+---
+name: avv-cloud-und-subverarbeitung-art-28-iv
+description: "Auftragsverarbeitung bei Cloud-Diensten und Sub-Verarbeitung nach Art. 28 Abs. 2 und Abs. 4 DSGVO. Behandelt die Sub-AV-Kette das Genehmigungsverfahren die Informationspflicht beim Wechsel sowie die Haftungsdurchleitung. Output: Sub-AV-Klauselbaukasten und Pruefraster fuer Sub-AV-Listen."
+---
+
+# Cloud und Sub-Auftragsverarbeitung Art. 28 Abs. 2 und Abs. 4 DSGVO
+
+## Zweck / Purpose
+
+Behandlung von Sub-Auftragsverarbeitern in Cloud-Konstellationen mit typischerweise mehrstufiger Kette: Anbieter (Tier 1), Hyperscaler (Tier 2), Drittland-Support (Tier 3). Purpose (EN): Sub-processing under Article 28 (2) and (4) GDPR in cloud and SaaS deployment chains.
+
+## Wann brauchen Sie diesen Skill
+
+- SaaS-/Cloud-Anbieter wird beauftragt und nutzt selbst Hyperscaler-Infrastruktur (AWS, Azure, Google Cloud).
+- Es ist die Liste der Sub-AV zu pruefen oder zu erstellen.
+- Eine Aufsichtsbehoerde fragt nach der Sub-AV-Kette und der Haftungsdurchleitung.
+- Ein Sub-AV im Drittland soll hinzugefuegt werden.
+
+## Rechtlicher Rahmen
+
+- Art. 28 Abs. 2 Satz 1 DSGVO: Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.
+- Art. 28 Abs. 2 Satz 2 DSGVO: Bei allgemeiner Genehmigung Information ueber jede beabsichtigte Aenderung; Verantwortlicher hat Recht zum Einspruch.
+- Art. 28 Abs. 4 DSGVO: Sub-Auftragsverarbeiter unterliegt durch Vertrag oder anderes Rechtsinstrument den gleichen Datenschutzpflichten wie der Auftragsverarbeiter. Wenn er diese nicht erfuellt, haftet der primaere Auftragsverarbeiter weiter gegenueber dem Verantwortlichen.
+- Beschluss (EU) 2021/914 Klausel 9: Sub-AV-Mechanik im SCC-Kontext.
+
+## Ablauf / Checkliste
+
+1. **Sub-AV-Kette dokumentieren.**
+   - Tier 1: Vertragspartner.
+   - Tier 2: Direkter Sub-AV des Tier 1 (z. B. Hyperscaler).
+   - Tier 3+: Weitere Sub-AV (z. B. Support-Dienstleister, Backup-Provider).
+   - Pro Sub-AV: Name, Sitz, Verarbeitungsumfang, Datenort, Drittlandbezug, Schutzmechanismus.
+
+2. **Genehmigungsmodell festlegen.**
+
+   | Modell | Vorteil | Nachteil |
+   |---|---|---|
+   | Spezifische Genehmigung | Volle Kontrolle | Praktisch unhandhabbar bei vielen Sub-AV |
+   | Allgemeine Genehmigung mit Liste | Praktikabel | Voraussetzung: aktuelle Liste, ausreichende Frist, Einspruchsrecht |
+   | Allgemeine Genehmigung ohne Liste | Bequem | Nicht Art. 28 DSGVO-konform |
+
+3. **Informationspflicht und Einspruchsrecht.**
+   - Frist Praxis: 30 Tage vor Wirksamwerden, mindestens aber so, dass Einspruch faktisch moeglich ist.
+   - Einspruchsgrund: berechtigte Bedenken (Drittland, fehlende TOM, Wettbewerber, Aufsichtsbehoerde).
+   - Folge: Auftragsverarbeiter sucht alternative Sub-AV, sonst ausserordentliche Kuendigung durch Verantwortlichen.
+
+4. **Haftungsdurchleitung.**
+   - Vertraglich oder per Rechtsinstrument identische Pflichten beim Sub-AV.
+   - Praxis: Back-to-Back-Vertrag oder Inkorporation des AVV als Anlage.
+   - Beweisbarkeit: Auftragsverarbeiter muss die Sub-AV-Vertraege auf Verlangen vorlegen.
+
+5. **Drittlandbezug.**
+   - Sub-AV im Drittland: zusaetzlich SCC Beschluss (EU) 2021/914 (Module C2P oder P2P, je nach Konstellation).
+   - DPF nur fuer US-Sub-AV mit aktiver Selbstzertifizierung.
+   - TIA nach EDSA-Empfehlungen 01/2020.
+
+## Mustertext / Template
+
+Sub-AV-Klausel mit allgemeiner Genehmigung und Listenmechanik:
+
+> "(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO, weitere Auftragsverarbeiter ('Sub-Auftragsverarbeiter') gemaess der als Anlage 3 beigefuegten Liste mit der Verarbeitung personenbezogener Daten zu beauftragen.
+>
+> (2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens dreissig (30) Kalendertage vor Wirksamwerden ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder die Ersetzung von Sub-Auftragsverarbeitern.
+>
+> (3) Der Verantwortliche kann der Aenderung innerhalb von dreissig (30) Kalendertagen nach Zugang der Information aus berechtigten Gruenden schriftlich widersprechen. Berechtigte Gruende liegen insbesondere vor bei Drittlandverarbeitung ohne ausreichende Schutzmassnahmen, bei unzureichenden technischen und organisatorischen Massnahmen oder bei einem Sub-Auftragsverarbeiter, der ein direkter Wettbewerber des Verantwortlichen ist.
+>
+> (4) Im Fall eines berechtigten Widerspruchs, den der Auftragsverarbeiter nicht durch zumutbare technische oder organisatorische Massnahmen ausraeumen kann, ist der Verantwortliche zur ausserordentlichen Kuendigung des Hauptvertrags und dieses Auftragsverarbeitungsvertrags berechtigt.
+>
+> (5) Der Auftragsverarbeiter schliesst mit jedem Sub-Auftragsverarbeiter einen Vertrag im Sinne des Art. 28 Abs. 4 DSGVO, der dem Sub-Auftragsverarbeiter im Wesentlichen die gleichen Datenschutzpflichten auferlegt wie sie in diesem Vertrag fuer den Auftragsverarbeiter festgelegt sind. Der Auftragsverarbeiter haftet gegenueber dem Verantwortlichen fuer die Erfuellung der Pflichten durch den Sub-Auftragsverarbeiter unveraendert weiter.
+>
+> (6) Auf Anforderung des Verantwortlichen legt der Auftragsverarbeiter den Sub-Auftragsverarbeiter-Vertrag in einer Form vor, die berechtigte Geschaeftsgeheimnisse des Sub-Auftragsverarbeiters wahrt (z. B. mit Schwaerzungen)."
+
+## Typische Drafting-Fehler
+
+- Allgemeine Genehmigung "fuer alle gegenwaertigen und zukuenftigen Sub-AV ohne Information" – nicht Art. 28 Abs. 2 DSGVO-konform.
+- Liste der Sub-AV nicht aktuell, kein Aenderungsverfahren definiert.
+- Frist zu kurz (z. B. 7 Tage) – Einspruchsrecht faktisch ausgehoehlt.
+- Back-to-Back-Vertrag nicht abgeschlossen oder nicht nachweisbar.
+- Drittland-Sub-AV ohne SCC oder ohne TIA.
+- Kein Recht zur ausserordentlichen Kuendigung bei berechtigtem Widerspruch.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-haftung-risikoallokation-art-82-dsgvo/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md`
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 28 Abs. 2 und Abs. 4 DSGVO.
+- Beschluss (EU) 2021/914 Klausel 9 – Sub-AV-Mechanik.
+- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (Final 07.07.2021).
+- EDSA-Empfehlungen 01/2020 zur Transferfolgenabschaetzung (Version 2.0 Juni 2021).
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-eu-kommission-musterklauseln-2021-915/SKILL.md

@@ -0,0 +1,90 @@
+---
+name: avv-eu-kommission-musterklauseln-2021-915
+description: "EU-Kommissions-Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter nach Beschluss (EU) 2021/915 vom 04.06.2021. Diese Klauseln sind nicht zu verwechseln mit den Drittlands-SCC nach Beschluss (EU) 2021/914. Anwendungsbereich Aufbau und Verwendung als Mustervertragsanlage. Output: Strukturierter Klauselsatz fuer den internen EU-Raum."
+---
+
+# EU-Kommissions-Standardvertragsklauseln Controller-Processor (Beschluss (EU) 2021/915)
+
+## Zweck / Purpose
+
+Anwendung und Aufbau der EU-Kommissions-Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter nach Beschluss (EU) 2021/915 vom 04.06.2021. Diese Klauseln decken den AVV nach Art. 28 DSGVO ab und sind nicht zu verwechseln mit den Drittland-SCC nach Beschluss (EU) 2021/914. Purpose (EN): EU Commission standard contractual clauses between controller and processor under Decision (EU) 2021/915 of 04 June 2021.
+
+## Wann brauchen Sie diesen Skill
+
+- Mandant moechte einen vorgefertigten, von der EU-Kommission gebilligten AVV-Vertragssatz verwenden.
+- Aufsichtsbehoerde fragt, warum der eigene AVV nicht den EU-Musterklauseln folgt.
+- Es ist abzugrenzen, dass die "SCC" hier nicht die Drittland-SCC nach Beschluss (EU) 2021/914 sind.
+
+## Rechtlicher Rahmen
+
+- Beschluss (EU) 2021/915 der Kommission vom 04.06.2021 ueber Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemaess Art. 28 Abs. 7 DSGVO und Art. 29 Abs. 7 EU-Verordnung 2018/1725.
+- Veroeffentlichung im Amtsblatt der EU L 199/18 vom 07.06.2021.
+- Art. 28 Abs. 6 DSGVO: Verantwortlicher und Auftragsverarbeiter koennen die SCC nach Abs. 7 oder Abs. 8 verwenden – Vorteil: Klauseln gelten "as is", keine Einzelpruefung gegen Art. 28 Abs. 3 noetig, soweit unveraendert.
+- Art. 28 Abs. 7 DSGVO: Kommission erlaesst die SCC; Art. 28 Abs. 8 DSGVO: Aufsichtsbehoerden koennen eigene SCC erlassen.
+
+## Ablauf / Checkliste
+
+1. **Abgrenzung pruefen.**
+   - Beschluss (EU) 2021/915 = AVV Verantwortlicher zu Auftragsverarbeiter im EWR-Binnenkontext.
+   - Beschluss (EU) 2021/914 = Drittlandtransfer-SCC (vier Module: C2C, C2P, P2P, P2C); in Kraft seit 27.06.2021.
+   - Beide koennen nebeneinander verwendet werden, wenn Auftragsverarbeiter im Drittland sitzt.
+
+2. **Struktur des Beschluss (EU) 2021/915.**
+   - Klausel 1 Zweck und Anwendungsbereich.
+   - Klausel 2 Unveraenderlichkeit (Klauseln nicht abaendern, aber ergaenzen).
+   - Klausel 3 Auslegung.
+   - Klausel 4 Hierarchie (Vorrang vor anderen vertraglichen Bestimmungen).
+   - Klausel 5 Verarbeitungstaetigkeiten (Anhang I).
+   - Klausel 6 Beschreibung der Verarbeitung (Anhang I).
+   - Klausel 7 Pflichten der Parteien (Art. 28 Abs. 3 lit. a bis h DSGVO).
+   - Klausel 8 Sub-Auftragsverarbeiter (Anhang IV).
+   - Klausel 9 Internationale Datenuebermittlung (Verweis auf SCC Beschluss (EU) 2021/914).
+   - Klausel 10 Unterstuetzung des Verantwortlichen.
+   - Klausel 11 Beendigung.
+   - Anhang II TOM, Anhang III Liste Sub-AV, Anhang IV Liste der Verarbeitungstaetigkeiten.
+
+3. **Auswahl und Ausfuellung.**
+   - Klauseln 1 bis 11 unveraendert uebernehmen.
+   - Anhaenge konkret befuellen: keine Pauschalformulierungen.
+   - Bei Konzern-/Multi-Party-Konstellationen ggf. Beitrittsmechanik (Docking Clause analog Beschluss 2021/914).
+
+4. **Begrenzung.**
+   - Die Klauseln decken Art. 28 DSGVO ab, nicht Art. 26 (Joint Control) und nicht Art. 13/14 (Informationspflichten).
+   - Sie ersetzen keine Drittland-SCC; wenn Daten aus dem EWR herausfliessen, muessen zusaetzlich die SCC nach Beschluss (EU) 2021/914 abgeschlossen werden.
+
+## Mustertext / Template
+
+Bezugnahme-Klausel zur Inkorporation des Beschluss (EU) 2021/915 in den Hauptvertrag:
+
+> "Soweit der Auftragnehmer fuer den Auftraggeber personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO verarbeitet, gelten erganzend zum Hauptvertrag die Standardvertragsklauseln der EU-Kommission gemaess Durchfuehrungsbeschluss (EU) 2021/915 vom 04.06.2021 in der jeweils geltenden Fassung. Die Klauseln 1 bis 11 des Beschluss (EU) 2021/915 werden ohne Aenderung uebernommen; die Anhaenge I bis IV sind als Anlagen 1 bis 4 zu dieser Vereinbarung beigefuegt und integraler Bestandteil der Vereinbarung. Im Fall eines Widerspruchs zwischen einer Bestimmung des Hauptvertrags und einer Klausel des Beschluss (EU) 2021/915 gehen die Klauseln des Beschluss (EU) 2021/915 vor."
+
+## Typische Drafting-Fehler
+
+- Verwechslung mit Beschluss (EU) 2021/914 (Drittland-SCC).
+- Klauseln werden im Text geaendert (Klausel 2 verbietet das ausdruecklich).
+- Anhaenge bleiben leer oder enthalten Verweise statt konkreter Inhalte.
+- Inkorporation nur "soweit anwendbar" – das schwaecht die Bindungswirkung.
+- Es wird vergessen, dass die SCC nach Beschluss (EU) 2021/915 nicht im Verhaeltnis Verantwortlicher / Verantwortlicher gelten (dafuer waeren die C2C-Module aus Beschluss 2021/914 zu verwenden, allerdings nur bei Drittlandbezug).
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Durchfuehrungsbeschluss (EU) 2021/915 der Kommission vom 04.06.2021, ABl. L 199/18 vom 07.06.2021 – verifiziert.
+- Durchfuehrungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021, ABl. L 199/31 vom 07.06.2021 – in Kraft seit 27.06.2021 – verifiziert.
+- Art. 28 Abs. 6 bis 8 DSGVO.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md

@@ -0,0 +1,104 @@
+---
+name: avv-eu-us-data-privacy-framework-bezug
+description: "Behandlung des EU-US Data Privacy Framework (DPF) im AVV. Angemessenheitsbeschluss EU-Kommission vom 10.07.2023 Beschluss (EU) 2023/1795. Anforderungen an Selbstzertifizierung Pruefung der Listung Fallback ueber SCC 2021/914 und Transfer Impact Assessment. Output: AVV-Klauselbausteine fuer DPF und Fallback."
+---
+
+# EU-US Data Privacy Framework (DPF) im AVV
+
+## Zweck / Purpose
+
+Behandlung des EU-US Data Privacy Frameworks im AVV inklusive Selbstzertifizierungspruefung und SCC-Fallback. Purpose (EN): Treatment of the EU-US Data Privacy Framework in DPAs, including self-certification check and SCC fallback.
+
+## Wann brauchen Sie diesen Skill
+
+- US-Anbieter wird als Auftragsverarbeiter beauftragt oder eingebunden.
+- Pruefung, ob Anbieter unter dem EU-US Data Privacy Framework selbstzertifiziert ist.
+- Vertragsklausel fuer DPF-Nutzung und SCC-Fallback ist erforderlich.
+- Aufsichtsbehoerde fragt nach Drittlandtransfer-Absicherung.
+
+## Rechtlicher Rahmen
+
+- Durchfuehrungsbeschluss (EU) 2023/1795 der Kommission vom 10.07.2023 ueber die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-US Data Privacy Framework – verifiziert.
+- Art. 45 DSGVO – Angemessenheitsbeschluss.
+- Art. 46 DSGVO – Geeignete Garantien (SCC, BCR) als Fallback.
+- Art. 49 DSGVO – Ausnahmen fuer bestimmte Faelle.
+- Executive Order 14086 vom 07.10.2022 – US-Schutzgarantien (signal intelligence safeguards, DPRC).
+- EuGH C-311/18 (Schrems II) – verifiziert: Vorgaengerregelung Privacy Shield fuer unwirksam erklaert.
+
+## Ablauf / Checkliste
+
+1. **Selbstzertifizierung pruefen.**
+   - Liste pruefen ueber dataprivacyframework.gov.
+   - Status: aktiv ("Active") versus inaktiv ("Inactive Participant").
+   - Geltungsbereich der Selbstzertifizierung: HR-Daten und/oder Non-HR-Daten?
+   - Im Listing fuer den konkreten Datentypus zertifiziert?
+
+2. **Vertragsabsicherung.**
+   - DPF-Selbstzertifizierung des Anbieters wird im AVV ausdruecklich referenziert.
+   - SCC nach Beschluss (EU) 2021/914 als Fallback fuer den Fall, dass der Anbieter die Selbstzertifizierung verliert oder das DPF unwirksam wird.
+   - Transfer Impact Assessment auch bei DPF-Nutzung empfohlen, weil DPF politisch und rechtlich angreifbar bleibt (Schrems-Linie).
+
+3. **Sub-AV-Kette pruefen.**
+   - Sub-AV des US-Anbieters mit weiterem US-Standort oder Drittland?
+   - Eigene DPF-Selbstzertifizierung jedes US-Sub-AV erforderlich.
+   - Fuer Nicht-US-Drittland-Sub-AV: SCC oder anderer Transfermechanismus.
+
+4. **Monitoring.**
+   - DPF-Listing periodisch (mindestens jaehrlich) ueberpruefen.
+   - Pruefung vor jedem Vertragsschluss und vor wesentlicher Vertragsverlaengerung.
+
+5. **Eskalation.**
+   - Bei Suspendierung der DPF-Listung: sofortige Aktivierung des SCC-Fallback.
+   - Bei Unwirksamkeitserklaerung des DPF durch EuGH (analog Schrems II): umfassende Transferpruefung neu.
+
+## Mustertext / Template
+
+DPF-und-Fallback-Klausel:
+
+> "§ X Drittlandtransfer in die Vereinigten Staaten
+>
+> (1) Soweit der Auftragsverarbeiter personenbezogene Daten in die Vereinigten Staaten uebermittelt oder dort verarbeitet, erfolgt die Uebermittlung primaer auf Grundlage des Durchfuehrungsbeschlusses (EU) 2023/1795 der Kommission vom 10.07.2023 (EU-US Data Privacy Framework). Der Auftragsverarbeiter sichert zu, dass er gemaess dem Data Privacy Framework wirksam selbstzertifiziert ist und die zertifizierten Datenkategorien die unter diesem Vertrag uebermittelten Daten umfassen.
+>
+> (2) Der Auftragsverarbeiter teilt dem Verantwortlichen jede Aenderung oder Suspendierung seiner DPF-Selbstzertifizierung unverzueglich, spaetestens innerhalb von zehn (10) Kalendertagen, schriftlich mit.
+>
+> (3) Fuer den Fall, dass die DPF-Selbstzertifizierung des Auftragsverarbeiters endet, ausgesetzt wird oder der Angemessenheitsbeschluss (EU) 2023/1795 ganz oder teilweise unwirksam wird, gelten ab dem Zeitpunkt des Eintritts und ohne weitere Erklaerung der Parteien die EU-Standardvertragsklauseln gemaess Durchfuehrungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021, Modul 2 (Verantwortlicher an Auftragsverarbeiter), mit den in Anlage 6 dargestellten Auswahl- und Anhangsfestlegungen.
+>
+> (4) Unabhaengig vom DPF fuehrt der Auftragsverarbeiter auf Verlangen des Verantwortlichen ein Transfer Impact Assessment nach den EDSA-Empfehlungen 01/2020 durch und stellt das Ergebnis innerhalb von dreissig (30) Kalendertagen zur Verfuegung.
+>
+> (5) Setzt der Auftragsverarbeiter Sub-Auftragsverarbeiter in den Vereinigten Staaten ein, gelten die Absaetze (1) bis (4) entsprechend; im Sub-AV-Verzeichnis ist der DPF-Status jedes US-Sub-AV anzugeben."
+
+## Typische Drafting-Fehler
+
+- Verweis auf DPF ohne tatsaechliche Pruefung des Anbieter-Listings.
+- DPF ohne SCC-Fallback im Vertrag – bei Ausfall sofortige Kuendigungspflicht.
+- US-Sub-AV ohne eigene DPF-Pruefung.
+- TIA nicht durchgefuehrt mit der Begruendung "DPF deckt alles ab" – aufsichtsbehoerdliche Erwartung, dass auch unter DPF eine Risikobetrachtung erfolgt.
+- Veraltete Verweise auf Privacy Shield – seit Schrems II (EuGH C-311/18) unwirksam.
+- DPF-Listing nur einmal geprueft, keine periodische Kontrolle.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-kommission-musterklauseln-2021-915/SKILL.md`
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md`
+- `datenschutzrecht/skills/dpa-en-template-controller-processor/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023, ABl. L 231/118 vom 20.09.2023 – verifiziert.
+- Durchfuehrungsbeschluss (EU) 2021/914 vom 04.06.2021, ABl. L 199/31 – verifiziert.
+- Art. 45, Art. 46, Art. 49 DSGVO.
+- US Executive Order 14086 vom 07.10.2022.
+- EuGH C-311/18 (Schrems II) – verifiziert; Volltext ueber curia.europa.eu.
+- EDSA-Empfehlungen 01/2020 (Version 2.0 Juni 2021).
+- DPF-Listing ueber dataprivacyframework.gov pruefen.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-haftung-risikoallokation-art-82-dsgvo/SKILL.md

@@ -0,0 +1,93 @@
+---
+name: avv-haftung-risikoallokation-art-82-dsgvo
+description: "Haftungsverteilung Risikoallokation und Haftungscaps im AVV im Lichte von Art. 82 DSGVO. Klaert Aussenhaftung gegenueber Betroffenen Innenregress zwischen Verantwortlichem und Auftragsverarbeiter sowie zulaessige und unzulaessige vertragliche Begrenzungen. Output: Klausel-Bausteine fuer Innen- und Aussenhaftung mit Cap-Hinweisen."
+---
+
+# AVV-Haftung und Risikoallokation – Art. 82 DSGVO
+
+## Zweck / Purpose
+
+Verteilung der DSGVO-Haftungsrisiken zwischen Verantwortlichem und Auftragsverarbeiter; Trennung von Aussenhaftung gegenueber Betroffenen und Innenregress; Grenzen vertraglicher Haftungsbegrenzungen. Purpose (EN): Liability allocation between controller and processor under Article 82 GDPR.
+
+## Wann brauchen Sie diesen Skill
+
+- Haftungscaps im AVV werden verhandelt.
+- Mandant hat Schadensersatzanspruch gegen den Vertragspartner zu pruefen.
+- Aussenhaftung gegenueber einem Betroffenen ist eingetreten und der Innenregress steht an.
+- Mandant beziffert das Restrisiko fuer ein Cyber-Versicherungsdeckungsgespraech.
+
+## Rechtlicher Rahmen
+
+- Art. 82 Abs. 1 DSGVO: Jeder, der wegen eines Verstosses gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
+- Art. 82 Abs. 2 DSGVO: Verantwortlicher haftet fuer den Schaden, den eine seiner Verarbeitungen verursacht hat. Auftragsverarbeiter haftet, wenn er gegen speziell ihm auferlegte Pflichten verstossen hat oder Weisungen des Verantwortlichen widersprochen oder ueberschritten hat.
+- Art. 82 Abs. 3 DSGVO: Befreiung, wenn nachgewiesen wird, dass der Schaden in keiner Weise zu vertreten ist.
+- Art. 82 Abs. 4 DSGVO: Gesamtschuldnerische Haftung mehrerer Verantwortlicher / Auftragsverarbeiter, wenn an demselben Verarbeitungsvorgang beteiligt.
+- Art. 82 Abs. 5 DSGVO: Innenregress nach Mass des Verschuldensanteils.
+- Art. 28 Abs. 10 DSGVO: Bei Ueberschreiten der Weisungen wird Auftragsverarbeiter zum Verantwortlichen.
+- EuGH-Linie zu Art. 82 DSGVO: Konkrete Aktenzeichen vor Zitat ueber curia.europa.eu verifizieren; aus dem Modellwissen wird kein Aktenzeichen zitiert.
+
+## Ablauf / Checkliste
+
+1. **Aussenhaftung mappen.**
+   - Wer ist gegenueber Betroffenen Anspruchsgegner? Verantwortlicher allein, Auftragsverarbeiter, beide?
+   - Gesamtschuld nach Art. 82 Abs. 4 DSGVO bei gemeinsamer Beteiligung am Verarbeitungsvorgang.
+
+2. **Innenregress regeln.**
+   - Mass nach Art. 82 Abs. 5 DSGVO: anteilige Verantwortung.
+   - Beweislast: jede Partei muss ihren Pflichtenkreis dokumentieren.
+   - Vertragliche Vereinbarung darf den gesetzlichen Innenregress nicht ausschliessen, aber konkretisieren (Pauschalierung, Schadensobergrenzen).
+
+3. **Cap-Diskussion.**
+   - Aussenhaftung kann nicht durch Vertrag zwischen Verantwortlichem und Auftragsverarbeiter zu Lasten des Betroffenen begrenzt werden.
+   - Innenregress-Cap zulaessig, soweit nicht gegen § 307 BGB (AGB), Vorsatz und grobe Fahrlaessigkeit nicht ausschliessbar.
+   - Branchenuebliche Caps: 12-Monats-Honorar, oft mit Sub-Cap fuer Datenschutzverletzungen.
+
+4. **Versicherung.**
+   - Cyber-Versicherung des Auftragsverarbeiters: Deckungssumme, Selbstbehalt, Geltungsbereich.
+   - Pflicht zur Vorlage des Versicherungsnachweises (Versicherungsbestaetigung).
+   - DSGVO-Bussgelder regelmaessig versicherungsausschluss.
+
+5. **Sub-AV-Kette.**
+   - Haftung in der Kette wird durch Art. 28 Abs. 4 DSGVO durchgereicht.
+   - Primaerer Auftragsverarbeiter haftet weiter fuer Sub-AV.
+   - Regress des primaeren Auftragsverarbeiters gegen Sub-AV vertraglich zu sichern.
+
+## Mustertext / Template
+
+Haftungsklausel:
+
+> "§ X Haftung
+>
+> (1) Die Parteien haften gegenueber Betroffenen nach Massgabe des Art. 82 DSGVO. Diese gesetzliche Haftung wird durch die nachstehenden vertraglichen Regelungen zur Innenhaftung nicht beruehrt.
+>
+> (2) Im Innenverhaeltnis tragen Verantwortlicher und Auftragsverarbeiter den Schaden im Verhaeltnis ihres jeweiligen Verschuldensanteils. Hat ein Auftragsverarbeiter den vollen Schadenersatz an einen Betroffenen geleistet, steht ihm gegen den Verantwortlichen ein Regressanspruch in Hoehe des Verschuldensanteils des Verantwortlichen zu (Art. 82 Abs. 5 DSGVO).
+>
+> (3) Die Haftung des Auftragsverarbeiters gegenueber dem Verantwortlichen aus oder im Zusammenhang mit diesem Vertrag, einschliesslich Regressansprueche nach Absatz (2), ist auf einen Betrag von [BETRAG] EUR pro Schadensfall und insgesamt auf [BETRAG] EUR pro Kalenderjahr begrenzt. Die Begrenzung gilt nicht bei Vorsatz und grober Fahrlaessigkeit sowie nicht fuer Schaeden aus der Verletzung des Lebens, des Koerpers oder der Gesundheit.
+>
+> (4) Der Auftragsverarbeiter haelt waehrend der Vertragslaufzeit eine Cyber-Haftpflichtversicherung mit einer Deckungssumme von mindestens [BETRAG] EUR pro Schadensfall und mindestens [BETRAG] EUR pro Versicherungsjahr vor. Der Versicherungsnachweis wird dem Verantwortlichen jaehrlich unaufgefordert vorgelegt.
+>
+> (5) DSGVO-Bussgelder, die einer Partei direkt durch eine Aufsichtsbehoerde auferlegt werden, traegt diese Partei selbst. Im Innenverhaeltnis besteht ein Erstattungsanspruch nur, soweit das Bussgeld auf einer schuldhaften Pflichtverletzung der anderen Partei beruht.
+>
+> (6) Der Auftragsverarbeiter haftet fuer das Verhalten seiner Sub-Auftragsverarbeiter in dem Umfang wie fuer eigenes Verhalten (Art. 28 Abs. 4 DSGVO)."
+
+## Typische Drafting-Fehler
+
+- Vollstaendige Haftungsfreistellung des Auftragsverarbeiters – nicht zulaessig wegen Art. 82 Abs. 2 DSGVO.
+- Cap auch fuer Vorsatz und grobe Fahrlaessigkeit – AGB-rechtlich unwirksam (§ 309 Nr. 7 BGB).
+- Pauschale Uebernahme aller Aussenhaftungsrisiken – wirtschaftlich unrealistisch ohne Versicherung.
+- Bussgelder-Regress ohne Bezug zur konkreten Pflichtverletzung – Art. 83 DSGVO Sanktionscharakter spricht gegen pauschalen Regress.
+- Versicherungsnachweis nicht eingefordert.
+- Sub-AV-Haftung nicht thematisiert.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/dsr-schadensersatz-art82-spezial/SKILL.md`
+- `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 82, Art. 28 Abs. 4, Art. 28 Abs. 10, Art. 83 DSGVO.
+- § 307, § 309 Nr. 7 BGB (AGB-rechtliche Schranken).
+- EuGH-Linie zu Art. 82 DSGVO: konkrete Aktenzeichen vor Zitat ueber curia.europa.eu verifizieren; keine Aktenzeichen aus dem Modellwissen.
+- Zitierweise: `../../../references/zitierweise.md`.

datenschutzrecht/skills/avv-konzern-und-multi-party-konstellation/SKILL.md

@@ -0,0 +1,114 @@
+---
+name: avv-konzern-und-multi-party-konstellation
+description: "AVV im Konzern und in Multi-Party-Konstellationen. Behandelt Konzern-AVV mit zentraler Group-IT Shared-Service-Center und konzernweiter Liste der Auftragsverarbeiter. Klaert die Frage ob Konzern als Einheit auftritt oder jede Gesellschaft eigenstaendig. Output: Konzern-AVV-Klauselgeruest mit Beitrittsmechanik."
+---
+
+# AVV im Konzern und in Multi-Party-Konstellationen
+
+## Zweck / Purpose
+
+Strukturierung von Auftragsverarbeitungsvertraegen in Konzernverbuenden und Multi-Party-Konstellationen, in denen mehrere Konzerngesellschaften gemeinsam Auftraggeber oder gemeinsam Auftragnehmer sind. Purpose (EN): How to structure DPAs in corporate group setups and multi-party constellations.
+
+## Wann brauchen Sie diesen Skill
+
+- Konzernmutter und mehrere Toechter beziehen denselben Cloud-Dienst und sollen unter einem Vertragsschirm liegen.
+- Konzernweite Shared-Service-Center (HR, IT, Payroll) verarbeiten Daten anderer Konzerngesellschaften.
+- Ein Konsortium oder Joint Venture nimmt gemeinsam Dienstleistungen in Anspruch.
+- Es ist abzuklaeren, ob nicht stattdessen Konzern-BCR (Art. 47 DSGVO) oder eine Joint-Controller-Vereinbarung (Art. 26 DSGVO) erforderlich ist.
+
+## Rechtlicher Rahmen
+
+- Art. 28 DSGVO – auch im Konzern keine Privilegierung; jede juristische Person ist eigenstaendige Verantwortliche.
+- Erwaegungsgrund 48 DSGVO – Berechtigtes Interesse an konzerninternem Datenaustausch fuer interne Verwaltungszwecke.
+- Erwaegungsgrund 36 DSGVO – Niederlassung und Verantwortlichkeit im Konzern.
+- Art. 26 DSGVO – Joint Controller, falls gemeinsame Zweckentscheidung.
+- Art. 47 DSGVO – Verbindliche interne Datenschutzvorschriften (BCR).
+- § 26 BDSG – Beschaeftigtendatenschutz bei konzerninternem HR-Transfer.
+
+## Ablauf / Checkliste
+
+1. **Konzernstruktur erfassen.**
+   - Mutter, Toechter, Schwestern, Gemeinschaftsunternehmen.
+   - Wer ist Vertragspartner des Dienstleisters?
+   - Wer ist tatsaechlicher Verantwortlicher fuer die Daten?
+
+2. **Vertragsstrukturen vergleichen.**
+
+   | Struktur | Beschreibung | Anwendungsfall |
+   |---|---|---|
+   | Hauptvertrag der Mutter mit Beitrittsmechanik | Mutter unterzeichnet, Toechter treten bei | Konzernlizenz Cloud-Dienst |
+   | Rahmen-AVV mit Einzelbestellungen | Jede Gesellschaft schliesst eigenen AVV unter Rahmen ab | Multi-Country-Rollout |
+   | Multilateraler AVV | Alle Konzerngesellschaften unterzeichnen gemeinsam | Wenige Gesellschaften, hohe Datenkritikalitaet |
+   | Konzern-AVV (intra-group) | Mutter ist Auftragsverarbeiter fuer Toechter (Shared Service) | Group-IT, Group-HR, Group-Finance |
+
+3. **Rollenmix klaeren.**
+   - Mutter als Auftragsverarbeiterin der Toechter setzt voraus, dass die Mutter weisungsgebunden ist.
+   - Wenn die Mutter eigenstaendige Konzernzwecke verfolgt (Konzernsteuerung, Reporting), liegt regelmaessig Art. 26 DSGVO oder eigene Verantwortlichkeit vor.
+   - EuGH C-498/16 (Wirtschaftsakademie / Fanpages) – verifiziert: weite Auslegung gemeinsamer Verantwortlichkeit.
+
+4. **Drittlandbezug pruefen.**
+   - Konzern weltweit – BCR nach Art. 47 DSGVO oder SCC nach Beschluss (EU) 2021/914 fuer jede Konzerngesellschaft im Drittland.
+   - DPF nur fuer US-Konzerngesellschaften mit aktiver Selbstzertifizierung.
+
+5. **Beitrittsmechanik (Docking Clause).**
+   - Vergleichbar dem Mechanismus in den EU-SCC nach Beschluss (EU) 2021/914.
+   - Beitritt durch Unterzeichnung einer Beitrittsanlage.
+   - Wirkung: Beitretende Gesellschaft wird Vertragspartei mit allen Rechten und Pflichten.
+
+## Mustertext / Template
+
+Konzern-AVV-Klauseln (Auszug):
+
+> "Praeambel
+>
+> Diese Vereinbarung wird zwischen dem Auftragsverarbeiter und [Muttergesellschaft] als koordinierender Konzerngesellschaft geschlossen. Weitere Konzerngesellschaften im Sinne des § 15 AktG koennen dieser Vereinbarung durch Unterzeichnung der Beitrittsanlage (Anlage 5) beitreten. Mit Wirkung der Beitrittsanlage ist die beitretende Konzerngesellschaft Verantwortliche im Sinne dieser Vereinbarung; ihre Rechte und Pflichten richten sich nach den Bestimmungen dieser Vereinbarung.
+>
+> § 1 Verarbeitungstaetigkeiten
+>
+> Die Verarbeitung erfolgt fuer jede Konzerngesellschaft im Umfang der jeweils mit dieser geschlossenen Bestellung. Anlage 1 (Beschreibung der Verarbeitung) wird je Konzerngesellschaft befuellt.
+>
+> § 2 Weisungsrechte und Weisungsregister
+>
+> Jede Konzerngesellschaft erteilt Weisungen ausschliesslich fuer die sie betreffenden Verarbeitungen. Konzernweit gueltige Weisungen werden vom Konzern-Datenschutzbeauftragten dokumentiert. Der Auftragsverarbeiter fuehrt fuer jede Konzerngesellschaft ein eigenes Weisungsregister.
+>
+> § 3 Konzerngesamtleitung und Kommunikation
+>
+> Die Muttergesellschaft uebt fuer die beigetretenen Konzerngesellschaften die Funktion der zentralen Anlaufstelle aus, soweit dies mit der jeweiligen Konzerngesellschaft schriftlich vereinbart ist. Die Pflichten und Rechte aus Art. 28 DSGVO bestehen unabhaengig davon im Verhaeltnis Auftragsverarbeiter zu jeweiliger Konzerngesellschaft fort.
+>
+> § 4 Beitritt und Austritt von Konzerngesellschaften
+>
+> (1) Beitritt: Die Beitrittsanlage ist von der beitretenden Konzerngesellschaft und dem Auftragsverarbeiter zu unterzeichnen.
+> (2) Austritt: Eine Konzerngesellschaft kann ihre Teilnahme mit einer Frist von drei Monaten zum Quartalsende beenden; die Pflichten aus § 9 (Loeschung/Rueckgabe) gelten entsprechend."
+
+## Typische Drafting-Fehler
+
+- Annahme einer "Konzernprivilegierung" – existiert in der DSGVO nicht.
+- Eine einzige Vertragspartei "im Namen aller Konzerngesellschaften" ohne Vollmacht oder Beitrittsmechanik.
+- Konzern-Shared-Service als pauschal "Auftragsverarbeitung" eingestuft, obwohl die Mutter eigene Konzernzwecke verfolgt – tatsaechlich Art. 26 oder eigene Verantwortlichkeit.
+- Drittlandbezug einer Konzerngesellschaft uebersehen.
+- Beitrittsanlage ohne Pflicht zur Information des Dienstleisters – Versionierungschaos.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md`
+- `datenschutzrecht/skills/avv-art-26-joint-controllership-deutsch/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 28, Art. 26, Art. 47 sowie ErwGr. 36 und 48.
+- BDSG § 26.
+- EuGH C-498/16 (Wirtschaftsakademie) – verifiziert; Volltext ueber curia.europa.eu.
+- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (Final 07.07.2021).
+- EU-Kommission Beschluss (EU) 2021/914 mit Docking Clause (Klausel 7).
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-loeschung-rueckgabe-nach-vertragsende/SKILL.md

@@ -0,0 +1,101 @@
+---
+name: avv-loeschung-rueckgabe-nach-vertragsende
+description: "Pflicht zur Loeschung oder Rueckgabe personenbezogener Daten nach Ende des Auftragsverarbeitungsvertrags gemaess Art. 28 Abs. 3 lit. g DSGVO. Wahlrecht des Verantwortlichen Format und Nachweis Aufbewahrungsausnahmen sowie Backup- und Logfile-Behandlung. Output: Loeschkonzept-Klausel und Loeschprotokoll-Muster."
+---
+
+# Loeschung und Rueckgabe nach Vertragsende – Art. 28 Abs. 3 lit. g DSGVO
+
+## Zweck / Purpose
+
+Strukturierung des Endphase-Managements im AVV: Wahlrecht des Verantwortlichen, Formate, Fristen, Nachweise und Aufbewahrungsausnahmen. Purpose (EN): End-of-contract data return and deletion under Article 28 (3) (g) GDPR.
+
+## Wann brauchen Sie diesen Skill
+
+- Vertragsende eines AVV steht bevor oder ist eingetreten.
+- Es ist zu klaeren, ob Loeschung oder Rueckgabe verlangt wird.
+- Gesetzliche Aufbewahrungspflichten kollidieren mit Loeschanforderungen.
+- Backups, Logfiles oder forensische Kopien sind zu behandeln.
+
+## Rechtlicher Rahmen
+
+- Art. 28 Abs. 3 lit. g DSGVO: "alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen entweder loescht oder zurueckgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht".
+- Art. 17 DSGVO: Recht auf Loeschung.
+- Art. 5 Abs. 1 lit. e DSGVO: Speicherbegrenzung.
+- § 257 HGB, § 147 AO, § 50 BDSG, § 11 BORA – steuer-, handels- und berufsrechtliche Aufbewahrungspflichten.
+
+## Ablauf / Checkliste
+
+1. **Wahlrecht ausueben.**
+   - Verantwortlicher entscheidet: Loeschung, Rueckgabe oder eine Kombination (z. B. Rueckgabe aktiver Daten, Loeschung der Kopien).
+   - Wahl muss vor Ende der Verarbeitungsleistungen kommuniziert werden – Vertrag sieht typischerweise 30 Kalendertage vor.
+
+2. **Format definieren.**
+   - Strukturierte, gaengige und maschinenlesbare Formate (CSV, JSON, XML) analog Art. 20 DSGVO.
+   - Verschluesselter Transport.
+   - Datentraegerformat oder API-Endpunkt definieren.
+
+3. **Loeschmethodik.**
+   - Loeschstandards: DIN 66399, NIST SP 800-88 Rev. 1.
+   - Backups: Loeschung in der naechsten regulaeren Backup-Rotation oder gezielte Loeschung.
+   - Logfiles: Aufbewahrungspflicht versus Datensparsamkeit abwaegen.
+
+4. **Aufbewahrungsausnahmen.**
+   - § 257 HGB, § 147 AO: 10 Jahre, 6 Jahre.
+   - § 50 BDSG: bis Zweckerreichung beendet.
+   - § 195 BGB i.V.m. § 199 BGB: Verjaehrungsablauf abwarten.
+   - Sicherstellen: Aufbewahrungsdaten sind separiert, zugriffsbeschraenkt und nicht weiter verarbeitet (Sperrung).
+
+5. **Nachweis.**
+   - Loeschprotokoll mit Datum, Bestand, Methode, verantwortlicher Person.
+   - Unterschrift durch den Auftragsverarbeiter.
+   - Bei Sub-AV: Loeschnachweise aller Sub-AV in der Kette.
+
+## Mustertext / Template
+
+Klausel zu Loeschung und Rueckgabe:
+
+> "§ X Beendigung der Verarbeitung
+>
+> (1) Nach Beendigung der Erbringung der Verarbeitungsleistungen entscheidet der Verantwortliche innerhalb von dreissig (30) Kalendertagen, ob die personenbezogenen Daten zurueckgegeben oder geloescht werden sollen. Der Verantwortliche kann fuer verschiedene Datenbestaende unterschiedliche Optionen waehlen.
+>
+> (2) Bei Wahl der Rueckgabe uebergibt der Auftragsverarbeiter die personenbezogenen Daten innerhalb von dreissig (30) Kalendertagen in einem strukturierten, gaengigen und maschinenlesbaren Format an einen vom Verantwortlichen benannten Empfaenger. Die Uebertragung erfolgt verschluesselt nach dem Stand der Technik.
+>
+> (3) Bei Wahl der Loeschung loescht der Auftragsverarbeiter die personenbezogenen Daten innerhalb von dreissig (30) Kalendertagen vollstaendig und unwiederbringlich. Backups werden in der naechsten regulaeren Backup-Rotation, spaetestens jedoch innerhalb von neunzig (90) Kalendertagen, ueberschrieben oder geloescht. Die Loeschung erfolgt nach DIN 66399 mindestens nach Schutzklasse 2.
+>
+> (4) Soweit Unionsrecht oder Recht eines Mitgliedstaats die weitere Speicherung der personenbezogenen Daten vorschreibt (insbesondere § 257 HGB, § 147 AO), bleibt der Auftragsverarbeiter berechtigt, die betroffenen Datensaetze fuer die gesetzliche Aufbewahrungsdauer in einem zugriffsbeschraenkten, ausschliesslich der Erfuellung der gesetzlichen Pflicht dienenden Bereich vorzuhalten. Der Auftragsverarbeiter dokumentiert Datenart, Rechtsgrundlage und Aufbewahrungsdauer und loescht die Daten unverzueglich nach Ablauf der Aufbewahrungspflicht.
+>
+> (5) Der Auftragsverarbeiter dokumentiert die Loeschung oder Rueckgabe in einem schriftlichen Protokoll, das dem Verantwortlichen innerhalb von zehn (10) Kalendertagen nach Abschluss der Massnahme vorzulegen ist. Das Protokoll enthaelt Datum, Datenarten, Mengenangaben, Loeschmethode und die verantwortliche Person.
+>
+> (6) Der Auftragsverarbeiter veranlasst, dass jeder Sub-Auftragsverarbeiter die Pflichten aus diesem Paragraphen entsprechend erfuellt und legt dem Verantwortlichen die Loeschnachweise der Sub-Auftragsverarbeiter auf Verlangen vor."
+
+## Typische Drafting-Fehler
+
+- Kein Wahlrecht des Verantwortlichen ("Daten werden geloescht") – das verletzt Art. 28 Abs. 3 lit. g DSGVO.
+- Kein definiertes Format der Rueckgabe – faktische Vendor-Lock-in-Wirkung.
+- Aufbewahrungspflichten nicht beruecksichtigt – Konflikt mit § 257 HGB, § 147 AO.
+- Backups vergessen.
+- Kein Loeschprotokoll und kein Nachweis.
+- Sub-AV-Kette nicht erfasst.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/avv-pruefung-bestehender-vertraege-audit/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 28 Abs. 3 lit. g, Art. 17, Art. 5 Abs. 1 lit. e DSGVO.
+- § 257 HGB, § 147 AO, § 50 BDSG, § 11 BORA.
+- DIN 66399 – Vernichtung von Datentraegern.
+- NIST SP 800-88 Rev. 1 – Guidelines for Media Sanitization.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-pruefung-bestehender-vertraege-audit/SKILL.md

@@ -0,0 +1,139 @@
+---
+name: avv-pruefung-bestehender-vertraege-audit
+description: "Pruefung bestehender AVV-Vertraege Vendor-Inventur AVV-Audit und Vertragsfolgemanagement. Behandelt die systematische Durchsicht eines AVV-Bestands die Identifikation veralteter Klauseln SCC-Altmuster fehlender DPF-Bezug und sub-AV-Listenpflege. Output: Audit-Bericht und Vertragsverbesserungsplan."
+---
+
+# AVV-Audit – Pruefung bestehender Vertraege
+
+## Zweck / Purpose
+
+Systematische Inventur und Pruefung bestehender Auftragsverarbeitungsvertraege auf Aktualitaet, Vollstaendigkeit der Pflichtinhalte, Sub-AV-Pflege und Drittlandbezug. Purpose (EN): Vendor inventory and audit of existing DPAs.
+
+## Wann brauchen Sie diesen Skill
+
+- Mandant hat AVV-Bestand und will im Rahmen eines Compliance-Programms pruefen.
+- Aufsichtsbehoerde hat eine Pruefung angekuendigt und der AVV-Bestand muss verteidigungsfaehig sein.
+- Nach einer Datenpanne oder einem Aufsichtsanlass ist der AVV-Bestand systematisch nachzuziehen.
+- Bei Unternehmenskauf (M&A) ist der AVV-Bestand Teil der Due Diligence.
+
+## Rechtlicher Rahmen
+
+- Art. 28 DSGVO – Pflicht zum AVV.
+- Art. 30 DSGVO – Verarbeitungsverzeichnis.
+- Art. 32 DSGVO – TOM (regelmaessig Anlage zum AVV).
+- Art. 44 bis 49 DSGVO – Drittlandtransfer.
+- Beschluss (EU) 2021/914 – SCC seit 27.06.2021; Altmuster (2001/497/EG, 2004/915/EG, 2010/87/EU) sind seit 27.12.2022 fuer Altbestand abgeloest.
+- Beschluss (EU) 2023/1795 – DPF seit 10.07.2023.
+
+## Ablauf / Checkliste
+
+1. **Inventur.**
+   - Vendor-Liste (Lieferanten mit Datenverarbeitung).
+   - AVV-Status pro Vendor: vorhanden / nicht vorhanden / unklar.
+   - Vertragsdatum, Vertragsversion.
+   - Verarbeitungsumfang, Datenkategorien, Drittlandbezug.
+
+2. **Rollenpruefung.**
+   - Pro Vendor: ist die Rollenzuordnung korrekt (Art. 28 versus Art. 26 versus eigene Verantwortlichkeit)?
+   - Querverweis: avv-rolemix-getrennt-vs-gemeinsam-verantwortlich.
+
+3. **Pflichtinhalte-Check.**
+   - Acht Pflichtklauseln nach Art. 28 Abs. 3 lit. a bis h DSGVO vollstaendig?
+   - Rahmenangaben (Gegenstand, Dauer, Art, Zweck, Datenarten, Betroffene) konkret?
+   - TOM-Anlage aktuell und konkret?
+   - Querverweis: avv-art-28-mindestinhalte-checkliste.
+
+4. **Sub-AV-Pflege.**
+   - Liste vorhanden und aktuell?
+   - Wechselbenachrichtigungsverfahren funktioniert?
+   - Drittland-Sub-AV identifiziert und abgesichert?
+
+5. **Drittlandbezug.**
+   - Aktuelle SCC nach Beschluss (EU) 2021/914 oder noch Altmuster?
+   - DPF-Listing aktuell?
+   - TIA vorhanden und aktuell?
+
+6. **Aktualitaet der TOM-Anlage.**
+   - Letzte Pruefung?
+   - Branchenuebliche Standards (ISO 27001, BSI C5, SOC 2) referenziert?
+   - Pflichtmindestmassnahmen aus Art. 32 DSGVO abgedeckt?
+
+7. **Verarbeitungsverzeichnis Art. 30 DSGVO.**
+   - AVV-Vendoren im Verzeichnis dokumentiert?
+   - Konsistenz zwischen Verzeichnis und AVV?
+
+8. **Audit-Bericht.**
+   - Bewertungsmatrix pro Vendor (Ampel: rot / orange / gelb / gruen).
+   - Massnahmenplan mit Fristen.
+   - Eskalationsverfahren bei nicht behebbaren Maengeln.
+
+## Mustertext / Template
+
+AVV-Audit-Matrix-Vorlage:
+
+```
+AVV-Audit Bericht – Stand [DATUM]
+
+Vendor: [NAME]
+Vertragsstand: [DATUM, VERSION]
+Verarbeitungsumfang: [BESCHREIBUNG]
+Drittlandbezug: [JA/NEIN, LAND]
+
+Pruefdimension                                   | Status | Befund / Massnahme
+-------------------------------------------------|--------|-----------------------------
+Rollenzuordnung (Art. 28 / 26 / sep.)             | [g/y/o/r] | [...]
+Pflichtangaben Art. 28 Abs. 3 Satz 2 DSGVO         | [g/y/o/r] | [...]
+lit. a Weisungsgebundenheit                       | [g/y/o/r] | [...]
+lit. b Vertraulichkeit                            | [g/y/o/r] | [...]
+lit. c TOM Art. 32 DSGVO                          | [g/y/o/r] | [...]
+lit. d Sub-AV Art. 28 Abs. 2 und 4                 | [g/y/o/r] | [...]
+lit. e Unterstuetzung Betroffenenrechte           | [g/y/o/r] | [...]
+lit. f Unterstuetzung Art. 32-36                   | [g/y/o/r] | [...]
+lit. g Loeschung / Rueckgabe                      | [g/y/o/r] | [...]
+lit. h Audit / Inspektion                         | [g/y/o/r] | [...]
+SCC Stand Beschluss (EU) 2021/914                  | [g/y/o/r] | [...]
+DPF (sofern US-Anbieter)                          | [g/y/o/r] | [...]
+TIA (sofern Drittland)                            | [g/y/o/r] | [...]
+TOM-Anlage aktuell                                | [g/y/o/r] | [...]
+Art. 30 DSGVO-Verzeichnis konsistent              | [g/y/o/r] | [...]
+
+Gesamtbewertung Vendor: [g/y/o/r]
+Empfohlene Massnahme: [Verlaengern / Nachverhandeln / Beenden]
+Frist: [DATUM]
+```
+
+## Typische Drafting-Fehler
+
+- AVV-Bestand wird nur per Stichprobe geprueft – fuer aufsichtsbehoerdliche Pruefung unzureichend.
+- Altbestand mit SCC-Altmustern (2001/497/EG, 2010/87/EU) nicht umgestellt.
+- DPF-Listing nicht periodisch geprueft.
+- TOM-Anlage Stand 2018 ohne Aktualisierung.
+- Sub-AV-Liste wird nicht gepflegt – Versionskonflikt zwischen Vendor-Webseite und Vertrag.
+- Verarbeitungsverzeichnis Art. 30 DSGVO und AVV-Bestand laufen auseinander.
+- Bei M&A: AVV-Bestand des Targets nicht in Due Diligence gewuerdigt.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md`
+- `datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md`
+- `datenschutzrecht/skills/avv-pruefung/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 28, Art. 30, Art. 32 DSGVO.
+- Beschluss (EU) 2021/914 – SCC seit 27.06.2021.
+- Beschluss (EU) 2023/1795 – DPF seit 10.07.2023.
+- EDSA-Leitlinien 07/2020 (Final 07.07.2021).
+- EDSA-Empfehlungen 01/2020 (Version 2.0 Juni 2021).
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-pruefung/SKILL.md

@@ -0,0 +1,201 @@
+---
+name: avv-pruefung
+description: "Auftragsverarbeitungsvertrag nach Art. 28 DSGVO prüfen oder erstellen wenn Dritter Daten im Auftrag verarbeitet. Art. 28 DSGVO AVV-Pflicht § 62 BDSG. Prüfraster: Pflichtinhalte Art. 28 Abs. 3 Weisungsgebundenheit Subauftragsverarbeiter Rückgabe Lösung Audits. Output: AVV-Prüfmemo oder Vertragsentwurf. Abgrenzung: nicht für Joint-Controller-Vereinbarungen (joint-controller-vereinbarung)."
+---
+
+# AVV-Review – Auftragsverarbeitungsvertrag Art. 28 DSGVO
+
+## Zweck
+
+Strukturierte Prüfung eingehender oder ausgehender Auftragsverarbeitungsverträge gegen Art. 28 DSGVO-Mindestanforderungen, das eigene AVV-Playbook (aus `CLAUDE.md`) und aktuelle EDSA-Leitlinien. Der Skill prüft zusätzlich, ob Drittlandtransfers wirksam abgesichert sind (EU-SCC, DPF, TIA) und ob Sub-Auftragsverarbeiter-Klauseln den Anforderungen entsprechen.
+
+## Eingaben
+
+- AVV-Dokument (Datei oder Paste)
+- Richtung (optional): "Wir sind AV" oder "Wir sind Verantwortlicher" – sonst automatische Erkennung
+- Optional: Liste bekannter Sub-AVs des Anbieters
+- Optional: Land der Datenverarbeitung / Hosting-Region
+
+## Ablauf
+
+1. **Richtungserkennung.** Wer ist "Auftraggeber" / "Verantwortlicher", wer "Auftragnehmer" / "Auftragsverarbeiter" im vorgelegten Dokument? Parteienbezeichnung, Weisungsklauseln und Haftungsstruktur prüfen. Bei Unklarheit fragen.
+
+2. **Art. 28 DSGVO Pflichtklausel-Check.** Jede gesetzlich vorgeschriebene Klausel prüfen:
+
+   | Art. 28 Abs. 3 DSGVO | Pflichtinhalt | Status |
+   |---|---|---|
+   | lit. a | Weisungsgebundenheit + Weisungsregister | ✓ / ⚠️ / ✗ |
+   | lit. b | Vertraulichkeitsverpflichtung verarbeitendes Personal | ✓ / ⚠️ / ✗ |
+   | lit. c | Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO | ✓ / ⚠️ / ✗ |
+   | lit. d | Sub-Auftragsverarbeiter-Regelung (allgemeine oder spezifische Genehmigung) | ✓ / ⚠️ / ✗ |
+   | lit. e | Unterstützung bei Betroffenenrechten | ✓ / ⚠️ / ✗ |
+   | lit. f | Unterstützung bei Art. 32–36 DSGVO (DSFA, Datenpanne, Vorab-Konsultation) | ✓ / ⚠️ / ✗ |
+   | lit. g | Löschung oder Rückgabe nach Vertragsende | ✓ / ⚠️ / ✗ |
+   | lit. h | Audit-Recht und Nachweispflichten | ✓ / ⚠️ / ✗ |
+
+3. **Playbook-Abgleich.** Jede Klausel mit der eigenen Standardposition aus `CLAUDE.md` vergleichen:
+   - ✅ Standardposition = akzeptabel
+   - ⚠️ Fallback-Position = bedingt akzeptabel, mit Bedingungen
+   - 🔴 Unter Playbook-Minimum = nicht akzeptabel, Redline-Vorschlag
+
+4. **Sub-Auftragsverarbeiter-Prüfung.**
+   - Allgemeine vs. spezifische Genehmigung (Art. 28 Abs. 2 DSGVO)?
+   - Wechselbenachrichtigungsfrist vorhanden? (Praxis: 4 Wochen; kürzer = Einspruchsrecht faktisch ausgehöhlt)
+   - Haftungsüberleitung auf Sub-AV in gleichem Umfang (Art. 28 Abs. 4 DSGVO)?
+   - Liste der Sub-AVs verfügbar / aktuell?
+   - Sub-AVs in Drittländern? → Weiterleitung zu Schritt 5 (TIA).
+
+5. **Drittlandtransfer-Check (TIA).**
+   - Werden Daten außerhalb EU/EWR verarbeitet oder zugänglich gemacht?
+   - Welcher Transfermechanismus: EU-SCC (Beschluss 2021/914), DPF, BCR, Art. 49 Abs. 1 DSGVO Ausnahmen?
+   - EU-SCC: Modul korrekt (AV-zu-AV, Verantwortlicher-zu-AV)? Technische Anlage befüllt?
+   - DPF: Anbieter auf DPF-Liste eingetragen (data.privacyframework.gov)? `[Modellwissen – prüfen, da DPF ggf. geändert]`
+   - TIA nach EDSA-Empfehlungen 01/2020 erforderlich? (Ja, wenn SCC ohne zusätzliche Schutzmaßnahmen nicht ausreichen)
+   - Rechtsprechung live prüfen: Keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über amtliche oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+6. **Redline-Vorschläge.** Für jede 🔴-Klausel konkreten Änderungsvorschlag formulieren – in Vertragssprache, nicht als Memo-Kommentar.
+
+7. **Bewertungstabelle und Empfehlung.**
+   - Gesamt-Risikobewertung: 🔴 Blockend / 🟠 Hoch / 🟡 Mittel / 🟢 Gering
+   - Empfehlung: Unterzeichnen / Mit Redlines unterzeichnen / Ablehnen / Eskalieren
+
+## Quellen und Zitierweise
+
+Verbindlich nach `../../references/zitierweise.md`.
+
+- Art. 28 DSGVO (Auftragsverarbeitung, Mindestinhalt AVV)
+- Art. 28 Abs. 2 DSGVO (Sub-Auftragsverarbeiter)
+- Art. 28 Abs. 4 DSGVO (Haftungsüberleitung Sub-AV)
+- Art. 32 DSGVO (TOM)
+- Art. 44–49 DSGVO (Drittlandtransfer)
+- Beschluss 2021/914/EU (EU-SCC, neue Standardvertragsklauseln)
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- EDSA-Empfehlungen 01/2020 zur Transferfolgenabschätzung (TIA), Stand 2022
+- EDSA-Leitlinien 07/2022 zu Zertifizierungen als Transfermechanismus
+- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+- Schantz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 1 ff.
+- Werkmeister, in: Gola, DSGVO, 2. Aufl. 2018, Art. 28 Rn. 1 ff.
+- Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2021, Art. 28 Rn. 1 ff.
+- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
+
+## Strategische Optionen (vor dem Template entscheiden)
+
+Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist **eine** moegliche Form — nicht die einzige.
+
+| Konstellation | Empfohlener Weg |
+|---|---|
+| Standard — AVV eines KI-Anbieters fuer Kanzlei pruefen | Pruefschema Art. 28 DSGVO; Template unten |
+| Variante A — AVV des Anbieters nicht verhandelbar | Risikoanalyse dokumentieren; Mandantenhinweis erwaegen |
+| Variante B — eigene AVV als Auftragsverarbeiter erstellen | Umgekehrte Perspektive; eigene Pflichten aus Art. 28 Abs. 3 DSGVO |
+| Variante C — mehrstufige Subunternehmer-Kette | Subunternehmer-Klausel gesondert pruefen; Haftungskette sichern |
+
+Wenn die Mandantenkonstellation **nicht** ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
+
+## Ausgabeformat
+
+1. **Kopfzeile:** Dokumentbezeichnung, Datum des Reviews, Richtung, Risikobewertung Gesamt
+2. **Pflichtklausel-Tabelle** (Art. 28 Abs. 3 DSGVO, alle Buchstaben, Status ✓/⚠️/🔴)
+3. **Playbook-Abgleich** (Klausel | Ist-Position | Soll-Position | Bewertung | Empfehlung)
+4. **Sub-AV-Abschnitt** (Listenformat)
+5. **TIA-Abschnitt** (nur wenn Drittlandexposure vorhanden)
+6. **Redline-Vorschläge** (Vertragssprache, nummeriert)
+7. **Entscheidungsoptionen**
+
+## Beispiel (Gutachtenstil)
+
+**Sachverhalt:** Ein SaaS-Anbieter aus den USA legt einen AVV vor. Daten werden auf AWS-Servern in der EU (Frankfurt) sowie auf Support-Systemen in den USA verarbeitet.
+
+**Analyse Sub-AV-Klausel:**
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+
+**Redline-Vorschlag:**
+> "Der Auftragsverarbeiter informiert den Verantwortlichen mindestens **30 (dreißig)** Tage im Voraus über geplante Änderungen an der Sub-Auftragsverarbeiter-Liste. Innerhalb dieser Frist kann der Verantwortliche Einspruch erheben. Bei berechtigtem Einspruch, den der Auftragsverarbeiter nicht durch zumutbare technische oder organisatorische Maßnahmen ausräumen kann, ist der Verantwortliche zur außerordentlichen Kündigung berechtigt."
+
+**Analyse Drittlandtransfer (USA, Support-Systeme):**
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+1. Rechtslage im Empfängerland (USA: FISA Section 702, EO 14086 – PPD-28-Nachfolger) `[Modellwissen – prüfen]`
+2. Praktische Wahrscheinlichkeit des Zugriffs (Support-Systeme mit Personalbezug: mittel)
+3. Zusätzliche Schutzmaßnahmen erforderlich? (Empfehlung: Pseudonymisierung Support-Daten, Zugriffsprotokolle)
+
+## Risiken / typische Fehler
+
+- **Richtungsverwechslung:** Falsches SCC-Modul hat keine Schutzwirkung. Art. 28 Abs. 4 DSGVO setzt voraus, dass Sub-AV-Kette rechtswirksam abgesichert ist.
+- **Veraltete SCC:** Altes SCC-Muster (2001/497/EG, 2004/915/EG) ist seit 27.09.2021 nicht mehr für neue Verträge verwendbar; bestehende Altverträge waren bis 27.12.2022 umzustellen (§ 46 Abs. 5 DSGVO-Beschluss). `[Modellwissen – aktuellen Status prüfen]`
+- **DPF-Validität:** Das EU-US Data Privacy Framework steht unter politischem Vorbehalt (vgl. Schrems II zur Vorgänger-Regelung). DPF-Eintrag auf data.privacyframework.gov vor Unterschrift prüfen.
+- **TIA nur Formalie:** Eine TIA muss ehrliche Risikobewertung enthalten. Pauschal "Risiko akzeptabel" ohne Begründung genügt Art. 28 DSGVO und den EDSA-Empfehlungen 01/2020 nicht.
+- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+- **Berufsgeheimnisträger:** Bei Mandanten-AVVs (Kanzleien, Ärzte) muss der AVV § 203 StGB und § 43a Abs. 2 BRAO berücksichtigen – unzureichende Vertraulichkeitsklausel kann Strafbarkeit begründen.
+
+## Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei neuen EDSA-Leitlinien zur Auftragsverarbeitung, Änderungen des SCC-Beschlusses 2021/914/EU oder neuen DPF-Entwicklungen.
+
+**Hinweis EDSA-Leitlinien zur Auftragsverarbeitung:** Der EDSA hat Leitlinien zur Abgrenzung von Verantwortlichen und Auftragsverarbeitern veröffentlicht (EDSA, Leitlinien 07/2020 zur Abgrenzung Verantwortlicher/Auftragsverarbeiter, angenommen 07.07.2021). Diese sind bei der Richtungserkennung (Schritt 1) und bei der Prüfung der Pflichtklauseln verbindlich heranzuziehen. Insbesondere: Wer weisungsgebunden und ohne eigenen Entscheidungsspielraum verarbeitet, ist Auftragsverarbeiter; eigenständige Zwecksetzung begründet Mit-Verantwortlichkeit (Art. 26 DSGVO). `[Modellwissen – aktuellen EDSA-Leitlinienstand auf edpb.europa.eu prüfen]`
+
+**Querverweise:**
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — Vollständige TIA-Methodik und SCC-Modul-Auswahl-Matrix
+- `datenschutzrecht/skills/dsfa-erstellung/SKILL.md` — DSFA bei Hochrisiko-AVV-Konstellationen
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Faktische Updates (Stand 05/2026)
+
+- **EDSA Guidelines 07/2020 zu Verantwortlichen und Auftragsverarbeitern:** Final-Version verbindliche Auslegungshilfe; bei der Rollenzuordnung beruecksichtigen. Quelle: edpb.europa.eu.
+- **EDSA Stellungnahme 22/2024 zu Auftragsverarbeitern und Sub-AV:** Aktuelle Stellungnahmen zur Sub-Verarbeiter-Kette und zur Verantwortlichkeit live ueber edpb.europa.eu pruefen.
+- **EuGH-Linie zu Art. 82 DSGVO Mit-Haftung:** Verantwortlicher und Auftragsverarbeiter haften gesamtschuldnerisch nach Massgabe ihrer jeweiligen Pflichtverletzungen (Art. 82 Abs. 4 DSGVO). Konkrete Aktenzeichen vor Zitat ueber curia.europa.eu pruefen.
+- **EU-US-DPF-Status:** Vor jedem US-AVV-Abschluss DPF-Listing des Anbieters ueber dataprivacyframework.gov verifizieren. SCC bleiben als Fallback im AVV vorzusehen.
+- **KI-Anbieter-AVV:** Bei KI-/LLM-Diensten muessen AVV-Klauseln zusaetzlich zu Art. 28 DSGVO Trainings-Verbote, Output-Verwertung, Modellaenderungen, Logging und KI-VO-Pflichten regeln. Verweis: ki-anbieter-pruefung (Plugin ki-governance).
+- **NIS-2-Lieferkette (Art. 21 NIS-2-RL):** Auftraggeber wichtiger / besonders wichtiger Einrichtungen muessen Cyber-Risiken in der Lieferkette beruecksichtigen — AVV mit IT-/Cloud-Dienstleistern entsprechend erweitern.
+
+## Triage-Frage (Entscheidungsbaum AVV)
+
+```
+Prüfungsrichtung?
+  Eingehender AVV (wir sind Verantwortlicher) → Prüfe: Weisungsrecht vollständig?
+  Ausgehender AVV (wir sind Auftragsverarbeiter) → Prüfe: Pflichten Art. 28 Abs. 3 vollständig?
+  Unklar → Richtungserkennung über Parteienbezeichnung und Weisungsklausel
+
+Drittlandbezug?
+  Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+  Nein → kein TIA erforderlich
+
+Sub-AVs mit Drittlandexposure?
+  Ja → Art. 28 Abs. 4 DSGVO: Pflichten vollständig übergeleitet?
+  Nein → nur Listenpflicht und Wechselbenachrichtigung prüfen
+```
+- **Was will der Mandant wirklich erreichen?** (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)
+
+
+## Output-Template — AVV-Review-Ergebnis
+
+**Adressat:** Datenschutzbeauftragter / Rechtsabteilung — Tonfall: sachlich-juristisch
+
+```
+AVV-Review [DATUM]
+Dokument: [BEZEICHNUNG, VERSION]
+Richtung: Verantwortlicher / Auftragsverarbeiter
+Gesamt-Risiko: ROT / ORANGE / GELB / GRUEN
+
+Pflichtklausel-Status (Art. 28 Abs. 3 DSGVO):
+| Buchstabe | Inhalt                     | Status | Kommentar |
+|-----------|----------------------------|--------|-----------|
+| lit. a    | Weisungsgebundenheit       |        |           |
+| lit. b    | Vertraulichkeit            |        |           |
+| lit. c    | TOM Art. 32 DSGVO          |        |           |
+| lit. d    | Sub-AV-Regelung            |        |           |
+| lit. e    | Unterstuetzung Betr.-R.    |        |           |
+| lit. f    | Unterstuetzung Art. 32-36  |        |           |
+| lit. g    | Loeschung/Rueckgabe        |        |           |
+| lit. h    | Audit-Recht                |        |           |
+
+Drittlandtransfer: ja / nein
+TIA erforderlich: ja / nein
+Empfehlung: Unterzeichnen / Mit Redlines / Ablehnen
+```
+
+--- vor Versand klaeren ---
+1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung]
+2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung]
+3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]

datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md

@@ -0,0 +1,143 @@
+---
+name: avv-rolemix-getrennt-vs-gemeinsam-verantwortlich
+description: "Abgrenzung Rollenmix Art. 4 Nr. 7 versus Art. 26 versus Art. 28 DSGVO. Wann sind zwei Akteure getrennte Verantwortliche wann gemeinsam Verantwortliche wann Verantwortlicher und Auftragsverarbeiter. Test-Schema fuer Mischkonstellationen mit Indizien aus EDSA-Leitlinien 07/2020 und EuGH-Rechtsprechung. Output: Pruefvermerk zur Rollenzuordnung."
+---
+
+# Rollenmix – Getrennt versus gemeinsam versus Auftragsverarbeitung
+
+## Zweck / Purpose
+
+Strukturierte Abgrenzung zwischen drei datenschutzrechtlichen Rollenmodellen in Mehr-Akteur-Konstellationen: getrennte Verantwortliche, gemeinsame Verantwortliche (Art. 26 DSGVO), Auftragsverarbeiter (Art. 28 DSGVO). Purpose (EN): Separate vs. joint vs. processor – role allocation in multi-actor data processing under GDPR.
+
+## Wann brauchen Sie diesen Skill
+
+- Zwei oder mehr Akteure verarbeiten dieselben personenbezogenen Daten und es ist unklar, welches Vertragsmodell zu schliessen ist.
+- Aufsichtsbehoerde fragt nach Rollenzuordnung im Verarbeitungsverzeichnis (Art. 30 DSGVO).
+- Mandant geht davon aus, "wir sind nur Auftragsverarbeiter" – Pruefung, ob nicht in Wahrheit Art. 26 DSGVO einschlaegig ist.
+- Vor Abschluss eines Joint-Controller-Agreement oder AVV soll die Einstufung gesichert sein.
+
+## Rechtlicher Rahmen
+
+- Art. 4 Nr. 7 DSGVO: Verantwortlicher entscheidet allein oder gemeinsam mit anderen ueber Zwecke und Mittel.
+- Art. 26 DSGVO: Gemeinsam Verantwortliche.
+- Art. 28 DSGVO: Auftragsverarbeiter.
+- Art. 4 Nr. 9 DSGVO: Empfaenger.
+- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (Final 07.07.2021).
+- EuGH C-25/17 (Zeugen Jehovas) – verifiziert: Mitverantwortung durch organisatorische Mittel auch ohne unmittelbaren Datenzugang.
+- EuGH C-498/16 (Wirtschaftsakademie / Fanpages) – verifiziert: Fanpage-Betreiber ist gemeinsam mit Plattform verantwortlich.
+- EuGH C-40/17 (Fashion ID) – verifiziert: Like-Button-Einbinder ist fuer Erhebung und Uebermittlung mitverantwortlich.
+
+## Ablauf / Checkliste
+
+1. **Zweck- und Mittelprueung.**
+
+   | Frage | Verantwortlicher allein | Gemeinsam Verantwortlich | Auftragsverarbeiter |
+   |---|---|---|---|
+   | Wer legt Zweck fest? | Akteur A allein | Akteur A und Akteur B gemeinsam | Akteur A allein, Akteur B fuehrt aus |
+   | Wer legt Mittel fest? | Akteur A | Beide oder Akteur B als wesentlicher Mitbestimmer | Akteur A bestimmt wesentliche Mittel, Akteur B technische Detailmittel |
+   | Eigener Nutzen aus Daten? | Nur Akteur A | Beide ziehen Nutzen | Nur Akteur A |
+   | Weisungsgebundenheit? | nicht relevant | nein, kollektive Entscheidung | ja, voll |
+
+2. **EuGH-Indizienreihe.**
+   - Wer entscheidet ueber Zweck der Verarbeitung? (Kerntest)
+   - Wer bestimmt wesentliche Mittel (z. B. Tool-Auswahl, Speicherort, Loeschfristen)?
+   - Wer profitiert wirtschaftlich von der Verarbeitung?
+   - Besteht eine wechselseitige Abhaengigkeit?
+   - Wird die Verarbeitung gemeinsam beworben oder organisiert?
+
+3. **Negativindizien gegen Auftragsverarbeitung.**
+   - Eigene Verarbeitung fuer eigene Werbung, eigenes KI-Training, eigene Statistik.
+   - Eigene Anonymisierung mit nachgelagerter eigener Nutzung.
+   - Eigene Rechtsdienstleistung (Inkasso, Steuerberatung, Rechtsanwaltsleistung) im Auftrag des Mandanten – meist Funktionsuebertragung statt Art. 28 (Querverweis: funktionsuebertragung-vs-auftragsverarbeitung).
+   - Schaltung von Tracking-Pixeln auf eigener Webseite (regelmaessig Art. 26 mit dem Tracking-Anbieter).
+
+4. **Negativindizien gegen Joint Control.**
+   - Reiner Datenfluss zwischen zwei getrennten Geschaeften ohne abgestimmte Verarbeitung.
+   - Jeder Akteur hat eigene Rechtsgrundlage und eigenen Zweck.
+   - Keine gemeinsame Bewerbung oder Organisation.
+
+5. **Pruefraster (Stufenmodell).**
+   - Stufe 1: Liegt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO vor? (immer ja)
+   - Stufe 2: Wer entscheidet ueber Zweck? Wenn nur einer: weiter Stufe 4. Wenn mehrere: weiter Stufe 3.
+   - Stufe 3: Liegt gemeinsame Entscheidung auch ueber wesentliche Mittel oder gemeinsamer Nutzen vor? Wenn ja: Art. 26 DSGVO. Wenn nein: getrennte Verantwortliche.
+   - Stufe 4: Ist der ausfuehrende Akteur weisungsgebunden und ohne eigenen Zweck? Wenn ja: Art. 28 DSGVO. Wenn nein: getrennte Verantwortliche oder Funktionsuebertragung.
+
+## Mustertext / Template
+
+Pruefvermerk-Vorlage zur Rollenzuordnung:
+
+```
+Pruefvermerk Rollenzuordnung DSGVO
+-----------------------------------
+Verarbeitung: [Beschreibung]
+Akteur A: [Bezeichnung, Funktion]
+Akteur B: [Bezeichnung, Funktion]
+Datenkategorien: [Stamm-/Verkehrs-/Inhaltsdaten/Art. 9 DSGVO]
+Betroffene: [Kategorien]
+
+1. Zweck der Verarbeitung
+   Wer entscheidet? [A allein / A und B gemeinsam / nur fuer A]
+   Begruendung: [Sachverhaltsbasis]
+
+2. Wesentliche Mittel
+   Wer entscheidet? [A allein / A und B gemeinsam / A legt fest, B fuehrt aus]
+   Indizien: [Tool-Auswahl, Speicherort, Loeschfristen, Sicherheitsmassnahmen]
+
+3. Wirtschaftlicher Nutzen
+   [Nur A / beide / A nutzt fuer Geschaeft, B nur fuer Entgelt]
+
+4. Weisungsgebundenheit B?
+   [voll / teilweise / keine]
+
+5. EuGH-Linie
+   Vergleichbar mit: [C-25/17 / C-498/16 / C-40/17 / keine direkte Vergleichbarkeit]
+
+6. Einordnung
+   [ ] Akteur A allein verantwortlich (Art. 4 Nr. 7 DSGVO)
+   [ ] Akteur A und B gemeinsam verantwortlich (Art. 26 DSGVO)
+   [ ] Akteur A Verantwortlicher, Akteur B Auftragsverarbeiter (Art. 28 DSGVO)
+   [ ] Getrennte Verantwortliche
+
+7. Folgevertrag
+   [ ] Joint-Controller-Vereinbarung Art. 26
+   [ ] AVV Art. 28
+   [ ] C2C-Datenuebermittlungsklausel
+   [ ] kein gesonderter Vertrag erforderlich
+
+Datum, Unterschrift Datenschutzbeauftragter
+```
+
+## Typische Drafting-Fehler
+
+- AVV abgeschlossen, obwohl Joint Control vorliegt (Fanpage / Like-Button / Webtracking).
+- Joint-Agreement abgeschlossen, obwohl getrennte Verantwortliche vorliegen (typischer Fall: Inkasso-Dienstleister).
+- "Standardloesung AVV" ohne Pruefung.
+- Berufsgeheimnistraeger als reine Auftragsverarbeiter behandelt (Funktionsuebertragung uebersehen).
+- Tracking-Anbieter als Auftragsverarbeiter behandelt, obwohl er Daten fuer eigene Zwecke nutzt.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-dsgvo-grundtatbestand/SKILL.md`
+- `datenschutzrecht/skills/avv-art-26-joint-controllership-deutsch/SKILL.md`
+- `datenschutzrecht/skills/funktionsuebertragung-vs-auftragsverarbeitung/SKILL.md`
+- `datenschutzrecht/skills/joint-controllership-en-template/SKILL.md`
+- `datenschutzrecht/skills/dpa-en-controller-controller-tmpl/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 4 Nr. 7, Art. 26, Art. 28 DSGVO.
+- EDSA-Leitlinien 07/2020 (Final 07.07.2021), abrufbar ueber edpb.europa.eu.
+- EuGH C-25/17 (Zeugen Jehovas) – verifiziert.
+- EuGH C-498/16 (Wirtschaftsakademie / Fanpages) – verifiziert.
+- EuGH C-40/17 (Fashion ID) – verifiziert.
+- Volltexte ueber curia.europa.eu pruefen.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md

@@ -0,0 +1,160 @@
+---
+name: avv-tom-art-32-dsgvo-anlage
+description: "TOM-Anlage zum AVV nach Art. 32 DSGVO. Strukturierte Aufstellung der technischen und organisatorischen Massnahmen mit Pseudonymisierung Verschluesselung Vertraulichkeit Integritaet Verfuegbarkeit Belastbarkeit sowie regelmaessige Pruefung. Output: Strukturierte TOM-Anlage auf Deutsch."
+---
+
+# TOM-Anlage Art. 32 DSGVO
+
+## Zweck / Purpose
+
+Strukturierte Anlage zum AVV mit den technischen und organisatorischen Massnahmen des Auftragsverarbeiters gemaess Art. 32 DSGVO und Art. 28 Abs. 3 lit. c DSGVO. Purpose (EN): German-language TOM annex to a DPA under Article 32 GDPR.
+
+## Wann brauchen Sie diesen Skill
+
+- TOM-Anlage zum AVV ist zu erstellen, zu pruefen oder zu aktualisieren.
+- Aufsichtsbehoerde fordert Nachweis der TOM.
+- Nach Datenpanne ist die TOM-Anlage auf Aktualitaet zu pruefen.
+- Bei Aenderung der Verarbeitung ist die TOM-Anlage anzupassen.
+
+## Rechtlicher Rahmen
+
+- Art. 32 Abs. 1 DSGVO: Geeignete TOM unter Beruecksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstaende und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos.
+- Art. 32 Abs. 1 lit. a bis d DSGVO: Pseudonymisierung und Verschluesselung, Vertraulichkeit, Integritaet, Verfuegbarkeit, Belastbarkeit, Wiederherstellbarkeit, regelmaessige Pruefung.
+- Art. 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
+- Art. 28 Abs. 3 lit. c DSGVO: TOM als Pflichtklausel im AVV.
+
+## Ablauf / Checkliste
+
+1. **Risikobewertung.**
+   - Art der Daten (Stamm-, Verkehrs-, Inhaltsdaten, Art. 9 DSGVO).
+   - Umfang und Zweck.
+   - Eintrittswahrscheinlichkeit und Schwere des Risikos fuer Betroffene.
+
+2. **Mindestkategorien (Art. 32 Abs. 1 DSGVO).**
+
+   | Kategorie | Massnahmenbeispiele |
+   |---|---|
+   | Pseudonymisierung | Pseudonymisierung in Test- und Entwicklungsumgebungen, technische Trennung der Zuordnungstabelle |
+   | Verschluesselung | TLS 1.3 in Transit; AES-256 at rest; Schluesselverwaltung HSM |
+   | Vertraulichkeit | Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungskontrolle |
+   | Integritaet | Weitergabekontrolle, Eingabekontrolle, Logging, Hashfunktionen |
+   | Verfuegbarkeit | Backup, RPO/RTO, Notfallplan, geo-redundante Speicherung |
+   | Belastbarkeit | DDoS-Schutz, Lastverteilung, Failover-Verfahren |
+   | Wiederherstellbarkeit | Backup-Tests, dokumentierte Wiederherstellungsverfahren |
+   | Regelmaessige Pruefung | jaehrliche TOM-Audits, Penetrationstests, Vulnerability Scans |
+
+3. **Organisatorische Massnahmen.**
+   - Datenschutzbeauftragter, Datenschutzschulungen (jaehrlich), Vertraulichkeitsverpflichtungen, IT-Sicherheits-Richtlinie, Incident-Response-Plan, Need-to-Know-Prinzip, Berechtigungsverwaltung, Joiner-Mover-Leaver-Prozess.
+
+4. **Zertifikate und Standards.**
+   - ISO/IEC 27001:2022.
+   - BSI IT-Grundschutz / BSI C5:2020 (Cloud-Spezifikum).
+   - SOC 2 Type II Trust Services Criteria.
+   - TISAX (Automotive).
+   - PCI-DSS (Zahlungsverkehr).
+
+5. **Sub-AV-Konsistenz.**
+   - Sub-AV muessen mindestens dasselbe TOM-Niveau einhalten.
+   - Vertragliche Durchleitung (Art. 28 Abs. 4 DSGVO).
+
+## Mustertext / Template
+
+TOM-Anlage (Strukturvorlage):
+
+```
+Anlage 2 zum Auftragsverarbeitungsvertrag
+Technische und organisatorische Massnahmen (Art. 32 DSGVO)
+
+Stand: [DATUM]
+Auftragsverarbeiter: [NAME]
+Pruefturnus: jaehrlich, unverzueglich bei wesentlicher Aenderung
+
+1. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
+   1.1 In Entwicklungs- und Testumgebungen werden personenbezogene Daten ausschliesslich in pseudonymisierter Form verarbeitet.
+   1.2 Die Zuordnungstabelle wird getrennt gespeichert; Zugriff nur fuer den Datenschutzbeauftragten.
+
+2. Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO)
+   2.1 In Transit: TLS 1.3 mit Forward Secrecy; SSL/TLS-Konfiguration gemaess BSI TR-02102.
+   2.2 At Rest: AES-256 (CBC oder GCM) fuer alle Datenbanken und Backups.
+   2.3 Schluesselverwaltung: HSM oder gleichwertige Loesung; jaehrliche Rotation.
+
+3. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
+   3.1 Zutrittskontrolle: physische Sicherung der Rechenzentren (24/7-Bewachung, Mehrfaktor-Zutritt).
+   3.2 Zugangskontrolle: Multi-Faktor-Authentifizierung fuer alle priviligierten Konten.
+   3.3 Zugriffskontrolle: rollenbasiertes Berechtigungsmodell, Least Privilege, periodische Rezertifizierung.
+   3.4 Trennungskontrolle: mandantenfaehige Trennung; logische Trennung mit eigener Zugriffskontrolle.
+
+4. Integritaet (Art. 32 Abs. 1 lit. b DSGVO)
+   4.1 Weitergabekontrolle: dokumentierte Schnittstellen, Audit-Log fuer alle Datenexporte.
+   4.2 Eingabekontrolle: nachvollziehbare Protokollierung aller Schreibvorgaenge auf personenbezogene Daten.
+   4.3 Hash-Funktionen: SHA-256 oder besser fuer Integritaetspruefungen.
+
+5. Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
+   5.1 Backup: taegliche inkrementelle Backups, woechentliche Vollbackups, Aufbewahrung 30 Tage.
+   5.2 RPO (Recovery Point Objective): hoechstens 24 Stunden.
+   5.3 RTO (Recovery Time Objective): hoechstens 8 Stunden fuer kritische Verarbeitungen.
+   5.4 Geo-Redundanz: synchrone Replikation in mindestens zwei EU-Rechenzentren.
+   5.5 DDoS-Schutz: vorgeschalteter Filter; SLA mit Provider.
+
+6. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
+   6.1 Notfallhandbuch; Notfalluebungen mindestens jaehrlich.
+   6.2 Dokumentierte Wiederherstellungsverfahren.
+   6.3 Verifikation der Wiederherstellbarkeit durch tatsaechlichen Wiederherstellungstest mindestens halbjaehrlich.
+
+7. Regelmaessige Pruefung (Art. 32 Abs. 1 lit. d DSGVO)
+   7.1 Penetrationstest durch unabhaengige Dritte mindestens jaehrlich.
+   7.2 Vulnerability Scan monatlich.
+   7.3 ISMS-internes Audit jaehrlich; externes Audit nach ISO 27001 jaehrlich.
+   7.4 TOM-Anlage wird mindestens jaehrlich auf Aktualitaet geprueft.
+
+8. Organisatorische Massnahmen
+   8.1 Datenschutzbeauftragter benannt; Kontaktangabe in Anlage 4.
+   8.2 Verschwiegenheitsverpflichtung aller Mitarbeitenden (Art. 28 Abs. 3 lit. b DSGVO).
+   8.3 Jaehrliche Datenschutzschulung; Schulungsnachweise vorhanden.
+   8.4 Joiner-Mover-Leaver-Prozess; sofortiger Entzug der Zugriffsrechte bei Austritt.
+   8.5 Incident-Response-Plan mit Meldewegen an den Verantwortlichen binnen 48 Stunden nach Kenntnis einer Datenpanne (Art. 33 DSGVO).
+
+9. Zertifikate und Standards
+   9.1 ISO/IEC 27001:2022 – Zertifizierungsdatum [DATUM], Zertifizierer [STELLE].
+   9.2 BSI C5:2020 Typ 2 – Stand [DATUM].
+   9.3 SOC 2 Type II – Berichtszeitraum [ZEITRAUM].
+
+10. Sub-Auftragsverarbeiter
+    10.1 Sub-AV unterliegen denselben oder gleichwertigen TOM gemaess Art. 28 Abs. 4 DSGVO.
+    10.2 Sub-AV-Audits werden auf Verlangen vorgelegt.
+```
+
+## Typische Drafting-Fehler
+
+- TOM-Anlage als Marketingbroschuere statt konkreter Massnahmen.
+- Pauschalformulierungen ("nach Stand der Technik") ohne konkrete Beschreibung.
+- Keine Aktualisierung seit Vertragsschluss.
+- Pseudonymisierung als Pflicht uebergangen, obwohl Art. 32 Abs. 1 lit. a DSGVO sie explizit benennt.
+- Keine RPO/RTO.
+- Keine Pruefturnusangaben.
+- Sub-AV-Konsistenz nicht adressiert.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-art-28-mindestinhalte-checkliste/SKILL.md`
+- `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+- `datenschutzrecht/skills/dpa-en-tom-annex-template/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Art. 25, Art. 28 Abs. 3 lit. c, Art. 32 DSGVO.
+- BSI TR-02102 (Kryptografische Verfahren).
+- ISO/IEC 27001:2022.
+- BSI C5:2020.
+- SOC 2 Trust Services Criteria.
+- Zitierweise: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenpanne-meldung/SKILL.md

@@ -0,0 +1,135 @@
+---
+name: datenpanne-meldung
+description: "Datenpanne nach Art. 33 34 DSGVO melden wenn Sicherheitsverletzung personenbezogener Daten vorliegt. Art. 33 34 DSGVO Meldepflichten § 65 BDSG. Prüfraster: Meldepflicht 72-Stunden-Frist Schwere Risikobewertung Behordenmeldung Betroffenenbenachrichtigung Dokumentation. Output: Meldeschreiben an Aufsichtsbehoerde Betroffenenbenachrichtigung Dokumentationsprotokoll. Abgrenzung: nicht für praeventive Massnahmen (dsfa-erstellung)."
+---
+
+# Datenpannen-Meldung (Art. 33/34 DSGVO)
+
+## Zweck
+
+Dieser Skill unterstützt beim strukturierten Umgang mit Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO). Er führt durch die dreistufige Prüfung: (1) Liegt eine meldepflichtige Datenschutzverletzung vor? (2) Muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden? (3) Besteht zusätzlich eine Benachrichtigungspflicht gegenüber Betroffenen? Anwendungsfälle: Ransomware-Angriff, versehentlich offengelegter Datenexport, gestohlener Laptop, Fehlversand personenbezogener Daten, unbefugter Mitarbeiterzugriff.
+
+## Eingaben
+
+Das Modell benötigt:
+
+- **Beschreibung des Vorfalls**: Was ist wann und wie passiert? (Zeitpunkt der Entdeckung, vermutlicher Zeitpunkt des Eintritts)
+- **Art der betroffenen Daten**: Kategorien (Art. 9/10 DSGVO?), Datenmenge, Anzahl betroffener Personen (geschätzt)
+- **Betroffene Personen**: Kunden, Mitarbeiter, Minderjährige, vulnerable Gruppen?
+- **Auswirkungen**: Welche Konsequenzen (Diskriminierung, Identitätsdiebstahl, finanzielle Schäden, Rufschädigung) drohen?
+- **Zugang/Kontrolle**: Haben Unbefugte Daten eingesehen, kopiert, vernichtet oder verändert?
+- **Bereits getroffene Maßnahmen**: Was hat der Mandant bereits unternommen?
+- **Entdeckungsdatum**: Wann hat der Verantwortliche Kenntnis erlangt? (72-Stunden-Frist ab diesem Zeitpunkt)
+- **Auftragsverarbeiter beteiligt?**: Liegt ein Vorfall beim AVV-Partner vor (Art. 33 Abs. 2 DSGVO)?
+
+## Rechtlicher Rahmen
+
+### Primärnormen
+
+- **Art. 4 Nr. 12 DSGVO**: Definition "Verletzung des Schutzes personenbezogener Daten" – Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugang zu personenbezogenen Daten.
+- **Art. 33 Abs. 1 DSGVO**: Meldepflicht des Verantwortlichen an zuständige Aufsichtsbehörde; Frist: 72 Stunden nach Kenntniserlangung; bei verspäteter Meldung: Begründungspflicht.
+- **Art. 33 Abs. 3 DSGVO**: Inhalt der Meldung: Beschreibung des Vorfalls, Kategorien und Anzahl Betroffener, Datenkategorien und -mengen, Kontaktdaten DPO, wahrscheinliche Folgen, ergriffene/geplante Maßnahmen.
+- **Art. 33 Abs. 4 DSGVO**: Nachlieferung von Informationen in Stufen zulässig, wenn nicht alle Informationen sofort verfügbar.
+- **Art. 33 Abs. 5 DSGVO**: Dokumentationspflicht aller Verletzungen, auch wenn keine Meldung erforderlich (internes Register).
+- **Art. 34 DSGVO**: Benachrichtigungspflicht gegenüber betroffenen Personen, wenn Verletzung voraussichtlich hohes Risiko für Rechte und Freiheiten natürlicher Personen birgt.
+- **Art. 34 Abs. 3 DSGVO**: Ausnahmen von der Benachrichtigungspflicht (geeignete Schutzmaßnahmen, Unverhältnismäßigkeit des Aufwands, behördliche Anordnung).
+
+### Leitentscheidungen
+
+1. Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+2. Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+### EDSA-Leitlinien
+
+EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, angenommen 28.03.2023: Enthält Fallkatalog typischer Datenpannen (Ransomware, Fehlversand, Datenverlust) mit Musterlösungen zur Risikoeinschätzung und Meldepflicht. Verbindliche Auslegungshilfe für Art. 33/34 DSGVO.
+
+## Ablauf
+
+**Schritt 1 – Sofortreaktion und Zeitsicherung**
+- Exakten Zeitpunkt der Kenntniserlangung (durch wen, wie, wann) dokumentieren.
+- 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO ab diesem Zeitpunkt berechnen.
+- DPO (sofern bestellt, Art. 37 DSGVO) unverzüglich einbinden.
+
+**Schritt 2 – Vorfallscharakterisierung**
+- Prüfen: Verletzung i.S.d. Art. 4 Nr. 12 DSGVO (Vernichtung/Verlust/Veränderung/Offenlegung)?
+- Art des Schadens klassifizieren: Vertraulichkeitsverletzung (Offenlegung), Integritätsverletzung (Manipulation), Verfügbarkeitsverletzung (Vernichtung/Verlust).
+
+**Schritt 3 – Risikoeinschätzung (Schwellenwertprüfung)**
+- Kein Risiko: Keine Meldepflicht (Art. 33 Abs. 1 a.E. DSGVO), nur interne Dokumentation.
+- Risiko vorhanden: Meldung an Aufsichtsbehörde nach Art. 33 DSGVO.
+- Hohes Risiko: Zusätzlich Benachrichtigung Betroffener nach Art. 34 DSGVO.
+- Faktoren: Sensibilität der Daten (Art. 9/10 DSGVO-Kategorien erhöhen Risiko), Anzahl Betroffener, Identifizierbarkeit, finanzieller/sozialer Schaden, EDSA-Guidelines 9/2022.
+
+**Schritt 4 – Meldung an Aufsichtsbehörde**
+- Zuständige Behörde bestimmen: LfDI/LDA des Bundeslandes des Verantwortlichen (Hauptniederlassung); BfDI für Bundesbehörden und Telekommunikation.
+- Online-Meldetools nutzen (jede LfDI unterhält eigenes Meldeportal).
+- Inhalt nach Art. 33 Abs. 3 DSGVO: Art der Verletzung, Kategorien/Anzahl Betroffener, Datenkategorien/-mengen, Kontakt DPO/Datenschutzbeauftragter, Folgen, Maßnahmen.
+- Teilmeldung zulässig (Art. 33 Abs. 4 DSGVO); Nachlieferung dokumentieren.
+
+**Schritt 5 – Betroffenenbenachrichtigung (bei hohem Risiko)**
+- Inhalt nach Art. 34 Abs. 2 DSGVO: Klare Beschreibung der Verletzung, Kontaktdaten DPO, wahrscheinliche Folgen, Abhilfemaßnahmen.
+- Sprache: klar und verständlich, kein Fachjargon (Art. 12 Abs. 1 DSGVO).
+- Ausnahmen prüfen: Verschlüsselung (Art. 34 Abs. 3 lit. a), öffentliche Bekanntmachung (lit. c), unverhältnismäßiger Aufwand.
+
+**Schritt 6 – Interne Dokumentation**
+- Eintrag in internes Verletzungsregister (Art. 33 Abs. 5 DSGVO): Auch bei nicht meldepflichtigen Vorfällen.
+- Zeitstempel, Maßnahmen, Entscheidungsgrundlagen festhalten.
+
+## Ausgabeformat
+
+- **Risiko-Einschätzungsmatrix** (Tabelle): Datenkategorien × Risikograd × Meldepflicht × Benachrichtigungspflicht.
+- **Meldeformular-Entwurf** (strukturierter Text nach Art. 33 Abs. 3 DSGVO).
+- **Betroffenenbrief** (klare Sprache nach Art. 34 Abs. 2 DSGVO).
+- **Internes Incident-Protokoll** (für Dokumentationspflicht Art. 33 Abs. 5 DSGVO).
+
+## Beispiel
+
+**Sachverhalt**: IT-Dienstleister des Unternehmens U meldet am 10.03.2025 um 09:00 Uhr, dass am 09.03.2025 um 22:00 Uhr unbekannte Dritte durch eine Sicherheitslücke auf eine Kundendatenbank mit 4.000 E-Mail-Adressen, Namen und Bestellhistorien zugegriffen haben.
+
+**Gutachtenstil**:
+
+*Fristbeginn*: Kenntniserlangung durch U am 10.03.2025 um 09:00 Uhr. Die 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO läuft bis zum 13.03.2025 um 09:00 Uhr.
+
+*Meldepflicht*: Eine Datenschutzverletzung i.S.d. Art. 4 Nr. 12 DSGVO (unbefugte Offenlegung) liegt vor. Angesichts von 4.000 Betroffenen und personenbezogenen Daten der Bestellhistorie besteht ein Risiko für Rechte und Freiheiten; die Ausnahme "kein Risiko" greift nicht. Meldung an LfDI ist spätestens bis 13.03.2025 erforderlich (Art. 33 Abs. 1 DSGVO; EDSA Guidelines 9/2022, Beispiel 9).
+
+*Benachrichtigungspflicht*: Ob ein hohes Risiko i.S.d. Art. 34 Abs. 1 DSGVO vorliegt, hängt davon ab, ob Dritte die Daten gezielt ausgenutzt haben (z.B. Phishing). Bei bloßem Zugriff ohne Nachweis der Datennutzung ist die Schwelle zum "hohen Risiko" nach EDSA Guidelines 9/2022 noch nicht zwingend erreicht; Einzelfallbewertung erforderlich.
+
+*Dokumentation*: Unabhängig vom Ergebnis ist der Vorfall im internen Register nach Art. 33 Abs. 5 DSGVO zu dokumentieren.
+
+## Risiken und typische Fehler
+
+- **Fristversäumnis**: 72 Stunden ab Kenntniserlangung, nicht ab interner Aufklärung; Unkenntnis schützt nicht – der Verantwortliche muss organisatorisch sicherstellen, dass Vorfälle unverzüglich weitergeleitet werden.
+- **Auftragsverarbeiter-Frist verwechseln**: AVV-Partner muss unverzüglich (ohne nennenswerte Verzögerung) an Verantwortlichen melden (Art. 33 Abs. 2 DSGVO); die 72-Stunden-Frist des Verantwortlichen beginnt mit dessen Kenntniserlangung.
+- **Risikoeinschätzung zu lasch**: Keine Meldung trotz erkennbaren Risikos; Aufsichtsbehörden bewerten ex post streng, insb. bei Art. 9-Daten.
+- **Unvollständige Meldung**: Teilmeldung ist zulässig, aber Nachlieferung muss dokumentiert und nachgereicht werden.
+- **Betroffenenbenachrichtigung verzögert**: Bei hohem Risiko muss unverzüglich benachrichtigt werden (Art. 34 Abs. 1 DSGVO); keine 72-Stunden-Frist, aber kein Zuwarten auf Ermittlungsergebnis.
+- **Fehlende interne Dokumentation**: Auch nicht meldepflichtige Vorfälle müssen ins interne Register; fehlendes Register ist eigenständiger Verstoß.
+- **Bußgeldrisiko**: Verstöße gegen Art. 33/34 DSGVO sind nach Art. 83 Abs. 4 lit. a DSGVO mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes sanktionierbar.
+
+## Quellenpflicht
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+
+## Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei neuen EuGH-Entscheidungen zum Schadensersatz nach Art. 82 DSGVO, EDSA-Updates zu den Guidelines 9/2022 sowie Änderungen der nationalen Meldeportale der Aufsichtsbehörden.
+
+## Faktische Updates (Stand 05/2026)
+
+- **NIS-2-UmsuCG (deutsches Umsetzungsgesetz):** in Kraft seit Ende 2025 (BSIG n. F.). Bei meldepflichtigen Datenpannen, die zugleich Cyber-Sicherheitsvorfaelle bei wichtigen oder besonders wichtigen Einrichtungen sind, parallel zur DSGVO-Meldung an die Aufsichtsbehoerde die BSI-Meldung nach § 32 BSIG n. F. binnen 24 h (Fruehwarnung), 72 h (Vorfallsmeldung) und 1 Monat (Abschlussbericht) abgeben. Quelle: BGBl 2025, BSI-Portal bsi.bund.de.
+- **Art. 82 DSGVO — Schadensersatz EuGH-Linie:** Der blosse Kontrollverlust kann immateriellen Schaden begruenden, ein automatischer Anspruch entsteht aber nicht. Verschulden des Verantwortlichen wird vermutet, Entlastung moeglich. Konkrete Aktenzeichen vor Zitat live ueber curia.europa.eu pruefen.
+- **EDSA Guidelines 9/2022 zu Datenpannen:** Endfassung (angenommen 28.03.2023) ist verbindliche Auslegungshilfe; enthaelt Fallkatalog Ransomware, Phishing, Exfiltration, Fehlversand, Diebstahl mit konkreten Risikoampeln. Quelle: edpb.europa.eu/our-work-tools/our-documents/guidelines.
+- **BfDI / Landesdatenschutzbehoerden:** Bei standortuebergreifenden Vorfaellen Federfuehrung nach Art. 56 DSGVO (One-Stop-Shop) klaeren. BfDI fuer Bundes- und TK-/Postwesen; LDA-Bayern, LfDI BW etc. fuer privatwirtschaftliche Verantwortliche.
+
+**Querverweise:**
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — bei Datenpannen mit Drittlandbezug (Benachrichtigungspflicht des Importeurs)
+- `datenschutzrecht/skills/dsfa-erstellung/SKILL.md` — Nachträgliche DSFA-Prüfung nach Datenpanne; Vorab-Konsultation Art. 36 DSGVO
+- `datenschutzrecht/skills/avv-pruefung/SKILL.md` — Meldepflicht des Auftragsverarbeiters nach Art. 33 Abs. 2 DSGVO im AVV-Kontext
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

datenschutzrecht/skills/datenschutz-auskunftei-restschuldbefreiung-art17/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-auskunftei-restschuldbefreiung-art17
+description: "Art. 17 DSGVO im Auskunfteifall: Interessenabwägung, öffentliche Registerfrist, Einschränkung, Widerspruch und gerichtliche Durchsetzung."
+---
+
+# Art. 17 DSGVO gegen Auskunftei nach Restschuldbefreiung
+
+## Einsatz
+
+Wenn Auskunftei Löschung ablehnt oder nur sperrt.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 6 Abs. 1 lit. f, Art. 17, 18, 21; EuGH C-26/22/C-64/22.
+
+## Arbeitsfragen
+
+1. Welche Rechtsgrundlage nennt die Auskunftei?
+2. Welche Interessen werden konkret behauptet?
+3. Welche Nachteile entstehen dem Betroffenen?
+
+## Output
+
+Red-Team der Ablehnung und Klage-/Beschwerdebaustein.
+
+## Red Flags
+
+- pauschales Brancheninteresse
+- keine Empfängerliste
+- Löschung mit Berichtigung verwechselt
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutz-auskunftsersuchen-art-15-praxis/SKILL.md

@@ -0,0 +1,123 @@
+---
+name: datenschutz-auskunftsersuchen-art-15-praxis
+description: "Auskunftsersuchen nach Art. 15 DSGVO praxisgerecht abarbeiten. Frist Art. 12 III DSGVO ein Monat Verlaengerung um zwei Monate moeglich Begruendung im ersten Monat. Sieben-Fragen-Diagnose zur Mandantenbeurteilung. Schritt-fuer-Schritt-Anleitung: Identitaet pruefen Datenkategorien sammeln Empfaengerkreis bestimmen Datenkopie Art. 15 III DSGVO erstellen. EuGH C-487/21 Datenkopie EuGH C-307/22 Patientenakte EuGH C-579/21 Empfaengerangabe. Mustertexte fuer Antwortbrief und Kopfbestaetigung. Abgrenzung: keine Schadensersatzklage (datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit)."
+---
+
+# Datenschutz Auskunftsersuchen — Art. 15 DSGVO in der Praxis
+
+## Zweck
+
+Dieser Skill bearbeitet ein eingegangenes Auskunftsersuchen nach Art. 15 DSGVO so, dass die Frist nach Art. 12 III DSGVO gewahrt, der Umfang nach Art. 15 I und III DSGVO erfuellt und das Risiko einer Beschwerde nach Art. 77 DSGVO oder Klage nach Art. 82 DSGVO minimiert wird.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald ein Mandant ein Auskunftsersuchen erhalten hat — egal ob formal als Schreiben, per E-Mail, im Kuendigungskontext, im Arbeitsgerichtsprozess oder als Vorbereitung einer Klage gegen den Mandanten.
+
+Sieben-Fragen-Diagnose:
+
+1. **Wer fragt?** Eigener Mitarbeiter, frueherer Mitarbeiter, Kunde, frueherer Kunde, Konkurrent, Gegnervertreter? Ist Identitaet zweifelsfrei (Art. 12 VI DSGVO)?
+2. **Was wird gefragt?** Pauschale Anfrage "alle Daten" oder gezielte Anfrage zu bestimmten Verarbeitungen?
+3. **Welche Datenkategorien sind beim Mandanten gespeichert?** HR-System, CRM, Telefonie, Videoueberwachung, E-Mail-Archiv, Cloud, Backups?
+4. **Wann ist die Anfrage eingegangen?** Frist Art. 12 III DSGVO laeuft ab Eingang.
+5. **Liegt missbraeuchliche Verwendung nahe** (Art. 12 V DSGVO offenkundig unbegruendet oder exzessiv)?
+6. **Berufsgeheimnisse oder Drittinteressen** (Art. 15 IV DSGVO Rechte und Freiheiten anderer)?
+7. **Konkurrierende Pflichten:** Aufbewahrung HGB AO, Geheimhaltungspflichten, Whistleblower-Schutz, laufende Verfahren?
+
+## Rechtlicher Rahmen
+
+- **Art. 15 I DSGVO** Recht auf Bestaetigung und Auskunft ueber Verarbeitungszwecke, Datenkategorien, Empfaenger, Speicherdauer, Rechte, Beschwerderecht, Datenherkunft, automatisierte Entscheidungsfindung.
+- **Art. 15 III DSGVO** Kopie der personenbezogenen Daten. Erste Kopie kostenlos. EuGH C-487/21 (Bundesamt fuer Verbraucherschutz / Oesterreichische Datenschutzbehoerde, Urteil 04.05.2023): "Kopie" ist Reproduktion, nicht zwingend Originaldokument, aber so, dass Betroffener Verarbeitungspflichten verstehen und Rechte ausueben kann.
+- **EuGH C-307/22** (Urteil 26.10.2023): Auskunft umfasst auch Patientenaktenausdrucke unentgeltlich, soweit zur Wahrung der Rechte des Betroffenen erforderlich.
+- **EuGH C-579/21** (Urteil 22.06.2023): Identitaet konkreter Empfaenger ist anzugeben, wenn der Verantwortliche Empfaengerangaben vorhalten kann; Auswahl Kategorien nur, wenn konkrete Identitaet nicht moeglich.
+- **Art. 12 III DSGVO** Frist ein Monat, Verlaengerung um zwei weitere Monate moeglich; Begruendung innerhalb des ersten Monats.
+- **Art. 12 V DSGVO** offenkundig unbegruendet oder exzessiv: Entgelt oder Verweigerung; Beweislast beim Verantwortlichen.
+- **Art. 15 IV DSGVO** Rechte und Freiheiten anderer als Schranke.
+- **§ 34 BDSG** Einschraenkungen des Auskunftsrechts (z. B. Geheimhaltung nach gesetzlicher Norm).
+- **§ 29 BDSG** Sperrung statt Loeschung in besonderen Faellen.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst:** Eingangsdatum dokumentieren, Frist im Fristenkalender, Identitaet pruefen. **Nicht** schon eine pauschale Empfangsbestaetigung senden, die zu viel zusagt.
+2. **Als zweites:** Beim Mandanten Datenbestaende erheben (HR, CRM, Mail, Cloud, Backup, Drittsysteme). Konkrete Anfrage an IT-Leitung mit Frist.
+3. **Als drittes:** Risikoampel: Sind Drittpersonen erkennbar (Mitarbeiter, andere Kunden), Berufsgeheimnisse, laufende Verfahren? Bei Konflikt Art. 15 IV DSGVO pruefen.
+4. **Als viertes:** Pruefung Art. 12 V DSGVO — wenn Anfrage offenkundig exzessiv (z. B. dritte Anfrage in vier Wochen ohne neuen Bezug), Verweigerung mit Begruendung dokumentieren. Beweislast beachten.
+5. **Als fuenftes:** Antwortbrief erstellen. Nicht voreilig zusenden. Mandantenfreigabe einholen.
+6. **NICHT:** Pauschal alles loeschen, um Auskunft zu vermeiden — das ist Verstoss gegen Art. 5 DSGVO (Rechenschaftspflicht) und Art. 17 (Loeschung nur bei Voraussetzungen).
+7. **NICHT:** Aufsichtsbehoerde von sich aus informieren.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Vollumfaengliche Auskunft mit Kopie aller Datenkategorien | Erfuellt Art. 15 I und III rechtssicher | Hoher Aufwand, Risiko Offenlegung interner Bewertungen |
+| Schmale Auskunft mit Kategorien statt Einzelempfaenger | Schnell, Drittinteressen geschuetzt | EuGH C-579/21 fordert konkrete Empfaenger, soweit moeglich |
+| Verweigerung Art. 12 V (exzessiv) | Spart Aufwand | Beweislast beim Verantwortlichen, hohe Bussgeldgefahr |
+| Fristverlaengerung Art. 12 III S. 2 | Mehr Zeit, sauberes Ergebnis | Begruendung innerhalb erster Monat zwingend |
+
+## Mustertexte
+
+### Empfangsbestaetigung (Tag 1-3)
+
+> Sehr geehrte/r [Name],
+>
+> Ihr Schreiben vom [Datum] mit Ihrem Auskunftsersuchen nach Art. 15 DSGVO ist am [Datum] eingegangen. Wir werden Ihren Antrag innerhalb der Frist nach Art. 12 Abs. 3 DSGVO bearbeiten. Sollten zur Identifikation weitere Angaben erforderlich sein, melden wir uns. Bitte beachten Sie, dass wir aus Datenschutzgruenden Auskuenfte nur nach Identifikation erteilen koennen (Art. 12 Abs. 6 DSGVO).
+>
+> Mit freundlichen Gruessen
+
+### Fristverlaengerungsschreiben (innerhalb erster Monat)
+
+> Sehr geehrte/r [Name],
+>
+> Ihr Auskunftsersuchen vom [Datum] wird mit Sorgfalt bearbeitet. Aufgrund der Komplexitaet und des Umfangs der Anfrage [konkret: betroffene Systeme HR, CRM, Mail-Archiv, Backup] verlaengern wir die Frist gemaess Art. 12 Abs. 3 Satz 2 DSGVO um zwei weitere Monate bis zum [Datum]. Wir bitten um Verstaendnis.
+>
+> Mit freundlichen Gruessen
+
+### Antwortbrief (Kopf)
+
+> Auskunft nach Art. 15 DSGVO — Schreiben vom [Datum] in Sachen [Name]
+>
+> 1. Verarbeitungszwecke: [konkret].
+> 2. Datenkategorien: [konkret, z. B. Vertragsdaten, Kommunikationsdaten].
+> 3. Empfaenger: [konkret nach EuGH C-579/21, soweit moeglich; Kategorien nur wenn konkrete Empfaenger nicht ermittelbar].
+> 4. Speicherdauer / Kriterien fuer Festlegung.
+> 5. Beschwerderecht nach Art. 77 DSGVO bei [zustaendige Aufsichtsbehoerde].
+> 6. Datenherkunft (Art. 14 II f DSGVO).
+> 7. Bestehen automatisierter Entscheidungsfindung (Art. 22 DSGVO): [ja/nein, Logik, Tragweite].
+> 8. Anlage: Kopie der personenbezogenen Daten nach Art. 15 III DSGVO.
+
+## Typische Fehler
+
+- Frist Art. 12 III uebersehen, weil Posteingang nicht zentralisiert.
+- Pauschal "wir verarbeiten keine Daten" antworten, obwohl HR-System Mitarbeiterdaten enthaelt.
+- Drittnamen ungeschwaerzt mit ausliefern.
+- Konkurrierende Aufbewahrungspflichten (HGB AO) mit Loeschpflicht verwechseln und Daten vor Beantwortung loeschen.
+- Kosten verlangen ohne Tatbestand Art. 12 V (offenkundig unbegruendet oder exzessiv) nachzuweisen.
+
+**Was triggert die Aufsichtsbehoerde?** Vorlage nicht innerhalb Monatsfrist, fehlende Kopie, fehlende Empfaengerangabe trotz EuGH C-579/21, keine Aufklaerung ueber automatisierte Entscheidungsfindung.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-betroffenenrechte-art-15-22-orchestriert`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
+- `datenschutz-loeschpflicht-art-17-und-aufbewahrung`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 12, 15, 22.
+- EuGH C-487/21 (Urteil 04.05.2023): Datenkopie nach Art. 15 III DSGVO.
+- EuGH C-307/22 (Urteil 26.10.2023): Auskunft Patientenakte unentgeltlich.
+- EuGH C-579/21 (Urteil 22.06.2023): Empfaengerangabe.
+- BDSG § 29, § 34.
+- EDSA, Leitlinien 01/2022 zu Betroffenenrechten — Auskunft, Version 2.0, angenommen 28.03.2023.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-bank-ablehnung-score-beweisplan/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-bank-ablehnung-score-beweisplan
+description: "Beweis- und Anspruchsplan bei Konto-, Kredit-, Leasing- oder Mietablehnung wegen Auskunftei-/Score-Daten."
+---
+
+# Bankablehnung wegen Score: Beweisplan
+
+## Einsatz
+
+Für Betroffene, die nur eine diffuse Ablehnung erhalten.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 15, 17, 21, 22, 82; BGB AGG nur falls einschlägig; ZPO Beweis.
+
+## Arbeitsfragen
+
+1. Welche Entscheidung wurde abgelehnt?
+2. Welche Auskunftei wurde abgefragt?
+3. Welche menschliche Prüfung ist dokumentiert?
+
+## Output
+
+Beweisplan, Auskunftskaskade an Bank/Auskunftei und Schadensersatznotiz.
+
+## Red Flags
+
+- Bank nennt keinen Grund
+- Score ist nur ein Faktor
+- Schaden nicht dokumentiert
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutz-beschwerde-art-77-aufsichtsbehoerde/SKILL.md

@@ -0,0 +1,145 @@
+---
+name: datenschutz-beschwerde-art-77-aufsichtsbehoerde
+description: "Beschwerde Art. 77 DSGVO bei zustaendiger Aufsichtsbehoerde einreichen oder abwehren. Sieben-Fragen-Diagnose: Beschwerdefuehrer oder Beschwerdegegner Aufsicht zustaendig BfDI § 13 BDSG oder Land § 40 BDSG Sachverhalt Norm konkret Beweise Mandatsziel. Schritt-fuer-Schritt fuer beide Seiten. Mustertexte fuer Beschwerdeschreiben Stellungnahme und Anhoerungsantwort. EuGH C-26/22 SCHUFA Beschwerdeentscheidung gerichtlich voll ueberpruefbar. Abgrenzung: keine Bussgeldverteidigung im engeren Sinn (datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung)."
+---
+
+# Datenschutz Beschwerde Art. 77 DSGVO — Aufsichtsbehoerden-Praxis
+
+## Zweck
+
+Dieser Skill bearbeitet das Beschwerdeverfahren nach Art. 77 DSGVO. Er hilft dem Beschwerdefuehrer, eine wirksame Beschwerde einzureichen, und dem Beschwerdegegner, im Verfahren der Aufsichtsbehoerde fundiert Stellung zu nehmen.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald (a) ein Mandant Beschwerde einlegen will, (b) der Mandant Adressat einer Beschwerde ist und von der Aufsichtsbehoerde angehoert wird, oder (c) eine Beschwerde durch Untaetigkeitsklage durchgesetzt werden soll.
+
+Sieben-Fragen-Diagnose:
+
+1. **Beschwerdefuehrer oder Beschwerdegegner?**
+2. **Zustaendige Aufsichtsbehoerde:** BfDI nach § 13 BDSG (Telekommunikation, Post, Bundesbehoerden) oder Landesaufsicht nach § 40 BDSG (privater Bereich, Landesbehoerden)? Federfuehrende Behoerde nach Art. 56 DSGVO?
+3. **Sachverhalt:** Welche konkrete Verarbeitung mit welchem Anbieter, welches Datum?
+4. **Norm:** Welche DSGVO-Norm konkret verletzt — nicht pauschal "DSGVO".
+5. **Beweise:** Mailverkehr, Antworten auf Art. 15 Auskunftsersuchen, Screenshots, Vertraege?
+6. **Mandatsziel:** Aufsichtliche Massnahme, Bussgeldverfahren, Schadensersatzanspruch vorbereiten?
+7. **Vorverfahren:** Hat der Mandant zuvor direkt beim Verantwortlichen interveniert (nicht zwingend, aber haeufig erwartet)?
+
+## Rechtlicher Rahmen
+
+- **Art. 77 I DSGVO** Recht auf Beschwerde bei jeder Aufsichtsbehoerde, insbesondere im Mitgliedstaat des Aufenthalts, des Arbeitsplatzes oder des mutmasslichen Verstosses.
+- **Art. 77 II DSGVO** Behoerde unterrichtet Beschwerdefuehrer ueber Verlauf, Ergebnis und gerichtliche Rechtsbehelfe.
+- **Art. 78 DSGVO** Wirksamer gerichtlicher Rechtsbehelf gegen Aufsichtsbehoerde — auch bei Untaetigkeit nach drei Monaten.
+- **Art. 80 I DSGVO** Vertretung durch Einrichtungen, Organisationen, Vereinigungen.
+- **Art. 56 DSGVO** federfuehrende Behoerde bei grenzueberschreitender Verarbeitung.
+- **EuGH C-26/22 SCHUFA** (Urteil 07.12.2023, in Verbindung mit C-634/21 und C-26/22): Entscheidungen ueber Beschwerden sind gerichtlich voll ueberpruefbar; Aufsicht hat Ermessen, aber kein freies Belieben.
+- **§ 13 BDSG** BfDI.
+- **§ 40 BDSG** Aufsichtsbehoerden der Laender.
+- **VwGO § 113 V** Verpflichtungsklage / Untaetigkeitsklage.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+### Beschwerdefuehrerseite
+
+1. **Zuerst:** Vorverfahren beim Verantwortlichen — schriftliche Anfrage Art. 15 DSGVO mit Frist; Antwort dokumentieren.
+2. **Als zweites:** Belegmatrix erstellen (Sachverhalt, Norm, Beweis).
+3. **Als drittes:** Zustaendige Aufsicht ermitteln. Bei Privatwirtschaft Landesaufsicht am Sitz des Verantwortlichen oder am Aufenthaltsort des Beschwerdefuehrers (Art. 77 I).
+4. **Als viertes:** Beschwerdeschreiben einreichen (Mustertext unten).
+5. **Als fuenftes:** Drei-Monats-Frist Art. 78 II abwarten, dann Untaetigkeitsklage erwaegen.
+
+### Beschwerdegegnerseite
+
+1. **Zuerst:** Anhoerungsschreiben analysieren. Was wird konkret vorgeworfen?
+2. **Als zweites:** Akteneinsicht beantragen.
+3. **Als drittes:** NICHT vorschnell schriftlich Selbstvorwuerfe formulieren. Sachlich neutrale Sprache.
+4. **Als viertes:** Stellungnahme mit konkreten Belegen (Art. 30 Verarbeitungsverzeichnis, Art. 32 TOM, Art. 35 DSFA).
+5. **Als fuenftes:** Mandantenfreigabe vor Versand.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Beschwerde sofort, ohne Vorverfahren | Schnell | Aufsicht erwartet oft direkte Kontaktaufnahme |
+| Vorverfahren mit Art. 15 + Frist, dann Beschwerde | Saubere Belegmatrix | Zeitverlust |
+| Beschwerdegegner: kooperativ und ausfuehrlich | Bussgeldmilderung Art. 83 II c | Selbstbelastungsrisiko |
+| Beschwerdegegner: sachlich knapp | Risikominimierung | Aufsicht ggf. unzufrieden, weitere Anfragen |
+
+## Mustertexte
+
+### Beschwerdeschreiben (Kerntext)
+
+> An die [Aufsichtsbehoerde, Anschrift]
+> Aktenzeichen: [neue Sache]
+>
+> Beschwerde nach Art. 77 DSGVO gegen [Verantwortlicher, Anschrift]
+>
+> I. Beschwerdefuehrer
+> [Name, Anschrift]
+>
+> II. Beschwerdegegner
+> [Verantwortlicher, Anschrift]
+>
+> III. Sachverhalt
+> [konkret und chronologisch, Anlagen referenzieren]
+>
+> IV. Verletzung
+> [DSGVO-Norm konkret, z. B. Art. 6 I, Art. 13, Art. 15, Art. 17 DSGVO]
+>
+> V. Belege
+> Anlage 1: [Schreiben Auskunftsersuchen Art. 15 mit Antwort]
+> Anlage 2: [Screenshots, Mailverkehr]
+>
+> VI. Antrag
+> Wir bitten die Aufsichtsbehoerde um Aufnahme der Beschwerde, Pruefung des Sachverhalts und Mitteilung des Verfahrensstands gemaess Art. 77 Abs. 2 DSGVO. Hilfsweise: Erlass einer Anordnung nach Art. 58 Abs. 2 DSGVO.
+>
+> [Datum, Unterschrift, ggf. anwaltliche Vertretung]
+
+### Stellungnahme Beschwerdegegner — Strukturvorschlag
+
+> 1. Verfahrensrechtliche Stellungnahme (Zustaendigkeit, Akteneinsicht).
+> 2. Sachverhalt aus Sicht des Verantwortlichen (neutral).
+> 3. Rechtliche Bewertung mit DSGVO-Norm.
+> 4. Massnahmenlage Art. 30, 32, 35 (mit Belegen).
+> 5. Verarbeitungsgrundlage Art. 6 DSGVO (konkret).
+> 6. Antrag: Einstellung des Verfahrens; hilfsweise schriftliche Verwarnung Art. 58 II b.
+
+### Untaetigkeitsschreiben nach drei Monaten
+
+> Sehr geehrte Damen und Herren,
+>
+> seit Einreichung der Beschwerde nach Art. 77 DSGVO vom [Datum] ist nunmehr ueber drei Monate ohne Verfahrensentscheidung vergangen. Wir bitten um Mitteilung des Verfahrensstands gemaess Art. 77 Abs. 2 DSGVO. Sollten wir bis zum [Datum] keine Antwort erhalten, behalten wir uns die Klage nach Art. 78 DSGVO vor.
+
+## Typische Fehler
+
+- Beschwerde bei oertlich unzustaendiger Aufsicht — Verzoegerung durch Abgabe.
+- Pauschalvorwurf "DSGVO verletzt" ohne konkrete Norm.
+- Belege fehlen oder sind nicht referenziert.
+- Drei-Monats-Frist Art. 78 II ueberhoert.
+- Beschwerdegegner antwortet ungebremst und produziert Bussgeldakte.
+
+**Was triggert die Aufsicht zu nachhaltigem Verfahren?** Wiederholungstaeter, Konflikt mit gesetzlichem DSB, Beschwerde durch organisierte Verbraucherzentrale Art. 80 DSGVO.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+- `datenschutz-auskunftsersuchen-art-15-praxis`
+- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
+- `datenschutz-livecheck-bfdi-laender-aufsichtsbehoerden`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 56, 58, 77, 78, 80.
+- BDSG § 13, § 40.
+- VwGO § 113 V.
+- EuGH C-26/22 SCHUFA, Urteil 07.12.2023.
+- EuGH C-634/21 SCHUFA, Urteil 07.12.2023.
+- EDSA, Leitlinien zur Zusammenarbeit nach Art. 56 ff. DSGVO.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-beschwerde-aufsicht-auskunftei/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-beschwerde-aufsicht-auskunftei
+description: "Beschwerde nach Art. 77 DSGVO gegen SCHUFA/Credit Agency: Zuständigkeit, Sachverhalt, Anträge, Belege, gerichtliche Kontrolle."
+---
+
+# Aufsichtsbeschwerde gegen Auskunftei
+
+## Einsatz
+
+Wenn Auskunftei nicht löscht, nicht erklärt oder Betroffenenrechte verschleppt.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 57, 58, 77, 78; BDSG/Landesrecht Zuständigkeit; EuGH C-26/22.
+
+## Arbeitsfragen
+
+1. Welche Aufsicht ist zuständig?
+2. Welche Pflichtverletzung ist belegbar?
+3. Welche Entscheidung wird begehrt?
+
+## Output
+
+Beschwerdeschrift, Anlagenverzeichnis und Follow-up-Kalender.
+
+## Red Flags
+
+- falsche Aufsicht
+- Beschwerde ohne konkrete Anträge
+- zivilrechtlicher Schaden nicht getrennt
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutz-betroffenenrechte-art-15-22-orchestriert/SKILL.md

@@ -0,0 +1,121 @@
+---
+name: datenschutz-betroffenenrechte-art-15-22-orchestriert
+description: "Saemtliche Betroffenenrechte nach Art. 15 bis 22 DSGVO orchestriert bearbeiten Auskunft Berichtigung Loeschung Einschraenkung Datenuebertragbarkeit Widerspruch automatisierte Entscheidung. Sieben-Fragen-Diagnose und Schritt-fuer-Schritt-Anleitung. Routing zu Spezialskills. Mustertexte fuer Sammelantwort. Frist Art. 12 III DSGVO ein Monat mit Verlaengerung um zwei Monate. EuGH C-487/21 Datenkopie C-579/21 Empfaengerangabe. Abgrenzung: einzelne Spezialantraege gehen ueber spezielle Skills (datenschutz-auskunftsersuchen-art-15-praxis datenschutz-loeschpflicht-art-17-und-aufbewahrung)."
+---
+
+# Datenschutz Betroffenenrechte — Art. 15 bis 22 DSGVO orchestriert
+
+## Zweck
+
+Dieser Skill orchestriert die Bearbeitung mehrerer kombinierter Betroffenenrechte in einem Vorgang — etwa wenn ein Betroffener gleichzeitig Auskunft (Art. 15), Loeschung (Art. 17), Datenuebertragbarkeit (Art. 20) und Widerspruch (Art. 21) verlangt. Ziel ist Konfliktaufloesung, einheitliche Frist, Vermeidung von Doppelarbeit.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald ein Antrag mehr als nur ein Betroffenenrecht enthaelt oder sich Rechte ueberlappen (z. B. Auskunft und Loeschung).
+
+Sieben-Fragen-Diagnose:
+
+1. **Welche Rechte werden geltend gemacht?** Art. 15 Auskunft, Art. 16 Berichtigung, Art. 17 Loeschung, Art. 18 Einschraenkung, Art. 20 Uebertragbarkeit, Art. 21 Widerspruch, Art. 22 keine ausschliesslich automatisierte Entscheidung?
+2. **Welche Frist?** Art. 12 III DSGVO ein Monat, Verlaengerung um zwei Monate moeglich, **Begruendung der Verlaengerung innerhalb erster Monat**.
+3. **Identitaet sicher?** Art. 12 VI DSGVO.
+4. **Liegt Konflikt zwischen Rechten vor?** Loeschung Art. 17 vs Aufbewahrung HGB AO, Auskunft Art. 15 vs Loeschung im laufenden Verfahren.
+5. **Drittinteressen?** Art. 15 IV oder § 34 BDSG.
+6. **Automatisierte Verarbeitung Art. 22?** Profiling? Schufa?
+7. **Welcher Folge-Skill?** Auskunft, Loeschung, Beschwerde, Schadensersatz?
+
+## Rechtlicher Rahmen
+
+- **Art. 12 DSGVO** Transparenz, Modalitaeten, Fristen.
+- **Art. 13, 14 DSGVO** Informationspflichten (nicht reaktiv, aber ggf. mit zu pruefen).
+- **Art. 15 DSGVO** Auskunft.
+- **Art. 16 DSGVO** Berichtigung.
+- **Art. 17 DSGVO** Loeschung "Recht auf Vergessenwerden".
+- **Art. 18 DSGVO** Einschraenkung.
+- **Art. 19 DSGVO** Mitteilungspflicht gegenueber Empfaengern bei Berichtigung Loeschung Einschraenkung.
+- **Art. 20 DSGVO** Datenuebertragbarkeit — nur bei Verarbeitungsgrundlage Einwilligung Art. 6 I a oder Vertrag Art. 6 I b.
+- **Art. 21 DSGVO** Widerspruch — bei berechtigtem Interesse Art. 6 I f oder Direktwerbung.
+- **Art. 22 DSGVO** Verbot ausschliesslich automatisierter Einzelfallentscheidung mit rechtlichen oder erheblichen Folgen.
+- **EuGH C-487/21** Datenkopie. **EuGH C-579/21** Empfaengerangabe. **EuGH C-307/22** Patientenakte unentgeltlich. **EuGH C-634/21 SCHUFA** zu Art. 22.
+- **§ 34, § 35 BDSG** Einschraenkungen Auskunfts- und Loeschrechte.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst: Eingangsanalyse.** Welche Rechte sind explizit, welche implizit?
+2. **Als zweites: Frist setzen.** Eine einheitliche Frist Art. 12 III fuer den Vorgang, nicht je Recht.
+3. **Als drittes: Identitaet pruefen** (Art. 12 VI DSGVO).
+4. **Als viertes: Konflikte mapping.** Welches Recht setzt welche Verarbeitung voraus?
+5. **Als fuenftes: Pro Recht eine Bearbeitungsspur** und am Ende eine Sammelantwort.
+6. **NICHT vorschnell loeschen,** wenn gleichzeitig Auskunft beantragt ist — sonst Verletzung Art. 15.
+7. **NICHT** Schufa-Werte ungeprueft preisgeben — Rechte Dritter pruefen.
+
+## Trade-off-Matrix
+
+| Konstellation | Reihenfolge | Begruendung |
+|---|---|---|
+| Auskunft + Loeschung | erst Auskunft erteilen, dann Loeschung pruefen | Sonst kein Auskunftsobjekt mehr |
+| Berichtigung + Loeschung | erst Berichtigung, dann pruefen ob Loeschung uebrig | Art. 16 hat Vorrang bei falschen Daten |
+| Uebertragbarkeit + Loeschung | Uebertragung ausfuehren, danach Loeschung | Art. 20 setzt Daten voraus |
+| Widerspruch + Auskunft | erst Auskunft, dann Wirksamkeit Widerspruch pruefen | Begruendung Art. 21 II Direktwerbung absolut |
+| Art. 22 + Auskunft | Auskunft enthaelt Logik der automatisierten Entscheidung | Art. 15 I h DSGVO |
+
+## Mustertexte
+
+### Sammelantwort (Kopf)
+
+> Sehr geehrte/r [Name],
+>
+> Ihre Antraege vom [Datum] auf [Auskunft / Berichtigung / Loeschung / Einschraenkung / Uebertragbarkeit / Widerspruch] werden in einer Sammelantwort bearbeitet. Die Bearbeitung erfolgt fristgemaess nach Art. 12 Abs. 3 DSGVO. Soweit eine Fristverlaengerung erforderlich ist, teilen wir diese innerhalb des ersten Monats begruendet mit.
+>
+> Im Einzelnen:
+>
+> 1. Auskunft nach Art. 15 DSGVO: Anlage A1 mit Datenkopie nach Art. 15 III DSGVO.
+> 2. Berichtigung nach Art. 16 DSGVO: [erfolgt mit Datum] / [abgelehnt mit Begruendung].
+> 3. Loeschung nach Art. 17 DSGVO: [erfolgt] / [abgelehnt wegen Art. 17 III, z. B. Aufbewahrungspflicht § 257 HGB / § 147 AO].
+> 4. Einschraenkung nach Art. 18 DSGVO: [erfolgt] / [nicht erforderlich, Begruendung].
+> 5. Uebertragbarkeit nach Art. 20 DSGVO: [erfuellt, Format JSON/CSV] / [abgelehnt, da Rechtsgrundlage nicht Einwilligung oder Vertrag].
+> 6. Widerspruch nach Art. 21 DSGVO: [stattgegeben fuer Direktwerbung absolut] / [Pruefung berechtigtes Interesse Art. 6 I f mit Ergebnis].
+> 7. Automatisierte Entscheidungsfindung Art. 22: [findet nicht statt] / [Logik und Tragweite werden mitgeteilt].
+>
+> Ihr Beschwerderecht nach Art. 77 DSGVO bei [zustaendige Aufsichtsbehoerde] bleibt unberuehrt.
+
+### Fristverlaengerung wegen Komplexitaet
+
+> [...] aufgrund der Komplexitaet Ihrer Antraege (mehrere Rechte gleichzeitig, beteiligte Systeme HR, CRM, Mail-Archiv) verlaengern wir die Frist nach Art. 12 Abs. 3 Satz 2 DSGVO um zwei weitere Monate bis zum [Datum]. Wir bitten um Verstaendnis.
+
+## Typische Fehler
+
+- Loeschung vor Auskunft — Auskunftsobjekt entfaellt.
+- Datenuebertragbarkeit auch bei Verarbeitungsgrundlage berechtigtes Interesse (Art. 6 I f) gewaehrt — falsch, Art. 20 setzt Einwilligung oder Vertrag voraus.
+- Widerspruch bei Direktwerbung pruefen — falsch, Direktwerbung-Widerspruch ist absolut, kein Abwaegungsspielraum.
+- Mitteilungspflicht Art. 19 vergessen (Empfaenger informieren).
+- Schufa-Score-Aussage ungeprueft (EuGH C-634/21 SCHUFA).
+
+**Was triggert die Aufsichtsbehoerde?** Sammelantwort ohne Konfliktaufloesung, fehlende Begruendung der Verlaengerung, kein Hinweis auf Art. 77.
+
+## Querverweise
+
+- `datenschutz-auskunftsersuchen-art-15-praxis`
+- `datenschutz-loeschpflicht-art-17-und-aufbewahrung`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `dsr-betroffenenrechte-prozess-leitfaden`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 12 bis 22.
+- BDSG § 34, § 35.
+- EuGH C-487/21 Datenkopie, Urteil 04.05.2023.
+- EuGH C-579/21 Empfaengerangabe, Urteil 22.06.2023.
+- EuGH C-307/22 Patientenakte, Urteil 26.10.2023.
+- EuGH C-634/21 SCHUFA, Urteil 07.12.2023 (zu Art. 22 DSGVO).
+- EDSA, Leitlinien 01/2022 zu Betroffenenrechten — Auskunft, Version 2.0, angenommen 28.03.2023.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung/SKILL.md

@@ -0,0 +1,136 @@
+---
+name: datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung
+description: "Bußgeldverteidigung nach Art. 83 DSGVO bis 4 Prozent Jahresumsatz oder 20 Mio. EUR. EDSA-Leitlinien 04/2022 zur Bemessung. Sieben-Fragen-Diagnose: Anhörung oder Bußgeldbescheid, Aufsichtsbehörde, Norm DSGVO/BDSG, Bezugsumsatz, Vorwurf, Verschulden, Maßnahmenlage. Schritt-für-Schritt: Akteneinsicht, keine vorschnelle Stellungnahme, dynamische Geldbemessung, EDSA-Methodik, § 41 BDSG, OWiG/StPO-Verfahrensgarantien. Einspruch nach § 67 OWiG binnen zwei Wochen. EuGH C-807/21 Deutsche Wohnen und C-683/21: Unternehmensgeldbuße ohne Identifizierung einer natürlichen Person, aber nicht ohne Vorsatz oder Fahrlässigkeit. Mustertexte Einspruch, Stellungnahme, Erledigungsvorschlag. Abgrenzung: keine zivilrechtliche Schadensersatzabwehr."
+---
+
+# Datenschutz-Bußgeldverfahren — Verteidigung nach Art. 83 DSGVO
+
+## Zweck
+
+Dieser Skill verteidigt den Mandanten im Bußgeldverfahren wegen DSGVO-Verstoß — von der Anhörung bis zum Einspruch nach § 67 OWiG und zum gerichtlichen Verfahren. Ziel ist die Vermeidung des Bußgeldbescheids, hilfsweise die Reduzierung der Geldbuße nach Art. 83 Abs. 2 DSGVO und den EDSA-Leitlinien 04/2022.
+
+Terminologie sauber halten: Das ist kein Zivilprozess und keine Anklage im engeren strafprozessualen Sinn. Die Stationen heißen regelmäßig Anhörung, Bußgeldbescheid, Einspruch, Zwischenverfahren, Abgabe über die Staatsanwaltschaft an das zuständige Gericht, Hauptverhandlung oder Beschlussverfahren, Rechtsbeschwerde. Parallel können aufsichtsbehördliche Anordnungen nach Art. 58 Abs. 2 DSGVO verwaltungsgerichtlich anzugreifen sein.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald die Aufsichtsbehörde förmlich ein Bußgeldverfahren eingeleitet hat: Anhörung nach § 55 OWiG, Bußgeldbescheid nach § 65 OWiG oder laufende Einspruchsfrist nach § 67 OWiG.
+
+Sieben-Fragen-Diagnose:
+
+1. **Anhörung oder Bußgeldbescheid?** Andere Strategie pro Stand: Vor Bescheid Argumentationsspielraum, nach Bescheid Einspruchsfrist zwei Wochen ab Zustellung.
+2. **Welche Aufsichtsbehörde?** Landesaufsicht oder BfDI? Federführend nach Art. 56 DSGVO (One-Stop-Shop)?
+3. **Welche Norm wird verletzt?** Art. 5, 6, 9, 13, 14, 15, 17, 25, 28, 30, 32, 33, 34, 35, 37 DSGVO — und welche Sanktionsstufe Art. 83 Abs. 4 (10 Mio./2 Prozent) oder Art. 83 Abs. 5/6 (20 Mio./4 Prozent)?
+4. **Bezugsumsatz:** Welcher Konzernumsatz wird zugrundegelegt — Mandantengesellschaft oder Mutter? EuGH C-807/21 Deutsche Wohnen relevant.
+5. **Welche Vorwerfung?** Konkrete Handlung oder Unterlassen? Welcher Zeitraum?
+6. **Verschulden:** Vorsatz, Fahrlässigkeit? Welche Organisation, welcher DSB, welche TOM?
+7. **Maßnahmenlage:** Welche TOM Art. 32, welche DSFA Art. 35, welcher AVV Art. 28 lagen vor und sind dokumentiert?
+8. **Parallelspur Art. 58 DSGVO?** Geht es nur um Geldbuße oder auch um Untersagung, Löschungsanordnung, Auskunftsauflage, Datenübermittlungsstopp oder sonstige aufsichtsbehördliche Maßnahme?
+
+## Rechtlicher Rahmen
+
+- **Art. 83 DSGVO** Bußgeldrahmen. Abs. 4 bis 10 Mio. EUR oder 2 Prozent. Abs. 5/6 bis 20 Mio. EUR oder 4 Prozent. Der jeweils höhere Wert gilt.
+- **Art. 83 Abs. 2 DSGVO** Kriterien: Art, Schwere, Dauer, Vorsatz/Fahrlässigkeit, Schadensminderung, Verantwortlichkeit, Vorbelastung, Zusammenarbeit, Datenkategorien, Bekanntwerden, frühere Anordnungen, Zertifizierungen, finanzielle Vorteile.
+- **EuGH C-807/21 Deutsche Wohnen** (Urteil 05.12.2023): Geldbuße gegen juristische Personen unmittelbar möglich, ohne dass eine natürliche Person identifiziert werden muss; erforderlich bleibt ein vorsätzlicher oder fahrlässiger Verstoß.
+- **EuGH C-683/21 Nacionalinis visuomenės sveikatos centras** (Urteil 05.12.2023): Verantwortlichen-/Auftragsverarbeiterrollen, gemeinsame Verantwortlichkeit und Sanktionierbarkeit müssen unionsrechtlich sauber bestimmt werden; auch hier keine verschuldensunabhängige Geldbuße.
+- **EDSA, Leitlinien 04/2022** zur Berechnung von Geldbußen (Final version 24.05.2023): harmonisierte Bemessungsmethodik, Startbetrag, Schweregrad, Umsatz-/Unternehmensgröße, erschwerende und mildernde Umstände, Höchstbetrag, Effektivität/Verhältnismäßigkeit/Abschreckung.
+- **§ 41 BDSG** Anwendung OWiG.
+- **§ 67 OWiG** Einspruch binnen zwei Wochen ab Zustellung.
+- **§ 68 OWiG i.V.m. § 41 Abs. 1 BDSG** Gerichtliche Zuständigkeit: grundsätzlich Amtsgericht; bei festgesetzter DSGVO-Geldbuße über 100.000 EUR entscheidet nach § 41 BDSG das Landgericht.
+- **§ 69 OWiG** Zwischenverfahren: Behörde prüft Rücknahme/Aufrechterhaltung; bei Aufrechterhaltung Übersendung über die Staatsanwaltschaft an das Gericht. Nach § 41 Abs. 2 BDSG kann die Staatsanwaltschaft nur mit Zustimmung der Aufsichtsbehörde einstellen.
+- **§ 71 OWiG** Hauptverhandlung nach zulässigem Einspruch, sinngemäße Anwendung strafprozessualer Regeln.
+- **§ 72 OWiG** Beschlussverfahren, wenn dafür die gesetzlichen Voraussetzungen vorliegen.
+- **§ 73 OWiG** Anwesenheit/Entbindung des Betroffenen in der Hauptverhandlung, nicht der Name der Verhandlung selbst.
+- **§ 79 OWiG** Rechtsbeschwerde.
+- **§ 20 BDSG** Verwaltungsrechtsweg für Art.-78-Streitigkeiten gegen Aufsichtsbehörden; ausdrücklich nicht für Bußgeldverfahren. Relevant für Art.-58-Anordnungen, nicht für die Geldbuße selbst.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst: Frist sichern.** Einspruchsfrist nach § 67 I OWiG zwei Wochen ab Zustellung — sofort im Fristenkalender, Wiedereinsetzungspruefung bei Saeumnis.
+2. **Akteneinsicht beantragen.** § 49 OWiG i.V.m. § 147 StPO. Erst danach Strategie.
+3. **NICHT vorschnell Stellungnahme.** Auch nicht "kooperativ" Daten nachschieben — kann den Vorwurf verschaerfen.
+4. **Prüfen: Zuständigkeit und Verfahrensweg.** § 41 BDSG-Sonderzuständigkeit bei Geldbußen über 100.000 EUR beachten; Bußgeldspur nicht mit verwaltungsgerichtlicher Art.-58-Spur vermischen.
+5. **Prüfen: Bemessung nach EDSA 04/2022.** Prüfen, ob die Aufsicht die Methodik sauber angewendet hat. Bezugsumsatz richtig? Schweregrad richtig? Mildernde Umstände berücksichtigt?
+6. **Verschuldensfrage:** Hat die Aufsicht Vorsatz oder Fahrlässigkeit konkret begründet? Nach EuGH C-807/21 muss kein Organ oder Beschäftigter namentlich identifiziert werden, aber ein schuldhafter Unternehmensverstoß muss tragfähig dargelegt sein.
+7. **Einspruch einlegen.** Auch nur fristwahrend, Begründung nach Akteneinsicht.
+8. **Erledigungsgespräch erwägen.** Insbesondere bei Erstverstoß, dokumentierter Selbstmeldung Art. 33, nachweislichem Maßnahmenplan und vertretbarer Bemessungskorrektur.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Voller Einspruch + gerichtliches Verfahren | Sachprüfung, keine Bindung an Behördenbewertung | Hauptverhandlung/Öffentlichkeit, Kosten- und Reputationsrisiko |
+| Beschlussverfahren § 72 OWiG anstreben | Schnelle, schriftliche Erledigung möglich | Nur bei passendem Verfahrensstand und Einverständnis-/Widerspruchslage sinnvoll |
+| Einspruchsrücknahme nach Akteneinsicht/Termin | Begrenzung weiterer Risiken | Bestandskraft, kein Einfluss mehr |
+| Selbstmeldung + Kooperation vor Bescheid | Bußgeldmilderung Art. 83 Abs. 2 lit. c/f/h DSGVO möglich | Selbstbelastungs- und Scope-Erweiterungsrisiko |
+| Verschuldens-Bestreitung EuGH C-807/21/C-683/21 | Kernargument gegen schematische Unternehmenshaftung | Nur stark, wenn Compliance-Organisation, TOMs und Eskalationslogik belegbar sind |
+| Verwaltungsgerichtliche Abwehr Art. 58 DSGVO | Stoppt/prüft Auflagen, Untersagungen, Löschungs- oder Transferanordnungen | Andere Fristen, anderer Rechtsweg, keine automatische Lösung des Bußgeldverfahrens |
+
+## Mustertexte
+
+### Einspruch (fristwahrend)
+
+> An die [Aufsichtsbehörde]
+> Aktenzeichen: [Az]
+>
+> Gegen den Bußgeldbescheid vom [Datum], zugestellt am [Datum], wird in vollem Umfang Einspruch eingelegt.
+>
+> Die Begruendung erfolgt nach Akteneinsicht.
+>
+> Wir beantragen Akteneinsicht in den vollstaendigen Vorgang nach § 49 OWiG in Verbindung mit § 147 StPO.
+
+### Stellungnahme Anhörung — Strukturvorschlag
+
+> 1. Verfahrensrechtliche Rügen (Zuständigkeit, Anhörung, Akteneinsicht).
+> 2. Tatbestand (DSGVO-Norm konkret, Subsumtion mit Belegen).
+> 3. Verschulden (EuGH C-807/21 — konkrete Pflichtverletzung des Unternehmens? Welche Organisation, welche Maßnahmen lagen vor?).
+> 4. Bemessung nach EDSA 04/2022 (Bezugsumsatz, Schritte 1-5).
+> 5. Mildernde Umstände Art. 83 Abs. 2 DSGVO (Maßnahmen, Kooperation, kein Vorteil, keine Vorbelastung).
+> 6. Antrag: Einstellung; hilfsweise Verwarnung nach Art. 58 II b DSGVO; hilfsweise Reduzierung auf [Betrag].
+
+### Erledigungsvorschlag (Anhörung)
+
+> Sehr geehrte Damen und Herren,
+>
+> ohne Anerkennung einer Rechtspflicht und unter Beibehaltung sämtlicher Verteidigungsrechte schlägt unsere Mandantin folgende einvernehmliche Erledigung vor:
+>
+> 1. Umsetzung eines Maßnahmenplans bis [Datum] (Anlage).
+> 2. Geldbuße [Betrag] in [Raten].
+> 3. Verzicht auf Veröffentlichung der Entscheidung mit Namensnennung.
+>
+> Mit freundlichen Gruessen
+
+## Typische Fehler
+
+- Einspruchsfrist § 67 OWiG verpasst, weil Bescheid an alte Anschrift zugestellt.
+- Verschuldensfrage nicht konkret gepruefte EuGH C-807/21 — Unternehmen muss vorsaetzlich oder fahrlaessig gehandelt haben, nicht eine namentlich benannte natuerliche Person.
+- EDSA-Schritte unkommentiert akzeptiert.
+- Vergleich ohne Vorbehalt der Verteidigungsrechte.
+- Konzernumsatz-Bezugsfrage nicht angegriffen (Mandantengesellschaft vs Mutter).
+
+**Was triggert die Aufsichtsbehörde besonders zur Höchststrafe?** Wiederholungstäter, Verletzung Art.-9-Daten, fehlende DSB-Bestellung trotz § 38 BDSG, fehlender AVV Art. 28 DSGVO, fehlende DSFA Art. 35 DSGVO.
+
+## Querverweise
+
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+- `datenschutz-datenpanne-art-33-34-72h-incident-response`
+- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 5, 6, 25, 32, 33, 35, 37, 58, 83.
+- BDSG § 38, § 41, § 43.
+- OWiG § 46, § 49, § 55, § 65, § 67, § 69, § 73, § 79.
+- StPO § 147.
+- EuGH C-807/21 Deutsche Wohnen, Urteil 05.12.2023.
+- EDSA, Leitlinien 04/2022 zur Berechnung der Geldbussen nach DSGVO, Version 1.0, angenommen 24.05.2023.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-datenpanne-art-33-34-72h-incident-response/SKILL.md

@@ -0,0 +1,140 @@
+---
+name: datenschutz-datenpanne-art-33-34-72h-incident-response
+description: "Datenpannen-Incident-Response Art. 33 und 34 DSGVO. 72-Stunden-Frist ab Kenntnis Art. 33 I DSGVO und Benachrichtigung Betroffener bei hohem Risiko Art. 34 I DSGVO. Sieben-Fragen-Diagnose: Wer hat wann was entdeckt Datenkategorien Anzahl Betroffener Vertraulichkeit Integritaet Verfuegbarkeit Risiko TOM Art. 32 DSGVO Auftragsverarbeiter beteiligt. Schritt-fuer-Schritt: Sachverhalt klaeren NICHT vorschnell handeln Risikobewertung dokumentieren Mandantenfreigabe Aufsicht melden Betroffene benachrichtigen Massnahmen Lessons Learned. Mustertexte fuer Meldebogen und Betroffenenbenachrichtigung. Abgrenzung: keine Bussgeldverteidigung (datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung)."
+---
+
+# Datenschutz Datenpanne — 72 Stunden Incident Response nach Art. 33 und 34 DSGVO
+
+## Zweck
+
+Dieser Skill fuehrt durch den Akutfall einer Datenpanne. Ziel ist die fristwahrende und zugleich bussgeldminimierende Meldung an die Aufsichtsbehoerde nach Art. 33 DSGVO und — falls erforderlich — die Benachrichtigung der Betroffenen nach Art. 34 DSGVO, ohne durch vorschnelle Selbstbelastung das Bussgeldrisiko nach Art. 83 DSGVO zu erhoehen.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill ab dem Moment, in dem der Mandant Kenntnis von einem Vorfall erlangt: Ransomware, Phishing-Mail mit Anhangsverlust, falsch versendete Massen-E-Mail, gestohlener Laptop ohne Verschluesselung, fehlerhaft konfiguriertes Cloud-Bucket, unbefugter Mitarbeiterzugriff, Diebstahl USB, Druckdienstleister-Fehlversand.
+
+Sieben-Fragen-Diagnose mit Antwort-Pattern:
+
+1. **Wer hat wann was entdeckt?** Konkretes Datum und Uhrzeit, Person, Quelle. **Achtung:** Die 72-Stunden-Frist nach Art. 33 I DSGVO laeuft ab **Kenntnis des Verantwortlichen** — bei Auftragsverarbeitern beginnt die Frist beim Verantwortlichen ab dessen Kenntnis (Art. 33 II DSGVO).
+2. **Welche Datenkategorien sind betroffen?** Allgemein, Art. 9 DSGVO (Gesundheit, Religion, Gewerkschaft, sexuelle Orientierung, biometrisch), Art. 10 DSGVO (Strafrechtsdaten), Art. 8 DSGVO (Minderjaehrige), Bankdaten, Authentifizierungsdaten?
+3. **Anzahl Betroffener?** Geschaetzt — Mindest- und Maximalwert.
+4. **Welche Schutzziele verletzt?** Vertraulichkeit (Offenlegung), Integritaet (Veraenderung), Verfuegbarkeit (Verlust)?
+5. **Welche TOM nach Art. 32 DSGVO** waren wirksam (Verschluesselung, Pseudonymisierung, Backup)? **Wichtig** fuer Art. 34 III a DSGVO Ausnahme.
+6. **Ist ein Auftragsverarbeiter beteiligt?** Wer ist Verantwortlicher? Wer meldet?
+7. **Risiko fuer Betroffene?** Identitaetsdiebstahl, finanzieller Schaden, Diskriminierung, Rufschaedigung, Verlust der Kontrolle, unbefugte Aufhebung der Pseudonymisierung?
+
+## Rechtlicher Rahmen
+
+- **Art. 4 Nr. 12 DSGVO** Definition Verletzung des Schutzes personenbezogener Daten: Vernichtung, Verlust, Veraenderung, unbefugte Offenlegung oder Zugang.
+- **Art. 33 I DSGVO** Meldepflicht innerhalb 72 Stunden ab Kenntnis des Verantwortlichen, ausser unwahrscheinliches Risiko fuer Rechte und Freiheiten.
+- **Art. 33 II DSGVO** Auftragsverarbeiter meldet unverzueglich an Verantwortlichen.
+- **Art. 33 III DSGVO** Pflichtinhalt: Art der Verletzung, Kategorien und Anzahl Betroffener, DSB-Kontakt, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen.
+- **Art. 33 IV DSGVO** Stufenmeldung zulaessig.
+- **Art. 33 V DSGVO** Dokumentationspflicht aller Verletzungen unabhaengig von Meldung.
+- **Art. 34 I DSGVO** Benachrichtigung Betroffener bei voraussichtlich hohem Risiko.
+- **Art. 34 III DSGVO** Ausnahmen: (a) wirksame Verschluesselung, (b) Folgemassnahmen verhindern Risiko, (c) Unverhaeltnismaessigkeit / oeffentliche Bekanntmachung.
+- **Art. 32 DSGVO** TOM-Pflicht.
+- **§ 65 BDSG** Spezifische Meldepflichten Strafverfolgung.
+- **EDSA Leitlinien 9/2022** zur Meldung von Datenpannen (angenommen 28.03.2023).
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Sachverhalt klaeren — NICHT vorschnell handeln.** Erste 4-8 Stunden: Fakten sammeln, Zeitstrahl, Personenkreis. Noch nichts ausserhalb des Mandanten kommunizieren. Vermeiden Sie pauschale Selbstvorwuerfe in Mails (werden im Bussgeldverfahren zur Akte).
+2. **Risikobewertung dokumentieren.** Matrix: Eintrittswahrscheinlichkeit Risiko x Schwere. EDSA-Leitlinien 9/2022 als Massstab.
+3. **Mandantenfreigabe einholen.** Geschaeftsfuehrung, DSB nach Art. 37 DSGVO, ggf. IT-Sicherheitsbeauftragter, ggf. Betriebsrat.
+4. **Aufsicht melden — innerhalb 72 Stunden ab Kenntnis.** Stufenmeldung Art. 33 IV nutzen, wenn Fakten noch unklar. Lieber knapp und ehrlich als spekulativ ueberschwaenglich.
+5. **Betroffene benachrichtigen — nur bei hohem Risiko Art. 34 I.** Bei wirksamer Verschluesselung Ausnahme Art. 34 III a pruefen. Nicht voreilig benachrichtigen, wenn Risiko gering — sonst unnoetige Sorge und Reputationsschaden.
+6. **Massnahmen einleiten.** Passworter zuruecksetzen, Zugaenge sperren, Backup aktivieren, Vorfall eindaemmen.
+7. **Lessons Learned und Dokumentation Art. 33 V DSGVO.** Internes Pannenregister, Update der TOM, ggf. DSFA aktualisieren.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Sofortmeldung unter 24h | Kooperation signalisiert, Bussgeldmilderung Art. 83 II c | Unvollstaendige Fakten erhoehen spaeteren Aenderungsbedarf |
+| Stufenmeldung Art. 33 IV | Frist gewahrt, Praezision steigt | Mehr Schreibarbeit, Aufsicht erwartet Update |
+| Verschluesselungs-Ausnahme Art. 34 III a | Spart Massenbenachrichtigung | Wirksamkeit muss dokumentiert sein (Schluessel sicher, Algorithmus aktuell) |
+| Oeffentliche Bekanntmachung Art. 34 III c | Spart Einzelbenachrichtigung | Reputationsschaden, Anwaltsabmahnung |
+
+## Mustertexte
+
+### Interner Sachverhalts-Zeitstrahl (Vorlage)
+
+```
+Vorfall: [kurz]
+Entdeckung: [Datum, Uhrzeit, Person]
+Vermuteter Eintritt: [Datum]
+Datenkategorien: [Art. 6 / Art. 9 / Art. 10 / Bankdaten]
+Schaetzung Betroffene: min [n] max [n]
+Schutzziel verletzt: [Vertraulichkeit / Integritaet / Verfuegbarkeit]
+Wirksame TOM: [Verschluesselung ja/nein, Algorithmus, Schluesselverwaltung]
+Auftragsverarbeiter beteiligt: [ja/nein, AVV Art. 28]
+Aktuelles Risiko: [niedrig / mittel / hoch]
+```
+
+### Meldebogen Aufsichtsbehoerde (Kerntext)
+
+> Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO
+>
+> 1. Verantwortlicher: [Firma, Anschrift, Ansprechpartner].
+> 2. DSB: [Name, Kontakt nach Art. 37 VII DSGVO].
+> 3. Art der Verletzung: [konkret, z. B. unbefugte Offenlegung durch Fehlversand].
+> 4. Kategorien personenbezogener Daten: [konkret].
+> 5. Anzahl Betroffener: [Schaetzung, mit Begruendung].
+> 6. Wahrscheinliche Folgen: [konkret nach EDSA 9/2022].
+> 7. Ergriffene und vorgeschlagene Massnahmen: [TOM-Bezug Art. 32 DSGVO, Sofortmassnahmen].
+> 8. Bewertung der Meldepflicht und der Benachrichtigung Betroffener Art. 34 DSGVO: [Pruefung mit Ergebnis].
+> 9. Stufenmeldung Art. 33 IV: [ja/nein, Update bis Datum].
+
+### Betroffenenbenachrichtigung (Art. 34 II DSGVO)
+
+> Sehr geehrte/r [Name],
+>
+> in einer am [Datum] festgestellten Verletzung des Schutzes personenbezogener Daten sind moeglicherweise auch Ihre Daten betroffen. Wir informieren Sie hiermit gemaess Art. 34 DSGVO.
+>
+> Was ist passiert: [klar].
+> Welche Daten sind betroffen: [konkret].
+> Welche moeglichen Folgen koennen entstehen: [konkret].
+> Was wir getan haben: [Massnahmen, TOM].
+> Was Sie tun koennen: [Passwortwechsel, Konto-Monitoring, Hotline].
+>
+> Datenschutzbeauftragter: [Kontakt nach Art. 37 VII DSGVO].
+> Sie koennen sich beschweren bei der zustaendigen Aufsichtsbehoerde nach Art. 77 DSGVO: [Adresse].
+>
+> Mit freundlichen Gruessen
+
+## Typische Fehler
+
+- Frist 72h aus Art. 33 I DSGVO ab Vorfall statt ab Kenntnis berechnen.
+- Selbstbelastung in interner Mail-Kommunikation ("wir hatten doch gesagt, das Backup macht keiner").
+- Verschluesselungs-Ausnahme Art. 34 III a behaupten, ohne Schluesselverwaltung und Algorithmus zu belegen.
+- Betroffene per Massen-E-Mail aus dem System informieren, das gerade kompromittiert wurde.
+- Stufenmeldung Art. 33 IV genannt, aber nie Update geliefert.
+
+**Was triggert die Aufsichtsbehoerde besonders?** Fristueberschreitung, leere Floskeln zu TOM, fehlende Risikoabwaegung Art. 34, keine Mandantenbeteiligung dokumentiert, kein DSB beteiligt.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+- `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung`
+- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
+- `datenpanne-meldung`
+- `it-recht-incident-response-it-sicherheit-und-datenschutz-zusammen`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 4 Nr. 12, 32, 33, 34, 37, 82, 83.
+- BDSG § 65.
+- EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten, Version 2.0, angenommen 28.03.2023.
+- EDSA, Leitlinien 01/2021 zu Beispielen fuer Meldungen von Datenpannen.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-erstgespraech-mandantenmatrix-7-fragen/SKILL.md

@@ -0,0 +1,131 @@
+---
+name: datenschutz-erstgespraech-mandantenmatrix-7-fragen
+description: "Strukturiertes Erstgespraech im Datenschutzmandat. Sieben gezielte Fragen ordnen den Sachverhalt in eine Mandantenmatrix ein: Rolle nach Art. 4 DSGVO Verantwortlicher oder Auftragsverarbeiter oder gemeinsam Verantwortlicher Art. 26 DSGVO Anlass Aufsichtsbehoerde Betroffener Anwalt Gegner Fristlage Art. 12 III DSGVO Risikolage Datenkategorien Art. 9 10 DSGVO Vorgeschichte und Mandatsziel. Liefert sofort Mandatsfragebogen-Antwortpattern Risikoampel und Folge-Skill-Empfehlung. Abgrenzung: keine Subsumtion ersetzt die Spezial-Skills."
+---
+
+# Datenschutz Erstgespraech — Mandantenmatrix mit sieben Fragen
+
+## Zweck
+
+Dieser Skill fuehrt das erste Gespraech mit dem Mandanten in einem Datenschutzfall. Ziel ist nicht eine sofortige rechtliche Bewertung, sondern die saubere Einordnung des Falls in eine **Mandantenmatrix**, aus der hervorgeht: Welche Rolle hat der Mandant? Welche Frist laeuft? Welcher Folge-Skill ist als naechstes zu starten? Der Skill ersetzt keine Subsumtion, sondern ist die Weiche.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen diesen Skill **immer dann**, wenn ein neues Datenschutzmandat eingeht und unklar ist, welcher Spezial-Skill greift. Typische Anlaesse:
+
+- Mandant erhaelt ein Auskunftsersuchen nach Art. 15 DSGVO.
+- Mandant meldet eine moegliche Datenpanne.
+- Aufsichtsbehoerde hat angeschrieben (Pruefung, Anhoerung, Bussgeldbescheid).
+- Betroffener klagt auf Schadensersatz nach Art. 82 DSGVO.
+- Beschwerde nach Art. 77 DSGVO ist eingegangen.
+
+Stellen Sie genau **diese sieben Fragen** in der Reihenfolge. Springen Sie nicht vor.
+
+1. **Rolle:** Welche Rolle hat der Mandant in der Datenverarbeitung? Verantwortlicher (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO) oder gemeinsam Verantwortlicher (Art. 26 DSGVO)? Wer hat ueber Zweck und Mittel entschieden?
+2. **Anlass:** Wer hat den Vorgang ausgeloest? Aufsichtsbehoerde, Betroffener selbst, Konkurrent, Gegnervertreter, eigene interne Pruefung, Whistleblower?
+3. **Frist:** Welche Frist laeuft jetzt? Art. 12 III DSGVO (ein Monat ab Eingang Antrag, Verlaengerung bis drei Monate gesamt), Art. 33 DSGVO (72 Stunden ab Kenntnis), Anhoerungsfrist im Bussgeldverfahren, Klagefrist?
+4. **Risikoklasse:** Welche Datenkategorien sind betroffen? Allgemeine personenbezogene Daten, besondere Kategorien (Art. 9 DSGVO Gesundheit Religion Gewerkschaft sexuelle Orientierung biometrische Daten), Strafrechtsdaten (Art. 10 DSGVO), Minderjaehrigen-Daten (Art. 8 DSGVO)?
+5. **Vorgeschichte:** Gab es schon Vorgaenge in derselben Sache? Frueheres Bussgeld, frueherer Auskunftsantrag, fruehere Beschwerde, frueherer Schadensersatzprozess?
+6. **Mandatsziel:** Was will der Mandant erreichen? Behoerdenkommunikation deeskalieren, Bussgeld senken, Schadensersatz abwehren, Auskunft formal erteilen, Klage einreichen?
+7. **Geheimhaltung und Mitwirkung:** Wer im Mandantenhaus weiss bereits Bescheid? Geschaeftsfuehrung, Datenschutzbeauftragter (Art. 37 DSGVO), Betriebsrat, IT-Leitung? Wer entscheidet?
+
+## Rechtlicher Rahmen
+
+- **Art. 4 DSGVO** Begriffsbestimmungen (Verantwortlicher, Auftragsverarbeiter, Empfaenger, Dritter, Verletzung).
+- **Art. 5 DSGVO** Grundsaetze, insbesondere Rechenschaftspflicht (Abs. 2).
+- **Art. 12 III DSGVO** Bearbeitungsfrist Betroffenenanfragen — ein Monat, Verlaengerung um zwei Monate moeglich bei Komplexitaet oder Zahl der Antraege, **Begruendungspflicht innerhalb des ersten Monats**.
+- **Art. 26 DSGVO** Gemeinsam Verantwortliche.
+- **Art. 28 DSGVO** Auftragsverarbeitung.
+- **Art. 33, 34 DSGVO** Datenpanne und Benachrichtigung.
+- **Art. 77 DSGVO** Beschwerderecht.
+- **Art. 82 DSGVO** Schadensersatz materieller und immaterieller Schaden.
+- **Art. 83 DSGVO** Bussgelder bis 4 Prozent Jahresumsatz oder 20 Mio. EUR.
+- **§ 40 BDSG** Aufsichtsbehoerden der Laender.
+- **§ 13 BDSG** Bestellung BfDI.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst:** Aktenzeichen anlegen, Mandantenvollmacht klaeren, schriftlich oder per Mail bestaetigen, dass Mandat angenommen ist. Kostenhinweis nach § 49b BRAO und RVG erteilen.
+2. **Als zweites:** Sieben Fragen in dieser Reihenfolge stellen. Antworten in der Matrix erfassen (siehe Mustertexte).
+3. **Als drittes:** Risikoampel setzen (gruen, gelb, rot).
+4. **Als viertes:** Folge-Skill aus dem datenschutzrecht-Plugin auswaehlen (Auskunft, Datenpanne, Bussgeld, Schadensersatz, Beschwerde, Loeschpflicht).
+5. **Nicht voreilig:** Noch nichts an Aufsichtsbehoerde melden. Erst Mandantenfreigabe. Auch keine Loeschung. Auch keine schriftliche Stellungnahme.
+
+## Trade-off-Matrix
+
+| Situation | Vorteil sofort handeln | Nachteil sofort handeln |
+|---|---|---|
+| Datenpanne unklar | Frist 72h laeuft (Art. 33 DSGVO) | vorschnelle Meldung erzeugt Bussgeldrisiko durch Selbstbelastung |
+| Auskunftsersuchen schwammig | schnelle Antwort signalisiert Kooperation | unvollstaendige Antwort triggert Beschwerde nach Art. 77 |
+| Behoerdenanschreiben | Reaktion vor Anhoerungsende | unueberlegte Stellungnahme wird Bussgeldakte |
+| Schadensersatzklage | Klageerwiderung in Frist | vorzeitige Anerkenntnis schliesst Verteidigung aus |
+
+## Mustertexte
+
+### Mandantenfragebogen (Versendetext per Mail)
+
+> Sehr geehrte Damen und Herren,
+>
+> in dem oben bezeichneten Datenschutzmandat benoetigen wir zur Erstbewertung bitte Antworten auf die folgenden sieben Fragen. Bitte beantworten Sie jede Frage stichpunktartig. Anhaenge nehmen wir gerne entgegen. Wir bitten um Rueckmeldung bis [Datum].
+>
+> 1. Welche Rolle hatte Ihr Unternehmen in der Datenverarbeitung (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher)?
+> 2. Wer hat den Vorgang ausgeloest (Aufsichtsbehoerde, Betroffener, Konkurrent, intern)?
+> 3. Welche Frist laeuft aktuell? Wann ist Kenntnis von dem Vorgang erlangt worden?
+> 4. Welche Datenkategorien sind betroffen (allgemein, besondere Kategorien Art. 9 DSGVO, Strafrechtsdaten Art. 10 DSGVO, Minderjaehrige)?
+> 5. Gab es bereits frueher Vorgaenge in derselben Sache?
+> 6. Welches Mandatsziel verfolgen Sie?
+> 7. Wer im Haus ist informiert und entscheidungsbefugt?
+>
+> Mit freundlichen Gruessen
+> [Name], Rechtsanwalt
+
+### Interne Mandantenmatrix (Aktenkopf)
+
+```
+Mandant: [Firma]
+Aktenzeichen: [Az]
+Rolle: [Verantwortlicher / Auftragsverarbeiter / Gemeinsam Verantwortlicher]
+Anlass: [Aufsicht / Betroffener / Konkurrent / Intern]
+Frist: [Datum, Norm]
+Risikoklasse: [Art. 6 / Art. 9 / Art. 10 / Art. 8 Minderjaehrige]
+Vorgeschichte: [keine / Verweis Akte XY]
+Mandatsziel: [...]
+Risikoampel: [gruen / gelb / rot]
+Folge-Skill: [datenschutz-auskunftsersuchen-art-15-praxis / datenschutz-datenpanne-art-33-34-72h-incident-response / ...]
+```
+
+## Typische Fehler
+
+- Sofort an Aufsichtsbehoerde schreiben, bevor der Mandant intern entschieden hat. Loest Bussgeldakte aus.
+- Loeschung anordnen, bevor klar ist, ob Sperrung nach § 17 BDSG oder Aufbewahrung nach § 257 HGB / § 147 AO erforderlich.
+- Rolle nach Art. 4 DSGVO nicht sauber geklaert. Konsequenz: falsche Pflichten, falsche Adressaten.
+- Frist nach Art. 12 III DSGVO uebersehen, weil das Schreiben des Betroffenen formlos kam.
+- Mandant nicht ueber Risiko einer Selbstbelastung im Bussgeldverfahren aufgeklaert.
+
+**Was triggert die Aufsichtsbehoerde besonders?** Leerformelhafte Antworten, fehlende Rechtsgrundlage (Art. 6 DSGVO), kein Bezug zu technischen und organisatorischen Massnahmen (Art. 32 DSGVO), fehlende Mandantenbeteiligung.
+
+## Querverweise
+
+- `datenschutz-auskunftsersuchen-art-15-praxis`
+- `datenschutz-datenpanne-art-33-34-72h-incident-response`
+- `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung`
+- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+
+## Quellen Stand 06/2026
+
+- Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4, 5, 12, 26, 28, 33, 34, 77, 82, 83.
+- BDSG in der ab 25.05.2018 geltenden Fassung.
+- EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten, angenommen 28.03.2023.
+- BRAO § 43a, § 49b; RVG-Hinweise zur Vertretung in Datenschutzmandaten.
+- Kein Modellwissen zu konkreten Aufsatzfundstellen. Verifizierung vor Versand in amtliche Quellen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-kreditagentur-auskunft-art15-scorelogik/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-kreditagentur-auskunft-art15-scorelogik
+description: "Auskunft gegenüber Auskunfteien: gespeicherte Daten, Empfänger, Herkunft, Scorelogik, Kategorien, Löschfristen und Kopie."
+---
+
+# Art. 15 DSGVO bei Auskunftei und Scorelogik
+
+## Einsatz
+
+Für sauberen Start vor Löschung, Berichtigung oder Schadensersatz.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 12, 15, 16, 17, 22; EuGH zu Art. 15 nur verifiziert zitieren.
+
+## Arbeitsfragen
+
+1. Welche Daten werden konkret verlangt?
+2. Welche Empfänger und Herkunftsquellen?
+3. Wie wird Scorelogik verständlich erklärt?
+
+## Output
+
+Auskunftsantrag mit Checkliste und Antwort-Auswertung.
+
+## Red Flags
+
+- Standardauskunft zu knapp
+- Empfänger nur Kategorien
+- Scoreformel unrealistisch verlangt
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutz-livecheck-bfdi-laender-aufsichtsbehoerden/SKILL.md

@@ -0,0 +1,130 @@
+---
+name: datenschutz-livecheck-bfdi-laender-aufsichtsbehoerden
+description: "Livecheck-Skill fuer aktuelle Veroeffentlichungen BfDI und Landesdatenschutzbehoerden vor Abgabe Schriftsatz oder Stellungnahme. Sieben-Fragen-Diagnose: Mandatsgebiet zustaendige Aufsicht Rechtsbereich Verarbeitungsart EuGH Vorabentscheidung EDSA-Leitlinie aktuell. Schritt-fuer-Schritt: NICHT aus Modellwissen zitieren immer Live-Quellen. Mustertexte fuer Live-Quellen-Notiz und Aktualisierungsvermerk. Liste der offiziellen Quellen ohne erfundene Datums. Abgrenzung: keine Subsumtion (datenschutz-erstgespraech-mandantenmatrix-7-fragen)."
+---
+
+# Datenschutz Livecheck — BfDI und Landesaufsichten
+
+## Zweck
+
+Dieser Skill stellt sicher, dass vor jeder Mandantenkommunikation oder Stellungnahme zu Aufsichtsbehoerden die aktuelle Rechts- und Aufsichtspraxis verifiziert wird. Datenschutzrecht aendert sich rasant durch EuGH-Vorabentscheidungen, EDSA-Leitlinien und nationale Aufsichts-Praxis. Modellwissen ist nicht ausreichend.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill **vor jeder** Mandantenkommunikation in einem datenschutzrechtlichen Verfahren, insbesondere:
+
+- Vor Versand Stellungnahme an Aufsicht.
+- Vor Klage- oder Klageerwiderungseinreichung.
+- Vor Vergleichsvorschlag.
+- Vor Beratungstermin mit Mandant.
+
+Sieben-Fragen-Diagnose:
+
+1. **Mandatsgebiet:** Auskunft, Datenpanne, Bussgeld, Schadensersatz, Drittlandstransfer, Beschaeftigtendatenschutz, KI-VO-Schnittstelle?
+2. **Zustaendige Aufsicht:** BfDI oder welches Bundesland? Federfuehrend nach Art. 56 DSGVO?
+3. **Rechtsbereich:** Privatwirtschaft, oeffentlicher Bereich, Telekommunikation und Telemedien (TDDDG), Strafverfolgung?
+4. **Verarbeitungsart:** Marketing, HR, Gesundheit, Finanz, Cloud, KI?
+5. **EuGH-Vorabentscheidungen:** Welche Verfahren seit 2023 relevant?
+6. **EDSA-Leitlinien:** Welche Leitlinie ist seit 2023 angenommen oder aktualisiert?
+7. **Nationale Aufsichts-Veroeffentlichungen:** Taetigkeitsberichte BfDI / Landesaufsichten?
+
+## Rechtlicher Rahmen
+
+- **DSGVO**.
+- **BDSG**.
+- **TDDDG** (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit 14.05.2024 in Kraft, abgeloest TTDSG).
+- **EDSA-Leitlinien** sind keine Gesetzeskraft, aber Auslegungshilfen.
+- **EuGH-Urteile** Bindungswirkung nach Art. 267 AEUV.
+- **§ 13 BDSG** BfDI.
+- **§ 40 BDSG** Landesaufsichten.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst: Quellenliste pruefen.** Die folgenden offiziellen Quellen sind massgeblich:
+   - BfDI: bfdi.bund.de (Taetigkeitsberichte, Konsultationen, FAQ).
+   - EDSA: edpb.europa.eu (Leitlinien, Stellungnahmen, koordinierte Aktionen).
+   - EuGH: curia.europa.eu (Rechtsprechungsdatenbank).
+   - Bayerisches Landesamt fuer Datenschutzaufsicht: lda.bayern.de (privater Bereich, Bayern).
+   - LfDI BW: baden-wuerttemberg.datenschutz.de.
+   - Berliner Datenschutzbeauftragte: datenschutz-berlin.de.
+   - Hessischer Datenschutzbeauftragter: datenschutz.hessen.de.
+   - LfDI Niedersachsen: lfd.niedersachsen.de.
+   - LfDI NRW: ldi.nrw.de.
+   - Hamburgischer Datenschutzbeauftragter: datenschutz-hamburg.de.
+2. **Als zweites: Suche konkret.** Stichworte mit Norm (Art. 33 DSGVO, Art. 82 DSGVO) und Aktualitaet (2024, 2025, 2026).
+3. **Als drittes: NICHT aus Modellwissen zitieren.** Insbesondere keine Daten "BfDI Taetigkeitsbericht 2024" ohne Verifizierung.
+4. **Als viertes: Aktualisierungsvermerk in Akte.** Datum Recherche, Quelle, Ergebnis.
+5. **Als fuenftes: Bei Unsicherheit:** Eigene Anfrage an Aufsicht stellen (§ 38 BDSG informelle Beratung; bedenken: kann Akte begruenden).
+
+## Trade-off-Matrix
+
+| Quelle | Verlaesslichkeit | Aktualitaet |
+|---|---|---|
+| EuGH curia.europa.eu | sehr hoch | sehr hoch, mit Datum |
+| EDSA edpb.europa.eu | sehr hoch | mittel (Leitlinien dauern Konsultation) |
+| BfDI Taetigkeitsbericht | hoch | jaehrlich |
+| Landesaufsichten | hoch | unterschiedlich |
+| Sekundaerquellen / Aufsatzdatenbanken | mittel | hoch | nur mit lizenzierter Anbindung |
+
+## Mustertexte
+
+### Live-Quellen-Notiz (intern, Akte)
+
+```
+Recherche: [Thema]
+Datum: [Datum]
+Aufsuchende Person: [Name]
+
+Quellen geprueft:
+1. curia.europa.eu — Suche [Stichwort] — Ergebnis [Az, Datum].
+2. edpb.europa.eu — Leitlinie [Nr., Version, Annahmedatum].
+3. [Landesaufsicht] — Veroeffentlichung [Titel, Datum].
+4. BfDI — Taetigkeitsbericht [Jahr] — Ziffer [Nr.].
+
+Stand der Information: [Datum].
+Konsequenz fuer Mandat: [konkret].
+
+Verifizierung: [Quelle, URL gespeichert in Akte].
+```
+
+### Aktualisierungsvermerk (Schriftsatz-Anhang)
+
+> Stand: [Datum]. Die Auslegung folgt der zum Zeitpunkt der Schriftsatzerstellung verifizierten EuGH-Rechtsprechung und den aktuellen EDSA-Leitlinien. Soweit waehrend des Verfahrens neue Entscheidungen ergehen, behaelt sich die Partei nachgereichten Vortrag vor.
+
+### Anfrage an Aufsicht (informell)
+
+> Sehr geehrte Damen und Herren,
+>
+> in einer datenschutzrechtlichen Fragestellung [knapp] bitten wir um Mitteilung Ihrer aufsichtlichen Auffassung, soweit Sie informelle Auskuenfte erteilen koennen. Hintergrund ist [knapp]. Eine Verarbeitung des Sachverhalts findet [noch nicht / bereits seit Datum] statt. Wir verstehen, dass Ihre Auskunft keinen Verwaltungsakt darstellt.
+>
+> Mit freundlichen Gruessen
+
+## Typische Fehler
+
+- "BfDI sagt..." ohne Quelle.
+- EuGH-Az erfunden oder verschoben.
+- EDSA-Leitlinie veraltet zitiert (z. B. Leitlinien 9/2022 ohne Annahmedatum 28.03.2023).
+- Landesaufsicht falsch zugeordnet (Bayerisches LDA fuer Privatbereich Bayern, Bayerischer Landesbeauftragter fuer oeffentlichen Bereich Bayern — unterscheiden).
+- TDDDG (seit 14.05.2024) als TTDSG zitiert.
+
+**Was triggert die Aufsicht negativ?** Veraltete Zitate, EuGH-Az ohne Datum, Bezug auf Aufsichtspraxis anderer Laender ohne Pruefung.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+- `workflow-rechtsquellen-livecheck`
+- `spezial-transfer-livequellen-und-rechtsprechungscheck`
+
+## Quellen Stand 06/2026
+
+- DSGVO.
+- BDSG.
+- TDDDG, in Kraft seit 14.05.2024.
+- EU-Vertrag Art. 267 AEUV (Vorabentscheidungsverfahren).
+- BfDI bfdi.bund.de.
+- EDSA edpb.europa.eu.
+- EuGH curia.europa.eu.
+- Landesaufsichten siehe Liste oben.
+- Keine Aufsatzfundstellen aus Modellwissen.

datenschutzrecht/skills/datenschutz-loeschpflicht-art-17-und-aufbewahrung/SKILL.md

@@ -0,0 +1,130 @@
+---
+name: datenschutz-loeschpflicht-art-17-und-aufbewahrung
+description: "Konflikt Loeschpflicht Art. 17 DSGVO und Aufbewahrungspflichten HGB § 257 AO § 147 GoBD geordnet aufloesen. Sieben-Fragen-Diagnose: Datenkategorie Verarbeitungszweck Rechtsgrundlage konkurrierende Pflicht Sperrung statt Loeschung Backup-Strategie Drittweitergabe. Schritt-fuer-Schritt: NICHT pauschal alles loeschen Pruefraster nach Datenkategorie. Mustertexte fuer Loeschkonzept Sperrvermerk Ablehnungsschreiben. EuGH C-129/21 Proximus C-460/20 Google Right to be Forgotten. Abgrenzung: keine reine Auskunft (datenschutz-auskunftsersuchen-art-15-praxis)."
+---
+
+# Datenschutz Loeschpflicht — Art. 17 DSGVO und Aufbewahrung
+
+## Zweck
+
+Dieser Skill loest den haeufigen Konflikt zwischen Loeschpflicht nach Art. 17 DSGVO und gesetzlichen Aufbewahrungspflichten nach Handels-, Steuer- und Sozialrecht so auf, dass weder eine Loeschpflichtverletzung noch eine Aufbewahrungspflichtverletzung entsteht. Ergebnis ist regelmaessig eine Sperrung (Einschraenkung Art. 18 DSGVO) bis zum Ablauf der Aufbewahrungspflicht.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald (a) ein Loeschantrag eingeht, (b) Daten ohne Antrag rechtmaessig zu loeschen waeren oder (c) ein Loeschkonzept erstellt werden soll.
+
+Sieben-Fragen-Diagnose:
+
+1. **Datenkategorie:** Kunden-, Mitarbeiter-, Bewerber-, Buchhaltungs-, Vertragsdaten?
+2. **Verarbeitungszweck:** Welcher Zweck rechtfertigte die Verarbeitung, ist er noch aktuell?
+3. **Rechtsgrundlage:** Art. 6 I a-f? Einwilligung widerrufbar Art. 7 III?
+4. **Konkurrierende Aufbewahrungspflicht:** § 257 HGB sechs/zehn Jahre, § 147 AO acht/zehn Jahre, GoBD, § 17 GwG, sozialversicherungsrechtlich?
+5. **Sperrung statt Loeschung:** Ist Art. 18 DSGVO einschlaegig?
+6. **Backup-Strategie:** Werden Daten auch in Backups gehalten? Konzept fuer Loeschung Backup oder nur Produktivsystem?
+7. **Drittweitergabe:** Art. 19 DSGVO Mitteilungspflicht?
+
+## Rechtlicher Rahmen
+
+- **Art. 17 I DSGVO** Loeschpflicht bei: (a) Zweckwegfall, (b) Widerruf Einwilligung, (c) Widerspruch Art. 21, (d) unrechtmaessige Verarbeitung, (e) gesetzliche Pflicht zur Loeschung, (f) Kinderdaten Art. 8.
+- **Art. 17 II DSGVO** verstaerkte Pflicht bei oeffentlich gemachten Daten — Mitteilung an andere Verantwortliche (EuGH C-460/20 Google "Right to be Forgotten").
+- **Art. 17 III DSGVO** Ausnahmen: (a) Meinungs- und Informationsfreiheit, (b) rechtliche Verpflichtung, (c) oeffentliches Interesse Gesundheit, (d) Archivzwecke, (e) Rechtsverteidigung.
+- **Art. 18 DSGVO** Einschraenkung (Sperrung) — als Alternative wenn Loeschung nicht moeglich.
+- **Art. 19 DSGVO** Mitteilungspflicht gegenueber Empfaengern.
+- **§ 257 HGB** Aufbewahrung Handelsbuecher zehn Jahre; Handelsbriefe sechs Jahre.
+- **§ 147 AO** Aufbewahrung Buchungsbelege zehn Jahre (Stand 2026 nach Wachstumschancengesetz acht Jahre fuer bestimmte Belege), sonstige sechs Jahre.
+- **§ 17 GwG** Mindestaufbewahrung Sorgfaltspflicht-Dokumentation fuenf Jahre, bis zu zehn.
+- **§ 28 SGB IV** sozialversicherungsrechtliche Aufbewahrung.
+- **EuGH C-129/21 Proximus** (Urteil 27.10.2022): Verantwortlicher muss bei Aenderung der Verarbeitungslage selbst Massnahmen ergreifen.
+- **EuGH C-460/20 Google** (Urteil 08.12.2022): Recht auf Aushebung von Verlinkung bei Falschangaben.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Zuerst:** Loeschkonzept beim Mandanten anfordern oder erstellen. Ohne Konzept keine geordnete Loeschung.
+2. **Als zweites:** Pro Datenkategorie pruefen — Aufbewahrungspflicht ja oder nein? Falls ja, bis wann?
+3. **Als drittes:** **NICHT pauschal alles loeschen.** Auch nicht "vorsorglich". Loeschungen muessen dokumentiert werden.
+4. **Als viertes:** Wenn Aufbewahrungspflicht besteht: Sperrung Art. 18 DSGVO bzw. Zugriffsbeschraenkung nach § 35 III BDSG, mit Sperrvermerk.
+5. **Als fuenftes:** Backup-Strategie — moderne Praxis: Sperrung im Produktivsystem, Loeschung aus Backup bei naechstem Lifecycle.
+6. **NICHT erst loeschen, dann auf Auskunft Art. 15 antworten** — Auskunftsobjekt entfaellt.
+7. **NICHT** Aufsicht informieren, dass Daten nicht geloescht werden koennen, ohne Mandantenfreigabe.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Sofortige Loeschung Produktivsystem | Erfuellt Art. 17 sichtbar | Risiko Verletzung Aufbewahrungspflicht |
+| Sperrung Art. 18 + Loeschung bei Ablauf | Saubere Konfliktloesung | Aufwand, technisch nicht immer einfach |
+| Pseudonymisierung | Reduziert Personenbezug | Re-Identifizierung moeglich, kein voller Schutz |
+| Pauschale Ablehnung mit Verweis HGB AO | Schnell | Aufsicht prueft Einzelpflicht |
+
+## Mustertexte
+
+### Ablehnungsschreiben (Sperrung statt Loeschung)
+
+> Sehr geehrte/r [Name],
+>
+> Ihrem Antrag auf Loeschung nach Art. 17 DSGVO koennen wir vollumfaenglich nicht entsprechen. Hintergrund ist eine konkurrierende gesetzliche Aufbewahrungspflicht nach § 257 HGB / § 147 AO / § 17 GwG (zutreffend einsetzen). Daher findet die Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO Anwendung.
+>
+> Wir haben Ihre Daten gemaess Art. 18 DSGVO in der Verarbeitung eingeschraenkt (Sperrvermerk). Die Daten werden mit Ablauf der gesetzlichen Aufbewahrungspflicht am [Datum] vollstaendig geloescht. Bis dahin werden die Daten nur fuer den oben genannten Aufbewahrungszweck verarbeitet.
+>
+> Ihr Beschwerderecht nach Art. 77 DSGVO bei [zustaendige Aufsichtsbehoerde] bleibt unberuehrt.
+
+### Sperrvermerk (intern)
+
+```
+Datenkategorie: [konkret]
+Betroffener: [Name]
+Sperrgrund: [Aufbewahrungspflicht § X HGB / § Y AO]
+Sperrbeginn: [Datum]
+Voraussichtliche Loeschung: [Datum]
+Zugriffsbeschraenkung: [nur Buchhaltung / nur fuer Pruefung]
+DSB benachrichtigt: [ja/nein]
+```
+
+### Loeschkonzept-Skizze (intern)
+
+```
+Datenkategorie 1 (Buchhaltungsdaten): § 147 AO 10 Jahre → Loeschung Jahr 11
+Datenkategorie 2 (Handelsbriefe): § 257 II HGB 6 Jahre → Loeschung Jahr 7
+Datenkategorie 3 (Bewerberdaten): regelmaessig 6 Monate (Diskriminierungspraevention § 15 IV AGG)
+Datenkategorie 4 (Mitarbeiter aktiv): waehrend Beschaeftigung + Aufbewahrungspflicht steuerlich
+Datenkategorie 5 (Marketing): nach Widerruf / Widerspruch sofort
+```
+
+## Typische Fehler
+
+- "DSGVO sagt loeschen" — Aufbewahrungspflicht uebersehen.
+- "HGB sagt aufbewahren" — Sperrungspflicht Art. 18 DSGVO uebersehen.
+- Loeschung nicht protokolliert.
+- Backup-System wird vergessen.
+- Recht auf Vergessenwerden Art. 17 II nicht beachtet bei oeffentlich gemachten Daten.
+
+**Was triggert die Aufsichtsbehoerde?** Pauschale Ablehnungen ohne konkrete Norm, kein Loeschkonzept, keine Sperrvermerke, fehlende Backup-Strategie.
+
+## Querverweise
+
+- `datenschutz-betroffenenrechte-art-15-22-orchestriert`
+- `datenschutz-auskunftsersuchen-art-15-praxis`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 17, 18, 19, 77.
+- BDSG § 35.
+- HGB § 257.
+- AO § 147 (in der Fassung nach Wachstumschancengesetz 2024).
+- GwG § 17.
+- AGG § 15.
+- EuGH C-129/21 Proximus, Urteil 27.10.2022.
+- EuGH C-460/20 Google, Urteil 08.12.2022.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-mandantenkommunikation-aufsichtsbehoerde/SKILL.md

@@ -0,0 +1,118 @@
+---
+name: datenschutz-mandantenkommunikation-aufsichtsbehoerde
+description: "Kommunikation mit Aufsichtsbehoerden BfDI und Landesbehoerden inhaltlich und taktisch fuehren. Sieben-Fragen-Diagnose: Welche Aufsicht zustaendig BfDI § 13 BDSG oder Land § 40 BDSG welcher Anlass Pruefung Anhoerung Mandant antwortbereit. Schritt-fuer-Schritt: Mandantenfreigabe zwingend NICHT vorschnell schriftliche Stellungnahme abgeben Akteneinsicht beantragen Frist nutzen. Trade-off-Matrix zwischen Kooperation und Vorsicht. Mustertexte fuer Antwortbriefe Akteneinsichtsantrag und Bevollmaechtigungsanzeige. Abgrenzung: keine Bussgeldverteidigung im engeren Sinn (datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung)."
+---
+
+# Datenschutz Mandantenkommunikation mit Aufsichtsbehoerden
+
+## Zweck
+
+Dieser Skill leitet die anwaltliche Kommunikation des Mandanten mit der zustaendigen Aufsichtsbehoerde — also BfDI fuer Telekommunikation, Post und bestimmte Bundesbehoerden oder Landesaufsicht fuer den oeffentlichen und privaten Bereich der Laender — so, dass der Mandant in Pruefungs-, Anhoerungs- und Beschwerdeverfahren weder seine Position verschlechtert noch Bussgeldakten unnoetig fuettert.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald ein Schreiben einer Aufsichtsbehoerde eingegangen ist — egal ob foermlich (Anhoerung nach § 28 VwVfG), informell (Auskunftsverlangen nach Art. 58 I a DSGVO), als Pruefungsankuendigung (Art. 58 I b DSGVO Untersuchung) oder als Reaktion auf eine eigene Meldung.
+
+Sieben-Fragen-Diagnose:
+
+1. **Welche Aufsicht?** BfDI nach § 13 BDSG (Telekommunikation, Post, Bundesbehoerden, Postdienste) oder Landesaufsicht nach § 40 BDSG (privater Bereich plus Landesbehoerden)? Federfuehrend nach Art. 56 DSGVO?
+2. **Welcher Anlass?** Pruefung von Amts wegen, Beschwerde Art. 77, Folge einer Meldung Art. 33, anonymer Hinweis, koordiniertes Aufsichtsverfahren EDSA?
+3. **Welche Verfahrensart?** Anhoerung (kein Bussgeldverfahren), Bussgeldverfahren OWiG, Verwaltungsverfahren Art. 58 II DSGVO (Anordnung)?
+4. **Welche Frist?** Genau notieren, Eingangsstempel, Fristenkalender.
+5. **Ist der Mandant antwortbereit?** Sind Daten vorhanden, ist die Geschaeftsfuehrung einig, DSB beteiligt?
+6. **Welches Mandatsziel?** Pruefung erledigen mit minimalem Eingriff, Bussgeld vermeiden, oder oeffentliche Wahrnehmung steuern?
+7. **Welche Spurensicherung intern?** Verarbeitungsverzeichnis Art. 30 DSGVO, TOM Art. 32, DSFA Art. 35, AVV Art. 28 — liegt alles vor und ist aktuell?
+
+## Rechtlicher Rahmen
+
+- **Art. 57 DSGVO** Aufgaben Aufsichtsbehoerde.
+- **Art. 58 DSGVO** Befugnisse: I Untersuchungen, II Abhilfemassnahmen.
+- **Art. 31 DSGVO** Zusammenarbeitspflicht des Verantwortlichen mit Aufsicht.
+- **Art. 56 DSGVO** federfuehrende Behoerde bei grenzueberschreitender Verarbeitung.
+- **Art. 77 DSGVO** Beschwerderecht.
+- **§ 13 BDSG** Bestellung und Befugnisse des BfDI.
+- **§ 40 BDSG** Aufsichtsbehoerden der Laender.
+- **§ 41 BDSG** Anwendung OWiG, BfDI bzw. Landesaufsicht als Verfolgungsbehoerde.
+- **§ 28 VwVfG** Anhoerungsrecht im Verwaltungsverfahren.
+- **§ 55 OWiG** Anhoerung im Bussgeldverfahren — **kein Verschulden zugeben**, **kein Schweigen mit Schuldeingestaendnis verwechseln**.
+- **§ 46 OWiG** sinngemaesse Anwendung StPO.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+1. **Mandantenfreigabe zwingend.** Kein Brief geht raus ohne Geschaeftsfuehrungsfreigabe. Vier-Augen-Prinzip.
+2. **NICHT vorschnell schriftliche Stellungnahme abgeben.** Erst Akteneinsicht beantragen, Sachverhalt klaeren, Belegmatrix erstellen.
+3. **Eingangsschreiben sortieren:** Anhoerung, Auskunftsverlangen, Anordnung, Bussgeldanhoerung — andere Vorgehen pro Variante.
+4. **Akteneinsicht beantragen.** Bei Bussgeldverfahren § 49 OWiG i.V.m. § 147 StPO. Bei Verwaltungsverfahren § 29 VwVfG.
+5. **Frist nutzen.** Lieber Fristverlaengerung beantragen als unvollstaendig liefern.
+6. **Inhalt der Stellungnahme:** keine pauschalen Selbstvorwuerfe; konkrete Belege zu Art. 30, 32, 35; klare Trennung zwischen Tatsachen und Rechtsauffassung.
+7. **Begleitend:** Geheimhaltung wahren, kein interner Mailverkehr mit Selbstbelastung.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Volle Kooperation, alle Unterlagen sofort | Bussgeldmilderung Art. 83 II c, Vertrauen | Risiko Selbstbelastung, Akte waechst |
+| Akteneinsicht zuerst, dann Stellungnahme | Klarheit ueber Vorwurfsbasis | Zeitverlust, Aufsicht ungeduldig |
+| Fristverlaengerung mit Begruendung | Sauberes Ergebnis | Aufsicht kann Anordnung Art. 58 II beschleunigen |
+| Bevollmaechtigungsanzeige sofort | Klare Kommunikationswege | Aufsicht erkennt Anwaltsmandat als Eskalationssignal |
+
+## Mustertexte
+
+### Bevollmaechtigungsanzeige
+
+> Sehr geehrte Damen und Herren,
+>
+> in der oben bezeichneten Sache zeigen wir an, dass uns [Mandantenfirma], gesetzlich vertreten durch [GF], mit der Vertretung beauftragt hat. Eine entsprechende Vollmacht reichen wir nach. Wir bitten um Zustellung saemtlicher kuenftiger Schreiben zu unseren Haenden.
+>
+> Wir beantragen Akteneinsicht in den vollstaendigen Vorgang gemaess [§ 29 VwVfG / § 49 OWiG i.V.m. § 147 StPO].
+>
+> Zur Sache wird im Anschluss Stellung genommen. Eine Frist zur Stellungnahme vor Akteneinsicht ist nicht angemessen. Wir beantragen Fristverlaengerung um [4-6 Wochen] ab Akteneinsicht.
+
+### Akteneinsichtsantrag (Bussgeldverfahren)
+
+> Wir beantragen Akteneinsicht in den Bussgeldvorgang nach § 49 OWiG in Verbindung mit § 147 StPO. Um Uebersendung der Akten zur Einsichtnahme bzw. Bereitstellung in elektronischer Form wird gebeten.
+
+### Stellungnahme — Strukturvorschlag
+
+> 1. Sachverhalt (knapp, neutrale Sprache, ohne Selbstvorwurf).
+> 2. Rechtlicher Rahmen (DSGVO-Norm konkret).
+> 3. Massnahmenlage des Mandanten zum Zeitpunkt des Vorfalls (Art. 30, 32, 35 DSGVO — mit Belegen als Anlage).
+> 4. Bewertung (Subsumtion mit Bezug zu Aufsichtspraxis und EDSA-Leitlinien).
+> 5. Ergebnis und Antrag (Einstellung, Verwarnung statt Bussgeld Art. 58 II b, Massnahmenplan).
+
+## Typische Fehler
+
+- Geschaeftsfuehrer telefoniert "kurz" mit Sachbearbeiter — alles geht zur Akte.
+- Pauschale Schuldeingestaendnisse in Mailverkehr.
+- Stellungnahme ohne Akteneinsicht.
+- Frist verpasst und keinen Verlaengerungsantrag gestellt.
+- Beweise im Verarbeitungsverzeichnis Art. 30 nicht aktuell.
+
+**Was triggert die Aufsichtsbehoerde besonders?** Schweigen, Floskeln, fehlendes Verarbeitungsverzeichnis Art. 30, kein DSB benannt obwohl § 38 BDSG Schwelle ueberschritten.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung`
+- `datenschutz-datenpanne-art-33-34-72h-incident-response`
+- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
+- `datenschutz-livecheck-bfdi-laender-aufsichtsbehoerden`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 31, 56, 57, 58, 77, 83.
+- BDSG § 13, § 38, § 40, § 41.
+- VwVfG § 28, § 29.
+- OWiG § 46, § 49, § 55.
+- StPO § 147.
+- EDSA, Leitlinien 04/2022 zur Berechnung der Geldbussen nach DSGVO, angenommen 24.05.2023.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit/SKILL.md

@@ -0,0 +1,132 @@
+---
+name: datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit
+description: "Schadensersatzklage nach Art. 82 DSGVO materieller und immaterieller Schaden vor deutschen Zivilgerichten. EuGH C-300/21 Oesterreichische Post C-340/21 Bulgarian Sofia C-687/21 MediaMarkt C-741/21 juris C-456/22 VX gegen Saale. Sieben-Fragen-Diagnose Anspruchsteller oder Anspruchsgegner Verstoss konkret Kausalitaet Schadensart Beweislast Verjaehrung Anspruchskonkurrenz. Schritt-fuer-Schritt fuer Klage und Verteidigung. Mustertexte Klageschrift Klageerwiderung Vergleichsvorschlag. Abgrenzung: keine Bussgeldverteidigung."
+---
+
+# Datenschutz Schadensersatz — Gerichtsstreit nach Art. 82 DSGVO
+
+## Zweck
+
+Dieser Skill bearbeitet Schadensersatzansprueche nach Art. 82 DSGVO vor deutschen Zivilgerichten — sowohl auf Klaeger- als auch auf Beklagtenseite. Er konzentriert sich auf den materiellen und immateriellen Schaden, die Kausalitaet zum DSGVO-Verstoss und die Beweislastverteilung nach der inzwischen verfestigten EuGH-Rechtsprechung.
+
+## Wann brauchen Sie diesen Skill / Kaltstart-Fragen
+
+Sie brauchen den Skill, sobald (a) ein Betroffener Schadensersatz vom Mandanten verlangt oder (b) der Mandant gegen einen Verantwortlichen vorgehen will.
+
+Sieben-Fragen-Diagnose:
+
+1. **Anspruchsteller oder Anspruchsgegner?** Andere Schritte je nach Seite.
+2. **Welcher konkrete Verstoss?** Norm und Sachverhalt — nicht pauschal "DSGVO verletzt".
+3. **Kausalitaet:** Welcher Schaden hat sich aus welchem Verstoss konkret entwickelt? Kausalkette schriftlich.
+4. **Schadensart:** Materiell (Vermoegen) und/oder immateriell (Gefuehl, Kontrollverlust, Sorge)? Hoehe geschaetzt?
+5. **Beweislast:** Wer muss was beweisen — Verantwortlicher entlastet sich nach Art. 82 III DSGVO, dass er nicht verantwortlich ist; Klaeger muss Verstoss und Schaden darlegen.
+6. **Verjaehrung:** Art. 82 selbst regelt nichts; nach BGH-Rspr. § 195 BGB drei Jahre ab Kenntnis.
+7. **Anspruchskonkurrenz:** UWG, BDSG § 83, deliktische Ansprueche §§ 823 ff. BGB?
+
+## Rechtlicher Rahmen
+
+- **Art. 82 I DSGVO** Jede Person, die einen materiellen oder immateriellen Schaden erlitten hat, hat Anspruch gegen den Verantwortlichen oder Auftragsverarbeiter.
+- **Art. 82 II DSGVO** Verantwortlicher haftet fuer Schaeden aus Verarbeitungen; Auftragsverarbeiter nur bei Pflichtverletzung gegen DSGVO-Auftragsverarbeiterspflichten oder Weisung.
+- **Art. 82 III DSGVO** Entlastung des Verantwortlichen oder Auftragsverarbeiters bei Nachweis, in keinerlei Hinsicht verantwortlich.
+- **Art. 82 IV DSGVO** Gesamtschuld bei mehreren Verantwortlichen.
+- **EuGH C-300/21 Oesterreichische Post** (Urteil 04.05.2023): Kein blosser Verstoss reicht; konkreter Schaden notwendig; keine Erheblichkeitsschwelle.
+- **EuGH C-340/21 Bulgarian Sofia** (Urteil 14.12.2023): Auch blosse Sorge vor Datenmissbrauch kann immaterieller Schaden sein; Verantwortlicher hat TOM-Pflicht und Beweislast fuer Geeignetheit; Hackerangriff allein entlastet nicht.
+- **EuGH C-687/21 MediaMarkt** (Urteil 25.01.2024): Befuerchtungen Betroffener koennen Schaden begruenden; konkretes Ausmass und Kausalitaet sind zu pruefen.
+- **EuGH, Urt. v. 11.04.2024 - C-741/21 (juris GmbH):** Verschulden und Schaden — Art. 82 DSGVO setzt Verschulden voraus; Hoehe nach nationalem Recht, aber unter Beachtung Effektivitaet und Aequivalenz.
+- **EuGH C-456/22 VX/Saale** (Urteil 14.12.2023): Schadensersatz hat kompensatorische und keine Straffunktion; auch geringe Schadenshoehen moeglich.
+- **BGH VI ZR 1148/22** (Urteil 18.11.2024): Bei DSGVO-Verstoss zeitnah Kontrollverlust und Folgen darzulegen; pauschale Behauptung reicht nicht.
+- **Art. 79 II DSGVO** Gerichtsstand am Sitz des Verantwortlichen oder gewoehnlichen Aufenthaltsort des Betroffenen.
+- **§ 195 BGB** drei Jahre.
+
+## Mandantenfuehrung Schritt-fuer-Schritt
+
+### Klaegerseite
+
+1. **Zuerst:** Beleg-Akte anlegen — Mailverkehr, Screenshots, Auskunftsersuchen nach Art. 15 DSGVO mit Antwort.
+2. **Als zweites:** Schadensdarstellung konkretisieren — Gefuehlssituation, zeitlicher Verlauf, Folgen (Sorge, Kontrollverlust, Aengste, konkrete Aufwendungen).
+3. **Als drittes:** Klage einreichen — Gerichtsstand Art. 79 II DSGVO, regelmaessig Amtsgericht bis 5.000 EUR.
+
+### Beklagtenseite
+
+1. **Zuerst:** Klageerwiderungsfrist sichern (§ 277 ZPO).
+2. **Als zweites:** Tatbestand pruefen — Verstoss nachweisbar? TOM Art. 32 dokumentiert? Belege fuer entlastenden Nachweis Art. 82 III?
+3. **Als drittes:** Kausalitaet und Schaden bestreiten — Erhalt von Spam-Mails, Wechselgefuehle ohne konkrete Folge sind nach EuGH C-300/21 nicht ausreichend; aber Sorge kann nach EuGH C-340/21 reichen.
+4. **NICHT vorschnell anerkennen:** Auch nicht "aus Goodwill", da Praezedenz fuer weitere Verfahren.
+5. **Vergleich erwaegen:** Bei klarer Beweislast lieber Vergleich als Praezedenzurteil.
+
+## Trade-off-Matrix
+
+| Variante | Vorteil | Nachteil |
+|---|---|---|
+| Klage mit hohem Streitwert | Maximale Forderung | Hohe Vorschuesse, Risiko Klageabweisung |
+| Streitwertbegrenzung Amtsgericht | Schnell, kostenarm | Reicht oft nicht fuer Praezedenz |
+| Vergleich vor Klage | Schnelle Erledigung | Keine Klaerung, Wiederholungsrisiko |
+| Vollstaendige Verteidigung | Praezedenz, klare Rechtslage | Reputationsrisiko, Folgeklagen |
+
+## Mustertexte
+
+### Klageschrift (Kerntext)
+
+> Klage wegen Schadensersatzes nach Art. 82 DSGVO
+>
+> Klaeger: [Person, Anschrift]
+> Beklagte: [Verantwortlicher, Anschrift]
+> Streitwert: vorlaeufig [Betrag]
+>
+> Antrag: Die Beklagte wird verurteilt, an die Klaegerseite [Betrag] nebst Zinsen in Hoehe von fuenf Prozentpunkten ueber dem Basiszinssatz seit Rechtshaengigkeit zu zahlen.
+>
+> Begruendung:
+> I. Sachverhalt (konkret Vorfall, Datum, Datenkategorie).
+> II. Rechtlicher Rahmen (Art. 82 I DSGVO, EuGH C-300/21, EuGH C-340/21).
+> III. Konkrete Pflichtverletzung (DSGVO-Norm).
+> IV. Kausaler Schaden (immateriell mit Sorge, Kontrollverlust; materiell mit konkretem Betrag).
+> V. Hoehe (Begruendung der Schaetzung).
+> VI. Gerichtsstand Art. 79 II DSGVO.
+
+### Klageerwiderung — Kernpunkte
+
+> 1. Verstoss bestreiten oder relativieren (welche DSGVO-Norm konkret und Subsumtion).
+> 2. Schaden bestreiten: blosse Sorge ohne Substanz reicht nach BGH VI ZR 1148/22 nicht; konkrete Folgen notwendig.
+> 3. Kausalitaet bestreiten — auch bei TOM-Pflichtverletzung muss Schaden konkret aus Verletzung resultieren.
+> 4. Entlastung Art. 82 III: TOM Art. 32 lagen vor (Anlage), Massnahmen waren angemessen.
+> 5. Verjaehrung pruefen (§ 195 BGB).
+> 6. Hilfsweise Minderung der Hoehe (EuGH C-456/22: kompensatorisch, nicht praeventiv).
+
+## Typische Fehler
+
+- Pauschale Schadensbehauptung "Kontrollverlust" ohne konkrete Substanz (BGH VI ZR 1148/22).
+- TOM-Pflicht Art. 32 unterschaetzt — Beklagte muss Massnahmen aktiv belegen.
+- Verschuldensfrage nach EuGH C-741/21 uebersehen.
+- Streitwert zu hoch angesetzt — bei AG-Zustaendigkeit Vorbehalt.
+- Verjaehrung nicht gerueckpruefte (§ 195 BGB drei Jahre ab Kenntnis).
+
+**Was triggert hohe Schadensersatzbetraege?** Art. 9-Daten, Massenvorfall, nachweisbare Kettenfolge (Identitaetsdiebstahl), fehlende Reaktion des Verantwortlichen, kein DSB.
+
+## Querverweise
+
+- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`
+- `datenschutz-auskunftsersuchen-art-15-praxis`
+- `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung`
+- `dsr-schadensersatz-art82-spezial`
+- `datenschutz-datenpanne-art-33-34-72h-incident-response`
+
+## Quellen Stand 06/2026
+
+- DSGVO Art. 79, 82, 83.
+- BGB § 195, § 199, § 823, § 826.
+- BGH VI ZR 1148/22, Urteil 18.11.2024 (zu pauschalen Behauptungen Kontrollverlust).
+- EuGH C-300/21 Oesterreichische Post, Urteil 04.05.2023.
+- EuGH C-340/21 Bulgarian Sofia, Urteil 14.12.2023.
+- EuGH C-687/21 MediaMarkt, Urteil 25.01.2024.
+- EuGH, Urt. v. 11.04.2024 - C-741/21 (juris GmbH), vor Ausgabe über curia.europa.eu verifizieren.
+- EuGH C-456/22 VX gegen Saale, Urteil 14.12.2023.
+- Keine Aufsatzfundstellen aus Modellwissen.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/datenschutz-schufa-insolvenzdaten-loeschung/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-schufa-insolvenzdaten-loeschung
+description: "Löschung von SCHUFA-/Auskunfteidaten zur Restschuldbefreiung nach EuGH C-26/22/C-64/22 mit Art. 5 sowie Art. 17 DSGVO und öffentlichen Insolvenzbekanntmachungen."
+---
+
+# Datenschutz: SCHUFA-Insolvenzdaten löschen
+
+## Einsatz
+
+Für Betroffene, die nach Restschuldbefreiung weiterhin negative Auskunfteieinträge finden.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 5, 6, 15, 17, 18, 21, 77, 79; EuGH 07.12.2023 C-26/22 und C-64/22; InsO/InsBekV live prüfen.
+
+## Arbeitsfragen
+
+1. Welche Einträge, Datenquellen und Speicherfristen?
+2. Ist die öffentliche Bekanntmachung noch abrufbar?
+3. Welche Auskunfteien und Empfänger?
+
+## Output
+
+Auskunfts-/Löschungsverlangen, Fristenplan und Beschwerdeentwurf.
+
+## Red Flags
+
+- Eintrag nur als Score versteckt
+- mehrere Auskunfteien
+- Bankentscheidung schon gefallen
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutz-scoring-art22-schufa-c63421/SKILL.md

@@ -0,0 +1,34 @@
+---
+name: datenschutz-scoring-art22-schufa-c63421
+description: "Bonitätsscoring nach EuGH C-634/21: automatisierte Entscheidung, maßgebliches Kriterium für Dritte, Transparenz, Auskunft, Widerspruch und DSFA."
+---
+
+# Scoring und Art. 22 DSGVO nach EuGH C-634/21
+
+## Einsatz
+
+Für Score-basierte Kredit-, Miet-, Konto- oder Vertragsablehnung.
+
+## Norm- und Quellenanker
+
+DSGVO Art. 15, 21, 22, 35; BDSG § 31 live prüfen; EuGH 07.12.2023 C-634/21.
+
+## Arbeitsfragen
+
+1. Hat ein Dritter maßgeblich auf den Score abgestellt?
+2. Welche Logik/Scorefaktoren sind bekannt?
+3. Welche menschliche Prüfung fand statt?
+
+## Output
+
+Art.-22-Prüfung, Auskunftsverlangen und Argumente gegen automatisierte Entscheidung.
+
+## Red Flags
+
+- Dritter behauptet menschliche Entscheidung ohne Beleg
+- Scorelogik bleibt leer
+- BDSG § 31 nicht live geprüft
+
+## Arbeitsstil
+
+Konkrete Normen, konkrete Unterlagen, konkrete nächste Handlung. Keine pauschalen Empfehlungen; Rechtsprechung nur verifiziert mit Gericht, Datum, Aktenzeichen und frei zugänglicher Quelle.

datenschutzrecht/skills/datenschutzrecht-anpassen/SKILL.md

@@ -0,0 +1,122 @@
+---
+name: datenschutzrecht-anpassen
+description: "Bestehende Datenschutzdokumentation oder Richtlinien an neue Anforderungen oder Verarbeitungstätigkeiten anpassen. Art. 5 24 DSGVO Rechenschaftspflicht. Prüfraster: Bestandsaufnahme Lueckenanalyse DSGVO-Anforderungen BDSG-Besonderheiten Anpassungsbedarf. Output: Anpassungsprotokoll ueberarbeitete Dokumente. Abgrenzung: nicht für Neuerstellung von Dokumentation."
+---
+
+# Customize – Praxisprofil anpassen
+
+## Zweck
+
+Gezieltes Aktualisieren einzelner Abschnitte von `CLAUDE.md`, ohne das gesamte Kaltstart-Interview zu wiederholen. Typische Anlässe: neue Aufsichtsbehörde wegen Umzug der Hauptniederlassung, geänderter AVV-Dealbreaker nach Vertragsverhandlung, neue Systemliste nach IT-Migration, aktualisertes DSFA-Format nach Audit-Feedback, Wechsel des internen DSB.
+
+## Eingaben
+
+- Welcher Abschnitt soll geändert werden? (frei formuliert oder Menüauswahl)
+- Neuer Wert oder neue Position
+- Optional: Beleg für die Änderung (z.B. neues Gerichtsurteil, neue EDSA-Leitlinie, Managemententscheidung)
+
+## Ablauf
+
+1. **Abschnitt identifizieren.** Nutzer nennt, was geändert werden soll. Bei Unklarheit eine strukturierte Liste der änderbaren Bereiche anzeigen:
+   - Organisationsdaten (Name, Rechtsform, Standort)
+   - Zuständige Aufsichtsbehörde
+   - Rolle (Verantwortlicher / Auftragsverarbeiter)
+   - Datenschutzbeauftragte·r (Name, intern/extern)
+   - Rechtsgrundlagen-Übersicht (Art. 6/9 DSGVO)
+   - AVV-Playbook (Klausel-Positionen, Deal-Breaker)
+   - Drittlandtransfer-Mechanismen (SCC, DPF, BCR)
+   - Systemliste für Betroffenenanfragen
+   - DSFA-Format und Auslöser
+   - Datenschutzerklärungsangaben
+   - Ausgaben-Konfiguration (Ordner, Namenskonvention)
+   - Integrations-Einstellungen
+
+2. **Aktuellen Wert zeigen.** Den aktuellen Wert aus `CLAUDE.md` lesen und ausgeben, damit der Nutzer die Änderung klar gegen den Ist-Zustand vergleichen kann.
+
+3. **Änderung vorbereiten.** Neuen Wert formulieren. Bei normativen Änderungen (z.B. neue Aufsichtsbehörde wegen Art. 56 DSGVO) die Rechtsgrundlage der Änderung nennen.
+
+4. **Bestätigung einholen.** Den geplanten Schreibvorgang explizit bestätigen lassen – vor dem Überschreiben.
+
+5. **Schreiben.** `CLAUDE.md` an der betroffenen Stelle aktualisieren. Rest unverändert lassen.
+
+6. **Zusammenfassung.** Was wurde geändert, was blieb unverändert, gibt es Folgeaktionen (z.B. Datenschutzerklärung aktualisieren nach geänderter Systemliste)?
+
+## Quellen und Zitierweise
+
+Verbindlich nach `../../references/zitierweise.md`.
+
+- Art. 56 DSGVO (federführende Aufsichtsbehörde)
+- Art. 37 DSGVO, § 38 BDSG (DSB-Benennungspflicht)
+- Art. 28 DSGVO (AVV-Mindestanforderungen für Playbook-Änderungen)
+- Art. 46, 47, 49 DSGVO (Drittlandtransfer-Mechanismen)
+- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+
+## Ausgabeformat
+
+Kurze Änderungsbestätigung:
+```
+Geändert: [Abschnitt]
+Alter Wert: [Wert]
+Neuer Wert: [Wert]
+Rechtsgrundlage der Änderung: [Norm oder "organisatorische Entscheidung"]
+Folgeaktionen: [z.B. "Datenschutzerklärung prüfen, ob Änderung dort sichtbar werden muss"]
+```
+
+## Beispiel
+
+**Situation:** Das Unternehmen zieht seinen Hauptsitz von Bayern nach Hessen.
+
+**Analyse:**
+Die Zuständigkeit der Aufsichtsbehörde richtet sich nach der Hauptniederlassung in der EU, Art. 56 Abs. 1 DSGVO. Mit Umzug nach Hessen wechselt die federführende Aufsichtsbehörde vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zum Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Für laufende Aufsichtsverfahren beim BayLDA ist der Wechsel mit Hauptniederlassungsverlegung dem BayLDA mitzuteilen (Art. 60 Abs. 1 DSGVO analog, h.M.).
+
+**Änderung:**
+```
+Zuständige Aufsichtsbehörde: HBDI (zuvor: BayLDA)
+Rechtsgrundlage: Art. 56 Abs. 1 DSGVO
+Datum: [Umzugsdatum]
+Folgeaktionen: Laufende Verfahren beim BayLDA auf HBDI übertragen; Datenschutzerklärung (Aufsichtsbehördenverweis) aktualisieren; Kontaktdaten HBDI in CLAUDE.md einpflegen.
+```
+
+## Risiken / typische Fehler
+
+- **Teilaktualisierung vergessen:** Wer den DSB wechselt, muss auch die Datenschutzerklärung und ggf. das Verarbeitungsverzeichnis (Art. 30 Abs. 1 lit. a DSGVO: Name und Kontakt DSB) aktualisieren.
+- **AVV-Playbook ohne Begründung:** Änderungen an Klauselpositionen sollten mit Datum und Anlass dokumentiert werden (Präzedenzfall, Gerichtsurteil, Managemententscheidung), damit spätere Prüfer die Position nachvollziehen können.
+- **Integrations-Änderungen ohne Test:** Neue Connector-Einstellung erst nach erfolgreichem Test-Aufruf als ✓ markieren.
+- **Überschreiben von Mandats-Ebene:** Wenn Mandat-Arbeitsbereiche aktiviert sind, prüfen, ob die Änderung das Praxisprofil oder nur ein einzelnes Mandat betrifft. Mandat-Ebene überschreibt Praxisprofil nur für dieses Mandat.
+
+## Quellen / Updates
+
+Stand: 05/2026. Bei BDSG-Novellen, neuen BRAO-Regeln oder Aufsichtsbehörden-Neustrukturierungen Skill aktualisieren.
+
+**Querverweise:**
+- `datenschutzrecht/skills/datenschutzrecht-kaltstart-interview/SKILL.md` — Vollständige Neukonfiguration
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — Drittlandtransfer-Mechanismen im Praxisprofil
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn
+
+1. Was genau soll geändert werden? (Aufsichtsbehörde / AVV-Dealbreaker / Systemliste / DSB)
+2. Hat die Änderung Auswirkungen auf andere Dokumente (Datenschutzerklärung, VVT, DSFA)?
+3. Liegt ein Beleg (Urteil, EDSA-Leitlinie, Managemententscheidung) für die Änderung vor?
+4. Betrifft die Änderung das Praxisprofil oder nur ein einzelnes Mandat?
+
+## Output-Template — Änderungsbestätigung
+
+**Adressat:** Datenschutzbeauftragter / Kanzlei intern — Tonfall: sachlich-strukturiert
+
+```
+Praxisprofil-Änderungsprotokoll [DATUM]
+Abschnitt: [ABSCHNITT]
+Alter Wert: [ALTER WERT]
+Neuer Wert: [NEUER WERT]
+Beleg/Rechtsgrundlage: [NORM / BESCHLUSS / DATUM]
+Folgeaktionen:
+- Datenschutzerklaerung aktualisieren: [ja/nein]
+- VVT aktualisieren: [ja/nein]
+- Aufsichtsbehoerde informieren: [ja/nein]
+- Weitere: [...]
+Durchgefuehrt von: [SACHBEARBEITER]
+```

datenschutzrecht/skills/datenschutzrecht-mandat-arbeitsbereich/SKILL.md

@@ -0,0 +1,154 @@
+---
+name: datenschutzrecht-mandat-arbeitsbereich
+description: "Datenschutzrechtliches Mandat strukturieren und Arbeitsbereich abgrenzen. Art. 5 24 DSGVO §§ 1 ff. BDSG. Prüfraster: Mandatsumfang Zuständigkeiten Fristen Risikostufe externe Datenschutzberatung. Output: Mandatssteckbrief Arbeitsplan Rollenverteilung. Abgrenzung: nicht für inhaltliche Datenschutzprüfung."
+---
+
+# Mandat-Arbeitsbereich – Mehrmandat-Kanzlei
+
+## Zweck
+
+Isolation von Datenschutzmandaten in Mehrmandat-Kanzleien: Jeder Mandant erhält einen eigenen Arbeitsbereich mit eigener Mandatsdatei (`mandat.md`). Skills lesen das kanzlei-weite Praxisprofil (`CLAUDE.md`) für kanzleiweite Regeln und die mandatsspezifische Datei für mandatsspezifische Fakten. Kontext, Erkenntnisse und Ausgaben fließen nicht zwischen Mandaten durch.
+
+**Nur relevant für Mehrmandat-Kanzleien.** Bei internem Unternehmenseinsatz (ein Verantwortlicher) ist dieser Skill deaktiviert; Skills verwenden das Praxisprofil direkt.
+
+Beachte: Mandantendaten unterliegen § 43a Abs. 2 BRAO, § 203 StGB. Mandatsisolation ist datenschutz- und berufsrechtliche Pflicht.
+
+## Eingaben
+
+- Befehlsform: `neu | liste | wechsle [Mandat-ID] | schließe [Mandat-ID] | keins`
+- Bei `neu`: Mandantenname, kurze Beschreibung des Datenschutzmandats, Mandats-ID (Kürzel)
+- Bei `wechsle`: Mandat-ID des Zielmandats
+
+## Ablauf
+
+### `neu` – Neues Mandat anlegen
+
+1. Mandat-ID vergeben (Kürzel, z.B. `mand-2024-04-mueller-dsfa`).
+2. Verzeichnis anlegen: `~/.claude/plugins/config/claude-fuer-deutsches-recht/datenschutzrecht/mandate/[mandat-id]/`
+3. Leere `mandat.md` mit Pflichtfeldern anlegen (s. Struktur unten).
+4. Aktives Mandat in Praxisprofil auf neue ID setzen.
+5. Bestätigung ausgeben: "Mandat [ID] angelegt. Alle folgenden Skill-Aufrufe arbeiten in diesem Mandatskontext."
+
+### `liste` – Mandatsübersicht
+
+Alle Verzeichnisse unter `mandate/` auflisten:
+| Mandat-ID | Mandant | Beschreibung | Status | Letzte Aktivität |
+|---|---|---|---|---|
+| … | … | … | offen / abgeschlossen | Datum |
+
+### `wechsle [Mandat-ID]` – Mandat wechseln
+
+1. Mandat-ID aus Liste verifizieren.
+2. Aktives Mandat in Praxisprofil auf neue ID setzen.
+3. Bestätigung ausgeben; laufende offene Aufgaben im alten Mandat nennen, falls vorhanden.
+
+### `schließe [Mandat-ID]` – Mandat abschließen
+
+1. Status in `mandat.md` auf "abgeschlossen" und Abschlussdatum setzen.
+2. Aktives Mandat zurücksetzen (auf "keins").
+3. Ausgabedateien des Mandats sind weiter zugänglich, werden aber nicht mehr von Skills aktiv gelesen.
+
+### `keins` – Kanzlei-Kontext (kein aktives Mandat)
+
+Skills arbeiten im kanzlei-weiten Praxisprofil ohne mandatsspezifischen Kontext. Sinnvoll für allgemeine Kanzlei-Konfiguration oder Skills die sich auf die gesamte Kanzlei beziehen (z.B. Policy-Monitor für kanzlei-interne Richtlinien).
+
+## Matter.md-Struktur
+
+```markdown
+# Mandat: [Mandat-ID]
+
+## Mandant
+- **Name:** [Mandantenname]
+- **Rechtsform:** [GmbH / AG / Einzelperson / öffentliche Stelle]
+- **Branche:** [Branche]
+- **Hauptniederlassung:** [Bundesland]
+- **Rolle Mandant:** [Verantwortlicher / Auftragsverarbeiter / beides]
+
+## Mandatsbeschreibung
+[Kurzbeschreibung: Was ist der Auftrag? Welches datenschutzrechtliche Vorhaben?]
+
+## Zuständige Aufsichtsbehörde (Mandant)
+[BfDI / LfDI [Bundesland]]
+
+## Ansprechpartner
+- **Mandant:** [Name, E-Mail]
+- **DSB Mandant:** [Name oder "nicht bestellt"]
+- **Kanzlei intern:** [zuständige·r Anwalt/Anwältin]
+
+## Abweichungen vom Kanzlei-Praxisprofil
+[Nur aufführen, was beim Mandanten anders ist als im kanzlei-weiten Profil]
+- Rechtsgrundlage: [...]
+- AVV-Positionen: [...]
+- DSFA-Auslöser: [...]
+
+## Systemliste Mandant (für Betroffenenanfragen Art. 15 DSGVO)
+- [System 1]
+- [System 2]
+
+## Verarbeitungsverzeichnis
+[Pfad oder "noch nicht bereitgestellt"]
+
+## Ausgaben dieses Mandats
+[Ordnerpfad oder Auflistung erstellter Dokumente]
+
+## Status
+offen / abgeschlossen
+**Abgeschlossen am:** [Datum]
+```
+
+## Quellen und Zitierweise
+
+Verbindlich nach `../../references/zitierweise.md`.
+
+- § 43a Abs. 2 BRAO (Verschwiegenheitspflicht Rechtsanwalt)
+- § 203 StGB (Verletzung von Privatgeheimnissen, Berufsgeheimnisträgerpflicht)
+- Art. 28, 29 DSGVO (Auftragsverarbeitung bei Nutzung externer Systeme)
+- Art. 25 DSGVO (Datenschutz durch Technikgestaltung – Mandatsisolation als TOMs)
+- Zuck, in: Zuck/Lenz, Anwaltsrecht, 2. Aufl. 2018, § 43a BRAO Rn. 15 ff. (Berufsgeheimnis).
+
+## Ausgabeformat
+
+- Kurzbestätigungen (angelegt, gewechselt, geschlossen) als einzeilige Statusnachricht
+- Mandatsübersicht als Tabelle
+- `mandat.md` als vollständig befülltes Dokument
+
+## Risiken / typische Fehler
+
+- **Mandatsisolation nicht gewährleistet:** Wenn Skills ohne aktives Mandat auf mandatsspezifische Daten zugreifen oder mandatsübergreifend aggregieren, verletzt dies § 43a Abs. 2 BRAO und Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit).
+- **Keine Löschung abgeschlossener Mandate:** Ordner nicht löschen – Aktenaufbewahrungspflicht nach § 50 Abs. 1 BRAO (6 Jahre nach Ablauf des Kalenderjahres, in dem das Mandat endete).
+- **Mandant ist selbst AV:** Wenn der Mandant selbst Auftragsverarbeiter eines Dritten ist, kann das Datenschutzmandat vertikale Sub-AV-Fragen berühren (Art. 28 Abs. 2 Satz 2 DSGVO). In `mandat.md` explizit vermerken.
+- **Aktives Mandat nicht zurückgesetzt:** Nach Mandatswechsel immer prüfen, dass kein unbeabsichtigter Mandatskontext aktiv ist. Standardbefehl `keins` nach Mandatsabschluss empfohlen.
+
+## Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei Änderungen der BRAO (Aktenaufbewahrungspflicht § 50 BRAO), StGB § 203 oder DSGVO-Anforderungen an technische Isolation.
+
+**Querverweise:**
+- `datenschutzrecht/skills/mandantendaten-ki/SKILL.md` — Mandatsisolation bei KI-Diensten
+- `datenschutzrecht/skills/avv-pruefung/SKILL.md` — Mandatsspezifische AVV-Prüfung
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn
+
+1. Wie viele Mandate/Mandanten sind gleichzeitig aktiv?
+2. Sind die Mandate datenschutzrechtlich voneinander zu isolieren (unterschiedliche Verantwortliche)?
+3. Liegt ein Interessenkonflikt zwischen Mandaten vor?
+4. Sollen mandatsspezifische Praxisprofile (unterschiedliche AVV-Playbooks) genutzt werden?
+
+## Output-Template — Mandatsarbeitsbereich-Status
+
+**Adressat:** Kanzlei intern — Tonfall: sachlich-strukturiert
+
+```
+Mandatsarbeitsbereich-Übersicht [DATUM]
+Aktive Arbeitsbereich-IDs:
+- [ID_1]: [MANDANT/PROJEKT] | Status: aktiv/geschlossen | Kontext: isoliert
+- [ID_2]: [MANDANT/PROJEKT] | Status: aktiv | Kontext: isoliert
+
+Aktuell aktiver Kontext: [ID_X]
+Sicherheitshinweis: Kontextleak zwischen Mandaten wurde verhindert. 
+Letzter Wechsel: [DATUM, UHRZEIT]
+```

datenschutzrecht/skills/dpa-en-controller-controller-tmpl/SKILL.md

@@ -0,0 +1,160 @@
+---
+name: dpa-en-controller-controller-tmpl
+description: "English language Controller-to-Controller data sharing agreement template used between two independent controllers exchanging personal data under the GDPR. Used when neither Article 26 nor Article 28 GDPR applies but the parties want a contractual data sharing framework. Output: complete English template covering lawful basis allocation transparency security and breach notification."
+---
+
+# Data Sharing Agreement – English Template Controller / Controller
+
+## Zweck / Purpose
+
+Template for a controller-to-controller (C2C) data sharing agreement where two independent controllers exchange personal data without becoming joint controllers under Article 26 GDPR. Purpose (DE): Mustervorlage fuer eine englischsprachige Datentransfer-Vereinbarung zwischen zwei getrennten Verantwortlichen ohne gemeinsame Verantwortlichkeit.
+
+## Wann brauchen Sie diesen Skill
+
+- Two organisations transfer personal data and each pursues its own purpose with its own lawful basis.
+- The relationship is neither processing on behalf (Article 28 GDPR) nor joint controllership (Article 26 GDPR).
+- A robust written framework is required for transparency, security and breach notification.
+- Where data flows out of the EEA, the C2C module of the EU SCC (Decision (EU) 2021/914, Module One) must be paired.
+
+## Rechtlicher Rahmen
+
+- Article 4 (7) GDPR – Controller definition.
+- Article 6 GDPR – Lawful bases.
+- Article 13/14 GDPR – Information duties.
+- Article 32 GDPR – Security.
+- Article 33-34 GDPR – Breach notification.
+- Article 44-49 GDPR – International transfers.
+- Decision (EU) 2021/914, Module One (Controller-to-Controller) for transfers outside the EEA.
+- CJEU C-25/17 (Jehovah's Witnesses), C-498/16 (Wirtschaftsakademie / Fanpages), C-40/17 (Fashion ID) – verified case numbers for boundary lines with joint controllership.
+
+## Ablauf / Checkliste
+
+1. Confirm that each party processes for an independent purpose with an independent lawful basis – otherwise Article 26 GDPR applies.
+2. Map data flows and document categories of data and data subjects.
+3. Allocate Article 13/14 GDPR information duties (each party for its own data subjects).
+4. Define security baseline (independent TOM per party).
+5. Define breach notification flow between the parties (which party informs the supervisory authority).
+6. Address transfers outside the EEA via Module One SCC (Decision (EU) 2021/914).
+7. Sign in two counterparts.
+
+## Mustertext / Template
+
+```
+CONTROLLER-TO-CONTROLLER DATA SHARING AGREEMENT
+
+This Controller-to-Controller Data Sharing Agreement ("Agreement") is entered into
+between:
+
+  (1) [Party A Legal Name], a company organised under the laws of [jurisdiction],
+      ("Party A"); and
+
+  (2) [Party B Legal Name], a company organised under the laws of [jurisdiction],
+      ("Party B").
+
+Recital A. The Parties wish to share personal data within the meaning of Article 4
+(1) GDPR for the purposes described in Annex I.
+Recital B. Each Party determines independently the purposes and means of its own
+processing and acts as a separate controller within the meaning of Article 4 (7)
+GDPR. This Agreement does not establish joint controllership under Article 26 GDPR.
+
+1. SCOPE
+1.1 The Parties shall share the categories of personal data described in Annex I
+    for the purposes and on the lawful bases set out therein.
+
+2. INDEPENDENT CONTROLLERSHIP
+2.1 Each Party shall act as an independent controller and shall comply with the
+    GDPR in its own right.
+2.2 Each Party is solely responsible for identifying and documenting the lawful
+    basis under Article 6 GDPR and, where applicable, Article 9 GDPR.
+
+3. INFORMATION DUTIES (Art. 13 / 14 GDPR)
+3.1 Each Party shall provide its own data subjects with the information required
+    under Articles 13 and 14 GDPR, including the disclosure of personal data to
+    the other Party as a recipient.
+
+4. SECURITY (Art. 32 GDPR)
+4.1 Each Party shall implement appropriate technical and organisational measures
+    in accordance with Article 32 GDPR. The minimum baseline is set out in Annex II.
+
+5. PERSONAL DATA BREACH (Art. 33 / 34 GDPR)
+5.1 The Party that becomes aware of a personal data breach affecting the shared
+    data shall notify the other Party without undue delay and in any event within
+    twenty-four (24) hours after becoming aware of the breach.
+5.2 Each Party shall be responsible for its own notification to the competent
+    supervisory authority under Article 33 GDPR and to data subjects under
+    Article 34 GDPR.
+
+6. DATA SUBJECT REQUESTS
+6.1 Each Party shall handle requests from its own data subjects under Articles 15
+    to 22 GDPR. The Parties shall cooperate where a request relates to shared data.
+
+7. INTERNATIONAL TRANSFERS
+7.1 Where personal data is transferred outside the EEA, the Parties shall execute
+    Module One (Controller-to-Controller) of the EU Standard Contractual Clauses
+    adopted by Decision (EU) 2021/914 of 04 June 2021, and conduct a transfer
+    impact assessment in accordance with EDPB Recommendations 01/2020.
+
+8. SUBSEQUENT TRANSFERS
+8.1 A Party shall not transfer the shared personal data onward to any third party
+    other than its own processors (Article 28 GDPR) without the prior written
+    consent of the other Party, except where such transfer is required by law.
+
+9. AUDIT
+9.1 Each Party may, on reasonable prior notice, request evidence of the other
+    Party's compliance with this Agreement.
+
+10. LIABILITY
+10.1 Each Party shall be liable for its own infringements of the GDPR in
+     accordance with Article 82 GDPR.
+
+11. TERM AND TERMINATION
+11.1 This Agreement enters into force on the date of last signature and remains
+     in force until terminated by either Party with [number] months' written
+     notice or where required by applicable data protection law.
+
+12. GOVERNING LAW AND JURISDICTION
+12.1 This Agreement shall be governed by the laws of [jurisdiction]. The courts
+     of [court venue] shall have exclusive jurisdiction.
+
+Annex I  Description of Data Sharing (purposes, lawful basis, categories, retention)
+Annex II Minimum Security Baseline
+
+Signed on behalf of Party A:               Signed on behalf of Party B:
+__________________________________         __________________________________
+Name:                                       Name:
+Title:                                      Title:
+Date:                                       Date:
+```
+
+## Typische Drafting-Fehler
+
+- C2C agreement used where the reality is joint controllership (Article 26 GDPR) – the legal label does not change the underlying assessment.
+- No documentation of each party's independent lawful basis.
+- Information duties (Article 13/14 GDPR) not allocated.
+- Cross-border transfers without Module One SCC.
+- Breach notification only one-way.
+- Onward transfer not addressed.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dpa-en-template-controller-processor/SKILL.md`
+- `datenschutzrecht/skills/joint-controllership-en-template/SKILL.md`
+- `datenschutzrecht/skills/avv-rolemix-getrennt-vs-gemeinsam-verantwortlich/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- GDPR Articles 4, 6, 13, 14, 26, 28, 32, 33, 34, 44 to 49, 82.
+- Decision (EU) 2021/914 of 04 June 2021, OJ L 199/31, Module One.
+- EDPB Recommendations 01/2020 on transfer impact assessment (Version 2.0, June 2021).
+- CJEU C-25/17, C-498/16, C-40/17 – verified case numbers; check full text via curia.europa.eu before citation.
+- Citation rules: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/dpa-en-template-controller-processor/SKILL.md

@@ -0,0 +1,171 @@
+---
+name: dpa-en-template-controller-processor
+description: "English language Data Processing Agreement (DPA) template under Article 28 GDPR between a controller and a processor. Use when the contract language is English (cross-border deals UK Ireland US providers) and the parties require a stand-alone DPA. Output is a complete English DPA template covering all eight mandatory items of Article 28 (3) GDPR."
+---
+
+# Data Processing Agreement (DPA) – English Template Controller / Processor
+
+## Zweck / Purpose
+
+English-language DPA template under Article 28 GDPR for cross-border deals where the working language is English (UK/IE counterparties, US providers, EU multinationals). Purpose (DE): Englischsprachige Mustervorlage fuer einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
+
+## Wann brauchen Sie diesen Skill
+
+- Cross-border deal where one party requires English contract language.
+- US or UK SaaS / cloud provider is the processor.
+- Multinational client requires a single DPA across multiple EU subsidiaries.
+- DPA needs to be aligned with EU SCC modules (Decision (EU) 2021/914) for transfers outside the EEA.
+
+## Rechtlicher Rahmen
+
+- Article 28 GDPR – Processor obligations.
+- Article 28 (3) (a)-(h) GDPR – Eight mandatory contractual items.
+- Article 32 GDPR – Technical and organisational measures.
+- Article 33-34 GDPR – Personal data breach notification.
+- Decision (EU) 2021/914 of 04 June 2021 – Standard Contractual Clauses for international transfers (in force since 27 June 2021).
+- Decision (EU) 2021/915 of 04 June 2021 – Standard Contractual Clauses for the controller-processor relationship inside the EEA.
+- UK GDPR – International Data Transfer Agreement (IDTA) where UK personal data is in scope.
+
+## Ablauf / Checkliste
+
+1. Define the parties: Controller, Processor.
+2. Annex the description of processing (Annex I).
+3. Annex the technical and organisational measures (Annex II).
+4. Annex the list of approved sub-processors (Annex III).
+5. Identify cross-border transfers and pair the DPA with the appropriate SCC module.
+6. Define liability cap, indemnities and audit rights consistent with the playbook.
+7. Sign in two counterparts; electronic signature is permitted under Article 28 (9) GDPR.
+
+## Mustertext / Template
+
+```
+DATA PROCESSING AGREEMENT
+
+This Data Processing Agreement ("DPA") forms part of and is incorporated into the
+Main Agreement entered into between:
+
+  (1) [Controller Legal Name], a company organised under the laws of [jurisdiction],
+      with its registered office at [address] ("Controller"); and
+
+  (2) [Processor Legal Name], a company organised under the laws of [jurisdiction],
+      with its registered office at [address] ("Processor").
+
+The Controller and the Processor are each a "Party" and together the "Parties".
+
+1. DEFINITIONS
+1.1 "GDPR" means Regulation (EU) 2016/679.
+1.2 "Personal Data", "Processing", "Data Subject", "Sub-processor" and "Supervisory
+    Authority" shall have the meanings ascribed to them in Article 4 GDPR.
+1.3 "Annex" means an annex to this DPA which forms an integral part hereof.
+
+2. SCOPE AND ROLES
+2.1 The subject matter, duration, nature and purpose of the Processing, the types
+    of Personal Data and the categories of Data Subjects are set out in Annex I.
+2.2 The Controller is the controller and the Processor is the processor within the
+    meaning of Article 4 (7) and (8) GDPR.
+
+3. PROCESSING ON DOCUMENTED INSTRUCTIONS (Art. 28 (3) (a) GDPR)
+3.1 The Processor shall process the Personal Data only on documented instructions
+    from the Controller, including with regard to transfers of Personal Data to
+    a third country or an international organisation, unless required to do so by
+    Union or Member State law.
+3.2 The Processor shall immediately inform the Controller if, in its opinion, an
+    instruction infringes the GDPR or other applicable data protection provisions.
+
+4. CONFIDENTIALITY (Art. 28 (3) (b) GDPR)
+4.1 The Processor shall ensure that persons authorised to process the Personal Data
+    have committed themselves to confidentiality or are under an appropriate
+    statutory obligation of confidentiality.
+
+5. SECURITY OF PROCESSING (Art. 28 (3) (c), Art. 32 GDPR)
+5.1 The Processor shall implement the technical and organisational measures set
+    out in Annex II.
+
+6. SUB-PROCESSING (Art. 28 (2), (4) GDPR)
+6.1 The Processor shall not engage any sub-processor without the prior written
+    authorisation of the Controller. General authorisation is granted for the
+    sub-processors listed in Annex III.
+6.2 The Processor shall inform the Controller of any intended changes concerning
+    the addition or replacement of sub-processors at least thirty (30) days in
+    advance, giving the Controller the opportunity to object.
+
+7. ASSISTANCE WITH DATA SUBJECT RIGHTS (Art. 28 (3) (e) GDPR)
+7.1 The Processor shall assist the Controller, by appropriate technical and
+    organisational measures and insofar as this is possible, in the fulfilment of
+    the Controller's obligation to respond to requests under Chapter III GDPR.
+
+8. ASSISTANCE WITH SECURITY, BREACHES AND DPIA (Art. 28 (3) (f) GDPR)
+8.1 The Processor shall notify the Controller without undue delay and in any event
+    within forty-eight (48) hours after becoming aware of a Personal Data breach.
+
+9. RETURN OR DELETION (Art. 28 (3) (g) GDPR)
+9.1 Upon termination of the provision of services relating to Processing, the
+    Processor shall, at the choice of the Controller, delete or return all the
+    Personal Data and delete existing copies unless Union or Member State law
+    requires storage of the Personal Data.
+
+10. AUDIT AND INSPECTION (Art. 28 (3) (h) GDPR)
+10.1 The Processor shall make available to the Controller all information necessary
+     to demonstrate compliance with this DPA and Article 28 GDPR, and allow for and
+     contribute to audits, including inspections, conducted by the Controller or
+     another auditor mandated by the Controller, no more than once per calendar
+     year, save in case of a Personal Data breach.
+
+11. INTERNATIONAL TRANSFERS
+11.1 Where Personal Data is transferred outside the EEA, the Parties shall enter
+     into the relevant module of the EU Standard Contractual Clauses adopted by
+     Commission Implementing Decision (EU) 2021/914 of 04 June 2021.
+
+12. LIABILITY (Art. 82 GDPR)
+12.1 Each Party shall be liable in accordance with Article 82 GDPR.
+
+13. TERM AND TERMINATION
+13.1 This DPA shall remain in force for the term of the Main Agreement.
+
+14. GOVERNING LAW AND JURISDICTION
+14.1 This DPA shall be governed by the laws of [jurisdiction] and the courts of
+     [court venue] shall have exclusive jurisdiction.
+
+Annex I  Description of Processing
+Annex II Technical and Organisational Measures
+Annex III List of Sub-processors
+
+Signed on behalf of the Controller:        Signed on behalf of the Processor:
+__________________________________         __________________________________
+Name:                                       Name:
+Title:                                      Title:
+Date:                                       Date:
+```
+
+## Typische Drafting-Fehler
+
+- "Controller" and "Processor" labels swapped relative to the actual processing reality.
+- Annexes left blank or filled with marketing language.
+- Sub-processor notice periods shorter than necessary to exercise meaningful objection rights.
+- Liability caps that contradict Article 82 GDPR statutory liability.
+- Audit clauses limited to certifications without a residual on-site right.
+- Cross-border transfers covered only by general references; SCC module not actually executed.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dpa-en-tom-annex-template/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-kommission-musterklauseln-2021-915/SKILL.md`
+- `datenschutzrecht/skills/avv-eu-us-data-privacy-framework-bezug/SKILL.md`
+- `datenschutzrecht/skills/dpa-en-controller-controller-tmpl/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- Article 28 GDPR – Regulation (EU) 2016/679.
+- Commission Implementing Decision (EU) 2021/914 of 04 June 2021, OJ L 199/31 of 07 June 2021.
+- Commission Implementing Decision (EU) 2021/915 of 04 June 2021, OJ L 199/18 of 07 June 2021.
+- EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, adopted 07 July 2021.
+- Citation rules: `../../../references/zitierweise.md`.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/dpa-en-tom-annex-template/SKILL.md

@@ -0,0 +1,154 @@
+---
+name: dpa-en-tom-annex-template
+description: "English language technical and organisational measures (TOM) annex template for a DPA under Article 32 GDPR. Covers pseudonymisation encryption confidentiality integrity availability resilience recoverability and regular testing. Output: complete English TOM annex template suitable for ISO 27001 SOC 2 and BSI C5 alignment."
+---
+
+# TOM Annex – English Template (Article 32 GDPR)
+
+## Zweck / Purpose
+
+English-language annex template setting out the technical and organisational measures (TOM) required under Article 32 GDPR and incorporated by reference into the DPA. Purpose (DE): Englischsprachige TOM-Anlage zum DPA nach Art. 32 DSGVO.
+
+## Wann brauchen Sie diesen Skill
+
+- Cross-border or English-language DPA needs a TOM annex.
+- Processor offers ISO 27001 / SOC 2 / BSI C5 alignment and the annex must reflect this.
+- Periodic refresh of the TOM annex is due (recommended annually).
+
+## Rechtlicher Rahmen
+
+- Article 32 (1) (a) GDPR – Pseudonymisation and encryption.
+- Article 32 (1) (b) GDPR – Ongoing confidentiality, integrity, availability, resilience.
+- Article 32 (1) (c) GDPR – Ability to restore availability and access in a timely manner.
+- Article 32 (1) (d) GDPR – Process for regularly testing, assessing and evaluating effectiveness.
+- Article 25 GDPR – Data protection by design and by default.
+
+## Ablauf / Checkliste
+
+1. Confirm the processing risk profile.
+2. Map measures against Article 32 (1) (a)-(d) GDPR.
+3. Reference certifications (ISO 27001, SOC 2, BSI C5).
+4. Define test cadence (penetration testing, vulnerability scanning).
+5. Ensure sub-processor measures are consistent (Article 28 (4) GDPR).
+6. Sign annex with date stamp; refresh annually or upon material change.
+
+## Mustertext / Template
+
+```
+ANNEX II TO THE DATA PROCESSING AGREEMENT
+TECHNICAL AND ORGANISATIONAL MEASURES (Article 32 GDPR)
+
+Effective date: [DATE]
+Processor: [NAME]
+Review cycle: annually and upon material change
+
+1. PSEUDONYMISATION (Art. 32 (1) (a) GDPR)
+   1.1 Personal data shall be pseudonymised in development and test environments.
+   1.2 The mapping table shall be stored separately, with access limited to the
+       Data Protection Officer.
+
+2. ENCRYPTION (Art. 32 (1) (a) GDPR)
+   2.1 In transit: TLS 1.3 with forward secrecy, configured in accordance with
+       industry guidance (e.g. BSI TR-02102 or NIST SP 800-52 Rev. 2).
+   2.2 At rest: AES-256 (CBC or GCM) for all databases and backups.
+   2.3 Key management: hardware security module (HSM) or equivalent; keys rotated
+       at least annually.
+
+3. CONFIDENTIALITY (Art. 32 (1) (b) GDPR)
+   3.1 Physical access controls: 24/7 guarded data centres with multi-factor
+       physical access.
+   3.2 Logical access: multi-factor authentication for all privileged accounts.
+   3.3 Authorisation: role-based access control on a least-privilege basis;
+       periodic recertification.
+   3.4 Segregation: multi-tenant logical separation with tenant-scoped access
+       control.
+
+4. INTEGRITY (Art. 32 (1) (b) GDPR)
+   4.1 Transfer controls: documented interfaces; audit logging of all data
+       exports.
+   4.2 Input controls: write-operation logging with attribution to authenticated
+       identities.
+   4.3 Hashing: SHA-256 or stronger for integrity verification.
+
+5. AVAILABILITY AND RESILIENCE (Art. 32 (1) (b) GDPR)
+   5.1 Backups: daily incremental, weekly full; retention thirty (30) days.
+   5.2 Recovery Point Objective (RPO): twenty-four (24) hours or less.
+   5.3 Recovery Time Objective (RTO): eight (8) hours or less for critical
+       processing.
+   5.4 Geographic redundancy: synchronous replication across at least two EEA
+       data centres.
+   5.5 DDoS protection: upstream filtering with provider SLA.
+
+6. RECOVERABILITY (Art. 32 (1) (c) GDPR)
+   6.1 Incident response runbook; tabletop exercises at least annually.
+   6.2 Documented restoration procedures.
+   6.3 Restoration drills with actual data restoration tests at least semi-annually.
+
+7. REGULAR TESTING (Art. 32 (1) (d) GDPR)
+   7.1 Independent third-party penetration testing at least annually.
+   7.2 Vulnerability scanning monthly.
+   7.3 Internal ISMS audits annually; external ISO 27001 audits annually.
+   7.4 TOM annex review at least annually.
+
+8. ORGANISATIONAL MEASURES
+   8.1 Data Protection Officer designated; contact details in Annex IV.
+   8.2 Confidentiality undertakings from all personnel processing personal data
+       (Article 28 (3) (b) GDPR).
+   8.3 Annual data protection training with attendance records.
+   8.4 Joiner-mover-leaver process; immediate revocation of access on exit.
+   8.5 Incident response procedure with notification to the Controller within
+       forty-eight (48) hours of becoming aware of a personal data breach
+       (Article 33 GDPR).
+
+9. CERTIFICATIONS AND STANDARDS
+   9.1 ISO/IEC 27001:2022 – certified on [DATE] by [BODY].
+   9.2 BSI C5:2020 Type 2 – report dated [DATE].
+   9.3 SOC 2 Type II – report period [PERIOD].
+
+10. SUB-PROCESSORS
+    10.1 Sub-processors are required to implement measures at least equivalent
+         to those set out in this Annex II (Article 28 (4) GDPR).
+    10.2 Sub-processor audit reports shall be provided to the Controller on
+         request.
+
+Signed by:                                  Date:
+________________________________            ____________________________
+[Processor representative]
+```
+
+## Typische Drafting-Fehler
+
+- Marketing copy instead of concrete measures.
+- "State of the art" without specifics.
+- No update since initial signing.
+- Pseudonymisation omitted, even though Article 32 (1) (a) GDPR mentions it.
+- No RPO/RTO.
+- No test cadence.
+- Sub-processor consistency not addressed.
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md`
+- `datenschutzrecht/skills/dpa-en-template-controller-processor/SKILL.md`
+- `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md`
+- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`
+
+## Quellen Stand 06/2026
+
+- GDPR Article 25, Article 28 (3) (c), Article 32, Article 33.
+- BSI TR-02102 (cryptographic guidance).
+- NIST SP 800-52 Rev. 2.
+- ISO/IEC 27001:2022.
+- BSI C5:2020.
+- SOC 2 Trust Services Criteria (AICPA, 2017, as amended).
+- Citation rules: `../../../references/zitierweise.md`.
+```
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/dpia-en-summary-for-management/SKILL.md

@@ -0,0 +1,132 @@
+---
+name: dpia-en-summary-for-management
+description: "Concise English DPIA management summary aligned with Art. 35 GDPR for board executive committee or non-legal stakeholders. Output: one-pager covering processing necessity risk measures residual risk approval recommendation."
+---
+
+# DPIA Management Summary in English
+
+## Purpose
+
+Concise English-language management summary of a Data Protection Impact Assessment (DPIA) under Art. 35 GDPR. Designed for board members, executive committees, group risk officers and other non-legal stakeholders who require a defensible one-pager rather than the full DPIA document. The summary follows the six-step methodology and ends with an explicit approval recommendation.
+
+## When to use
+
+- When a DPIA is on the agenda of a board, executive committee or steering committee
+- For investor due diligence covering high-risk processing
+- For internal audit and group risk reporting in English
+- For exchange with English-speaking parent companies, joint controllers or processors
+- For cross-border consultation drafts that later are translated into national language
+
+## Legal framework
+
+- Art. 35(7) GDPR mandatory content of a DPIA
+- Art. 35(2) GDPR DPO consultation
+- Art. 36 GDPR prior consultation if residual risk remains high
+- Art. 5(2) GDPR accountability principle
+- EDPB Guidelines WP 248 rev.01 on DPIA
+- For AI-related processing: Regulation (EU) 2024/1689 Art. 26 and Art. 27
+
+## 6-step structure of the management summary
+
+1. **Description of processing.** One paragraph: purpose, data, subjects, technology, transfers.
+2. **Necessity and proportionality assessment.** One paragraph: legal basis, minimisation, alternatives.
+3. **Risk to data subjects.** Short risk table with the top scenarios.
+4. **Measures to mitigate risk.** Short list of key measures.
+5. **Residual risk.** Risk rating before and after measures.
+6. **Approval recommendation.** Approve, approve with conditions, prior consultation under Art. 36, do not approve.
+
+## Template (English management summary)
+
+```
+DPIA MANAGEMENT SUMMARY
+Confidential — for internal management use
+
+Reference: [DPIA-YYYY-NN]
+Date: [DD-MM-YYYY]
+Controller: [Entity, legal representative]
+DPO: [Name, contact]
+
+1. PROCESSING IN ONE PARAGRAPH
+[What is processed, for what purpose, on which legal basis, for which categories of data subjects, with which key technology, including transfers to third countries.]
+
+2. NECESSITY AND PROPORTIONALITY
+- Legal basis: [Art. 6 / Art. 9 GDPR with national law]
+- Data minimisation: [Brief assessment]
+- Less intrusive alternatives considered: [Yes / No, with note]
+- Storage period: [Period, justification]
+- Data subject rights: [Implemented mechanisms]
+
+3. TOP RISKS TO DATA SUBJECTS (BEFORE MEASURES)
+| Scenario                          | Likelihood | Severity | Rating |
+| Unauthorised access               | [h/m/l]    | [h/m/l]  | [R/O/Y/G] |
+| Covert profiling                  |            |          |        |
+| Data leakage / transfer exposure  |            |          |        |
+| Discrimination of data subjects   |            |          |        |
+| Identity theft / fraud            |            |          |        |
+
+4. KEY MEASURES
+- Technical: [encryption, pseudonymisation, access control, logging, key management]
+- Organisational: [training, four-eyes principle, authorisation concept, incident response]
+- Contractual: [DPA Art. 28, SCC for transfers, TIA]
+- AI-specific (if applicable): [human oversight, logging Art. 26(6) AI Act, transparency Art. 50 AI Act]
+
+5. RESIDUAL RISK
+| Scenario                          | Rating after measures |
+| Unauthorised access               | [R/O/Y/G]             |
+| Covert profiling                  |                       |
+| ...                               |                       |
+
+Overall residual risk: [HIGH / MEDIUM / LOW]
+
+6. APPROVAL RECOMMENDATION
+[ ] Approve — proceed with processing
+[ ] Approve with conditions — see action items
+[ ] Prior consultation under Art. 36 GDPR required
+[ ] Do not approve — redesign processing
+
+Action items
+| No | Action | Owner | Deadline |
+
+Next review: [DATE]
+
+Sign-off
+Controller representative: ____________________ Date: ____________________
+DPO: ____________________ Date: ____________________
+```
+
+## Typical mistakes
+
+- Management summary uses different wording than the full DPIA — inconsistency creates legal risk.
+- Risk table is reduced to a single rating without scenarios — board cannot challenge.
+- Approval recommendation is hidden in narrative — should be a binary choice.
+- DPO opinion is not referenced — looks like a controller-only decision.
+- Cross-border or AI specifics omitted in the summary even though they are key in the full DPIA.
+- No action items with owner and deadline — recommendation is not actionable.
+- Confidentiality classification missing — risk of unintended disclosure.
+
+## Cross-references
+
+- `datenschutzrecht/skills/dpia-en-template-full-version/SKILL.md` — Full English DPIA template
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — German full template
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md` — Art. 36 procedure
+- `datenschutzrecht/skills/dsfa-fuer-internationale-datentransfers/SKILL.md` — Transfers
+- `datenschutzrecht/skills/dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo/SKILL.md` — AI interface
+- `references/zitierweise.md` — Citation rules
+
+## Sources as of 06/2026
+
+- Art. 5(2), 35, 36 GDPR
+- Regulation (EU) 2024/1689 (AI Act), Art. 26 and 27
+- EDPB Guidelines WP 248 rev.01 on DPIA
+- EDPB Opinion 28/2024 on AI models
+- Case law: do not cite from model knowledge; verify with official sources
+- Literature: only cite from user-provided source or licensed live access
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/dpia-en-template-full-version/SKILL.md

@@ -0,0 +1,208 @@
+---
+name: dpia-en-template-full-version
+description: "Full English DPIA template aligned with Art. 35 GDPR covering description necessity proportionality risk to data subjects measures residual risk approval. Output: ready-to-fill DPIA template in English for cross-border or English-speaking deployments."
+---
+
+# DPIA Full Template in English
+
+## Purpose
+
+Complete English-language Data Protection Impact Assessment template aligned with Art. 35 GDPR. All six sections required by Art. 35(7) GDPR are pre-filled with placeholders so that a controller can populate the document and submit it to the data protection officer (DPO) or the supervisory authority. The template follows the methodological structure description, necessity and proportionality, risk to data subjects, measures, residual risk, approval.
+
+## When to use
+
+- After a positive DPIA threshold assessment
+- When the processing involves English-speaking deployments, joint controllers in the EU and outside the EU, or English documentation requirements
+- Before a prior consultation under Art. 36 GDPR with an English-language file
+- When the in-house format is missing and a defensible standard template is needed
+
+## Legal framework
+
+- Art. 35(7) GDPR minimum content of a DPIA:
+  - lit. a systematic description of processing operations and purposes
+  - lit. b assessment of necessity and proportionality
+  - lit. c assessment of risk to rights and freedoms of data subjects
+  - lit. d measures envisaged to address the risk, including safeguards, security measures and mechanisms
+- Art. 35(2) GDPR DPO consultation
+- Art. 35(9) GDPR consultation of data subjects or their representatives where appropriate
+- Art. 5(2) GDPR accountability
+- EDPB Guidelines WP 248 rev.01 on DPIA
+
+## 6-step methodology
+
+1. **Description of processing.** Populate Section 1.
+2. **Necessity and proportionality assessment.** Section 2.
+3. **Risk to data subjects.** Section 3 with risk matrix.
+4. **Measures to mitigate risk.** Section 4.
+5. **Residual risk.** Section 5.
+6. **Approval.** Section 6 with signatures.
+
+## Template (English Full DPIA)
+
+```
+DATA PROTECTION IMPACT ASSESSMENT (DPIA)
+pursuant to Article 35 GDPR
+
+Internal reference: [...]
+Version: [1.0] | Date: [DD-MM-YYYY]
+Controller: [Legal entity, address, legal representative]
+DPO: [Name, e-mail, phone]
+Lead department: [...]
+Classification: [confidential / internal]
+
+COVER PAGE
+Processing activity: [Designation]
+Legal basis: [Art. 6 / Art. 9 GDPR, plus national law if applicable]
+Competent supervisory authority: [BfDI / state DPA / lead authority Art. 56]
+Version history: [...]
+
+EXECUTIVE SUMMARY (one page)
+Purpose: [...]
+Categories of data: [...]
+Data subjects: [...]
+Overall risk before measures: [HIGH / MEDIUM / LOW]
+Overall risk after measures: [HIGH / MEDIUM / LOW]
+Approval recommendation: [Approved / Prior consultation Art. 36 / Not approved]
+
+1. DESCRIPTION OF PROCESSING
+   (Art. 35(7)(a) GDPR)
+1.1 Purpose and nature of processing
+[...]
+1.2 Categories of personal data
+- Identification data: [...]
+- Content data: [...]
+- Usage data: [...]
+- Special categories Art. 9 GDPR: [...]
+- Criminal data Art. 10 GDPR: [...]
+1.3 Categories of data subjects
+[Customers / Employees / Patients / Citizens]
+1.4 Recipients and transfers
+- Internal recipients: [...]
+- External processors: [...]
+- Third country transfers: [Country, safeguards under Chapter V]
+1.5 Retention periods
+[Period, deletion concept]
+1.6 Technical environment
+[Hosting, sub-processors, encryption baseline]
+1.7 Data flow
+[Diagram reference or short narrative]
+
+2. NECESSITY AND PROPORTIONALITY ASSESSMENT
+   (Art. 35(7)(b) GDPR)
+2.1 Necessity of processing for purpose
+[Suitable, necessary, no less intrusive means]
+2.2 Data minimisation Art. 5(1)(c) GDPR
+[...]
+2.3 Purpose limitation Art. 5(1)(b) GDPR
+[...]
+2.4 Storage limitation Art. 5(1)(e) GDPR
+[...]
+2.5 Lawfulness Art. 6 / Art. 9 GDPR
+[Legal basis per category of data and category of data subject]
+2.6 Rights of data subjects
+[How are access, rectification, erasure, restriction, portability, objection ensured?]
+2.7 Transparency Art. 12 et seq. GDPR
+[...]
+
+3. RISK TO DATA SUBJECTS
+   (Art. 35(7)(c) GDPR)
+3.1 Risk matrix before measures
+| No | Scenario                          | Likelihood | Severity | Risk |
+|----|-----------------------------------|------------|----------|------|
+| 1  | Unauthorised access (confid.)     | [h/m/l]    | [h/m/l]  | [R/O/Y/G] |
+| 2  | Data leakage to outside           |            |          |      |
+| 3  | Covert profiling                  |            |          |      |
+| 4  | Data loss / availability          |            |          |      |
+| 5  | Manipulation / integrity          |            |          |      |
+| 6  | Discrimination of data subjects   |            |          |      |
+| 7  | Identity theft                    |            |          |      |
+3.2 Protection goals touched
+[Confidentiality / Integrity / Availability / Transparency / Intervenability / Unlinkability / Data minimisation]
+3.3 Vulnerable data subjects
+[Children / Patients / Employees / Consumers]
+
+4. MEASURES TO MITIGATE RISK
+   (Art. 35(7)(d) GDPR)
+4.1 Technical measures (Art. 32 GDPR)
+- Encryption: [type, key length]
+- Pseudonymisation: [...]
+- Access control: [role / rights concept]
+- Logging: [...]
+- Backup and restore: [...]
+- State of the art: [...]
+4.2 Organisational measures
+- Training: [target group, frequency]
+- Four-eyes principle: [...]
+- Authorisation concept: [...]
+- Incident response plan: [...]
+4.3 Contractual measures
+- Data processing agreement (Art. 28 GDPR): [Processor, date, version]
+- Standard Contractual Clauses for transfers: [Module, date]
+- Transfer impact assessment (TIA): [Reference]
+4.4 Measures table
+| No | Risk | Measure | Owner | Deadline | Residual risk |
+
+5. RESIDUAL RISK
+5.1 Risk matrix after measures
+[Table as 3.1 with values after measures]
+5.2 Assessment of residual risk
+[Remaining risk per scenario, overall rating]
+5.3 Need for prior consultation Art. 36 GDPR
+[ ] No consultation required (residual risk medium or low)
+[ ] Prior consultation required (residual risk high)
+
+6. CONSULTATION AND APPROVAL
+6.1 DPO opinion (Art. 35(2) GDPR)
+[Wording or reference to annex]
+DPO signature: ____________________ Date: ____________________
+
+6.2 Consultation of data subjects (Art. 35(9) GDPR)
+[Performed / not performed with justification]
+
+6.3 Approval by controller
+Name: ____________________
+Role: ____________________
+Signature: ____________________ Date: ____________________
+
+6.4 Inclusion in records of processing Art. 30 GDPR
+Reference: [...]
+
+6.5 Review plan Art. 35(11) GDPR
+Next review: [DATE]
+Triggers for ad-hoc review: [change of data categories / recipients / technology / law]
+```
+
+## Typical mistakes
+
+- Section 1 stays generic without an actual data flow description.
+- Necessity assessment is reduced to legal basis; data minimisation and storage limitation are ignored.
+- Risk scenarios only cover confidentiality; other protection goals are left blank.
+- Measures table without owner and deadline — not steerable.
+- DPO signs late or not at all — evidentiary gap.
+- No version control — changes are not traceable.
+
+## Cross-references
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — German full template
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risk methodology
+- `datenschutzrecht/skills/dpia-en-summary-for-management/SKILL.md` — English management summary
+- `datenschutzrecht/skills/dsfa-fuer-internationale-datentransfers/SKILL.md` — International transfers
+- `references/zitierweise.md` — Citation rules
+
+## Sources as of 06/2026
+
+- Art. 35(2), (7), (9), (11) GDPR
+- Art. 5(2), 30, 32 GDPR
+- EDPB Guidelines WP 248 rev.01
+- SDM V3.0 (German Standard Data Protection Model) — protection goals
+- Case law: do not cite from model knowledge; verify with official sources
+- Literature: only cite from user-provided source or licensed live access
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md

@@ -0,0 +1,304 @@
+---
+name: drittlandstransfer-pruefung
+description: "Datentransfer in Drittlaender außerhalb EU und EWR auf Zulässigkeit prüfen. Art. 44 ff. DSGVO Kapitel V Drittlandstransfer. Prüfraster: Angemessenheitsbeschluss SCC BCR Schrems-II-Folgen Transfer Impact Assessment zusaetzliche Massnahmen. Output: Drittlandstransfer-Prüfmemo TIA-Vorlage. Abgrenzung: nicht für innereuroaeischen Datenaustausch."
+---
+
+# Drittlandstransfer-Prüfung (Art. 44 ff. DSGVO)
+
+## Zweck
+
+Dieser Skill greift bei jeder Auslagerung personenbezogener Daten an Empfänger außerhalb der EU/des EWR: US-Cloud-Dienste, Konzernverbund-Transfer, KI-Provider, Sub-Auftragsverarbeiter in Drittstaaten. Er führt strukturiert durch die mehrstufige Prüfung gemäß Kapitel V DSGVO, berücksichtigt den Angemessenheitsbeschluss vom 10. Juli 2023 für die USA (EU-US Data Privacy Framework) sowie die Schrems-II-Anforderungen an Standardvertragsklauseln und ergänzende Maßnahmen.
+
+Anwendungsfälle: Kanzlei oder Unternehmen moechte einen US-amerikanischen SaaS-Dienst einsetzen; Konzernmutter in der Schweiz soll Zugriff auf EU-Kundendaten erhalten; Auftragsverarbeiter setzt Sub-Auftragsverarbeiter in Indien ein; Drittlandbezug bei AVV-Prüfung erkannt.
+
+## Eingaben
+
+- Empfängerstaat (z.B. USA, Indien, UK, China)
+- Empfänger: Verantwortlicher (Modul 1/3 SCC) oder Auftragsverarbeiter (Modul 2/4 SCC)
+- Datenkategorien (Art. 4 Nr. 1 DSGVO; Art. 9/10 DSGVO-Sonderkategorien?)
+- Art der Datenverarbeitung (Speicherung, Analyse, Support-Zugriff, Hosting, Backup)
+- Liegt bereits ein Transfer Impact Assessment vor? Falls ja, als Dokument einreichen
+- Sitz und DPF-Zertifizierungsstatus des Empfängers (für USA: data.privacyframework.gov prüfen)
+
+## Rechtlicher Rahmen
+
+### Primaernormen
+
+- **Art. 44 DSGVO** – Allgemeines Prinzip: Kein Transfer ohne geeignete Garantien oder Ausnahme; gilt auch für Weiterverarbeitung nach Transfer
+- **Art. 45 DSGVO** – Angemessenheitsbeschluss der Kommission; kein zusätzliches Genehmigungserfordernis bei positiver Entscheidung
+- **Art. 46 DSGVO** – Geeignete Garantien: Standardvertragsklauseln (SCC), Binding Corporate Rules (BCR), Verhaltensregeln mit verbindlichen Verpflichtungen, Zertifizierungsmechanismen
+- **Art. 47 DSGVO** – Verbindliche interne Datenschutzvorschriften (BCR); Genehmigung durch federführende Aufsichtsbehörde erforderlich
+- **Art. 49 DSGVO** – Ausnahmen: Einwilligung (Art. 49 Abs. 1 lit. a), Vertragserfordernis (lit. b/c), wichtige Gründe des öffentlichen Interesses (lit. d), Rechtsansprueche (lit. e), lebenswichtige Interessen (lit. f), öffentliches Register (lit. g); Abs. 1 Satz 2: gelegentliche, nicht systematische Transfers bei zwingender Notwendigkeit
+- **Art. 4 Nr. 23 DSGVO** – Definition "Internationale Organisation"
+- **Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DSGVO** – Informationspflicht über Drittlandtransfer und Transfermechanismus
+
+### Rechtsprechung und Leitlinien
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- **EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungsinstrumenten**, angenommen am 18.06.2021 (Version 2.0): Sechsstufige Pruefmethodik für Transfer Impact Assessment (TIA); massgeblich für die Schrems-II-Umsetzung in der Praxis
+- **EDSA, Leitlinien 05/2021 zum Zusammenwirken von Art. 3 und Kapitel V DSGVO**, angenommen am 18.11.2021: Klärung, wann der raeumliche Anwendungsbereich (Art. 3 DSGVO) und die Drittlandregeln (Kapitel V) kumulativ oder alternativ gelten
+- **DSK Orientierungshilfe Drittstaatentransfer**: Handlungsempfehlungen für verantwortliche Stellen bei Transfers in Drittlaender; abrufbar auf dskonferenz.de `[Modellwissen – aktuellen Stand pruefen]`
+
+### Aktuelle Angemessenheitsbeschlüsse (Stand 05/2026)
+
+| Staat | Beschluss | Hinweis |
+|---|---|---|
+| **USA** | EU-US Data Privacy Framework, Beschluss der Kommission vom 10.07.2023 (C(2023) 4745 final) | Nur für zertifizierte Unternehmen auf der DPF-Liste; Prüfung auf data.privacyframework.gov erforderlich |
+| **UK** | Angemessenheitsbeschluss vom 28.06.2021 (Beschluss 2021/1772/EU) | Gilt vorbehaltlich Überprüfung; nach Brexit-Änderungen des britischen Datenschutzrechts beobachten |
+| **Schweiz** | Angemessenheitsbeschluss der Kommission; erneuert im Kontext des CH-Datenschutzgesetzes (nDSG, in Kraft ab 01.09.2023) | Teilweiser Angemessenheitsbeschluss; Praxis nach CH-DSG-Reform beachten |
+| **Andorra** | Beschluss 2010/625/EU |  |
+| **Argentinien** | Beschluss 2003/490/EG |  |
+| **Faeroeer** | Beschluss 2010/146/EU |  |
+| **Guernsey** | Beschluss 2003/821/EG |  |
+| **Isle of Man** | Beschluss 2004/411/EG |  |
+| **Israel** | Beschluss 2011/61/EU |  |
+| **Japan** | Beschluss vom 23.01.2019 (2019/419/EU) | Mit gegenseitiger Anerkennung; Einschraenkungen beachten |
+| **Jersey** | Beschluss 2008/393/EG |  |
+| **Kanada** | Beschluss 2002/2/EG | Nur für Organisationen, die dem PIPEDA unterliegen; Bundesbehörden ausgenommen |
+| **Neuseeland** | Beschluss 2013/65/EU |  |
+| **Suedkorea** | Beschluss vom 17.12.2021 (2022/254/EU) | Erster Angemessenheitsbeschluss in Asien außerhalb Japan |
+| **Uruguay** | Beschluss 2012/484/EU |  |
+
+## Ablauf
+
+### 1. Identifizierung des Drittlandstransfers
+
+Prüfen, ob überhaupt ein Transfer i.S.d. Kapitel V DSGVO vorliegt:
+- Findet eine Übermittlung an einen Empfänger außerhalb EU/EWR statt?
+- Genügt ein "Zugriff" (z.B. Remote-Support, Administrationszugang) aus einem Drittland – nach EDSA-Leitlinien 05/2021 ja, wenn personenbezogene Daten im Zugriffsmittelpunkt stehen
+- Art. 3 Abs. 2 DSGVO (extraterritoriale Anwendung): Liegt der Empfänger zwar im Drittland, faellt aber schon unter den raeumlichen Anwendungsbereich der DSGVO? Dann kein Kapitel-V-Transfer, aber Compliance-Prüfung nach Leitlinien 05/2021
+
+### 2. Prüfung Angemessenheitsbeschluss (Art. 45 DSGVO)
+
+- Liegt für das Empfängerland ein gültiger Angemessenheitsbeschluss der Kommission vor? (Tabelle oben)
+- **USA:** Ist der Empfänger auf der DPF-Liste eingetragen und für die relevanten Datenkategorien zertifiziert? (data.privacyframework.gov)
+- Wenn Angemessenheitsbeschluss vorhanden: Transfer grundsaetzlich zulässig; Art. 13/14 DSGVO-Hinweispflicht beachten
+- **Hinweis:** Angemessenheitsbeschlüsse koennen durch den EuGH für ungültig erklärt werden (vgl. Schrems I und II); bei politisch sensiblen Ländern Monitoring empfehlen
+
+### 3. Geeignete Garantien (Art. 46 DSGVO) – falls kein Angemessenheitsbeschluss
+
+**a) Standardvertragsklauseln (SCC) nach Beschluss 2021/914/EU:**
+
+| Modul | Konstellation | Typischer Anwendungsfall |
+|---|---|---|
+| Modul 1 | Verantwortlicher (EU) → Verantwortlicher (Drittland) | Konzerntransfer, gemeinsam Verantwortliche |
+| Modul 2 | Verantwortlicher (EU) → Auftragsverarbeiter (Drittland) | Cloud-Dienst, Hosting, Analytics |
+| Modul 3 | Auftragsverarbeiter (EU) → Auftragsverarbeiter (Drittland) | Sub-Auftragsverarbeiter |
+| Modul 4 | Auftragsverarbeiter (Drittland) → Verantwortlicher (EU) | Ruecktransfer verarbeiteter Daten |
+
+Prüfpunkte bei SCC: Richtiges Modul? Technische Anlage (Anhang I A–C und II) vollständig ausgefüllt? Technische Maßnahmen (Anhang II TOMs) konkret und nicht pauschal?
+
+**b) Binding Corporate Rules (BCR):**
+- Genehmigung durch federführende Aufsichtsbehörde nach Art. 47 DSGVO
+- Umfang: alle Konzernunternehmen, die die BCR unterzeichnet haben
+- BCR-Update nach Schrems II erforderlich; EDSA-Empfehlungen 01/2020 gelten auch für BCR
+
+**c) Verhaltensregeln mit Verpflichtungen (Art. 46 Abs. 2 lit. e DSGVO):**
+- Muss von zuständiger Aufsichtsbehörde genehmigt sein
+- In der Praxis bisher wenig verbreitet
+
+**d) Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. f DSGVO):**
+- Zertifizierungseinrichtung muss akkreditiert sein; Verpflichtung des Importeurs erforderlich
+
+### 4. Transfer Impact Assessment (TIA) nach Schrems II
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+**TIA Sechsstufige Methodik (EDSA-Empfehlungen 01/2020):**
+
+1. **Schritt 1:** Alle Übermittlungen kartieren (Zweck, Datenart, Empfänger, Empfängerland)
+2. **Schritt 2:** Transfermechanismus identifizieren (SCC, BCR etc.)
+3. **Schritt 3:** Rechtslage im Empfängerland beurteilen: Massengesetze (FISA Section 702, USA CLOUD Act), Behördenzugriffsrechte, Rechtsschutzmöglichkeiten für Betroffene, Zugang zu unabhängigen Gerichten
+4. **Schritt 4:** Prüfen, ob Recht und Praxis die SCC-Schutzwirkung unterlaufen (Schrems-II-Kriterium: aequivalentes Schutzniveau)
+5. **Schritt 5:** Ergänzende Maßnahmen identifizieren und umsetzen (s. Abschnitt 5)
+6. **Schritt 6:** Formale Schritte (Vertrag schließen, ggf. Aufsichtsbehörde informieren, Dokumentation)
+
+### 5. Ergänzende Maßnahmen (EDSA-Empfehlungen 01/2020)
+
+Bei unzureichendem Schutzniveau im Empfängerland koennen ergänzende Maßnahmen die Schutzlücke schließen:
+
+**Technische Maßnahmen:**
+- Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Verantwortlichen in der EU (Schlüsselmanagement-Standort entscheidend)
+- Pseudonymisierung vor Transfer; Zuordnungsschlüssel verbleibt in der EU
+- Zero-Knowledge-Architektur für Cloud-Dienste
+
+**Vertragliche Maßnahmen:**
+- Erweiterung der SCC um technische Spezifikation der Verschlüsselung
+- Verpflichtung des Importeurs zur Benachrichtigung bei Behördenzugang
+- Audit-Rechte für Drittland-Compliance
+
+**Organisatorische Maßnahmen:**
+- Datensparsamkeit: nur pseudonymisierte/aggregierte Daten übermitteln
+- Trennung von Supportzugriff und Produktionsdaten
+
+### 6. Dokumentation und Informationspflichten
+
+- Verarbeitungsverzeichnis (Art. 30 DSGVO): Transfer, Empfängerland, Mechanismus, TIA vermerken
+- Datenschutzerklärung (Art. 13 Abs. 1 lit. f DSGVO): Drittlandtransfer, Mechanismus und ggf. Kopienangebot der SCC erwaehnen
+- AVV (Art. 28 Abs. 3 DSGVO): Sub-AV-Kette mit Drittlandsangaben; TIA als Anlage
+- TIA als internes Dokument archivieren und bei Anfragen der Aufsichtsbehörde vorlegen koennen
+
+## Pruefschema TIA (Checkliste)
+
+- [ ] **Lokale Massengesetze:** Erlauben Gesetze des Empfängerlandes Massensammlung (z.B. FISA 702, EO 12333 für USA; Geheimdienstgesetze CN, RU)?
+- [ ] **Behördenzugriff auf Daten:** Koennen Behörden ohne richterliche Kontrolle auf Daten zugreifen? Wie haeufig werden solche Befugnisse genutzt (Transparenzberichte)?
+- [ ] **Verschlüsselung at rest:** Sind Daten beim Empfänger verschlüsselt gespeichert? Wer hat Zugriff auf Schlüssel?
+- [ ] **Verschlüsselung in transit:** Wird TLS/mTLS verwendet? Zertifikate kontrolliert?
+- [ ] **Schlüsselmanagement-Standort:** Befinden sich Schlüssel und HSMs in der EU? Oder Schlüsselhoheit beim Empfänger im Drittland?
+- [ ] **Sub-Processor-Mapping:** Welche Sub-Auftragsverarbeiter des Empfängers befinden sich ebenfalls in Drittlaendern? TIA für Sub-Processor?
+- [ ] **Rechtsschutz für Betroffene:** Haben EU-Betroffene Klagemöglichkeiten im Empfängerland oder über Rechtsbehelfsinstanz (z.B. Data Protection Review Court der USA)?
+- [ ] **Transparenzberichte:** Veröffentlicht der Empfänger Behördenanfragen (Government Disclosure Reports)?
+
+## Risikoampel
+
+| Konstellation | Rot | Orange | Grün |
+|---|---|---|---|
+| US-Cloud ohne DPF-Zertifizierung und ohne SCC | x | | |
+| US-Cloud mit SCC, ohne TIA | | x | |
+| US-Cloud mit DPF-zertifiziertem Anbieter | | | x (zzgl. SCC und TIA empfohlen als Doppelabsicherung) |
+| US-Cloud mit SCC und positivem TIA (Verschlüsselung, Schlüssel EU) | | | x |
+| UK (Angemessenheitsbeschluss 2021 gültig) | | | x (Monitoring erforderlich) |
+| Schweiz nach nDSG (Angemessenheitsbeschluss bestätigt) | | | x |
+| Indien ohne SCC | x | | |
+| Indien mit SCC und TIA | | x | |
+| China ohne Mechanismus | x | | |
+| BCR-gedeckter Konzernverbund, TIA positiv | | | x |
+| Art. 49 DSGVO Einwilligung, nicht systematisch | | x | |
+
+## Vorlagen und Bausteine
+
+### TIA-Bericht Musterstruktur
+
+```
+TIA – Transfer Impact Assessment
+Datum: [DATUM]
+Erstellt von: [DSB / Datenschutzbeauftragter]
+Empfaengerland: [LAND]
+Empfaenger: [NAME, Adresse]
+Transfermechanismus: [SCC Modul X / BCR / DPF]
+Datenkategorien: [Auflistung]
+
+1. Kartierung der Uebermittlung
+   [Zweck, Umfang, Haeufigkeit]
+
+2. Rechtslage im Empfaengerland
+   [Relevante Gesetze, Massengesetze, Behoerdenzugriffsrechte]
+   Quellen: [Transparenzberichte, Rechtsgutachten, EDSA-Laenderanalysen]
+
+3. Schutzlueckenanalyse
+   Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+4. Ergaenzende Massnahmen
+   [Verschluesselung, Pseudonymisierung, vertragliche Massnahmen]
+
+5. Ergebnis und Restrisiko
+   [Gruen / Orange / Rot – Begruendung]
+
+6. Massnahmenplan
+   [Bei Orange oder Rot: konkrete Abhilfemassnahmen mit Frist und Verantwortlichen]
+
+Unterschrift DSB: _____________
+Freigabe Datenschutzbeauftragter: _____________
+```
+
+### SCC-Modul-Auswahl-Matrix (Entscheidungsbaum)
+
+```
+Wer ist Exporteur?
+├─ Verantwortlicher in EU
+│  ├─ Importeur = Verantwortlicher im Drittland → Modul 1
+│  └─ Importeur = Auftragsverarbeiter im Drittland → Modul 2
+└─ Auftragsverarbeiter in EU
+   ├─ Importeur = Auftragsverarbeiter im Drittland (Sub-AV) → Modul 3
+   └─ Importeur = Verantwortlicher im Drittland (Ruecktransfer) → Modul 4
+```
+
+### Datenschutzerklärungsbaustein Drittlandtransfer
+
+> "Wir übermitteln personenbezogene Daten an Empfänger in [LAND]. Die Übermittlung erfolgt auf Grundlage von [EU-Standardvertragsklauseln nach Beschluss 2021/914/EU, Modul X / Angemessenheitsbeschluss der Kommission vom [DATUM]]. Für die USA gilt: der Empfänger ist unter dem EU-US Data Privacy Framework zertifiziert. Eine Transferfolgenabschätzung (TIA) liegt vor. Auf Anfrage stellen wir Ihnen eine Kopie der Standardvertragsklauseln zur Verfügung (Kontakt: [DSB])."
+
+## Querverweise
+
+- `datenschutzrecht/skills/avv-pruefung/SKILL.md` – Drittlandtransfer-Prüfung im AVV-Kontext (Schritt 5)
+- `datenschutzrecht/skills/us-transfer-tia-dokumentation/SKILL.md` – US-Transfers mit DPF-Listing, SCC/BCR-Ausweichpfad, Schrems-Historie und TIA vertiefen
+- `datenschutzrecht/skills/standardvertragsklauseln-scc-paket/SKILL.md` – SCC-Modulwahl und Annex I-III konkret erstellen
+- `datenschutzrecht/skills/drittlandtransfer-behoerdenpaket-output/SKILL.md` – Deckvermerk, Anlagenverzeichnis und Antwortpaket fuer Aufsichtsbehoerden ausgeben
+- `datenschutzrecht/skills/dsfa-erstellung/SKILL.md` – DSFA bei Hochrisiko-Drittlandtransfers
+- `datenschutzrecht/skills/mandantendaten-ki/SKILL.md` – Drittlandtransfer bei KI-Diensten für Berufsgeheimnisträger
+- `datenschutzrecht/skills/datenpanne-meldung/SKILL.md` – Datenpannen bei Drittlandempfaengern
+- `datenschutzrecht/skills/regulierungs-luecken-analyse/SKILL.md` – Neue Angemessenheitsbeschlüsse in Gap-Analyse einspielen
+
+## Risiken und typische Fehler
+
+- **DPF-Prüfung vergessen:** DPF-Zertifizierung ist nicht permanent; Unternehmen koennen ihre Zertifizierung verlieren. Vor jedem Transfer auf data.privacyframework.gov prüfen und erneut prüfen bei Vertragserneuerung.
+- **Falsches SCC-Modul:** Ein Verantwortlicher, der SCC-Modul 3 (AV-zu-AV) verwendet, obwohl er selbst Verantwortlicher ist, erzeugt keine schutzwirkende Grundlage. Konstellation vor Unterzeichnung zwingend prüfen.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- **Art. 49 DSGVO als Regelfall:** Die Ausnahmen des Art. 49 DSGVO sind auf Einzelfälle beschraenkt; systematische und regelmäßige Transfers auf dieser Basis sind nicht zulaessig (EDSA-Leitlinien 2/2018).
+- **Sub-Processor-Kette übersehen:** SCC Modul 2/3 legt dem Importeur Pflichten für Sub-Auftragsverarbeiter auf; deren Drittlandstatus muss ebenfalls abgesichert sein (Art. 28 Abs. 4 DSGVO).
+- **Schlüsselhoheit nicht geprüft:** Verschlüsselung schuetzt nur dann, wenn Schlüssel nicht im Drittland liegen. Cloud-Dienste mit US-Schlüsselmanagement bieten keinen vollständigen Schutz gegen FISA 702-Zugriffe.
+- **Angemessenheitsbeschluss validitaet nicht geprüft:** Nach Schrems I und II koennen Angemessenheitsbeschlüsse wegfallen. Monitoring-Pflicht für sensible Verarbeitungen.
+
+## Quellen und Updates
+
+Stand: 05/2026. Aktualität bei folgenden Ereignissen prüfen und Skill aktualisieren:
+- Neue Angemessenheitsbeschlüsse der Europaeischen Kommission
+- EuGH-Urteile zu Kapitel V DSGVO
+- Änderungen am DPF (data.privacyframework.gov – politische und rechtliche Entwicklungen USA)
+- Neue BCR-Anerkennungen durch Aufsichtsbehörden
+- Aktualisierungen der EDSA-Empfehlungen 01/2020
+- Örtliche Datenschutzgesetze in Drittlaendern (z.B. CLOUD Act Amendments, neue chinesische Datenschutzgesetze PIPL)
+
+Nächste geplante Überprüfung: 05/2027 oder bei wesentlichen Änderungen.
+
+## Faktische Updates (Stand 05/2026)
+
+- **EU-US Data Privacy Framework (DPF):** Der Angemessenheitsbeschluss vom 10.07.2023 (C(2023) 4745 final) ist weiterhin in Kraft. Erstmalige periodische Ueberpruefung durch die Kommission war fuer 07/2024 vorgesehen; weitere Reviews alle vier Jahre. **Achtung:** politische Risiken (Schrems-III-Vorlage, US-Executive-Order-Modifikationen) machen Monitoring zwingend. Quelle: eur-lex.europa.eu, commission.europa.eu/law/law-topic/data-protection.
+- **DPF-Listing:** Empfaenger-Status muss vor jeder Uebermittlung ueber dataprivacyframework.gov (offizielle US-Website) verifiziert werden; Selbst-Zertifizierungs-Status kann jederzeit verloren gehen.
+- **UK-Angemessenheitsbeschluss (2021/1772):** Gilt nach urspruenglichen vier Jahren Befristung; Verlaengerung war erforderlich — aktuellen Status der Verlaengerung / Ueberpruefung live pruefen.
+- **EDSA-Guidelines:** Empfehlungen 01/2020 (Sechs-Stufen-TIA), Guidelines 05/2021 (Wechselwirkung Art. 3 und Kapitel V) sowie aktuelle EDSA-Stellungnahmen 2025 zu Drittlandtransfer-Risiken (insb. China PIPL, US-Executive-Orders) live ueber edpb.europa.eu pruefen.
+- **NIS-2 + Drittlandtransfer:** Auftraggeber wichtiger / besonders wichtiger Einrichtungen muessen Cyber-Risiken in der Lieferkette (Art. 21 NIS-2-RL i.V.m. § 30 BSIG n.F.) bei Drittland-Cloud-Diensten zusaetzlich beruecksichtigen; Schnittstelle zu TIA dokumentieren.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe ueber curia.europa.eu (EuGH) verifizieren.
+
+## Leitrechtsprechung
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn (Entscheidungsbaum)
+
+```
+Findet eine Übermittlung außerhalb EU/EWR statt?
+  Nein → kein Kapitel-V-DSGVO-Problem
+  Ja → Angemessenheitsbeschluss vorhanden?
+        Ja (USA/DPF, UK, Schweiz etc.) → Angemessenheitsbeschluss, Scope, Empfänger und Monitoring prüfen
+        Nein → SCC (Beschluss 2021/914) vorhanden?
+                 Ja → TIA erforderlich; Modul korrekt?
+                 Nein → BCR / Art. 49 Ausnahme?
+                          Nein → Übermittlung unzulässig
+```
+
+## Output-Template — TIA-Ergebnis
+
+**Adressat:** Datenschutzbeauftragter / Rechtsabteilung — Tonfall: sachlich-juristisch
+
+```
+Transfer Impact Assessment (TIA) [DATUM]
+Empfaengerland: [LAND]
+Empfaenger: [NAME, FUNKTION]
+Uebermittlungsgrundlage: Angemessenheitsbeschluss / SCC Modul [X] / BCR / Art. 49
+
+Rechtslage Empfaengerland:
+- Nachrichtendienstliche Befugnisse: [BESCHREIBUNG]
+- Schutzlevel: aequivalent / eingeschraenkt / unzureichend
+
+Risikobewertung:
+- Wahrscheinlichkeit behördlicher Zugriffe: hoch / mittel / gering
+- Datensensitivität: hoch / mittel / gering
+- Gesamtrisiko: hoch / mittel / akzeptabel
+
+Zusatzmassnahmen:
+- Verschlüsselung: [ja/nein; Standard]
+- Pseudonymisierung: [ja/nein]
+- Vertragliche Widerstandspflicht: [ja/nein]
+
+Ergebnis: Übermittlung zulässig / zulässig mit Auflagen / unzulässig
+```

datenschutzrecht/skills/drittlandtransfer-behoerdenpaket-output/SKILL.md

@@ -0,0 +1,148 @@
+---
+name: drittlandtransfer-behoerdenpaket-output
+description: "Behördenfähiges Dokumentations- und Antwortpaket für Drittlandtransfers erstellen: Deckvermerk, Transferregister, DPF/SCC/TIA-Nachweise, TOMs, Subprozessoren, Maßnahmenplan und Antwort an deutsche Datenschutzaufsicht."
+---
+
+# Drittlandtransfer-Behördenpaket-Output
+
+## Zweck
+
+Dieser Skill erstellt aus vorhandenen Prüfungen ein geordnetes Paket für Datenschutzaufsichtsbehörden, interne Audits, DSB-Berichte oder Geschäftsführungsfreigaben. Er sammelt nicht nur Dokumente, sondern macht sichtbar, warum der Transfer erlaubt, eingeschränkt erlaubt oder vorläufig gestoppt ist.
+
+## Startsignal
+
+Nutze diesen Skill, wenn der Nutzer sagt:
+
+- "Die Aufsichtsbehörde fragt nach dem US-Transfer."
+- "Wir brauchen ein Paket, das wir vorlegen können."
+- "Bitte druckreif dokumentieren."
+- "Zeig, dass DPF/SCC/TIA geprüft wurden."
+- "Wir müssen nachweisen, dass ein Anbieter gelistet oder nicht gelistet ist."
+
+## Eingangslogik
+
+1. Liegt bereits ein TIA vor? Wenn nein, `us-transfer-tia-dokumentation` vorschlagen und den fehlenden Kern extrahieren.
+2. Liegen SCC vor? Wenn unklar, `standardvertragsklauseln-scc-paket` vorschlagen.
+3. Liegt ein DPF-Nachweis vor? Wenn nein, Abruf/Prüfung als `nicht verifiziert` markieren und Nachholung als Sofortmaßnahme setzen.
+4. Ist die Behördenfrist bekannt? Wenn ja, Ausgabe nach Frist priorisieren.
+
+## Paketstruktur
+
+### 1. Deckvermerk
+
+Erstelle einen klaren Vermerk:
+
+- Aktenzeichen/Behördenbezug.
+- Verantwortliche Stelle und Datenschutzkontakt.
+- Betroffener Dienst/Transfer.
+- Kurzentscheidung: DPF / SCC + TIA / BCR / Art. 49 / Stop.
+- Standdatum.
+- Liste der beigefügten Nachweise.
+- Offene Punkte und Nachreichungsangebot.
+
+### 2. Entscheidungsmatrix
+
+| Frage | Ergebnis | Nachweis | Risiko | Maßnahme |
+|---|---|---|---|---|
+| Gibt es einen Drittlandtransfer? | Ja/Nein | Transferregister | ... | ... |
+| Ist ein Angemessenheitsbeschluss einschlägig? | Ja/Nein/Teilweise | DPF-Check | ... | ... |
+| Sind SCC/BCR erforderlich? | Ja/Nein | Vertrag/Annex | ... | ... |
+| Liegt ein TIA vor? | Ja/Nein | TIA-Vermerk | ... | ... |
+| Sind Subprozessoren prüfbar? | Ja/Nein | Subprozessorliste | ... | ... |
+| Sind ergänzende Maßnahmen ausreichend? | Ja/Nein/Offen | TOM-Matrix | ... | ... |
+
+### 3. Anlagenverzeichnis
+
+Nummeriere die Anlagen:
+
+1. Transferregister-Auszug.
+2. DPF-Prüfvermerk mit Abrufdatum.
+3. AVV/DPA.
+4. SCC mit Modul- und Annex-I-III-Übersicht.
+5. TIA-Vermerk.
+6. TOM-/Security-Anlage.
+7. Subprozessoren-Archiv.
+8. Datenschutzhinweis-/VVT-Auszug.
+9. Managemententscheidung.
+10. Review-Kalender und Maßnahmenplan.
+
+### 4. Behördenantwort
+
+Formuliere neutral, präzise und ohne Überbehauptung:
+
+- Was geprüft wurde.
+- Welche Rechtsgrundlage aktuell herangezogen wird.
+- Warum Safe Harbor/Privacy Shield nicht als aktuelle Grundlage genutzt werden.
+- Ob DPF trägt und für welchen Scope.
+- Falls DPF nicht trägt: welche SCC/BCR/TIA-Maßnahmen greifen.
+- Welche Lücken erkannt und bis wann geschlossen werden.
+
+**Keine falsche Sicherheit:** Wenn ein Nachweis fehlt, schreibe nicht "liegt vor", sondern "wird bis [Datum] nachgereicht" oder "ist beim Anbieter angefordert".
+
+## Drei Standardszenarien
+
+### A. US-Anbieter aktiv DPF-gelistet
+
+Output-Schwerpunkt:
+
+- DPF-Check als Hauptnachweis.
+- Scope-Abgleich.
+- Transferregister und AVV.
+- TOMs und Subprozessoren als Kontrollnachweise.
+- Review alle 6 bis 12 Monate und bei Zertifizierungsablauf.
+
+### B. US-Anbieter nicht oder nicht passend DPF-gelistet
+
+Output-Schwerpunkt:
+
+- SCC-Modulwahl.
+- TIA mit Drittlandsrecht/Praxis und Zusatzmaßnahmen.
+- Subprozessoren.
+- Entscheidung "Freigabe mit Auflagen" oder "Stop".
+- Keine Berufung auf DPF für diesen Transfer.
+
+### C. Altfall Safe Harbor/Privacy Shield
+
+Output-Schwerpunkt:
+
+- Historische Grundlage ausdrücklich als überholt markieren.
+- Zeitraum und Datenflüsse abgrenzen.
+- Aktuelle Ersatzgrundlage festlegen.
+- Nachbereinigung von Datenschutzhinweisen, AVV, VVT und Einkaufsakten.
+
+## Druckreifes Ausgabeformat
+
+Wenn der Nutzer "ausdrucken", "vorlegen", "Behörde" oder "Aktenvermerk" sagt, liefere:
+
+1. **Einseitige Executive Summary**.
+2. **Vollvermerk** mit Tabellen.
+3. **Anlagenliste**.
+4. **Antwortschreiben**.
+5. **Offene-Punkte-Liste** mit Eigentümer und Datum.
+
+## Qualitätsgate vor Abschluss
+
+- Stimmen Rechtsträgernamen überall überein?
+- Ist der genaue Transfer benannt, nicht nur der Anbieter?
+- Sind DPF/SCC/TIA logisch konsistent?
+- Gibt es keine Behauptung "Shield gültig"?
+- Sind Dokumentstände datiert?
+- Sind offene Punkte sichtbar statt versteckt?
+- Ist die nächste Wiedervorlage gesetzt?
+
+## Quellen und Aktualität
+
+- Stand: 05/2026.
+- DSGVO Art. 5 Abs. 2, Art. 24, Art. 28, Art. 30, Art. 44-49.
+- EU-US Data Privacy Framework-Angemessenheitsbeschluss vom 10.07.2023.
+- Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.
+- EDSA Recommendations 01/2020.
+
+
+## Qualitäts-Hardening
+
+- Arbeite aktennah: Tatsachen, Belege, Fristen, Zuständigkeit und gewünschtes Arbeitsprodukt zuerst klären.
+- Keine Rechtsprechung aus Modellwissen zitieren. Jede Entscheidung vor Ausgabe mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei oder amtlich prüfbarer Quelle absichern.
+- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate. Literatur nur verwenden, wenn der Nutzer sie bereitstellt oder ein lizenzierter Live-Zugriff im konkreten Arbeitsschritt dokumentiert ist.
+- Wenn eine Quelle, Randnummer, Behördenpraxis oder Frist nicht sicher geprüft ist, sichtbar als Prüfpunkt markieren und keine Scheinpräzision erzeugen.
+- Ergebnisse so liefern, dass sie sofort weiterverwendbar sind: Kurzbild, Prüfpfad, Risikoampel, Lückenliste und konkrete nächste Schritte.

datenschutzrecht/skills/dsb-bestellungspflicht-pruefung/SKILL.md

@@ -0,0 +1,349 @@
+---
+name: dsb-bestellungspflicht-pruefung
+description: "Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung. Output: Bestellungsprüfmemo Empfehlung. Abgrenzung: nicht für Aufgaben des DSB (Art. 39 DSGVO)."
+---
+
+# DSB-Bestellungspflicht und -Anforderungen
+
+## Zweck
+
+Häufige Lücke in Unternehmen: Pflicht zur DSB-Bestellung wird nicht erkannt. Dieses Skill prüft Pflicht, Anforderungen an DSB und löst Folge-Probleme (Interessens-Konflikt, externe vs. interne Bestellung).
+
+## Eingaben
+
+- Unternehmens-Typ (öffentlich privat)
+- Beschäftigten-Zahl
+- Verarbeitungs-Tätigkeiten (Übersicht aus VVT)
+- Bestand DSB ja/nein
+- Bei Bestand: Person und Rolle (intern extern)
+
+## Schritt 1 — Pflicht-Tatbestände Art. 37 DSGVO
+
+### Lit. a) Öffentliche Stelle / Behörde
+
+- **Pflicht** unabhängig von Größe
+- Außer Gerichte in Justizfunktion
+
+### Lit. b) Kerntätigkeit umfangreiche regelmäßige systematische Überwachung
+
+- **Kerntätigkeit** das Geschäft selbst (nicht nur Mittel zur Geschäftsführung)
+- **Umfangreich** Skalierung
+- **Regelmäßig systematisch** Dauerhaft strukturiert
+- **Überwachung** Beobachtung Verhalten Profilbildung
+
+#### Beispiele
+
+- Online-Verhaltens-Tracking Werbe-Netzwerke
+- Vermarkter mit Profiling
+- Telematik-Versicherer
+- Standort-Verfolgung
+- CCTV im großen Stil
+
+### Lit. c) Kerntätigkeit umfangreiche Verarbeitung besondere Kategorien
+
+- **Art. 9 DSGVO** Daten (Gesundheit Religion Sexual-Orientierung etc.)
+- **Strafrechtliche Daten** Art. 10
+- **Umfangreich**
+
+#### Beispiele
+
+- Krankenhäuser
+- Religions-Gemeinschaften
+- Personalvermittler mit Diversity-Daten
+- Strafvollzug-Dienstleister
+- Genetik-/Genom-Labore
+
+## Schritt 2 — § 38 BDSG Deutsche Erweiterung
+
+### Schwellenwert
+
+- **In der Regel mindestens 20 Personen**
+- **Ständig mit automatisierter Verarbeitung beschäftigt**
+- Bei Pflicht zur DSFA (Art. 35) auch bei weniger Personen
+- Bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung anonymen Übermittlung Markt- oder Meinungsforschung
+
+### "Personen" im Sinne § 38 BDSG
+
+- Mitgezählt werden **eigene Beschäftigte** des Verantwortlichen (Voll- und Teilzeit, Aushilfen, Auszubildende, Werkstudenten, freie Mitarbeiter mit Datenzugriff)
+- **Auftragsverarbeiter-Personal zählt NICHT mit** — dieses gehört zum Auftragsverarbeiter, der selbst die DSB-Pflicht prüft
+- Entscheidend ist die Ständigkeit der automatisierten Verarbeitung, nicht das Beschäftigungs-Volumen
+
+### Kombination
+
+- EU-DSGVO und § 38 BDSG nebeneinander
+- Strengstes Kriterium gilt
+
+## Schritt 3 — Anforderungen DSB Art. 37 Abs. 5 6 DSGVO
+
+### Fachliche Eignung
+
+- **Berufliche Qualifikation** Datenschutz
+- **Fachwissen** DSGVO BDSG
+- **Spezialwissen** der Branche
+- Zertifizierungen: TÜV, GDD, DIA, BvD u.a.
+
+### Persönliche Eignung
+
+- Zuverlässigkeit
+- Vertrauenswürdig
+- Bei Insolvenz / Strafverfahren prüfen
+
+## Schritt 4 — Stellung DSB Art. 38 DSGVO
+
+### Unabhängigkeit
+
+- **Keine Weisungs-Bindung** in Datenschutz-Fragen
+- **Berichts-Linie** an oberste Leitung
+- **Schutz vor Abberufung** wegen Aufgaben-Wahrnehmung
+
+### Ressourcen-Pflicht
+
+- **Zeitliche Verfügbarkeit** ausreichend
+- **Sachliche Ausstattung** Büro IT Reisekosten
+- **Fortbildungs-Budget**
+- **Externe Hilfe** wenn nötig
+
+### Schutz vor Kündigung / Abberufung
+
+- **§ 6 Abs. 4 BDSG** Kündigungs-Schutz analog § 4f
+- Bei Beendigungs-Schutz auch nach Amtszeit
+- Außerordentliche Kündigung nur bei wichtigem Grund
+
+### Schweigepflicht
+
+- DSB unterliegt Schweige-Pflicht
+- Auch nach Beendigung
+
+## Schritt 5 — Interne vs. externe Bestellung
+
+### Interner DSB
+
+- **Aus Belegschaft**
+- **Voll- oder Teilzeit-DSB-Aufgabe**
+- **Vorteil:** Insider-Kenntnis
+- **Nachteil:** Interessens-Konflikt-Risiko
+
+### Externer DSB
+
+- **Beratung durch externe Firma / Anwalts-Kanzlei**
+- **Vertragliche Bestellung**
+- **Vorteil:** Unabhängigkeit Spezialisierung
+- **Nachteil:** Externe Person ohne Insider-Kenntnis
+
+### Konzern-DSB
+
+- Ein DSB für mehrere Konzern-Gesellschaften
+- Erlaubt § 38 Abs. 1 BDSG ("für mehrere Stellen")
+- Konzern-Bestellungs-Akte
+- Kommunikations-Linie zu allen Gesellschaften
+
+## Schritt 6 — Interessens-Konflikt-Prüfung
+
+### Problematische Doppelrollen
+
+#### Geschäftsführer / Vorstand
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- ErwGr 97 DSGVO zur Unabhängigkeits-Anforderung
+- Strikte Trennung erforderlich
+
+#### IT-Leitung
+
+- Verarbeitung verantwortlich + Datenschutz kontrollierend
+- Konflikt häufig
+- Strikt: Trennung erforderlich
+
+#### Personalleitung
+
+- Personal-Verarbeitung steuernd + Datenschutz kontrollierend
+- Konflikt häufig
+
+#### Compliance-Officer
+
+- Bei klar getrennten Bereichen möglich
+- Bei umfassender Compliance-Verantwortung Konflikt
+
+### Unproblematische Rollen
+
+- IT-Sicherheits-Beauftragter (komplementär)
+- Externer Anwalt (unabhängig)
+- Externe Beratung (klar)
+
+### Bei Konflikt
+
+- **Auswechslung** des DSB
+- **Externe Bestellung**
+- **Strukturelle Anpassung** der internen Rollen
+
+## Schritt 7 — Aufgaben DSB Art. 39 DSGVO
+
+### Pflicht-Aufgaben
+
+a) **Information und Beratung** Verantwortlicher und Beschäftigte
+
+b) **Überwachung** Einhaltung DSGVO und Datenschutz-Vorschriften
+
+c) **Beratung** zu DSFA und deren Überwachung
+
+d) **Zusammenarbeit** Aufsichtsbehörde
+
+e) **Anlaufstelle Aufsichtsbehörde** für Fragen Beratung
+
+### Zusätzlich
+
+- Mit-wirkung VVT
+- Beratung bei AVV-Erstellung
+- Schulung Mitarbeiter
+- Datenpanne-Bewertung
+
+## Schritt 8 — Meldung Aufsichtsbehörde Art. 37 Abs. 7 DSGVO
+
+### Pflicht zur Veröffentlichung
+
+- Kontakt-Daten DSB
+- Mitteilung an Aufsichtsbehörde
+- Online-Meldung möglich
+
+### Form
+
+- Schriftlich elektronisch
+- Aufsichtsbehörde wo Verantwortlicher Hauptniederlassung
+- Inhalt: Name Anschrift Telefon E-Mail
+
+### Bei Änderungen
+
+- Update bei Wechsel DSB
+- Bei Wechsel der Aufsichtsbehörden-Zuständigkeit
+
+## Schritt 9 — Bestellungs-Akt
+
+### Form
+
+- **Schriftlich** empfohlen
+- **Stellenbeschreibung** mit Aufgaben Rechten
+- **Vertrag** bei externem DSB
+- **Bestellungs-Urkunde** intern
+
+### Inhalt
+
+- Bestellungs-Datum
+- Aufgaben gemäß Art. 39 DSGVO
+- Ressourcen-Zusage
+- Berichts-Linie
+- Vertraulichkeits-Pflicht
+- Beendigungs-Regelung
+
+## Schritt 10 — Bei Verstoß
+
+### Sanktionen
+
+- **Art. 83 Abs. 4 DSGVO** bis 10 Mio EUR oder 2 Prozent Konzernumsatz
+- **Aufsichts-Anordnung** zur Bestellung
+- **Reputations-Schaden**
+
+### Folge-Probleme
+
+- Datenpannen ohne DSB schwerer beherrschbar
+- DSFA-Lücken
+- Aufsichts-Behörden-Audit kritisch
+
+## Schritt 11 — Beratungs-Schritte
+
+### Erstprüfung
+
+1. **Beschäftigten-Zahl** über 20 mit automatisierter Verarbeitung?
+2. **Verarbeitungs-Typ** Kerntätigkeit mit Überwachung oder besonderen Kategorien?
+3. **Öffentliche Stelle**?
+4. **Bei Bejahung**: DSB-Pflicht — sofort Bestellung erforderlich
+
+### Wenn DSB vorhanden
+
+1. **Eignungs-Prüfung** Qualifikation aktuell?
+2. **Stellung** Unabhängigkeit gewährleistet?
+3. **Interessens-Konflikt** vorhanden?
+4. **Ressourcen** ausreichend?
+5. **Meldung** Aufsichtsbehörde erfolgt?
+
+### Wenn DSB-Lücke
+
+1. **Sofortige Bestellung** intern oder extern
+2. **Aufsichtsbehörde** informieren
+3. **VVT-Eintrag** DSB-Daten
+4. **Datenschutz-Hinweise** Webseite aktualisieren
+
+## Schritt 12 — Außerhalb Pflicht — freiwillige Bestellung
+
+### Vorteile
+
+- **Compliance-Sicherheit**
+- **Vorbereitung** Wachstum
+- **Audit-Vorbereitung**
+- **Mandanten-Vertrauen**
+
+### Empfehlung
+
+- Bei jeder Verarbeitung besonderer Kategorien (auch wenn nicht "umfangreich")
+- Bei Cookie-Tracking selbst bei kleiner Webseite
+- Bei jeder grenz-überschreitenden Verarbeitung
+
+## Verzahnung mit anderen Skills
+
+- `verarbeitungsverzeichnis-vvt-generator` — VVT mit DSB-Bezeichnung
+- `dsfa-erstellung` — DSB-Beratung
+- `avv-pruefung` — DSB-Beratung
+- `datenpanne-meldung` — DSB-Eskalation
+- `mandantendaten-ki` — DSB im Kanzlei-Kontext
+- `anwendungsfall-triage` — Eingangsprüfung
+
+## Ausgabe
+
+- `dsb-pruefung-{unternehmen}.md` mit Pflicht-Analyse Anforderungs-Prüfung Konflikt-Bewertung
+- Bei DSB-Lücke: Bestellungs-Pflicht-Bestätigung + Bestellungs-Vorbereitung
+- Bei externem DSB: Vertrags-Entwurf
+- Bei internem DSB: Stellenbeschreibung
+- Aufsichts-Behörden-Meldung-Vorbereitung
+- Frist im Fristenbuch (Bestellung unverzüglich)
+
+## Quellen
+
+- DSGVO Art. 37 38 39 83; ErwGr 97 DSGVO
+- BDSG §§ 5 6 38
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- BfDI Praxis-Empfehlungen
+- DSK Kurzpapier
+- GDD und BvD Standards
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn
+
+1. Öffentliche oder private Stelle? (Art. 37 Abs. 1 lit. a DSGVO vs. § 38 BDSG)
+2. Bei privater Stelle: Anzahl Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG: ab 20)?
+3. Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder umfangreiche Überwachung?
+4. Bestehender DSB: Interessenkonflikt (leitende Verarbeitungsverantwortung)?
+
+## Output-Template — DSB-Prüfvermerk
+
+**Adressat:** Geschäftsführung / Compliance — Tonfall: sachlich-juristisch
+
+```
+DSB-Bestellungspflicht-Prüfvermerk [DATUM]
+Organisation: [NAME]
+
+Bestellungspflicht-Prüfung:
+Öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO): ja / nein
+Kerntätigkeit umfangreiche Überwachung (Art. 37 Abs. 1 lit. b): ja / nein
+Besondere Kategorien umfangreich (Art. 37 Abs. 1 lit. c): ja / nein
+§ 38 BDSG: [X] Personen staendig automatisiert → ab 20: Pflicht
+
+Ergebnis Bestellungspflicht: JA / NEIN
+
+Aktueller DSB (falls bestellt):
+Name: [NAME] | intern / extern
+Interessenkonflikt-Check: kein Konflikt / Konflikt (Grund: [...])
+Qualifikation ausreichend: ja / nein / unklar
+
+Empfehlung: DSB bestellen (bis [FRIST]) / DSB wechseln / kein Handlungsbedarf
+```

datenschutzrecht/skills/dsfa-art-35-dsgvo-trigger-und-anwendungsbereich/SKILL.md

@@ -0,0 +1,116 @@
+---
+name: dsfa-art-35-dsgvo-trigger-und-anwendungsbereich
+description: "Pruefung wann eine DSFA nach Art. 35 DSGVO ueberhaupt erforderlich ist. Trigger-Pruefung Anwendungsbereich Schwellwert. Generalklausel Art. 35 Abs. 1 voraussichtlich hohes Risiko; Regelbeispiele Art. 35 Abs. 3; Pflichtlisten Art. 35 Abs. 4 BfDI. Output: Triage-Vermerk DSFA-pflichtig oder nicht."
+---
+
+# DSFA Trigger und Anwendungsbereich nach Art. 35 DSGVO
+
+## Zweck
+
+Dieser Skill liefert eine strukturierte Erstpruefung der Frage, ob fuer eine konkrete Verarbeitungstaetigkeit eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO durchzufuehren ist. Ergebnis ist ein Triage-Vermerk mit klarer Aussage DSFA-pflichtig, optional oder entbehrlich und einer Begruendung mit Norm-Anker.
+
+## Wann brauchen Sie diesen Skill
+
+- Vor Einfuehrung einer neuen Verarbeitungstaetigkeit
+- Bei wesentlicher Aenderung einer bestehenden Verarbeitung (Art. 35 Abs. 11 DSGVO)
+- Bei Aufnahme eines neuen Auftragsverarbeiters, neuer Technologie oder neuer Datenkategorie
+- Wenn die interne Compliance, der DSB oder eine Aufsichtsbehoerde die Frage stellt
+- Vor Erstellung einer vollstaendigen DSFA (Vorab-Triage)
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 1 DSGVO Generalklausel: DSFA verpflichtend wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund Art, Umfang, Umstaenden und Zwecken voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen zur Folge hat.
+- Art. 35 Abs. 3 DSGVO Regelbeispiele:
+  - lit. a systematische und umfassende Bewertung persoenlicher Aspekte einschliesslich Profiling und darauf gestuetzter automatisierter Entscheidung mit Rechtswirkung
+  - lit. b umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 Abs. 1 oder von Daten ueber strafrechtliche Verurteilungen nach Art. 10
+  - lit. c systematische umfangreiche Ueberwachung oeffentlich zugaenglicher Bereiche
+- Art. 35 Abs. 4 DSGVO Pflichtliste der Aufsichtsbehoerde (BfDI bzw. zustaendige Landesbehoerde) — sogenannte Blacklist.
+- Art. 35 Abs. 5 DSGVO optionale Whitelist der Aufsichtsbehoerde.
+- Art. 35 Abs. 10 DSGVO Ausnahme bei gesetzlicher Grundlage mit bereits durchgefuehrter allgemeiner DSFA durch den Gesetzgeber.
+- EDSA-Leitlinien WP 248 rev.01 (uebernommen durch EDSA), insbesondere die 9 Kriterien zur Bestimmung von voraussichtlich hohem Risiko.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Kurzbeschreibung der Verarbeitung in maximal 10 Saetzen: Zweck, Datenarten, Betroffenenkreise, Technologie, Drittlandbezug, Aufbewahrung. Ohne diese Beschreibung ist die Trigger-Pruefung nicht moeglich.
+2. **Verhaeltnismaessigkeitspruefung.** In dieser Stufe nur grobe Plausibilitaet: Liegt ein offensichtliches Missverhaeltnis von Zweck und Eingriff vor? Falls ja, ist die DSFA bereits aus diesem Grund angezeigt.
+3. **Risikoanalyse Trigger-Ebene.** Pruefen der 9 EDSA-Kriterien:
+   - Bewertung oder Scoring
+   - automatisierte Entscheidung mit Rechtswirkung
+   - systematische Ueberwachung
+   - besondere Kategorien Art. 9 oder Art. 10
+   - umfangreiche Verarbeitung
+   - Zusammenfuehrung oder Abgleich von Datensaetzen
+   - schutzbeduerftige Personen (Kinder, Patienten, Beschaeftigte)
+   - neue Technologien (KI, Biometrie, IoT)
+   - Verhinderung der Ausuebung von Betroffenenrechten
+4. **Massnahmen.** Pruefen ob bereits getroffene risikomindernde Massnahmen den Schwellwert unter hohes Risiko druecken (Pseudonymisierung, Anonymisierung, technische Beschraenkung). Ergebnis dokumentieren.
+5. **Restrisiko / Schwellwertergebnis.** Drei moegliche Ergebnisse:
+   - DSFA-PFLICHTIG (Art. 35 Abs. 3, Abs. 4 oder mindestens 2 EDSA-Kriterien)
+   - DSFA-EMPFOHLEN (1 EDSA-Kriterium, Grenzfall)
+   - DSFA-ENTBEHRLICH (kein Kriterium erfuellt, Blacklist nicht einschlaegig)
+6. **Konsultation / Genehmigung.** DSB nach Art. 35 Abs. 2 DSGVO anhoeren. Triage-Vermerk gegenzeichnen lassen und in Verarbeitungsverzeichnis nach Art. 30 verlinken.
+
+## Mustertext / Template
+
+```
+DSFA-TRIAGE-VERMERK [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME, ROLLE]
+Vorpruefer: [NAME] | DSB-Anhoerung: [DATUM]
+
+1. Kurzbeschreibung
+[Zweck, Datenarten, Betroffene, Technologie, Drittlandbezug, Aufbewahrung]
+
+2. Pruefung Art. 35 Abs. 3 DSGVO (Regelbeispiele)
+- lit. a Profiling mit Rechtswirkung: ja / nein — [Begruendung]
+- lit. b besondere Kategorien umfangreich: ja / nein — [Begruendung]
+- lit. c oeffentlicher Bereich Ueberwachung: ja / nein — [Begruendung]
+
+3. Pruefung Art. 35 Abs. 4 DSGVO BfDI-/Landes-Blacklist
+- Einschlaegig: ja / nein — [Listen-Position]
+
+4. EDSA-Kriterien WP 248 rev.01 (Anzahl erfuellt)
+- [X] von 9
+
+5. Ergebnis
+[ ] DSFA PFLICHTIG nach Art. 35 [Abs. 1 / Abs. 3 / Abs. 4]
+[ ] DSFA EMPFOHLEN (Grenzfall, Dokumentation der Nicht-DSFA)
+[ ] DSFA ENTBEHRLICH (Dokumentation der Begruendung)
+
+6. Naechster Schritt
+[ ] Vollstaendige DSFA durchfuehren (Skill dsfa-template-deutsch-vollvorlage)
+[ ] Negative Triage-Dokumentation ablegen (Art. 5 Abs. 2 DSGVO Rechenschaftspflicht)
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Typische Fehler
+
+- Triage wird muendlich erledigt, kein Vermerk angelegt — Verstoss gegen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
+- Nur Art. 35 Abs. 3 geprueft, Generalklausel Abs. 1 uebersehen — auch ausserhalb der Regelbeispiele kann DSFA-Pflicht bestehen.
+- Blacklist der eigenen Landesbehoerde uebersehen (siehe Skill dsfa-bfdi-und-laender-blacklist).
+- Negative Triage nicht dokumentiert — bei spaeterem Aufsichtsverfahren kein Nachweis.
+- DSB nicht beteiligt obwohl Art. 35 Abs. 2 ausdruecklich Anhoerung verlangt.
+- Wesentliche Aenderung uebersehen — Re-Triage nach Art. 35 Abs. 11 notwendig.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-bfdi-und-laender-blacklist/SKILL.md` — Blacklist-Abgleich
+- `datenschutzrecht/skills/dsfa-edpb-leitlinien-9-19-anwendung/SKILL.md` — EDSA-Kriterien im Detail
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Vollvorlage nach positiver Triage
+- `datenschutzrecht/skills/dsfa-typische-fehler-bei-erstpruefung/SKILL.md` — Fehlerquellen Erstpruefung
+- `datenschutzrecht/skills/anwendungsfall-triage/SKILL.md` — Plugin-weite Triage
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35, 36 DSGVO (Verordnung EU 2016/679)
+- Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)
+- § 67 BDSG (Pflichtliste BfDI)
+- EDSA-Leitlinien WP 248 rev.01 zur DSFA
+- BfDI: bfdi.bund.de — aktuelle Blacklist und Whitelist live pruefen
+- Landesdatenschutzbehoerden (LfDI BW, LDA Bayern u.a.) — eigene Listen
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle oder lizenziertem Live-Zugriff

datenschutzrecht/skills/dsfa-bfdi-und-laender-blacklist/SKILL.md

@@ -0,0 +1,109 @@
+---
+name: dsfa-bfdi-und-laender-blacklist
+description: "Abgleich einer Verarbeitung mit der BfDI-Pflichtliste nach Art. 35 Abs. 4 DSGVO und mit den Listen der Landesdatenschutzbehoerden. Output: dokumentierter Listenabgleich mit Trefferanalyse und ggf. Verweis auf zwingende DSFA."
+---
+
+# BfDI- und Laender-Blacklist Abgleich
+
+## Zweck
+
+Dieser Skill fuehrt einen sauberen Abgleich einer konkreten Verarbeitungstaetigkeit mit der Pflichtliste der zustaendigen Aufsichtsbehoerde nach Art. 35 Abs. 4 DSGVO (Blacklist) und mit der Whitelist nach Art. 35 Abs. 5 DSGVO durch. Ergebnis ist ein dokumentierter Listenabgleich, der die Erforderlichkeit oder Entbehrlichkeit einer DSFA stuetzt.
+
+## Wann brauchen Sie diesen Skill
+
+- In der DSFA-Trigger-Pruefung (Schwellwertanalyse)
+- Bei einer Aufsichtsanfrage zur Begruendung einer durchgefuehrten oder unterlassenen DSFA
+- Bei wesentlichen Aenderungen der Verarbeitung
+- Wenn unklar ist, welche Landesdatenschutzbehoerde zustaendig ist (Sitzland-Pruefung)
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 4 DSGVO: Aufsichtsbehoerden erstellen und veroeffentlichen Listen der Verarbeitungstaetigkeiten, fuer die eine DSFA durchzufuehren ist.
+- Art. 35 Abs. 5 DSGVO: Aufsichtsbehoerden koennen Listen veroeffentlichen, fuer die keine DSFA erforderlich ist (Whitelist).
+- Art. 35 Abs. 6 DSGVO: Listen werden dem Ausschuss EDSA uebermittelt, Koehaerenzverfahren bei grenzueberschreitenden Verarbeitungen.
+- § 40 BDSG: Zustaendigkeit der Landesdatenschutzbehoerden fuer den nicht-oeffentlichen Bereich.
+- § 67 BDSG verweist auf die Pflichtliste im oeffentlichen Bereich des Bundes.
+- EDSA-Leitlinien WP 248 rev.01 als Auslegungshilfe.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Welche Verarbeitung soll abgeglichen werden? Konkrete Bezeichnung, Branche, eingesetzte Technologie, Datenkategorien.
+2. **Verhaeltnismaessigkeitspruefung.** Zustaendige Aufsichtsbehoerde ermitteln: Bund (BfDI) fuer oeffentliche Stellen des Bundes, Telekommunikation und Postwesen; Laender fuer den nicht-oeffentlichen Bereich, sortiert nach Sitzland des Verantwortlichen.
+3. **Risikoanalyse Listenabgleich.** Aktuelle Blacklist der zustaendigen Behoerde live abrufen (bfdi.bund.de bzw. Landesbehoerde). Treffer dokumentieren mit konkretem Listenpunkt und Datum des Abrufs.
+4. **Massnahmen.** Pruefen ob die Verarbeitung exakt unter einen Listenpunkt faellt oder nur partiell. Bei partieller Deckung: Begruendung warum trotzdem oder warum nicht DSFA-pflichtig.
+5. **Restrisiko.** Falls Blacklist-Treffer: DSFA zwingend. Falls Whitelist-Treffer: DSFA entbehrlich, Dokumentation der Whitelist-Position. Falls weder noch: Pruefung nach Art. 35 Abs. 1 und Abs. 3 DSGVO erforderlich.
+6. **Konsultation / Genehmigung.** Listenabgleich dem DSB vorlegen, gegenzeichnen lassen, in das Verarbeitungsverzeichnis nach Art. 30 verlinken.
+
+## Mustertext / Template
+
+```
+LISTENABGLEICH NACH ART. 35 ABS. 4 / ABS. 5 DSGVO [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME, SITZLAND]
+Zustaendige Aufsichtsbehoerde: [BfDI / LfDI BW / LDA Bayern / ...]
+
+Quelle Blacklist (Stand): [URL, Abrufdatum]
+Quelle Whitelist (Stand): [URL, Abrufdatum]
+
+Pruefung Blacklist
+- Listenpunkt 1: [Bezeichnung] — Treffer ja / nein — Begruendung
+- Listenpunkt 2: [Bezeichnung] — Treffer ja / nein — Begruendung
+- ...
+
+Pruefung Whitelist
+- Listenpunkt: [Bezeichnung] — Treffer ja / nein — Begruendung
+
+Ergebnis
+[ ] BLACKLIST-TREFFER — DSFA zwingend nach Art. 35 Abs. 4 DSGVO
+[ ] WHITELIST-TREFFER — DSFA entbehrlich nach Art. 35 Abs. 5 DSGVO
+[ ] KEIN LISTENTREFFER — Pruefung nach Art. 35 Abs. 1, 3 DSGVO fortsetzen
+
+Naechster Schritt: [Vollstaendige DSFA / Dokumentation / Weiterleitung an Skill]
+
+Unterschrift: ____________________
+```
+
+## Praxishinweise zur Zustaendigkeit
+
+- Nicht-oeffentlicher Bereich: Landesdatenschutzbehoerde am Sitz des Verantwortlichen.
+- Oeffentlicher Bereich Bund (Bundesbehoerden, Telekommunikation, Post): BfDI.
+- Oeffentlicher Bereich Land: jeweilige Landesdatenschutzbehoerde.
+- Grenzueberschreitende Verarbeitung Art. 56 DSGVO: Federfuehrungsbehoerde am Sitz der Hauptniederlassung.
+- Konzern mit mehreren Sitzlaendern: Hauptniederlassung nach Art. 4 Nr. 16 DSGVO bestimmen.
+
+## Typische Fehler
+
+- Nur BfDI geprueft, Landesbehoerde uebersehen — im nicht-oeffentlichen Bereich ist regelmaessig die Landesbehoerde des Sitzlandes zustaendig.
+- Listenstand veraltet — Listen werden fortgeschrieben, immer aktuelles Datum dokumentieren.
+- Partielle Deckung als Volltreffer behandelt — Listenpunkte sind typenoffen, aber konkret zu pruefen.
+- Whitelist als Freibrief verstanden — Whitelist entlastet nur, wenn die Verarbeitung exakt zur Listenposition passt.
+- Keine Dokumentation des Abrufdatums — Aufsicht kann den Stand nicht nachvollziehen.
+- Grenzueberschreitende Verarbeitung: Federfuehrungsbehoerde nach Art. 56 DSGVO uebersehen.
+- Konzerngesellschaften mit Sitz in mehreren Bundeslaendern: jede Gesellschaft hat eigene Aufsicht; nicht zentralisieren.
+- Konflikt Bundes- versus Landesliste: bei Doppelpflicht die strengere Vorgabe anwenden.
+
+## Beispielfaelle
+
+- Kreditscoring-Plattform: regelmaessig auf mehreren Landeslisten (Scoring + automatisierte Entscheidung).
+- Patientenakte mit Cloud-Speicherung: meist auf BfDI- bzw. Landesliste (besondere Kategorien Art. 9 + neue Technologie).
+- Videoueberwachung Bahnhofsvorplatz: Art. 35 Abs. 3 lit. c DSGVO unmittelbar und zusaetzlich Listentreffer wegen oeffentlichem Bereich.
+- KI-Personalauswahl: regelmaessig Listentreffer wegen Profiling und neuen Technologien.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-art-35-dsgvo-trigger-und-anwendungsbereich/SKILL.md` — Trigger-Pruefung
+- `datenschutzrecht/skills/dsfa-edpb-leitlinien-9-19-anwendung/SKILL.md` — Wenn kein Listentreffer
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Bei Blacklist-Treffer
+- `datenschutzrecht/skills/spezial-dpia-dokumentenmatrix-und-lueckenliste/SKILL.md` — Dokumentenmatrix
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 4, 5, 6 DSGVO
+- § 40, § 67 BDSG
+- BfDI: bfdi.bund.de — Pflichtliste und Whitelist (live pruefen)
+- LfDI Baden-Wuerttemberg, LDA Bayern, BlnBDI Berlin, HmbBfDI Hamburg, HBDI Hessen, LfDI Rheinland-Pfalz, LfD Niedersachsen, LDI NRW, ULD Schleswig-Holstein, LfDI Saarland, SaechsDSB, LfD Sachsen-Anhalt, TLfDI, LfD Mecklenburg-Vorpommern, LfDI Bremen, LfD Brandenburg — eigene Listen abrufen
+- EDSA-Leitlinien WP 248 rev.01
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md

@@ -0,0 +1,117 @@
+---
+name: dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii
+description: "Dokumentation der DSFA als Beleg der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Aktenstruktur Versionierung Aufbewahrung Beweiswert. Output: DSFA-Akte mit Aktenuebersicht und Aufbewahrungsregeln."
+---
+
+# DSFA-Dokumentation und Rechenschaftspflicht
+
+## Zweck
+
+Strukturierte Dokumentation einer DSFA als Beleg der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Ergebnis dieses Skills ist eine vollstaendige DSFA-Akte mit Aktenuebersicht, Versionierung, Aufbewahrungsregeln und Beweiswertbeurteilung. Ziel ist die jederzeitige Vorlagefaehigkeit gegenueber Aufsicht, Gericht oder DSB.
+
+## Wann brauchen Sie diesen Skill
+
+- Nach Abschluss einer DSFA, vor Archivierung
+- Bei Aufsichtsanfrage zur Vorlage der DSFA
+- Bei Audit durch DSB oder externen Pruefer
+- Bei Wechsel des DSB oder des Verantwortlichen — Aktenuebergabe
+- Bei wesentlicher Aenderung (Versionierung)
+
+## Rechtlicher Rahmen
+
+- Art. 5 Abs. 2 DSGVO: Rechenschaftspflicht — der Verantwortliche muss die Einhaltung der Grundsaetze nachweisen koennen.
+- Art. 24 DSGVO: Verantwortung des fuer die Verarbeitung Verantwortlichen.
+- Art. 30 DSGVO: Verzeichnis von Verarbeitungstaetigkeiten — DSFA-Verweis.
+- Art. 35 Abs. 11 DSGVO: Re-Pruefungspflicht.
+- Art. 58 Abs. 1 lit. a DSGVO: Auskunftsbefugnis der Aufsicht.
+- § 257 HGB, § 147 AO fuer Aufbewahrungsfristen kaufmaennischer und steuerlicher Unterlagen — DSFA ist nicht kaufmaennisches Dokument, aber an die Verarbeitungstaetigkeit gekoppelt.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Welcher Verarbeitungsvorgang? Eindeutige Akten-Identifikation (z. B. VV-Nummer, DSFA-Aktenzeichen).
+2. **Verhaeltnismaessigkeitspruefung.** Pruefung welche Dokumente in die DSFA-Akte gehoeren — Vollstaendigkeit ohne Ueberfrachtung.
+3. **Risikoanalyse.** Beweiswertrisiken pruefen — fehlende Unterschriften, fehlende Versionen, fehlende Datierungen, unklare Verantwortlichkeiten.
+4. **Massnahmen.** Strukturierte Aktenfuehrung in standardisierter Form (digital signiert, mit Datum und Versionierung).
+5. **Restrisiko.** Beweiswertbeurteilung — wie sicher ist die DSFA bei Aufsichtsverfahren? Ergaenzungen oder Bekraeftigungen.
+6. **Konsultation / Genehmigung.** DSB bestaetigt Vollstaendigkeit; Aufbewahrung und Zugriffsrechte regeln.
+
+## Aktenstruktur DSFA
+
+```
+DSFA-AKTE Aktenzeichen: [VV-XX-DSFA-YYYY-NN]
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME]
+DSB: [NAME]
+
+01 Deckblatt mit Versionshistorie
+02 Schwellwertanalyse / Triage-Vermerk (Skill dsfa-art-35-dsgvo-trigger-und-anwendungsbereich)
+03 Listenabgleich (Skill dsfa-bfdi-und-laender-blacklist)
+04 WP-248-Pruefung (Skill dsfa-edpb-leitlinien-9-19-anwendung)
+05 Methodenwahl-Memo (Skill dsfa-methodik-cnil-pia-vs-bsfd-bsi)
+06 Vollstaendige DSFA (Skill dsfa-template-deutsch-vollvorlage)
+07 Risikomatrix (Skill dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden)
+08 TIA falls Drittlandtransfer (Skill dsfa-fuer-internationale-datentransfers)
+09 KI-FRIA falls Hochrisiko-KI (Skill dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo)
+10 Stakeholder-Konsultation (Skill dsfa-stakeholder-konsultation-art-35-9)
+11 DSB-Stellungnahme
+12 Vorabkonsultation Art. 36 (falls erfolgt)
+13 Freigabe Verantwortlicher
+14 Verweis Verarbeitungsverzeichnis Art. 30
+15 Revisionsplan (Skill dsfa-update-bei-aenderungen-und-revision)
+16 Korrespondenz mit Aufsichtsbehoerde (falls)
+17 Beweismittel: Datenflussdiagramm, AVV, SCC, TOM-Konzept
+
+Versionsverzeichnis
+| Version | Datum | Aenderung | Autor | Freigabe |
+
+Zugriffskonzept
+- Lesend: [Liste der berechtigten Personen]
+- Schreibend: [Verantwortlicher, DSB, dokumentierender Mitarbeiter]
+- Aufsichtsbehoerde: auf Anforderung Vollzugriff
+```
+
+## Aufbewahrungsregeln
+
+- DSFA muss waehrend der gesamten Dauer der Verarbeitungstaetigkeit aufbewahrt werden.
+- Nach Ende der Verarbeitung mindestens fuer den Zeitraum etwaiger Anspruchsverjaehrungen (Art. 82 DSGVO; immaterieller Schaden) — Empfehlung: 5 Jahre nach Ende der Verarbeitung; bei oeffentlichen Stellen oft 10 Jahre.
+- Alte Versionen nicht loeschen, sondern archivieren.
+- Bei Anbieterwechsel: Uebergabe der Akte einschliesslich aller Versionen.
+- Bei steuerlich relevanten Verarbeitungen ggf. § 147 AO 10 Jahre.
+
+## Beweiswertkriterien
+
+- Datierung und Unterschrift jedes Dokuments
+- Versionierung und Aenderungshistorie
+- Klare Autorenschaft (Wer hat dokumentiert, wer hat beschlossen?)
+- DSB-Anhoerung dokumentiert mit Datum
+- Quellenverzeichnis (Aufsichtshinweise, Leitlinien, Rechtsprechung)
+- Verweis auf Verarbeitungsverzeichnis und AVV
+
+## Typische Fehler
+
+- DSFA wird im Mail-Anhang verteilt, aber nicht in einer strukturierten Akte gefuehrt.
+- Versionen werden ueberschrieben — alte Versionen unwiederbringlich verloren.
+- DSB-Stellungnahme nur muendlich — kein Nachweis.
+- Aktenzeichen fehlt — DSFA nicht zuordenbar.
+- Aufbewahrungsfrist nicht definiert — DSFA wird mit Mitarbeiter-Personalakte vernichtet.
+- Zugriffsrechte ungeregelt — DSFA mit personenbezogenen Risikobeschreibungen offen einsehbar.
+- Beweismittel (Datenflussdiagramm) nicht beigefuegt — DSFA bleibt abstrakt.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Vollvorlage
+- `datenschutzrecht/skills/dsfa-update-bei-aenderungen-und-revision/SKILL.md` — Versionierung
+- `datenschutzrecht/skills/verarbeitungsverzeichnis-vvt-generator/SKILL.md` — VV Art. 30 Verlinkung
+- `datenschutzrecht/skills/spezial-dpia-dokumentenmatrix-und-lueckenliste/SKILL.md` — Dokumentenmatrix
+- `datenschutzrecht/skills/spezial-datenschutzrecht-compliance-dokumentation-und-akte/SKILL.md` — Aktenfuehrung allg.
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 5 Abs. 2 DSGVO
+- Art. 24, 30, 35, 58, 82 DSGVO
+- § 147 AO; § 257 HGB (Bezugsfristen)
+- EDSA-Leitlinien WP 248 rev.01
+- BfDI / Landesbehoerden — Hinweise zur Rechenschaftspflicht
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-edpb-leitlinien-9-19-anwendung/SKILL.md

@@ -0,0 +1,125 @@
+---
+name: dsfa-edpb-leitlinien-9-19-anwendung
+description: "Anwendung der EDPB-/EDSA-Leitlinien WP 248 rev.01 zur DSFA: die neun Kriterien fuer voraussichtlich hohes Risiko strukturiert pruefen. Output: Kriterien-Tabelle mit Subsumtion und Schwellwertergebnis."
+---
+
+# Anwendung der EDPB-Leitlinien WP 248 rev.01 zur DSFA
+
+## Zweck
+
+Strukturierte Anwendung der neun Kriterien der EDPB-/EDSA-Leitlinien WP 248 rev.01 zur Bestimmung von voraussichtlich hohem Risiko. Ergebnis ist eine Kriterien-Tabelle mit Subsumtion und einer klaren Schwellwertaussage: 0 Kriterien (DSFA entbehrlich), 1 Kriterium (Empfehlung mit Begruendung), 2 oder mehr Kriterien (DSFA zwingend, soweit keine entgegenstehende Whitelist-Position einschlaegig ist).
+
+## Wann brauchen Sie diesen Skill
+
+- In der Schwellwertanalyse einer DSFA-Trigger-Pruefung, wenn weder Art. 35 Abs. 3 noch Abs. 4 DSGVO greift
+- Wenn die Aufsichtsbehoerde eine Begruendung der DSFA-Entscheidung verlangt
+- Zur Vorpruefung von KI-, Profiling- oder Beschaeftigtendaten-Verarbeitungen
+- Wenn die DSB-Stellungnahme eine EDSA-Konformitaet anfordert
+
+## Rechtlicher Rahmen
+
+- EDPB-/EDSA-Leitlinien WP 248 rev.01 (Artikel-29-Gruppe, von EDSA uebernommen): neun Kriterien fuer voraussichtlich hohes Risiko.
+- Art. 35 Abs. 1 DSGVO Generalklausel — die WP-248-Kriterien konkretisieren den Tatbestand.
+- Art. 35 Abs. 2 DSGVO Anhoerung des DSB.
+- Art. 70 Abs. 1 lit. e DSGVO Aufgabe des EDSA zur Konkretisierung.
+
+## Die neun WP-248-Kriterien
+
+1. Bewertung oder Scoring (einschliesslich Profiling und Prognose)
+2. Automatisierte Entscheidung mit rechtlicher oder aehnlich erheblicher Wirkung (Art. 22 DSGVO)
+3. Systematische Ueberwachung
+4. Sensible Daten oder hoechstpersoenliche Daten (Art. 9, Art. 10 DSGVO; auch Standortdaten, Finanzdaten, Kommunikationsinhalte)
+5. Verarbeitung in grossem Umfang (Anzahl Betroffene, Datenmenge, Dauer, geografische Reichweite)
+6. Abgleich oder Zusammenfuehrung von Datensaetzen aus unterschiedlichen Quellen
+7. Daten ueber schutzbeduerftige Personen (Kinder, Patienten, Beschaeftigte, Asylsuchende, aeltere Menschen)
+8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Loesungen (KI, Biometrie, IoT)
+9. Wenn die Verarbeitung selbst die Betroffenen daran hindert, ein Recht auszuueben oder eine Dienstleistung in Anspruch zu nehmen
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Kurze, faktenfeste Beschreibung der Verarbeitung; ohne diese ist die WP-248-Pruefung Spekulation.
+2. **Verhaeltnismaessigkeitspruefung.** Erste Plausibilitaet: Reicht die Verarbeitung in eines der neun Felder hinein oder nicht?
+3. **Risikoanalyse Kriterien.** Jedes der neun Kriterien einzeln pruefen und mit ja oder nein beantworten, jeweils mit kurzer Begruendung. Wo Grenzfaelle bestehen, das Pro und Contra dokumentieren.
+4. **Massnahmen.** Pruefen ob bereits geplante Massnahmen ein Kriterium so entkraeften, dass es nicht mehr greift (z. B. echte Anonymisierung statt Pseudonymisierung kann das Kriterium besondere Kategorien entfallen lassen).
+5. **Restrisiko / Schwellwert.** Zaehlung der erfuellten Kriterien:
+   - 0 Kriterien — DSFA voraussichtlich entbehrlich
+   - 1 Kriterium — Grenzfall, schriftliche Begruendung der Entscheidung
+   - 2 oder mehr Kriterien — DSFA zwingend
+6. **Konsultation / Genehmigung.** Ergebnis dem DSB vorlegen; Aufsichtsbehoerde wird nur konsultiert, wenn nach DSFA hohes Restrisiko verbleibt (Art. 36 DSGVO).
+
+## Mustertext / Template
+
+```
+WP-248-PRUEFUNG ZUR DSFA-PFLICHT [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME]
+
+Kriterium                                       | Erfuellt | Begruendung
+1 Scoring / Profiling / Prognose                | ja/nein  | [...]
+2 Automatisierte Entscheidung Art. 22 DSGVO     | ja/nein  | [...]
+3 Systematische Ueberwachung                    | ja/nein  | [...]
+4 Sensible Daten Art. 9 / Art. 10 DSGVO         | ja/nein  | [...]
+5 Verarbeitung in grossem Umfang                | ja/nein  | [...]
+6 Abgleich / Zusammenfuehrung                   | ja/nein  | [...]
+7 Schutzbeduerftige Personen                    | ja/nein  | [...]
+8 Neue Technologien                             | ja/nein  | [...]
+9 Verhinderung Rechtsausuebung                  | ja/nein  | [...]
+
+Summe erfuellter Kriterien: [X] von 9
+
+Ergebnis
+[ ] 0 — DSFA voraussichtlich entbehrlich
+[ ] 1 — Grenzfall; schriftliche Entscheidung beigefuegt
+[ ] 2 oder mehr — DSFA zwingend nach Art. 35 Abs. 1 DSGVO i. V. m. WP 248 rev.01
+
+Naechster Schritt: [Vollstaendige DSFA / Dokumentation der Negativentscheidung]
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Indikatoren fuer Kriterium 5 (grosser Umfang)
+
+- Anzahl Betroffener absolut und relativ zur Bevoelkerung der Zielregion.
+- Datenmenge pro Betroffenem (Datensaetze, Bytes, Dokumente).
+- Dauer und Persistenz der Verarbeitung.
+- Geografische Ausdehnung (regional, national, EU-weit, global).
+- Aufbewahrungsdauer.
+- Indikatorenkombinationen statt Einzelschwellen verwenden.
+
+## Hinweise zu Kriterium 8 (neue Technologien)
+
+- KI- und Maschinelles-Lernen-Systeme — regelmaessig einschlaegig.
+- Biometrische Identifikation (Gesicht, Stimme, Fingerabdruck).
+- IoT-Geraete mit personenbezogenen Sensoren.
+- Verhaltensbasierte Verfahren (Tippmuster, Mausbewegung).
+- Auch neue organisatorische Loesungen (z. B. neue Form der Zusammenarbeit mit Auftragsverarbeitern, neue Datenpools).
+
+## Typische Fehler
+
+- Kriterium 5 (grosser Umfang) wird ohne Zahlen behauptet — EDSA verlangt konkrete Indikatoren.
+- Kriterium 4 wird auf Art. 9 reduziert; Standort-, Finanz- und Kommunikationsdaten werden uebersehen.
+- Kriterium 8 wird auf KI beschraenkt — auch neue organisatorische Loesungen koennen einschlaegig sein.
+- Begruendung wird in Floskeln gehalten — Aufsicht erwartet faktenfeste Subsumtion.
+- Die Zahl 2 wird als starre Schwelle verstanden — Art. 35 Abs. 1 DSGVO kennt auch das Einzelkriterium, wenn dessen Intensitaet hoch ist.
+- Negativabgrenzung fehlt — wenn Kriterium nicht erfuellt ist, muss auch das begruendet werden.
+- Mehrfachzaehlung (ein Sachverhalt fuer zwei Kriterien) ohne Begruendung.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-art-35-dsgvo-trigger-und-anwendungsbereich/SKILL.md` — Trigger-Gesamtpruefung
+- `datenschutzrecht/skills/dsfa-bfdi-und-laender-blacklist/SKILL.md` — Listenabgleich
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risikoanalyse-Methodik
+- `datenschutzrecht/skills/dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo/SKILL.md` — KI-DSFA-Schnittstelle
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- EDSA-/EDPB-Leitlinien WP 248 rev.01 — neun Kriterien
+- Art. 35 Abs. 1, 2, 3 DSGVO
+- Art. 70 Abs. 1 lit. e DSGVO
+- EDSA-Stellungnahme 28/2024 zu KI-Modellen — Auslegungshilfe fuer Kriterium 8
+- BfDI- und Landeslisten (live pruefen)
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-erstellung/SKILL.md

@@ -0,0 +1,214 @@
+---
+name: dsfa-erstellung
+description: "Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchführen wenn hohes Risiko für Betroffene vorliegt. Art. 35 36 DSGVO DSFA § 67 BDSG. Prüfraster: Risikobewertung Verarbeitungsbeschreibung Notwendigkeit Verhältnismäßigkeit Massnahmen Restrisiko Vorabkonsultation. Output: DSFA-Dokument Massnahmenkatalog. Abgrenzung: nicht für regulaere Verarbeitungen ohne hohes Risiko."
+---
+
+# DSFA – Datenschutz-Folgenabschätzung Art. 35 DSGVO
+
+## Zweck
+
+Vollständige Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: von der Schwellwertanalyse über die Risikoidentifikation bis zur Maßnahmenplanung und Freigabe. Das Format richtet sich nach dem Hausformat aus der Referenz-DSFA in `CLAUDE.md`; fehlt diese, wird die EDSA-Methodik (Leitlinien 09/2022) genutzt.
+
+## Eingaben
+
+- Beschreibung des Verarbeitungsvorhabens (Zweck, Datenarten, Betroffene, Technologie)
+- Vorabklassifikation aus `anwendungsfall-triage` (falls bereits erfolgt)
+- Praxisprofil aus `CLAUDE.md` (Systemliste, Hausformat, Freigabe-Eskalation)
+- Optional: technische Spezifikation, Dienstleisterbeschreibung, AVV-Entwurf
+
+## Ablauf
+
+1. **Schwellwertanalyse (Muss-DSFA-Prüfung).**
+
+   Art. 35 Abs. 1 DSGVO: DSFA erforderlich bei voraussichtlich hohem Risiko. Mindestens zwei der folgenden Kriterien aus EDSA-Leitlinien 09/2022 treffen zu:
+
+   | Kriterium | Prüfung |
+   |---|---|
+   | Bewertung / Scoring | Ja / Nein |
+   | Automatisierte Entscheidung mit Rechtswirkung (Art. 22 DSGVO) | Ja / Nein |
+   | Systematische Überwachung | Ja / Nein |
+   | Verarbeitung sensibler Daten (Art. 9/10 DSGVO) | Ja / Nein |
+   | Verarbeitung großer Mengen oder im großen Umfang | Ja / Nein |
+   | Abgleich oder Zusammenführung von Datensätzen | Ja / Nein |
+   | Verarbeitung betreffend schutzbedürftige Personen (Kinder, Patienten) | Ja / Nein |
+   | Einsatz neuer Technologien (KI, Biometrie, IoT) | Ja / Nein |
+   | Verarbeitung verhindert Betroffenenrechte oder Dienstnutzung | Ja / Nein |
+
+   Art. 35 Abs. 3 DSGVO: In jedem Fall DSFA bei systematischer umfangreicher Verarbeitung besonderer Kategorien, umfangreicher Überwachung öffentlicher Bereiche, oder wenn auf der BfDI-Blacklist aufgeführt.
+
+2. **BfDI-Blacklist-Abgleich.**
+   Abgleich gegen die Blacklist des BfDI (§ 67 BDSG i.V.m. Art. 35 Abs. 4 DSGVO). `[Modellwissen – aktuellen Stand auf bfdi.bund.de prüfen]`
+   Typische Blacklist-Einträge: Biometrische Erfassungssysteme zur eindeutigen Identifizierung, Videoüberwachung öffentlicher Bereiche im großen Umfang, Scoring-Systeme für Kreditwürdigkeit, Gesundheitsdaten-Plattformen für Forschung.
+
+   BfDI-Whitelist (§ 67 Abs. 2 BDSG): Wenn Verarbeitungsart auf Whitelist, entfällt DSFA-Pflicht. `[Modellwissen – prüfen]`
+
+3. **Beschreibung der Verarbeitungstätigkeit (Art. 35 Abs. 7 lit. a DSGVO).**
+   - Zweck und Art der Verarbeitung
+   - Datenkategorien und betroffene Personengruppen
+   - Empfänger, Übermittlungen (inkl. Drittland)
+   - Aufbewahrungsfristen
+   - Technische Umgebung (Hosting, Sub-AVs)
+   - Eigentümer der Verarbeitung (Fachabteilung, Produkt)
+
+4. **Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7 lit. b DSGVO).**
+   - Ist die Verarbeitung für den Zweck erforderlich (Erforderlichkeit)?
+   - Werden nicht mehr Daten verarbeitet als nötig (Datenminimierung Art. 5 Abs. 1 lit. c DSGVO)?
+   - Ist die Zweckbindung eingehalten (Art. 5 Abs. 1 lit. b DSGVO)?
+   - Ist die Rechtsgrundlage klar (Art. 6, 9 DSGVO)?
+   - Ist die Speicherfrist verhältnismäßig (Art. 5 Abs. 1 lit. e DSGVO)?
+
+5. **Risikoidentifikation und -bewertung (Art. 35 Abs. 7 lit. c DSGVO).**
+   Für jeden identifizierten Risikotyp: Eintrittswahrscheinlichkeit × Schwere des Schadens:
+
+   | Risiko | Kategorie | Eintrittsws. | Schwere | Risikostufe |
+   |---|---|---|---|---|
+   | Unbefugter Zugriff | Vertraulichkeit | [hoch/mittel/gering] | [hoch/mittel/gering] | 🔴/🟠/🟡/🟢 |
+   | Datenverlust | Verfügbarkeit | … | … | … |
+   | Profiling ohne Kenntnis | Transparenz | … | … | … |
+   | Diskriminierung | Schaden Betroffener | … | … | … |
+   | Identitätsdiebstahl | Sicherheit | … | … | … |
+
+   Referenz: EDSA-Leitlinien 09/2022, Abschn. 6; ENISA-Leitfaden DSFA.
+
+6. **Maßnahmen zur Risikominimierung (Art. 35 Abs. 7 lit. d DSGVO).**
+   Für jedes Risiko ≥ 🟡 konkrete Maßnahme:
+   - Technische Maßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle)
+   - Organisatorische Maßnahmen (Schulungen, Vier-Augen-Prinzip, Berechtigungskonzept)
+   - Vertragsmaßnahmen (AVV, SCC)
+   - Restrisiko nach Maßnahmen (bleibt 🔴? → Vorab-Konsultation Art. 36 DSGVO)
+
+7. **Vorab-Konsultation Art. 36 DSGVO.**
+   Wenn nach Maßnahmen ein hohes Restrisiko verbleibt: Pflicht zur Vorab-Konsultation bei der zuständigen Aufsichtsbehörde (Art. 36 Abs. 1 DSGVO). Frist: Aufsichtsbehörde hat 8 Wochen zur Antwort (Art. 36 Abs. 2 DSGVO), verlängerbar um 6 Wochen.
+
+8. **DSB-Beteiligung.**
+   DSB ist bei der DSFA zu beteiligen (Art. 35 Abs. 2 DSGVO). Stellungnahme des DSB einholen und dokumentieren.
+
+9. **Freigabe und Dokumentation.**
+   Freigabeprozess aus `CLAUDE.md`; DSFA im Verarbeitungsverzeichnis vermerken (Art. 30 Abs. 1 DSGVO). DSFA ist bei wesentlicher Änderung der Verarbeitung zu wiederholen (Art. 35 Abs. 11 DSGVO).
+
+## Quellen und Zitierweise
+
+Verbindlich nach `../../references/zitierweise.md`.
+
+- Art. 35 DSGVO (DSFA: Pflicht, Inhalt, Vorab-Konsultation)
+- Art. 36 DSGVO (Vorab-Konsultation Aufsichtsbehörde)
+- Art. 5 Abs. 1 lit. b, c, e DSGVO (Zweckbindung, Datenminimierung, Speicherbegrenzung)
+- § 67 BDSG (Blacklist/Whitelist BfDI)
+- EDSA-Leitlinien 09/2022 zur DSFA und Bestimmung von "voraussichtlich hohem Risiko"
+- Artikel-29-Datenschutzgruppe, WP 248 rev.01 (DSFA-Methodik, heute EDSA-Referenz)
+- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
+- Martini, in: Paal/Pauly, DSGVO/BDSG, 3. Aufl. 2021, Art. 35 Rn. 1 ff.
+- Klabunde, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 35 Rn. 1 ff.
+- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
+
+## Strategische Optionen (vor dem Template entscheiden)
+
+Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist **eine** moegliche Form — nicht die einzige.
+
+| Konstellation | Empfohlener Weg |
+|---|---|
+| Standard — DSFA fuer neue Verarbeitung durchfuehren | Schwellenwertanalyse und vollstaendige DSFA nach Template unten |
+| Variante A — Verarbeitung schon laeuft ohne DSFA | Nachtraegliche DSFA; Massnahmen-Umsetzungsplan erstellen |
+| Variante B — Ergebnis der DSFA negativ (hohes Restrisiko) | Verarbeitung anpassen oder Aufsichtsbehoerde konsultieren |
+| Variante C — DSFA fuer mehrere aehnliche Verarbeitungen | Muster-DSFA-Dokument erstellen; individuell anpassen |
+
+Wenn die Mandantenkonstellation **nicht** ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
+
+## Ausgabeformat
+
+DSFA im Hausformat (aus Referenz-DSFA in `CLAUDE.md`) oder, falls nicht verfügbar, folgendes Standardformat:
+
+1. Deckblatt (Vorhaben, Datum, Verantwortlicher, DSB, Version)
+2. Zusammenfassung (Executive Summary: Risikostufe Gesamt, Ergebnis, Freigabe-Status)
+3. Beschreibung Verarbeitungstätigkeit
+4. Schwellwertanalyse (Tabelle + Begründung)
+5. Notwendigkeit und Verhältnismäßigkeit
+6. Risikoidentifikation und -bewertung (Risikotabelle)
+7. Maßnahmen (Tabelle: Risiko | Maßnahme | Verantwortlich | Frist | Restrisiko)
+8. DSB-Stellungnahme (Platzhalter für Unterschrift)
+9. Freigabe-Dokumentation
+10. Überprüfungsplan (wann wiederholen)
+
+## Beispiel (Schwellwertanalyse)
+
+**Vorhaben:** Einführung eines KI-gestützten Bewerberscreenings mit automatischer Vorauswahl.
+
+**Schwellwertanalyse:**
+- Bewertung/Scoring: **Ja** (Bewerber werden automatisch bewertet und gereiht)
+- Automatisierte Entscheidung mit Rechtswirkung: **Ja** (Vorauswahl entscheidet über Einladung zum Gespräch → erhebliche Beeinträchtigung i.S.d. Art. 22 Abs. 1 DSGVO, sofern keine Menschenentscheidung zwischengeschaltet)
+- Einsatz neuer Technologien (KI): **Ja**
+- Schutzbedürftige Personen: ggf. (Bewerber in angespannter Arbeitsmarktsituation)
+
+**Ergebnis Schwellwert:** Mindestens 3 Kriterien erfüllt → **DSFA erforderlich**. Zusätzlich: § 26 Abs. 1 BDSG (Beschäftigtendaten) und Art. 22 DSGVO (automatisierte Einzelentscheidung) sind eigenständige Schutznormen, die eine DSFA unabhängig von der Schwellwertanalyse nahelegen.
+
+## Risiken / typische Fehler
+
+- **Fehlende DSB-Beteiligung:** Art. 35 Abs. 2 DSGVO schreibt ausdrücklich Beteiligung vor; unterlassene Beteiligung ist ein eigenständiger Verstoß, selbst wenn die DSFA inhaltlich korrekt ist.
+- **DSFA als Einmalvorgang:** Art. 35 Abs. 11 DSGVO – DSFA muss bei wesentlichen Änderungen der Verarbeitungstätigkeit wiederholt werden. Änderungsmanagement im Verfahren verankern.
+- **Vorab-Konsultation übergangen:** Wenn Restrisiko nach Maßnahmen hoch bleibt, ist Art. 36 DSGVO keine Option, sondern Pflicht. Unterlassung ist eigenständiger Bußgeldtatbestand (Art. 83 Abs. 4 lit. a DSGVO).
+- **BfDI-Blacklist-Stand nicht geprüft:** Blacklist kann aktualisiert werden. Immer aktuelle Fassung auf bfdi.bund.de prüfen.
+- **KI-VO-Überschneidung (ab 2026):** Für KI-Systeme mit hohem Risiko nach VO (EU) 2024/1689 (KI-VO) ist eine Konformitätsprüfung nach KI-VO und eine DSFA nach Art. 35 DSGVO durchzuführen. Beide Instrumente ergänzen sich; die KI-VO-Konformitätsbewertung ersetzt die DSFA nicht. `[Modellwissen – Zeitplan KI-VO prüfen]`
+
+## Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei EDSA-Aktualisierungen der Leitlinien 09/2022, neuen BfDI-Blacklist-Einträgen sowie KI-VO-Hochrisiko-Kategorien (VO (EU) 2024/1689, Anhang III).
+
+**Querverweise:**
+- `datenschutzrecht/skills/anwendungsfall-triage/SKILL.md` — Vorgelagerte DSFA-Pflichtprüfung
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — TIA als Bestandteil der DSFA bei Drittlandbezug
+- `datenschutzrecht/skills/datenpanne-meldung/SKILL.md` — Vorab-Konsultation Art. 36 DSGVO nach negativer DSFA
+
+## Aktuelle Rechtsprechung (v14.2)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Faktische Updates (Stand 05/2026)
+
+- **DSFA + FRIA (Art. 27 KI-VO) bei Hochrisiko-KI:** Ab 02.08.2026 muessen Betreiber bestimmter Hochrisiko-KI-Systeme (oeffentliche Stellen, oeffentlich-finanzierte Dienste, Kreditwuerdigkeitsbewertung, Kranken-/Lebensversicherungs-Risikobewertung) eine Grundrechte-Folgenabschaetzung (Fundamental Rights Impact Assessment, FRIA) durchfuehren. DSFA und FRIA koennen integriert werden, sind aber rechtlich eigenstaendig. Quelle: VO (EU) 2024/1689, Art. 27.
+- **EDSA-Stellungnahme 28/2024 zu KI-Modellen:** verbindliche Auslegungshilfe zur DSGVO-Bewertung von KI-Modellen und KI-Diensten, insb. zu personenbezogenen Daten in Modell-Gewichten und Training. Quelle: edpb.europa.eu.
+- **BfDI-/LfDI-Blacklist Art. 35 Abs. 4 DSGVO:** Aktuelle Liste verpflichtender DSFA-Faelle live ueber bfdi.bund.de pruefen; auch Landesdatenschutzbehoerden veroeffentlichen Listen (z.B. LfDI BW, LDA Bayern).
+- **Art. 36 DSGVO Vorab-Konsultation:** Bei Restrisiko nach DSFA Pflicht zur Konsultation der Aufsichtsbehoerde. Frist 8 Wochen, Verlaengerung 6 Wochen moeglich.
+
+## Triage zu Beginn
+
+1. Liegt bereits ein Ergebnis aus `anwendungsfall-triage` vor (DSFA PFLICHT)?
+2. Welche EDSA-Kriterien sind erfüllt? (Mindestens 2 für DSFA-Pflicht)
+3. Ist die Verarbeitung auf der BfDI-Blacklist?
+4. Gibt es ein Hausformat in CLAUDE.md?
+- **Was will der Mandant wirklich erreichen?** (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)
+
+## Output-Template — DSFA-Zusammenfassung
+
+**Adressat:** DSB / Geschäftsführung / Aufsichtsbehörde — Tonfall: sachlich-juristisch
+
+```
+DSFA-Zusammenfassung [DATUM]
+Verarbeitungsvorgang: [BEZEICHNUNG]
+Verantwortlicher: [NAME]
+
+Schwellwertanalyse: DSFA erforderlich: JA / NEIN
+EDSA-Kriterien erfüllt: [X] von 9 ([LISTE])
+BfDI-Blacklist: ja / nein
+
+Rechtsgrundlage: Art. [X] DSGVO [§ BDSG]
+Datenkategorien: [LISTE]
+Betroffene: [GRUPPEN]
+
+Risikobewertung (Vor Massnahmen):
+- Wahrscheinlichkeit: hoch / mittel / gering
+- Schwere: hoch / mittel / gering
+- Gesamtrisiko: HOCH / MITTEL / GERING
+
+Vorgesehene Massnahmen: [LISTE]
+
+Restrisiko (Nach Massnahmen): AKZEPTABEL / NICHT AKZEPTABEL
+
+Entscheidung: Freigabe / Vorab-Konsultation Art. 36 DSGVO erforderlich
+Genehmigende Person: [NAME, FUNKTION]
+Datum: [DATUM]
+```
+
+--- vor Versand klaeren ---
+1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung]
+2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung]
+3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]

datenschutzrecht/skills/dsfa-fuer-internationale-datentransfers/SKILL.md

@@ -0,0 +1,139 @@
+---
+name: dsfa-fuer-internationale-datentransfers
+description: "DSFA bei internationalen Datentransfers nach Kapitel V DSGVO: Integration der Transfer Impact Assessment (TIA) in die DSFA, Pruefung Angemessenheit SCC BCR Ausnahmen Art. 49. Output: erweiterte DSFA-Sektion fuer Drittlandbezug."
+---
+
+# DSFA bei internationalen Datentransfers
+
+## Zweck
+
+Erweiterung einer DSFA um die transferbezogene Pruefung nach Kapitel V DSGVO. Wenn die Verarbeitung einen Drittlandtransfer beinhaltet, ist eine Transfer Impact Assessment (TIA) erforderlich, die in die DSFA integriert oder als deren Bestandteil gefuehrt wird. Ergebnis ist eine erweiterte DSFA-Sektion mit Transferregister, Rechtsgrundlage des Transfers, Risikobewertung des Drittlandes und ergaenzenden Massnahmen.
+
+## Wann brauchen Sie diesen Skill
+
+- Bei Auftragsverarbeiter mit Sitz oder Unterauftrag im Drittland
+- Bei eigener Niederlassung im Drittland
+- Bei US-Cloud-Diensten (auch bei EU-Hosting wegen Zugriffsmoeglichkeit US-Behoerden)
+- Bei Konzernintern-Transfers ueber Landesgrenzen
+- Bei KI-Anbietern mit Training oder Inferenz im Drittland
+- Bei nationalen Sicherheitsgesetzen des Drittlands (z. B. CLOUD Act, FISA 702, China DSL)
+
+## Rechtlicher Rahmen
+
+- Art. 44 DSGVO Grundsatz: jeder Transfer muss eine Rechtsgrundlage in Kapitel V haben.
+- Art. 45 DSGVO Angemessenheitsbeschluss der Kommission.
+- Art. 46 DSGVO geeignete Garantien (SCC, BCR, Verhaltensregeln, Zertifizierungen).
+- Art. 47 DSGVO Binding Corporate Rules.
+- Art. 49 DSGVO Ausnahmen fuer besondere Faelle (Einwilligung, Vertragserfuellung, oeffentliche Interessen).
+- Schrems II — EuGH Urt. v. 16.07.2020, C-311/18 — Transfer-Pruefungspflicht; TIA erforderlich. (Aktenzeichen verifiziert; sonstige Folgeentscheidungen verifizierungspflichtig.)
+- EDSA Leitlinien 04/2022 zu personenbezogenen Datentransfers (Nutzer sollte Aktualitaet prüfen).
+- Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF) 10.07.2023, Implementing Decision (EU) 2023/1795.
+- SCC Implementing Decision (EU) 2021/914 vom 04.06.2021 mit Modulen 1 bis 4.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Welche Daten gehen wohin, an wen, in welcher Form, wie oft, in welchem Umfang?
+2. **Verhaeltnismaessigkeitspruefung.** Ist der Drittlandtransfer fuer den Zweck erforderlich, oder gaebe es EU-Alternativen?
+3. **Risikoanalyse.**
+   - Drittlandrecht: Zugriffsbefugnisse von Behoerden, Rechtsbehelfe Betroffener.
+   - Anbieter-Risiko: Branche, Datentyp, Subunternehmer.
+   - Daten-Risiko: Sensitivitaet, Aggregation, Identifizierbarkeit.
+4. **Massnahmen.**
+   - Rechtsgrundlage: Angemessenheitsbeschluss, SCC mit passendem Modul, BCR, Ausnahme Art. 49.
+   - Ergaenzende Massnahmen nach EDSA Empfehlungen 01/2020 (verifizierungspflichtig): technisch (Verschluesselung, Schluesselhoheit), vertraglich (Information ueber Behoerdenanfragen), organisatorisch (Audit, Schulung).
+5. **Restrisiko.** Pruefung ob die ergaenzenden Massnahmen das Schutzniveau auf das EU-Niveau anheben oder ob das Restrisiko hoch bleibt.
+6. **Konsultation / Genehmigung.** DSB-Anhoerung; bei verbleibendem hohem Restrisiko Art. 36 DSGVO Vorabkonsultation; bei US-Anbietern Pruefung DPF-Zertifizierung.
+
+## Mustertext / Template (Transfer-Sektion einer DSFA)
+
+```
+TRANSFER IMPACT ASSESSMENT [DATUM]
+(Erweiterung der DSFA Sektion 4 / Anlage zur DSFA)
+
+Verantwortlicher: [NAME]
+Empfaenger im Drittland: [Name, Land, Konzernverbund]
+Sub-AVs: [Liste mit Land]
+
+1. Transferbeschreibung
+- Datenkategorien: [...]
+- Datenmenge: [...]
+- Betroffenenkreise: [...]
+- Uebermittlungsweg: [API / SFTP / DB-Replikation]
+- Verschluesselung: [Transport / Ruhe / Ende-zu-Ende]
+- Schluesselhoheit: [EU / Drittland / Hybrid]
+
+2. Rechtsgrundlage des Transfers
+[ ] Angemessenheitsbeschluss Art. 45 DSGVO: [Land, Beschlussdatum]
+[ ] SCC Modul: [1 C-C / 2 C-P / 3 P-P / 4 P-C], Datum [...]
+[ ] BCR: [Genehmigung, Datum]
+[ ] Ausnahme Art. 49 Abs. 1 lit. [a/b/c/...] mit Begruendung
+[ ] DPF-Zertifizierung Empfaenger: ja / nein, Stand [Datum]
+
+3. Drittlandrechtspruefung
+- Zugriffsbefugnisse Behoerden: [CLOUD Act / FISA 702 / Section 702 / China DSL / Russland TK-Gesetz]
+- Rechtsbehelfe Betroffener: [vorhanden / nicht aequivalent]
+- Aufsichtsstruktur: [unabhaengig / nicht unabhaengig]
+- Pruefung Schrems-II-Standard erfuellt: ja / nein
+- Quelle: [EDSA-Laenderbericht, Anbietererklaerung, Stand]
+
+4. Ergaenzende Massnahmen
+- Technisch:
+  [ ] Ende-zu-Ende-Verschluesselung mit EU-Schluesselhoheit
+  [ ] Pseudonymisierung vor Transfer
+  [ ] Tokenisierung
+  [ ] Split-Processing (sensitive Felder in EU)
+- Vertraglich:
+  [ ] Transparenz-Pflicht ueber Behoerdenanfragen
+  [ ] Audit-Recht
+  [ ] Loeschpflicht nach Vertragsende
+- Organisatorisch:
+  [ ] Anbieterschulung Datenschutz
+  [ ] Notfallplan bei Behoerdenzugriff
+
+5. Restrisikobewertung
+[GRUEN / GELB / ORANGE / ROT]
+Begruendung: [...]
+
+6. Entscheidung
+[ ] Transfer zulaessig — Massnahmen umgesetzt
+[ ] Transfer zulaessig mit Auflagen
+[ ] Vorabkonsultation Art. 36 DSGVO erforderlich
+[ ] Transfer nicht zulaessig — Alternative pruefen
+
+7. Ueberwachung
+- Naechste Re-Pruefung: [Datum]
+- Trigger: [Schrems-III-Folgeurteil / DPF-Status-Aenderung / Anbieterwechsel]
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Typische Fehler
+
+- TIA wird separat vom DSFA-Prozess gefuehrt — Schnittstellen gehen verloren.
+- US-Cloud mit EU-Hosting wird als reiner EU-Verarbeitung behandelt — Zugriffsbefugnis US-Behoerden uebersehen.
+- SCC-Modul falsch gewaehlt (C-P statt C-C oder umgekehrt).
+- Ergaenzende Massnahmen werden nur rechtlich, nicht technisch dokumentiert.
+- Ausnahme Art. 49 wird als Daueroption verwendet, obwohl sie nur fuer Einzelfaelle gedacht ist.
+- Re-Pruefung nach Schrems-Folgeurteil unterbleibt.
+- DPF-Zertifizierung des Anbieters wird nicht jaehrlich nachgeprueft.
+
+## Querverweise
+
+- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — Allgemeine Pruefung
+- `datenschutzrecht/skills/standardvertragsklauseln-scc-paket/SKILL.md` — SCC-Pakete
+- `datenschutzrecht/skills/us-transfer-tia-dokumentation/SKILL.md` — US-spezifische TIA
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Integration in DSFA
+- `datenschutzrecht/skills/spezial-transfer-livequellen-und-rechtsprechungscheck/SKILL.md` — Livequellen
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 44 bis 49 DSGVO
+- EuGH Urt. v. 16.07.2020, C-311/18 (Schrems II)
+- Durchfuehrungsbeschluss (EU) 2021/914 vom 04.06.2021 (SCC)
+- Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023 (DPF)
+- EDSA Leitlinien 04/2022 (Aktualitaet pruefen)
+- EDSA Empfehlungen 01/2020 zu ergaenzenden Massnahmen (Aktualitaet pruefen)
+- Rechtsprechung: weitere Entscheidungen nicht aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo/SKILL.md

@@ -0,0 +1,123 @@
+---
+name: dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo
+description: "DSFA fuer KI-Systeme an der Schnittstelle zur KI-Verordnung: Koordination Art. 35 DSGVO mit Art. 26 KI-VO Betreiberpflichten und Art. 27 KI-VO Grundrechte-Folgenabschaetzung. Output: integriertes DSFA-FRIA-Konzept."
+---
+
+# DSFA fuer KI-Systeme an der Schnittstelle zur KI-Verordnung
+
+## Zweck
+
+Koordination einer Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO mit den Anwender- bzw. Betreiberpflichten nach Art. 26 KI-VO und der Grundrechte-Folgenabschaetzung (Fundamental Rights Impact Assessment, FRIA) nach Art. 27 KI-VO. Ergebnis ist ein integriertes Konzept, das DSFA und FRIA koordiniert, ohne sie rechtlich zu verschmelzen.
+
+## Wann brauchen Sie diesen Skill
+
+- Bei Einsatz von Hochrisiko-KI-Systemen nach Anhang III KI-VO (Verordnung EU 2024/1689)
+- Bei generativen KI-Diensten, die personenbezogene Daten verarbeiten
+- Bei Profiling-Systemen mit Rechtswirkung (Art. 22 DSGVO und Anhang III KI-VO)
+- Bei Biometrie, Beschaeftigtenscoring, Kreditscoring, Versicherungsrisikobewertung
+- Vor Vertragsschluss mit KI-Anbietern (Anbieter- versus Betreiberrolle)
+
+## Rechtlicher Rahmen
+
+- Art. 35 DSGVO Pflicht-DSFA bei voraussichtlich hohem Risiko, insbesondere bei neuen Technologien (Art. 35 Abs. 1, Abs. 3 lit. a DSGVO).
+- Art. 22 DSGVO automatisierte Einzelentscheidung.
+- VO (EU) 2024/1689 KI-VO:
+  - Art. 6, Anhang III: Hochrisiko-KI-Kategorien
+  - Art. 26 Betreiberpflichten (englisch: deployers): bestimmungsgemaesse Nutzung, menschliche Aufsicht, Logging, Information Betroffener
+  - Art. 27 Pflicht zur Grundrechte-Folgenabschaetzung (FRIA) fuer bestimmte Betreiber (oeffentliche Stellen, oeffentlich finanzierte Dienste, Kreditwuerdigkeit, Kranken- und Lebensversicherung)
+  - Art. 50 Transparenzpflichten generative KI
+- EDSA-Stellungnahme 28/2024 zu KI-Modellen (Auslegung DSGVO bei KI).
+- EDSA-Leitlinien WP 248 rev.01 zur DSFA.
+- Anwendungsbeginn KI-VO: gestaffelt, Hochrisiko-Pflichten 02.08.2026.
+
+## Abgrenzung Anbieter und Betreiber
+
+- Anbieter (provider) entwickelt oder bringt das KI-System in Verkehr und ist primaer adressiert durch Art. 8 bis Art. 21 KI-VO.
+- Betreiber (deployer) setzt das KI-System ein und ist adressiert durch Art. 26, 27 KI-VO.
+- Die DSGVO-Verantwortlichkeit haengt nicht an dieser Rolle, sondern an der Entscheidung ueber Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DSGVO).
+- Praxisregel: Wer ein KI-System fuer eigene Personalentscheidung, Kundenbewertung oder Behoerdenentscheidung nutzt, ist regelmaessig Betreiber nach KI-VO und Verantwortlicher nach DSGVO.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Welches KI-System, welcher Zweck, welche Datenarten, welche Betroffenenkreise? Anbieter und Betreiber benennen, Anhang-III-Kategorie pruefen.
+2. **Verhaeltnismaessigkeitspruefung.** Notwendigkeit und Verhaeltnismaessigkeit der KI-gestuetzten Verarbeitung; Pruefung ob ein nicht-automatisiertes Verfahren ausreicht. Art. 5 Abs. 1 DSGVO und Erforderlichkeitspruefung.
+3. **Risikoanalyse.** Doppelblick:
+   - DSGVO-Risiken: Profiling, automatisierte Entscheidung, Trainingsdatenleck, Halluzination ueber Personen.
+   - KI-VO-Risiken: Diskriminierung durch Datenbias, fehlende menschliche Aufsicht, fehlende Robustheit.
+4. **Massnahmen.** TOMs nach Art. 32 DSGVO plus KI-VO-Massnahmen: menschliche Aufsicht, Logging, Transparenz, Information Betroffener (Art. 26 Abs. 11 KI-VO).
+5. **Restrisiko.** Doppelte Restrisikobewertung — fuer DSFA (Art. 35 DSGVO) und fuer FRIA (Art. 27 KI-VO), wenn diese Pflicht besteht.
+6. **Konsultation / Genehmigung.** DSB Anhoerung Art. 35 Abs. 2 DSGVO. Bei hohem Restrisiko: Art. 36 DSGVO Vorabkonsultation. Nach KI-VO: nationale Marktueberwachungsbehoerde nach Art. 70 KI-VO ggf. einbinden. Integration in Verarbeitungsverzeichnis und KI-Bestandsverzeichnis.
+
+## Integriertes DSFA-FRIA-Konzept Template
+
+```
+INTEGRIERTES DSFA-FRIA-KONZEPT [DATUM]
+
+KI-System: [BEZEICHNUNG, Version, Anbieter]
+Betreiber (Verantwortlicher): [NAME]
+Anhang-III-Kategorie: [Nummer, Beschreibung]
+
+1. Beschreibung
+- KI-Funktion: [Klassifikation / Regression / Generation / Profiling]
+- Trainingsdaten Herkunft: [Anbieterangabe]
+- Personenbezogene Eingabedaten: [Datenarten, Betroffenenkreise]
+- Personenbezogene Ausgabe: [...]
+
+2. Rechtsgrundlage DSGVO
+- Art. 6 / Art. 9 DSGVO: [...]
+- Art. 22 DSGVO Schutzmechanismus: [Menschenentscheidung / Einwilligung / Vertragserforderlichkeit / Rechtsvorschrift]
+
+3. DSFA nach Art. 35 DSGVO
+- Schwellwert: erfuellt durch [Profiling / neue Technologien / sensible Daten]
+- Risikoanalyse: [Verweis auf Risikomatrix]
+- Massnahmen: [TOMs Art. 32 DSGVO]
+- Restrisiko: [GRUEN / GELB / ORANGE / ROT]
+
+4. KI-VO Betreiberpflichten Art. 26
+- Bestimmungsgemaesse Nutzung: [...]
+- Menschliche Aufsicht Art. 14 KI-VO: [Rollen, Eingriffsmoeglichkeiten]
+- Logging Art. 26 Abs. 6 KI-VO: [Aufbewahrungsdauer, Inhalt]
+- Information Betroffener Art. 26 Abs. 11 KI-VO: [Form, Zeitpunkt]
+- Datenqualitaet bei Inputdaten Art. 26 Abs. 4 KI-VO: [...]
+
+5. FRIA nach Art. 27 KI-VO (falls einschlaegig)
+- Beschreibung Einsatz: [Zweck, Zeitraum, Betroffenenkreise]
+- Auswirkungen Grundrechte: [Wuerde, Gleichheit, Datenschutz, Meinungsaeusserung]
+- Risikomindernde Massnahmen: [...]
+- Beobachtung: [...]
+- Meldung an nationale Marktueberwachungsbehoerde: [Datum, Aktenzeichen]
+
+6. Vorab-Konsultation
+- Art. 36 DSGVO: erforderlich ja / nein
+- KI-VO Konsultation Marktueberwachung: erforderlich ja / nein
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+Unterschrift KI-Beauftragter (falls bestellt): ____________________
+```
+
+## Typische Fehler
+
+- DSFA und FRIA werden vermischt — beide Instrumente sind rechtlich eigenstaendig und muessen getrennt nachweisbar sein.
+- Betreiberpflichten Art. 26 KI-VO werden auf den Anbieter abgeschoben — die Pflicht trifft den Einsetzenden.
+- Logging-Pflicht Art. 26 Abs. 6 KI-VO wird mit DSGVO-Loeschpflichten konfligierend behandelt, ohne Pruefung der Rechtsgrundlage des Loggings.
+- Anhang III KI-VO wird nicht geprueft — Kategorisierung fehlt.
+- KI-Anbieter im Drittland: zusaetzliche Transferpruefung uebersehen (Skill dsfa-fuer-internationale-datentransfers).
+- Generative KI: Art. 50 KI-VO Transparenzpflichten uebersehen.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Vollvorlage
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md` — Vorab-Konsultation
+- `datenschutzrecht/skills/dsfa-fuer-internationale-datentransfers/SKILL.md` — Drittlandtransfer
+- `datenschutzrecht/skills/ki-verordnung-compliance/SKILL.md` — KI-VO Compliance
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35, 36, 22 DSGVO
+- VO (EU) 2024/1689 KI-VO, insbesondere Art. 6, 14, 26, 27, 50, Anhang III
+- EDSA-Stellungnahme 28/2024 zu KI-Modellen
+- EDSA-Leitlinien WP 248 rev.01
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-methodik-cnil-pia-vs-bsfd-bsi/SKILL.md

@@ -0,0 +1,126 @@
+---
+name: dsfa-methodik-cnil-pia-vs-bsfd-bsi
+description: "Vergleich der DSFA-Methoden: CNIL PIA Software (Frankreich) gegenueber dem BSI Standard-Datenschutzmodell (SDM) und dem BSFD-Ansatz. Output: Methodenwahl mit Begruendung, Anwendungshinweisen und Werkzeugauswahl."
+---
+
+# DSFA-Methodik CNIL PIA versus SDM/BSI
+
+## Zweck
+
+Vergleich der drei in Deutschland und Frankreich gaengigen DSFA-Methoden — CNIL PIA Software, Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz und der BSI-Bausteine zum Standard-Datenschutz — und Auswahl der jeweils passenden Methodik fuer die konkrete Mandantenkonstellation. Ergebnis ist eine begruendete Methodenwahl mit Werkzeughinweis.
+
+## Wann brauchen Sie diesen Skill
+
+- Vor der Erstdurchfuehrung einer DSFA, wenn keine Hausmethodik vorgegeben ist
+- Beim Aufbau eines Datenschutzmanagementsystems (DSMS)
+- Wenn die Aufsichtsbehoerde eine methodische Begruendung verlangt
+- Bei grenzueberschreitenden Verarbeitungen (Frankreich-Bezug erleichtert CNIL-PIA)
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 7 DSGVO Mindestinhalte der DSFA — methodenoffen.
+- EDSA-Leitlinien WP 248 rev.01 verweisen auf etablierte Methoden, ohne eine vorzuschreiben.
+- CNIL PIA Methodology (Privacy Impact Assessment): freie Software der franzoesischen Datenschutzbehoerde CNIL, modular, dreiteilig (Knowledge Base, Methodology, Templates).
+- Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz: Schutzziele Vertraulichkeit, Integritaet, Verfuegbarkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung, Datenminimierung; Referenz fuer Aufsichtsverfahren in Deutschland.
+- BSI-Grundschutz mit Datenschutz-Baustein: technische Bausteine mit Bezug zu Schutzbedarfsfeststellung; nicht primaer DSFA-spezifisch, aber kompatibel.
+
+## Methoden im Vergleich
+
+| Merkmal | CNIL PIA | SDM (DSK) | BSI-Grundschutz |
+|---|---|---|---|
+| Rechtsrahmen | DSGVO (FR) | DSGVO (DE) | IT-Sicherheit primaer |
+| Werkzeug | Open-Source-Software | Methodenpapier | Kompendium |
+| Risikomodell | Schadensszenarien | Schutzziele | Schutzbedarf |
+| Strukturtiefe | hoch (sehr granular) | hoch (rechtlich praezise) | mittel (technikfokus) |
+| Aufsichtsakzeptanz DE | gut | sehr gut | gut bei TOM |
+| Aufsichtsakzeptanz FR | sehr gut | -- | -- |
+| Eignung KI-Systeme | gut | sehr gut (Schutzziele) | begrenzt |
+| Eignung TOM Art. 32 | mittel | gut | sehr gut |
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Was wird verarbeitet, wer ist Verantwortlicher, in welcher Jurisdiktion?
+2. **Verhaeltnismaessigkeitspruefung.** Welche Methodik passt zur Verarbeitung? Standortbezug DE: SDM bevorzugt; FR-Bezug: CNIL PIA; reine TOM-Fragen: BSI-Bausteine ergaenzend.
+3. **Risikoanalyse.** Methodisches Risikomodell waehlen: Schadensszenarien (CNIL), Schutzziele (SDM) oder Schutzbedarf (BSI).
+4. **Massnahmen.** Methode steuert die Massnahmenstruktur: CNIL fragt pro Szenario, SDM pro Schutzziel, BSI pro Baustein.
+5. **Restrisiko.** Methodenwahl beeinflusst Bewertungsmassstab; bei Hybridansatz beide Skalen dokumentieren.
+6. **Konsultation / Genehmigung.** DSB-Anhoerung; Methodenwahl in der DSFA explizit begruenden.
+
+## Mustertext / Template (Methodenwahl-Memo)
+
+```
+METHODENWAHL DSFA [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME] | Sitzland: [DE/FR/...]
+
+1. Methodenkandidaten
+- CNIL PIA Software (Version [X], Sprache [DE/EN/FR])
+- Standard-Datenschutzmodell SDM (Version V3.0)
+- BSI-Grundschutz Datenschutz-Baustein
+
+2. Bewertung
+- Aufsichtsakzeptanz: [Begruendung]
+- Werkzeugverfuegbarkeit: [Lizenz, Sprache, Schulung]
+- Eignung Risikotyp: [...]
+- Eignung TOM: [...]
+
+3. Methodenwahl
+[ ] CNIL PIA (Software-gestuetzt, modular, Schadensszenarien)
+[ ] SDM (Schutzziele, DE-Aufsicht, KI-tauglich)
+[ ] BSI ergaenzend fuer TOM Art. 32
+[ ] Hybrid: SDM-Hauptmethodik plus BSI fuer TOM
+
+4. Begruendung
+[Warum diese Methode fuer diese Verarbeitung]
+
+5. Werkzeug
+- CNIL: cnil.fr/de/das-pia-tool-software-die-die-durchfuehrung-von-datenschutz
+- SDM: datenschutzkonferenz-online.de/standard-datenschutzmodell.html
+- BSI: bsi.bund.de/grundschutz
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Werkzeug-Hinweise zur Auswahl
+
+- CNIL PIA Software: kostenfrei, Open Source, mehrsprachig (DE-Lokalisierung verfuegbar), Export PDF und XML.
+- SDM V3.0: Methodenbeschreibung der DSK, frei verfuegbar, keine Software, sondern Pruefkatalog.
+- BSI-Grundschutz: Kompendium mit Bausteinen, GSTOOL bzw. verinice als Werkzeug.
+- Hybridansatz Empfehlung: SDM als methodische Klammer, CNIL PIA Software fuer strukturierte Risikoszenarien, BSI fuer TOM nach Art. 32 DSGVO.
+
+## Anwendungsfaelle
+
+- KI-System mit Profiling: SDM bevorzugt, weil Schutzziele die KI-typischen Risiken (Transparenz, Nicht-Verkettung) sauber adressieren.
+- Cloud-Migration mit US-Anbieter: CNIL PIA Software fuer Risikoszenarien plus BSI-Bausteine fuer technische Schutzmassnahmen.
+- Beschaeftigtenverarbeitung mit Mitbestimmung: SDM mit ergaenzendem Stakeholder-Modul.
+- Forschungsverarbeitung mit besonderen Kategorien: SDM und CNIL PIA kombinieren; Beweislast-Aspekt nach Art. 5 Abs. 2 DSGVO mitfuehren.
+
+## Typische Fehler
+
+- Methode wird nicht explizit gewaehlt — Aufsicht verlangt Begruendung.
+- CNIL PIA wird wegen schoener Software gewaehlt, ohne dass die Schutzziele DE adressiert werden.
+- BSI-Grundschutz wird als DSFA-Ersatz behandelt — er ist primaer Sicherheitsmethodik.
+- Hybridansatz wird gewaehlt, ohne die Schnittstellen zu definieren — Doppelarbeit oder Luecken.
+- Sprache der Methodenartefakte passt nicht zur Aufsicht (CNIL-Output franzoesisch bei deutscher Aufsicht).
+- Methodenwahl wird im Projektverlauf gewechselt — kein Quervergleich der Risikobewertung mehr moeglich.
+- Aufsichtshinweise zur Methodenfreiheit werden als Beliebigkeit verstanden — die Methode muss zur Verarbeitung passen.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Vollvorlage DE
+- `datenschutzrecht/skills/dpia-en-template-full-version/SKILL.md` — Englische Vollvorlage
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risikoanalyse
+- `datenschutzrecht/skills/dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo/SKILL.md` — KI-DSFA
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 7 DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- CNIL: cnil.fr — PIA Software, Knowledge Base, Methodology, Templates
+- DSK Datenschutzkonferenz: datenschutzkonferenz-online.de — SDM V3.0
+- BSI: bsi.bund.de — Grundschutz-Kompendium, Baustein zum Datenschutz
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md

@@ -0,0 +1,117 @@
+---
+name: dsfa-restrisiko-und-art-36-konsultation
+description: "Restrisiko nach Massnahmen bewerten und Vorab-Konsultation Art. 36 DSGVO vorbereiten. Output: Konsultationsantrag mit Verarbeitungsbeschreibung Massnahmen Restrisiko Begruendung warum die Konsultation erforderlich ist."
+---
+
+# Restrisiko und Vorab-Konsultation nach Art. 36 DSGVO
+
+## Zweck
+
+Bewertung des Restrisikos nach Umsetzung der DSFA-Massnahmen und, falls erforderlich, Vorbereitung der Vorab-Konsultation bei der zustaendigen Aufsichtsbehoerde nach Art. 36 DSGVO. Ergebnis ist ein vollstaendiger Konsultationsantrag mit Verarbeitungsbeschreibung, Massnahmen, Restrisiko und Begruendung der Konsultationsnotwendigkeit.
+
+## Wann brauchen Sie diesen Skill
+
+- Wenn die DSFA-Risikoanalyse nach Massnahmen ein hohes Restrisiko ergibt
+- Wenn die Aufsichtsbehoerde von sich aus eine Konsultation anregt
+- Bei besonders sensiblen Verarbeitungen, bei denen die Konsultation reputationsklug erscheint
+- Vor Einfuehrung neuer Hochrisiko-Technologien (KI nach Anhang III KI-VO, Biometrie)
+
+## Rechtlicher Rahmen
+
+- Art. 36 Abs. 1 DSGVO: Konsultationspflicht bei voraussichtlich hohem Risiko trotz Massnahmen.
+- Art. 36 Abs. 2 DSGVO: Aufsichtsbehoerde hat 8 Wochen zur schriftlichen Empfehlung, verlaengerbar um 6 Wochen bei komplexen Faellen.
+- Art. 36 Abs. 3 DSGVO: erforderlicher Inhalt des Konsultationsersuchens (Verantwortliche, Aufgabenteilung, Zwecke, Massnahmen, Kontaktdaten DSB, DSFA, sonstige Informationen).
+- Art. 36 Abs. 4 DSGVO: Konsultation bei gesetzgeberischen Massnahmen.
+- Art. 36 Abs. 5 DSGVO: nationale Sonderregeln zur Voraberlaubnis oder Vorabkonsultation.
+- Art. 58 Abs. 3 lit. a DSGVO: Aufsichtsbehoerden duerfen Empfehlungen aussprechen oder Verarbeitung untersagen.
+- Art. 83 Abs. 4 lit. a DSGVO: Bussgeldtatbestand bei Verstoss gegen Art. 36.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Vollstaendige Beschreibung aus der DSFA uebernehmen — Zweck, Datenarten, Betroffene, Empfaenger, Technologie, Drittlandbezug.
+2. **Verhaeltnismaessigkeitspruefung.** Wurde die Verhaeltnismaessigkeitspruefung der DSFA mit nachvollziehbarem Ergebnis abgeschlossen? Wenn nein, zurueck zur DSFA.
+3. **Risikoanalyse.** Risikomatrix vor und nach Massnahmen; Identifizierung der Szenarien, die im hohen Bereich verbleiben.
+4. **Massnahmen.** Sind alle technisch und organisatorisch zumutbaren Massnahmen ergriffen? Pruefung Art. 32 DSGVO, Stand der Technik, Implementierungskosten gegen Risikoreduktion.
+5. **Restrisiko.** Wenn hoch verbleibend: Art. 36 Konsultation Pflicht. Begruendung warum das Restrisiko nicht weiter reduzierbar ist (Wirtschaftlichkeit, technische Grenzen, gesetzlicher Zweck).
+6. **Konsultation / Genehmigung.** Konsultationsantrag an die zustaendige Aufsichtsbehoerde mit den Inhalten nach Art. 36 Abs. 3 DSGVO. Frist 8 Wochen; Verarbeitung darf bis zur Antwort nicht aufgenommen werden.
+
+## Mustertext / Template (Konsultationsantrag)
+
+```
+VORAB-KONSULTATION NACH ART. 36 DSGVO
+[DATUM, AKTENZEICHEN intern]
+
+An: [Zustaendige Aufsichtsbehoerde, Anschrift]
+
+Antragsteller (Verantwortlicher)
+- Name / Firma: [...]
+- Sitz: [...]
+- Kontaktdaten: [...]
+- DSB: [Name, E-Mail]
+
+Falls gemeinsam Verantwortliche oder Auftragsverarbeiter beteiligt
+- Rollen und Aufgabenteilung nach Art. 26 / Art. 28 DSGVO: [...]
+
+1. Beschreibung der Verarbeitung
+[Zweck, Datenarten, Betroffene, Technologie, Aufbewahrung, Drittlandbezug]
+
+2. Rechtsgrundlage
+[Art. 6 / Art. 9 DSGVO, ggf. § ... BDSG / Spezialgesetz]
+
+3. DSFA Zusammenfassung
+[Schwellwertanalyse, Risikobewertung, Massnahmen, Restrisiko]
+
+4. Restrisiko
+[Welche Szenarien bleiben im hohen Bereich? Warum nicht weiter reduzierbar?]
+
+5. Geplante Massnahmen
+[Technisch, organisatorisch, vertraglich]
+
+6. Begruendung der Konsultation
+[Warum nach Massnahmen weiterhin voraussichtlich hohes Risiko nach Art. 36 Abs. 1 DSGVO]
+
+7. Anlagen
+- DSFA in vollstaendiger Fassung
+- AVV-Entwurf
+- Datenflussdiagramm
+- DSB-Stellungnahme
+- TOM-Konzept
+
+Mit freundlichen Gruessen
+[Unterschrift Verantwortlicher]
+[Unterschrift DSB]
+```
+
+## Hinweise zur Frist
+
+- 8 Wochen Antwortfrist Art. 36 Abs. 2 DSGVO ab vollstaendigem Eingang.
+- Verlaengerung um 6 Wochen moeglich, schriftlich mitzuteilen.
+- Verarbeitungsbeginn vor Antwort: Pflichtverletzung, kann Anordnung und Bussgeld ausloesen (Art. 58, Art. 83 DSGVO).
+- Wenn Aufsichtsbehoerde untersagt: aufschiebende Wirkung beachten; Rechtsbehelfe nach VwGO bzw. § 20 BDSG.
+
+## Typische Fehler
+
+- Restrisiko wird kuenstlich kleingerechnet, um Art. 36 zu vermeiden — bei spaeterem Vorfall verdoppelter Vorwurf (Materialfehler plus Verfahrensfehler).
+- Antrag enthaelt keine Aufgabenteilung gemeinsam Verantwortlicher.
+- DSFA wird nicht beigefuegt — Antrag wird zurueckgewiesen.
+- Verarbeitung wird vor Antwort der Aufsicht aufgenommen.
+- Frist 8 Wochen wird nicht im Projektplan beruecksichtigt.
+- Anlagen fehlen — Aufsichtsbehoerde fordert nach und Frist beginnt erst dann.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Vollvorlage
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Restrisiko-Berechnung
+- `datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md` — Dokumentation
+- `datenschutzrecht/skills/dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo/SKILL.md` — KI-DSFA und Konsultation
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 36 Abs. 1, 2, 3, 4, 5 DSGVO
+- Art. 35 Abs. 11 DSGVO
+- Art. 58, 83 DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- BfDI / Landesbehoerden — Verfahrenshinweise zur Vorabkonsultation
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md

@@ -0,0 +1,116 @@
+---
+name: dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden
+description: "Risikoanalyse im Rahmen der DSFA: Eintrittswahrscheinlichkeit mal Schadenschwere fuer Bedrohungsszenarien systematisch ermitteln. Output: Risikomatrix mit Begruendung Ampelfarbe und Begruendung der Stufung."
+---
+
+# Risikoanalyse Eintrittswahrscheinlichkeit mal Schadenschwere
+
+## Zweck
+
+Strukturierte Risikoanalyse im Rahmen einer DSFA nach Art. 35 Abs. 7 lit. c DSGVO. Pro Bedrohungsszenario wird die Eintrittswahrscheinlichkeit mit der Schadenschwere fuer die Betroffenen zu einer Risikostufe verknuepft. Ergebnis ist eine vollstaendige Risikomatrix in Ampelfarben mit jeweils nachvollziehbarer Begruendung.
+
+## Wann brauchen Sie diesen Skill
+
+- In jeder vollstaendigen DSFA
+- Bei Aktualisierung einer DSFA nach wesentlicher Aenderung
+- Bei DSB-Stellungnahme, wenn die Risikobewertung pauschal blieb
+- Bei Aufsichtsanstoss, wenn die Risikomethodik gegruendet werden muss
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 7 lit. c DSGVO: Bewertung der Risiken fuer die Rechte und Freiheiten der Betroffenen.
+- EDSA-Leitlinien WP 248 rev.01 mit Risiko-Skalen.
+- ENISA-Leitfaden zur DSFA — Methodik fuer Eintrittswahrscheinlichkeit und Schadenschwere.
+- Erwaegungsgrund 75 DSGVO: Beispiele fuer materielle und immaterielle Schaeden (Diskriminierung, Identitaetsdiebstahl, finanzieller Verlust, Rufschaedigung, Verlust der Vertraulichkeit besonders geschuetzter Daten).
+- Erwaegungsgrund 76 DSGVO: Risiko ist anhand einer objektiven Bewertung zu beurteilen.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Datenfluss, Datenarten, Empfaenger, Aufbewahrung, Technologie — als Grundlage fuer die Bedrohungsanalyse.
+2. **Verhaeltnismaessigkeitspruefung.** Welche Schutzziele sind beruehrt (Vertraulichkeit, Integritaet, Verfuegbarkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung, Datenminimierung)?
+3. **Risikoanalyse.** Pro Schutzziel Bedrohungsszenarien definieren:
+   - Vertraulichkeit: unbefugter Zugriff, Datenleck, Insider-Zugriff
+   - Integritaet: unbemerkte Aenderung, Manipulation
+   - Verfuegbarkeit: Ausfall, Loeschung, Ransomware
+   - Transparenz: verdeckte Verarbeitung, fehlende Information
+   - Intervenierbarkeit: Loeschungs- oder Berichtigungssperre
+   - Nicht-Verkettung: ungewollte Zusammenfuehrung
+   - Datenminimierung: ueber Zweck hinausreichende Speicherung
+   Pro Szenario: Eintrittswahrscheinlichkeit (gering/mittel/hoch) und Schadenschwere fuer Betroffene (gering/mittel/hoch). Verknuepfung zur Risikostufe nach Matrix.
+4. **Massnahmen.** Wirkung der geplanten Massnahmen auf Wahrscheinlichkeit und Schwere; Pruefung ob die Risikostufe sinkt.
+5. **Restrisiko.** Risikostufe nach Massnahmen, dokumentiert pro Szenario. Wenn hoch verbleibend, Vorab-Konsultation nach Art. 36.
+6. **Konsultation / Genehmigung.** DSB-Stellungnahme; Risikomatrix in die DSFA als zentrales Steuerungsdokument einbetten.
+
+## Bewertungsmatrix (3x3)
+
+```
+                  Schadenschwere
+                  gering    mittel    hoch
+Wahrscheinlichkeit
+  hoch            GELB      ORANGE    ROT
+  mittel          GRUEN     GELB      ORANGE
+  gering          GRUEN     GRUEN     GELB
+```
+
+- GRUEN — Risiko niedrig, dokumentieren
+- GELB — Risiko mittel, Massnahmen pruefen
+- ORANGE — Risiko hoch, Massnahmen verbindlich, ggf. Vorab-Konsultation
+- ROT — Risiko sehr hoch, ohne Massnahmen-Anpassung keine Freigabe
+
+## Mustertext / Template
+
+```
+RISIKOMATRIX DSFA [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME]
+Methode: 3x3 Eintrittswahrscheinlichkeit x Schadenschwere
+
+Szenario                          | W | S | Risiko vor | Massnahme | W' | S' | Risiko nach
+1 Unbefugter Zugriff              | h | h | ROT        | [...]     | g  | h  | GELB
+2 Unbemerkte Datenmanipulation    | m | h | ORANGE     | [...]     | g  | m  | GRUEN
+3 Datenverlust durch Ausfall      | m | m | GELB       | [...]     | g  | m  | GRUEN
+4 Verdeckte Profilbildung         | h | h | ROT        | [...]     | m  | h  | ORANGE
+5 Loeschungssperre                | g | m | GRUEN      | [...]     | g  | m  | GRUEN
+6 Ungewollte Zusammenfuehrung     | m | h | ORANGE     | [...]     | g  | m  | GRUEN
+7 Ueberspeicherung                | h | g | GELB       | [...]     | g  | g  | GRUEN
+
+Begruendung Wahrscheinlichkeit: [Bedrohungsmodell, Erfahrungswerte, Statistik]
+Begruendung Schadenschwere: [Erwaegungsgrund 75 DSGVO, Schutzbeduerftigkeit]
+
+Gesamtrisiko vor Massnahmen: [HOCH]
+Gesamtrisiko nach Massnahmen: [MITTEL]
+
+Restrisiko hoch verbleibend: ja / nein
+Bei ja: Vorab-Konsultation Art. 36 DSGVO erforderlich.
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Typische Fehler
+
+- Wahrscheinlichkeit ohne Bedrohungsmodell geschaetzt — Bauchwerte sind nicht aufsichtstauglich.
+- Schadenschwere nur aus Sicht der Organisation bewertet — Massstab ist der Betroffene (Erwaegungsgrund 75).
+- Massnahmenwirkung nicht beziffert — die Spalte nach Massnahmen bleibt leer.
+- Restrisiko hoch wird hingenommen ohne Art. 36 zu konsultieren — eigenstaendige Pflichtverletzung.
+- Risikomatrix wird nicht aktualisiert — DSFA als Einmaldokument.
+- Schutzziele werden auf Vertraulichkeit reduziert — Transparenz und Intervenierbarkeit werden vergessen.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Aufnahme in Vollvorlage
+- `datenschutzrecht/skills/dsfa-edpb-leitlinien-9-19-anwendung/SKILL.md` — EDSA-Kriterien fuer Schwellwert
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md` — Restrisiko und Art. 36
+- `datenschutzrecht/skills/dsfa-methodik-cnil-pia-vs-bsfd-bsi/SKILL.md` — Methodenwahl
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 7 lit. c DSGVO
+- Erwaegungsgrund 75, 76 DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- ENISA — DSFA-Leitfaden
+- SDM V3.0 — Schutzziele
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-stakeholder-konsultation-art-35-9/SKILL.md

@@ -0,0 +1,124 @@
+---
+name: dsfa-stakeholder-konsultation-art-35-9
+description: "Konsultation der Betroffenen oder ihrer Vertreter nach Art. 35 Abs. 9 DSGVO im Rahmen einer DSFA: Pruefung Erforderlichkeit Form Reichweite Dokumentation. Output: Konsultationsplan mit Begruendung Form und Dokumentation."
+---
+
+# Stakeholder-Konsultation nach Art. 35 Abs. 9 DSGVO
+
+## Zweck
+
+Pruefung und Strukturierung der Konsultation Betroffener oder ihrer Vertreter im Rahmen einer DSFA. Art. 35 Abs. 9 DSGVO sieht vor, dass der Verantwortliche, soweit angemessen, den Standpunkt Betroffener oder ihrer Vertreter einholt. Ergebnis dieses Skills ist ein dokumentierter Konsultationsplan mit Begruendung, Form, Reichweite und Verwertung des Ergebnisses.
+
+## Wann brauchen Sie diesen Skill
+
+- Bei DSFA mit Beschaeftigtendaten (Betriebsrat als Vertretung)
+- Bei DSFA mit Patientendaten oder Kundendaten in grossem Umfang
+- Bei oeffentlichen Konsultationen (z. B. Smart-City-Projekte)
+- Wenn die Aufsichtsbehoerde im Vorabkonsultationsverfahren Art. 36 Stakeholder-Beteiligung erwartet
+- Bei KI-Systemen, die viele Betroffene treffen
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 9 DSGVO: Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein, unbeschadet des Schutzes gewerblicher oder oeffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgaenge.
+- § 26 BDSG, BetrVG (§§ 87, 90, 94): Beteiligung des Betriebsrats bei Beschaeftigtendatenverarbeitungen mit Mitbestimmungsbezug.
+- EDSA-Leitlinien WP 248 rev.01 zur Konsultation.
+- EDSA-Stellungnahmen zur Konsultation in komplexen Verarbeitungen.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Welche Verarbeitung? Welche Betroffenenkreise? Gibt es etablierte Vertretungen (Betriebsrat, Patientenvertretung, Verbraucherverbaende)?
+2. **Verhaeltnismaessigkeitspruefung.** Ist eine Konsultation angemessen (Art. 35 Abs. 9 verlangt nur soweit angemessen)? Faktoren: Eingriffstiefe, Anzahl Betroffener, Erkennbarkeit der Verarbeitung, Existenz strukturierter Vertretung.
+3. **Risikoanalyse.** Risiken bei Konsultation: Geheimhaltungsinteressen, Wettbewerb, Sicherheitsrisiken. Risiken ohne Konsultation: Reputationsverlust, Aufsichtsanstoss, Akzeptanzproblem.
+4. **Massnahmen / Form der Konsultation.**
+   - Schriftliche Konsultation des Betriebsrats mit Beschreibung der Verarbeitung
+   - Umfrage unter Betroffenenstichprobe
+   - Workshop oder Diskussionsrunde
+   - Oeffentliche Anhoerung (oeffentliche Stellen)
+   - Verbaendekonsultation (Verbraucherzentralen, Datenschutzvereine)
+5. **Restrisiko.** Bewertung des Konsultationsergebnisses und Eingang in die DSFA. Wenn Konsultation unterbleibt: Begruendung dokumentieren (Art. 35 Abs. 9 Halbsatz 2 — Schutzinteressen).
+6. **Konsultation / Genehmigung.** DSB einbinden; Ergebnis der Stakeholder-Konsultation explizit in der DSFA verarbeiten.
+
+## Mustertext / Template
+
+```
+STAKEHOLDER-KONSULTATION DSFA [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Verantwortlicher: [NAME]
+
+1. Betroffenenkreise
+- [Beschaeftigte / Kunden / Patienten / Buerger / ...]
+- Anzahl (ca.): [X]
+
+2. Identifizierte Vertretungen
+- Betriebsrat: [Ansprechpartner, BetrVG-Bezug]
+- Verbraucherverband: [...]
+- Sonstige: [...]
+
+3. Angemessenheit der Konsultation
+[ ] erforderlich (Begruendung: [...])
+[ ] entbehrlich (Begruendung Art. 35 Abs. 9 Halbsatz 2: [...])
+
+4. Form der Konsultation
+[ ] schriftliche Stellungnahme Betriebsrat (BetrVG §§ 87, 90, 94)
+[ ] strukturierte Umfrage (Stichprobe N=[X])
+[ ] Workshop / Diskussionsrunde
+[ ] oeffentliche Anhoerung
+[ ] Verbaendebeteiligung
+
+5. Zeitplan
+- Versand / Einladung: [DATUM]
+- Rueckmeldefrist: [DATUM]
+- Auswertung: [DATUM]
+- Aufnahme in DSFA: [DATUM]
+
+6. Verwertung
+[Wie wird das Ergebnis in der DSFA verarbeitet? Welche Punkte fuehren zu Massnahmen-Anpassungen?]
+
+7. Schutzinteressen
+[Welche Informationen sind aus Gruenden Wettbewerb / Sicherheit / Geheimhaltung nicht offengelegt? Begruendung.]
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+```
+
+## Beispielfaelle Konsultationspflicht
+
+- KI-Personalauswahl im Konzern: schriftliche Stellungnahme Betriebsrat plus Mitarbeiterumfrage.
+- Patientenakten-Migration in Cloud: Patientenvertretung anhoeren, Patienteninformation vorbereiten.
+- Smart-City-Sensorik: oeffentliche Anhoerung, Verbaendebeteiligung Datenschutzverein.
+- Connected-Vehicle-Telematik: Verbraucherverbaende anhoeren, ggf. Nutzerstichprobe.
+- Schueler-Lernplattform: Eltern- und Schuelervertretung anhoeren, Landesdatenschutz informieren.
+
+## Form der Dokumentation
+
+- Verteilte Fragenliste mit Datum, Empfaengerkreis, Rueckmeldefrist.
+- Eingaenge protokolliert mit Datum und Eingangsnummer.
+- Auswertung mit Begruendung welche Hinweise wie in die DSFA eingeflossen sind.
+- Nicht aufgenommene Hinweise mit Begruendung der Nicht-Beruecksichtigung.
+- Anonymisierung der Stellungnahmen wenn personenbezogen.
+
+## Typische Fehler
+
+- Konsultation wird ganz unterlassen ohne dokumentierte Begruendung — Verstoss gegen Art. 35 Abs. 9 und Art. 5 Abs. 2 DSGVO.
+- Konsultation wird nur formal durchgefuehrt, Ergebnis nicht in die DSFA aufgenommen.
+- Betriebsrat wird umgangen, obwohl Mitbestimmung nach BetrVG ausgeloest ist.
+- Konsultation wird nach DSFA-Abschluss durchgefuehrt — verfehlt den Zweck der Risikoabwaegung.
+- Schutzinteressen werden pauschal behauptet ohne konkrete Begruendung.
+- Bei oeffentlichen Stellen werden Beteiligungsrechte nach Landesrecht uebersehen.
+- Eingaenge der Stakeholder werden nicht im Verarbeitungsverzeichnis Art. 30 verlinkt.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Aufnahme in Vollvorlage
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risikoanalyse
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md` — Aufsichtskonsultation
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 9 DSGVO
+- § 26 BDSG; §§ 87, 90, 94 BetrVG
+- EDSA-Leitlinien WP 248 rev.01
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md

@@ -0,0 +1,202 @@
+---
+name: dsfa-template-deutsch-vollvorlage
+description: "Deutsche DSFA-Vollvorlage nach Art. 35 Abs. 7 DSGVO mit ausgefuellten Platzhaltern fuer alle sechs Pflichtsektionen Beschreibung Verhaeltnismaessigkeit Risiken Massnahmen Restrisiko Freigabe. Output: vollstaendige DSFA-Vorlage zum Befuellen."
+---
+
+# DSFA-Vollvorlage Deutsch
+
+## Zweck
+
+Vollstaendige deutsche Vorlage einer Datenschutz-Folgenabschaetzung nach Art. 35 Abs. 7 DSGVO. Alle sechs Pflichtsektionen sind enthalten und mit Platzhaltern vorausgefuellt, so dass eine Kanzlei oder ein Unternehmen die DSFA direkt befuellen und der Aufsicht oder dem DSB vorlegen kann. Die Vorlage folgt der methodischen Struktur Beschreibung, Verhaeltnismaessigkeit, Risiken, Massnahmen, Restrisiko, Freigabe.
+
+## Wann brauchen Sie diesen Skill
+
+- Wenn die Trigger-Pruefung ergeben hat, dass eine DSFA durchzufuehren ist
+- Wenn ein Hausformat fehlt und ein kanzleitaugliches Standardformat benoetigt wird
+- Wenn die Aufsichtsbehoerde eine schriftliche DSFA anfordert
+- Vor Vorabkonsultation nach Art. 36 DSGVO
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 7 DSGVO Mindestinhalte:
+  - lit. a systematische Beschreibung der Verarbeitungsvorgaenge und Zwecke
+  - lit. b Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
+  - lit. c Bewertung der Risiken fuer die Rechte und Freiheiten der Betroffenen
+  - lit. d Abhilfemassnahmen mit Garantien und Sicherheitsvorkehrungen
+- Art. 35 Abs. 2 DSGVO DSB-Anhoerung.
+- Art. 35 Abs. 9 DSGVO Stakeholder-Konsultation soweit angemessen.
+- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.
+- EDSA-Leitlinien WP 248 rev.01.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Sektion 1 der Vorlage befuellen.
+2. **Verhaeltnismaessigkeitspruefung.** Sektion 2.
+3. **Risikoanalyse.** Sektion 3 mit Risikomatrix.
+4. **Massnahmen.** Sektion 4.
+5. **Restrisiko.** Sektion 5.
+6. **Konsultation / Genehmigung.** Sektion 6 mit Unterschriften.
+
+## Mustertext / Vollvorlage Deutsch
+
+```
+DATENSCHUTZ-FOLGENABSCHAETZUNG (DSFA)
+nach Art. 35 DSGVO
+
+Aktenzeichen intern: [...]
+Version: [1.0] | Datum: [TT.MM.JJJJ]
+Verantwortlicher: [Firma, Anschrift, Vertretung]
+DSB: [Name, E-Mail, Telefon]
+Federfuehrend (Fachabteilung): [...]
+Klassifikation: [vertraulich / intern]
+
+DECKBLATT
+Verarbeitungsvorgang: [Bezeichnung]
+Rechtsgrundlage: [Art. 6 / Art. 9 DSGVO, ggf. § BDSG / Spezialgesetz]
+Zustaendige Aufsichtsbehoerde: [BfDI / LfDI ...]
+Stand der Versionen: [Aenderungshistorie]
+
+EXECUTIVE SUMMARY (1 Seite)
+Zweck: [...]
+Datenarten: [...]
+Betroffene: [...]
+Gesamtrisiko vor Massnahmen: [HOCH / MITTEL / GERING]
+Gesamtrisiko nach Massnahmen: [HOCH / MITTEL / GERING]
+Freigabeempfehlung: [Ja / Vorab-Konsultation Art. 36 / Nein]
+
+1. BESCHREIBUNG DER VERARBEITUNGSTAETIGKEIT
+   (Art. 35 Abs. 7 lit. a DSGVO)
+1.1 Zweck und Art der Verarbeitung
+[...]
+1.2 Datenkategorien
+- Stammdaten: [...]
+- Inhaltsdaten: [...]
+- Nutzungsdaten: [...]
+- Besondere Kategorien Art. 9: [...]
+- Strafrechtliche Daten Art. 10: [...]
+1.3 Betroffene Personengruppen
+[Kunden / Beschaeftigte / Patienten / Buerger]
+1.4 Empfaenger und Uebermittlungen
+- Interne Stellen: [...]
+- Externe Auftragsverarbeiter: [...]
+- Drittland: [Land, Garantien]
+1.5 Aufbewahrungsfristen
+[Frist, Loeschkonzept]
+1.6 Technische Umgebung
+[Hosting, Sub-AVs, Betriebssystem, Verschluesselung]
+1.7 Datenfluss
+[Diagramm-Verweis oder Kurzbeschreibung]
+
+2. BEWERTUNG DER NOTWENDIGKEIT UND VERHAELTNISMAESSIGKEIT
+   (Art. 35 Abs. 7 lit. b DSGVO)
+2.1 Erforderlichkeit der Verarbeitung fuer den Zweck
+[Geeignet, erforderlich, kein milderes Mittel]
+2.2 Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
+[...]
+2.3 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
+[...]
+2.4 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
+[...]
+2.5 Rechtmaessigkeit (Art. 6, ggf. Art. 9 DSGVO)
+[Rechtsgrundlage je Datenkategorie / Betroffenengruppe]
+2.6 Betroffenenrechte
+[Wie sind Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit, Widerspruch sichergestellt?]
+2.7 Transparenz Art. 12 ff. DSGVO
+[...]
+
+3. RISIKOANALYSE
+   (Art. 35 Abs. 7 lit. c DSGVO)
+3.1 Risikomatrix vor Massnahmen
+| Nr | Szenario                          | Wahrsch. | Schwere | Risiko |
+|----|-----------------------------------|----------|---------|--------|
+| 1  | Unbefugter Zugriff (Vertraul.)    | [h/m/g]  | [h/m/g] | [R/O/G/Gn] |
+| 2  | Datenleck nach aussen             |          |         |        |
+| 3  | Verdecktes Profiling              |          |         |        |
+| 4  | Datenverlust / Verfuegbarkeit     |          |         |        |
+| 5  | Manipulation / Integritaet        |          |         |        |
+| 6  | Diskriminierung Betroffener       |          |         |        |
+| 7  | Identitaetsdiebstahl              |          |         |        |
+3.2 Schutzziele beruehrt
+[Vertraulichkeit / Integritaet / Verfuegbarkeit / Transparenz / Intervenierbarkeit / Nicht-Verkettung / Datenminimierung]
+3.3 Schutzbeduerftige Personen
+[Kinder / Patienten / Beschaeftigte / Verbraucher]
+
+4. ABHILFEMASSNAHMEN
+   (Art. 35 Abs. 7 lit. d DSGVO)
+4.1 Technische Massnahmen (Art. 32 DSGVO)
+- Verschluesselung: [Art, Schluessellaenge]
+- Pseudonymisierung: [...]
+- Zugriffskontrolle: [Rolle / Recht-Konzept]
+- Protokollierung: [...]
+- Sicherung / Backup: [...]
+- Stand der Technik: [...]
+4.2 Organisatorische Massnahmen
+- Schulungen: [Zielgruppe, Frequenz]
+- Vier-Augen-Prinzip: [...]
+- Berechtigungskonzept: [...]
+- Notfallplan / Incident Response: [...]
+4.3 Vertragliche Massnahmen
+- AVV (Art. 28 DSGVO): [Anbieter, Datum, Version]
+- SCC bei Drittlandtransfer: [Modul, Datum]
+- TIA: [Verweis]
+4.4 Massnahmen-Tabelle
+| Nr | Risiko | Massnahme | Verantwortlich | Frist | Restrisiko |
+
+5. RESTRISIKO
+5.1 Risikomatrix nach Massnahmen
+[Tabelle wie 3.1 mit Werten nach Massnahmen]
+5.2 Bewertung Restrisiko
+[Verbleibendes Risiko pro Szenario; Gesamtbewertung]
+5.3 Erforderlichkeit Art. 36 DSGVO
+[ ] Keine Konsultation erforderlich (Restrisiko mittel oder gering)
+[ ] Vorab-Konsultation Art. 36 DSGVO erforderlich (Restrisiko hoch)
+
+6. KONSULTATION UND FREIGABE
+6.1 DSB-Stellungnahme (Art. 35 Abs. 2 DSGVO)
+[Wortlaut oder Verweis auf Anlage]
+Unterschrift DSB: ____________________ Datum: ____________________
+
+6.2 Stakeholder-Konsultation (Art. 35 Abs. 9 DSGVO)
+[Durchgefuehrt / nicht durchgefuehrt mit Begruendung]
+
+6.3 Freigabe Verantwortlicher
+Name: ____________________
+Funktion: ____________________
+Unterschrift: ____________________ Datum: ____________________
+
+6.4 Aufnahme in Verarbeitungsverzeichnis Art. 30 DSGVO
+Verweis: [...]
+
+6.5 Ueberpruefungsplan (Art. 35 Abs. 11 DSGVO)
+Naechste Pruefung: [DATUM]
+Trigger fuer ausserplanmaessige Pruefung: [Aenderung Datenarten / Empfaenger / Technologie / Rechtslage]
+```
+
+## Typische Fehler
+
+- Vorlage wird verwendet, ohne den Datenfluss konkret zu beschreiben — Sektion 1 bleibt floskelhaft.
+- Verhaeltnismaessigkeit wird auf Rechtsgrundlage reduziert — Datenminimierung und Speicherbegrenzung werden uebersehen.
+- Risikoszenarien werden nur fuer Vertraulichkeit gepflegt, andere Schutzziele bleiben leer.
+- Massnahmen-Tabelle ohne Verantwortliche und Fristen — nicht steuerbar.
+- DSB unterschreibt nicht oder spaeter — Beweisluecke.
+- Versionierung fehlt — bei Aenderung nicht nachvollziehbar.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dpia-en-template-full-version/SKILL.md` — Englische Vollvorlage
+- `datenschutzrecht/skills/dsfa-risikoanalyse-eintrittswahrscheinlichkeit-schaden/SKILL.md` — Risikomethodik
+- `datenschutzrecht/skills/dsfa-stakeholder-konsultation-art-35-9/SKILL.md` — Stakeholder
+- `datenschutzrecht/skills/dsfa-update-bei-aenderungen-und-revision/SKILL.md` — Update
+- `datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md` — Dokumentation
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 7 DSGVO Mindestinhalte
+- Art. 35 Abs. 2, 9, 11 DSGVO
+- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht
+- Art. 30, 32 DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- SDM V3.0 — Schutzziele
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-typische-fehler-bei-erstpruefung/SKILL.md

@@ -0,0 +1,154 @@
+---
+name: dsfa-typische-fehler-bei-erstpruefung
+description: "Katalog typischer Fehler bei der DSFA-Erstpruefung und Gegenmassnahmen. Output: Fehlerkatalog mit Pruefliste fuer DSB und Verantwortliche samt Beispielen aus Aufsichtspraxis."
+---
+
+# Typische Fehler bei der DSFA-Erstpruefung
+
+## Zweck
+
+Strukturierter Katalog der typischen Fehler bei der ersten Durchfuehrung einer DSFA, einschliesslich Gegenmassnahmen, Vermeidungsstrategien und Verweis auf die jeweils einschlaegigen Skills. Ergebnis ist eine Pruefliste fuer DSB und Verantwortliche, die vor Freigabe einer DSFA durchgegangen wird.
+
+## Wann brauchen Sie diesen Skill
+
+- Vor Freigabe einer DSFA durch den Verantwortlichen
+- Bei Audit einer bestehenden DSFA
+- In der Schulung neuer DSB oder Datenschutz-Koordinatoren
+- Bei Aufsichtsanfrage zur Plausibilisierung einer durchgefuehrten DSFA
+- Bei Re-Pruefung nach Art. 35 Abs. 11 DSGVO
+
+## Rechtlicher Rahmen
+
+- Art. 35 DSGVO mit allen Absaetzen.
+- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.
+- Art. 83 Abs. 4 lit. a DSGVO Bussgeldtatbestand fuer Verstoesse gegen Art. 35.
+- EDSA-Leitlinien WP 248 rev.01 und einschlaegige Aufsichtsbehoerdenpraxis.
+
+## Fehlerkatalog mit Gegenmassnahmen
+
+### 1. Triage-Phase
+
+- Trigger-Pruefung ohne dokumentierten Vermerk; nur muendlich. Gegenmassnahme: Triage-Vermerk gemaess Skill dsfa-art-35-dsgvo-trigger-und-anwendungsbereich.
+- Nur Art. 35 Abs. 3 DSGVO geprueft, Generalklausel Abs. 1 uebersehen. Gegenmassnahme: Doppelblick auf Generalklausel und Regelbeispiele.
+- Blacklist der eigenen Landesbehoerde uebersehen. Gegenmassnahme: Skill dsfa-bfdi-und-laender-blacklist.
+- EDSA-Kriterien nicht durchgepruft. Gegenmassnahme: Skill dsfa-edpb-leitlinien-9-19-anwendung.
+
+### 2. Beschreibung der Verarbeitung
+
+- Beschreibung floskelhaft, ohne Datenfluss. Gegenmassnahme: Datenflussdiagramm und konkrete Empfaengeraufzaehlung.
+- Drittlandbezug uebersehen, weil EU-Hosting. Gegenmassnahme: Zugriffsbefugnis pruefen, Skill dsfa-fuer-internationale-datentransfers.
+- Sub-Auftragsverarbeiter nicht gelistet. Gegenmassnahme: vollstaendige AVV-Kette.
+- Aufbewahrungsfristen pauschal. Gegenmassnahme: Loeschkonzept beifuegen.
+
+### 3. Verhaeltnismaessigkeit
+
+- Verhaeltnismaessigkeitspruefung wird auf Rechtsgrundlage reduziert. Gegenmassnahme: Datenminimierung, Zweckbindung und Speicherbegrenzung separat pruefen.
+- Mildere Mittel nicht erwogen. Gegenmassnahme: Alternativ-Optionen explizit dokumentieren und verwerfen.
+- Betroffenenrechte nicht beschrieben. Gegenmassnahme: Pro Recht eine Zeile, wie es operativ umgesetzt wird.
+
+### 4. Risikoanalyse
+
+- Risiko nur fuer Vertraulichkeit untersucht. Gegenmassnahme: alle Schutzziele SDM durchgehen.
+- Wahrscheinlichkeit ohne Bedrohungsmodell. Gegenmassnahme: Bedrohungsannahmen explizit machen.
+- Schadenschwere aus Sicht des Verantwortlichen statt Betroffener. Gegenmassnahme: Erwaegungsgrund 75 DSGVO als Massstab.
+- Risikomatrix bleibt fuer Massnahmen-Spalte leer. Gegenmassnahme: Pro Risiko mindestens eine Massnahme zuordnen.
+
+### 5. Massnahmen
+
+- TOM-Konzept fehlt oder ist generisch. Gegenmassnahme: konkrete Massnahmen mit Verantwortlichen und Fristen.
+- Vertragliche Massnahmen (AVV, SCC) nicht referenziert. Gegenmassnahme: Verweis auf konkrete Vertragsversion und Datum.
+- KI-Spezifika fehlen. Gegenmassnahme: Skill dsfa-fuer-ki-systeme-schnittstelle-art-26-kivo.
+- Stand der Technik nicht begruendet. Gegenmassnahme: BSI- oder ENISA-Referenz beifuegen.
+
+### 6. Restrisiko
+
+- Restrisiko wird kuenstlich kleingerechnet, um Art. 36 zu vermeiden. Gegenmassnahme: Ehrliche Bewertung; bei spaeterem Vorfall verdoppelter Vorwurf.
+- Restrisiko ohne Begruendung pauschal als gering bewertet. Gegenmassnahme: pro Szenario Begruendung.
+- Vorab-Konsultation Art. 36 als Option statt Pflicht behandelt. Gegenmassnahme: Skill dsfa-restrisiko-und-art-36-konsultation.
+
+### 7. Konsultation und Freigabe
+
+- DSB-Anhoerung nur muendlich oder gar nicht. Gegenmassnahme: schriftliche Stellungnahme, datiert und unterzeichnet.
+- Stakeholder-Konsultation Art. 35 Abs. 9 nicht erwogen. Gegenmassnahme: Skill dsfa-stakeholder-konsultation-art-35-9.
+- Freigabe ohne Datum oder durch Unbefugten. Gegenmassnahme: definierter Eskalations- und Freigabeprozess.
+- Verarbeitung wird vor Antwort der Aufsicht aufgenommen. Gegenmassnahme: Projektplan an Frist 8 Wochen ankoppeln.
+
+### 8. Dokumentation und Update
+
+- DSFA wird einmal erstellt und nie aktualisiert. Gegenmassnahme: Skill dsfa-update-bei-aenderungen-und-revision.
+- Versionen werden ueberschrieben. Gegenmassnahme: Versionshistorie als Pflichtfeld.
+- Aktenzeichen oder Aufbewahrungsfrist fehlt. Gegenmassnahme: Skill dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii.
+- Verweis im Verarbeitungsverzeichnis Art. 30 fehlt. Gegenmassnahme: Doppelnachweis VV plus DSFA.
+
+## Pruefliste vor Freigabe
+
+```
+DSFA-FREIGABE-PRUEFLISTE [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+Pruefer: [NAME, ROLLE]
+
+A. Triage
+[ ] Triage-Vermerk schriftlich vorhanden
+[ ] Blacklist-Abgleich dokumentiert
+[ ] WP-248-Kriterien gepruet
+
+B. Beschreibung
+[ ] Datenfluss konkret beschrieben
+[ ] Drittlandbezug geprueft
+[ ] Sub-AV-Kette vollstaendig
+[ ] Aufbewahrungsfristen konkret
+
+C. Verhaeltnismaessigkeit
+[ ] Datenminimierung
+[ ] Zweckbindung
+[ ] Speicherbegrenzung
+[ ] Mildere Mittel erwogen
+[ ] Betroffenenrechte operativ
+
+D. Risikoanalyse
+[ ] Alle Schutzziele gepruet
+[ ] Wahrscheinlichkeit begruendet
+[ ] Schadenschwere aus Sicht Betroffener
+[ ] Risikomatrix vor und nach Massnahmen
+
+E. Massnahmen
+[ ] TOM konkret mit Eigentuemer und Frist
+[ ] Vertragliche Massnahmen referenziert
+[ ] KI-Spezifika beruecksichtigt
+
+F. Restrisiko
+[ ] Bewertung begruendet
+[ ] Art. 36 gepruet
+
+G. Konsultation
+[ ] DSB schriftlich angehoert
+[ ] Stakeholder-Konsultation Art. 35 Abs. 9 erwogen
+[ ] Freigabe durch befugte Person
+
+H. Dokumentation
+[ ] Aktenzeichen vergeben
+[ ] Versionshistorie gefuehrt
+[ ] Verweis im VV Art. 30
+
+Freigabeempfehlung: ja / nachzubessern / nein
+Unterschrift Pruefer: ____________________
+```
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-art-35-dsgvo-trigger-und-anwendungsbereich/SKILL.md`
+- `datenschutzrecht/skills/dsfa-edpb-leitlinien-9-19-anwendung/SKILL.md`
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md`
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md`
+- `datenschutzrecht/skills/dsfa-update-bei-aenderungen-und-revision/SKILL.md`
+- `datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md`
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35, 36, 5 Abs. 2, 83 Abs. 4 lit. a DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- BfDI- und Landesbehoerden-Pruefberichte (live abzurufen)
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsfa-update-bei-aenderungen-und-revision/SKILL.md

@@ -0,0 +1,133 @@
+---
+name: dsfa-update-bei-aenderungen-und-revision
+description: "Aktualisierung einer DSFA bei wesentlichen Aenderungen der Verarbeitung nach Art. 35 Abs. 11 DSGVO. Output: Revisionsplan mit Trigger-Liste Aenderungsanalyse Risikoreassessment und Versionshistorie."
+---
+
+# DSFA Update bei Aenderungen und Revision
+
+## Zweck
+
+Steuerung der Aktualisierung einer bestehenden DSFA bei wesentlichen Aenderungen der Verarbeitungstaetigkeit nach Art. 35 Abs. 11 DSGVO. Ergebnis ist ein Revisionsplan mit Trigger-Liste, Aenderungsanalyse, Risikoreassessment und Versionshistorie. Ziel ist, die DSFA als lebendes Dokument zu fuehren und nicht als Einmalvorgang.
+
+## Wann brauchen Sie diesen Skill
+
+- Bei Aenderung der Zwecke einer Verarbeitung
+- Bei neuem Auftragsverarbeiter oder Sub-Auftragsverarbeiter
+- Bei neuem Drittlandtransfer
+- Bei neuer Technologie (KI-Modul, Biometrie)
+- Bei neuer Datenkategorie oder neuem Betroffenenkreis
+- Bei aktualisierter Rechtsprechung oder Aufsichtsbehoerdenpraxis
+- Bei wesentlich erweiterter Datenmenge oder Aufbewahrungsfrist
+- Bei Vorfall (Art. 33 Datenpanne) — Risikobewertung neu ueberpruefen
+
+## Rechtlicher Rahmen
+
+- Art. 35 Abs. 11 DSGVO: Der Verantwortliche fuehrt erforderlichenfalls eine Ueberpruefung durch, um zu bewerten, ob die Verarbeitung gemaess der DSFA durchgefuehrt wird; dies gilt zumindest, wenn sich das mit den Verarbeitungsvorgaengen verbundene Risiko aendert.
+- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht — Versionshistorie und Begruendung der Re-Pruefung.
+- Art. 30 DSGVO Verarbeitungsverzeichnis — Aenderungen sind dort zu spiegeln.
+- EDSA-Leitlinien WP 248 rev.01.
+
+## Ablauf 6-Schritte-Methodik
+
+1. **Verarbeitungsbeschreibung.** Aktuellen Stand der Verarbeitung erfassen und mit der dokumentierten DSFA-Version vergleichen.
+2. **Verhaeltnismaessigkeitspruefung.** Aenderung wesentlich? Schwellenwerte:
+   - Neue oder weggefallene Zweck
+   - Neue Datenkategorie
+   - Neue Empfaenger oder neuer Drittlandtransfer
+   - Neue Technologie
+   - Neue Aufbewahrungsfrist (> 50 Prozent Verlaengerung)
+   - Aufsichtsbehoerden- oder Rechtsprechungsaenderung
+3. **Risikoanalyse.** Erneute Risikoanalyse nach Methodik des urspruenglichen DSFA-Skills; Risikomatrix vor und nach erneuten Massnahmen.
+4. **Massnahmen.** Pruefung, ob bestehende Massnahmen ausreichen oder ergaenzt werden muessen.
+5. **Restrisiko.** Vergleich Restrisiko alt versus neu; ggf. neue Art. 36 Konsultation.
+6. **Konsultation / Genehmigung.** DSB-Anhoerung, Freigabe und Versionierung; alte Versionen archivieren, nicht loeschen.
+
+## Mustertext / Template Revisionsplan
+
+```
+DSFA-REVISIONSPLAN [DATUM]
+
+Verarbeitung: [BEZEICHNUNG]
+DSFA-Version aktuell: [X.Y]
+DSFA-Version neu: [X.Y+1]
+Verantwortlicher: [NAME]
+
+1. Aenderungsanlass
+[ ] Zweckaenderung
+[ ] Neue Datenkategorie
+[ ] Neuer Empfaenger / Sub-AV
+[ ] Neuer Drittlandtransfer
+[ ] Neue Technologie (z. B. KI-Modul)
+[ ] Aufbewahrungsfrist
+[ ] Rechtsprechungs- / Aufsichtspraxis-Update
+[ ] Vorfall (Art. 33 DSGVO)
+[ ] Routine-Revision (Datum: [DATUM])
+
+2. Aenderungsanalyse
+[Konkrete Beschreibung der Aenderung im Vergleich zur Vorversion]
+
+3. Auswirkungen auf Schwellwertanalyse
+[ ] Schwellwert unveraendert
+[ ] Schwellwert neu erreicht (z. B. neues EDSA-Kriterium)
+[ ] Schwellwert entfallen (z. B. Anonymisierung)
+
+4. Risikoreassessment
+- Risiken neu identifiziert: [Liste]
+- Risikomatrix aktualisiert: ja / nein
+- Restrisiko aendert sich: ja / nein
+- Vorab-Konsultation Art. 36 ggf. neu erforderlich: ja / nein
+
+5. Massnahmen
+[Liste der zusaetzlichen oder geaenderten Massnahmen]
+
+6. Freigabe
+- DSB-Anhoerung: [Datum, Stellungnahme]
+- Genehmigung Verantwortlicher: [Name, Datum]
+- Aufsicht informiert (falls Art. 36): [Datum]
+- Eintrag Verarbeitungsverzeichnis aktualisiert: [Datum]
+- Naechste Routine-Revision: [DATUM]
+
+Unterschrift Verantwortlicher: ____________________
+Unterschrift DSB: ____________________
+
+Versionshistorie
+| Version | Datum | Aenderung | Autor | Freigabe |
+| 1.0     | [...] | Erstfassung | [...] | [...] |
+| 1.1     | [...] | [...] | [...] | [...] |
+| 2.0     | [...] | [...] | [...] | [...] |
+```
+
+## Empfohlene Revisionsfrequenz
+
+- Routine-Revision: einmal jaehrlich, dokumentiert auch wenn keine Aenderung
+- Anlassbezogene Revision: unverzueglich nach Trigger
+- KI-Verarbeitungen: alle 6 Monate (wegen Modell- und Datenaenderungen)
+- Beschaeftigtenverarbeitungen bei BetrVG-Tatbestand: nach jeder Betriebsvereinbarung
+- Drittlandtransfer: nach jedem Schrems-Folgeurteil oder EDSA-Update
+
+## Typische Fehler
+
+- DSFA wird einmal erstellt und nie aktualisiert — Verstoss gegen Art. 35 Abs. 11 DSGVO.
+- Aenderungen werden im Original-Dokument ueberschrieben — Versionshistorie geht verloren.
+- Routine-Revision wird unterlassen, weil sich nichts geaendert hat — ohne Dokumentation kein Nachweis.
+- Trigger werden nicht in das Change-Management-Verfahren integriert.
+- Nach Datenpanne (Art. 33) wird die DSFA nicht ueberprueft.
+- KI-Modellupdate wird nicht als Trigger erkannt.
+
+## Querverweise
+
+- `datenschutzrecht/skills/dsfa-template-deutsch-vollvorlage/SKILL.md` — Basisvorlage
+- `datenschutzrecht/skills/dsfa-restrisiko-und-art-36-konsultation/SKILL.md` — Vorabkonsultation bei Aenderung
+- `datenschutzrecht/skills/dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii/SKILL.md` — Versionierung
+- `datenschutzrecht/skills/datenpanne-meldung/SKILL.md` — Trigger Datenpanne
+- `references/zitierweise.md` — Zitierweise
+
+## Quellen Stand 06/2026
+
+- Art. 35 Abs. 11 DSGVO
+- Art. 5 Abs. 2, Art. 30, Art. 33 DSGVO
+- EDSA-Leitlinien WP 248 rev.01
+- EDSA-Stellungnahme 28/2024 zu KI-Modellen (Update-Trigger)
+- BfDI / Landesbehoerden — Verfahrenshinweise
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
+- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle

datenschutzrecht/skills/dsgvo-auskunft-antwort/SKILL.md

@@ -0,0 +1,249 @@
+---
+name: dsgvo-auskunft-antwort
+description: "DSGVO-Auskunftsantwort an Betroffenen vollständig und rechtskonform gestalten. Art. 15 12 Abs. 3 DSGVO Antwortpflicht. Prüfraster: Antwortinhalt Format Fristen Klarheit Weglassungsgründe Begleitschreiben. Output: vollständiges Auskunftsschreiben. Abgrenzung: nicht für Antragseingang und Prüfung (dsgvo-auskunft)."
+---
+
+# Betroffenenanfragen – Art. 15–22 DSGVO
+
+## Zweck
+
+Strukturierter Ablauf zur vollständigen Bearbeitung eingehender Betroffenenanfragen. Vom ersten Eingang bis zum versandfertigen Antwortentwurf: Klassifikation, Fristberechnung, Identitätsprüfung, Systemabfrage, Ausnahmenprüfung und formgerechte Antwort. Alle Fristen werden aus dem Eingangsdatum berechnet; Verlängerungsoptionen nach Art. 12 Abs. 3 Satz 2 DSGVO werden geprüft.
+
+## Eingaben
+
+- Art der Anfrage (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch, Einwilligungswiderruf)
+- Eingangsdatum der Anfrage
+- Name, E-Mail-Adresse oder sonstige Angaben des Antragstellers
+- Praxisprofil aus `CLAUDE.md` (Systemliste, Identifikationsstandard, DSB)
+- Optional: Dokument oder E-Mail der Anfrage
+
+## Ablauf
+
+1. **Eingangsklassifikation.**
+   - Anfrage-Art bestimmen: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenportabilität (Art. 20), Widerspruch (Art. 21), Einwilligungswiderruf (Art. 7 Abs. 3)?
+   - Mehrfachanfragen erkennen (häufig: kombinierter Auskunfts- und Löschantrag).
+   - Handelt es sich um ein Auskunftsersuchen nach IFG/UIG statt DSGVO? (Abgrenzung bei öffentlichen Stellen)
+
+2. **Fristberechnung.**
+   - Grundfrist: 1 Monat ab Eingang, Art. 12 Abs. 3 Satz 1 DSGVO.
+   - Verlängerung um bis zu 2 Monate möglich bei Komplexität oder Vielzahl von Anfragen, Art. 12 Abs. 3 Satz 2 DSGVO.
+   - **Verlängerung erfordert Mitteilung an Betroffenen innerhalb der 1-Monatsfrist** mit Begründung.
+   - Fristende berechnen: [Eingangsdatum + 1 Monat] = [Datum]. Verlängerung bis [Datum + 2 Monate].
+   - Wochenenden und Feiertage: § 193 BGB, Art. 3 Abs. 4 EuGH-Verfahrensordnung (natürliches Monatsende).
+
+3. **Identitätsverifikation.**
+   - Ist die Identität des Antragstellers ausreichend nachgewiesen?
+   - Standard aus `CLAUDE.md` anwenden.
+   - Art. 12 Abs. 6 DSGVO: Bei begründeten Zweifeln kann zusätzliche Information angefordert werden – aber **keine unverhältnismäßige Identifikationshürde** (vgl. EDSA-Leitlinien 01/2022 zu DSAR, Abschn. 3.2).
+   - Identitätsprüfung bei Online-Diensten: Konto-Login-Bestätigung oder sichere Alternative; keine Ausweis-Kopien ohne konkreten Zweck (Daten dürfen nicht für andere Zwecke genutzt werden).
+
+4. **Systemabfrage.**
+   - Alle relevanten Systeme aus der Systemliste in `CLAUDE.md` durchgehen.
+   - Kategorien: CRM, ERP, E-Mail-Archiv, Protokolldateien, Backups, Cloud-Dienste, Sub-AV-Systeme.
+   - Für jeden Treffer: Datenkategorie, Verarbeitungszweck, Rechtsgrundlage, Empfänger, Speicherfrist notieren.
+   - Keine eigenmächtige Löschung vor Abschluss der Prüfung (Dokumentationspflicht Art. 5 Abs. 2 DSGVO).
+
+5. **Ausnahmenprüfung.**
+   - § 34 BDSG (Auskunftsverweigerung, z.B. zur Abwehr von Straftaten, Geschäftsgeheimnisse)
+   - § 35 BDSG (eingeschränkte Löschung, z.B. gesetzliche Aufbewahrungsfristen)
+   - Art. 17 Abs. 3 DSGVO (kein Löschrecht bei gesetzlicher Aufbewahrungspflicht, Geltendmachung/Verteidigung von Rechtsansprüchen)
+   - Art. 15 Abs. 4 DSGVO (Datenkopie darf Rechte Dritter nicht beeinträchtigen)
+   - Berufsgeheimnisschutz bei Kanzleien / medizinischen Einrichtungen (§ 203 StGB)
+   - Für jede angewandte Ausnahme: konkrete Norm und Begründung dokumentieren.
+
+6. **Antwortentwurf erstellen.**
+   - Adressierung korrekt (Name, Adresse aus Anfrage).
+   - Positiv-Auskunft oder begründete Ablehnung/Einschränkung.
+   - Bei Auskunft: vollständige Informationen nach Art. 15 Abs. 1 DSGVO (alle 9 Ziffern) + ggf. Datenkopie Art. 15 Abs. 3 DSGVO.
+   - Hinweis auf Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO) in jedem Ablehnungsschreiben.
+   - Hinweis auf Klagerecht Art. 79 DSGVO.
+   - Keine Gebühren für Erstauskunft; bei offenkundig unbegründeten oder exzessiven Folgeanfragen: angemessenes Entgelt oder Ablehnung nach Art. 12 Abs. 5 DSGVO.
+
+7. **Dokumentation.**
+   - Eingang, Frist, Bearbeitungsschritte, Ausnahmen, Ergebnis im Datenschutzregister erfassen.
+   - Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).
+
+## Quellen und Zitierweise
+
+Verbindlich nach `../../references/zitierweise.md`.
+
+- Art. 12 Abs. 3, 4, 5, 6 DSGVO (Fristen, Kosten, Identitätsprüfung)
+- Art. 15 DSGVO (Auskunftsrecht, Inhalt)
+- Art. 16 DSGVO (Berichtigung)
+- Art. 17 DSGVO (Löschung, Ausnahmen)
+- Art. 18 DSGVO (Einschränkung)
+- Art. 20 DSGVO (Datenportabilität)
+- Art. 21 DSGVO (Widerspruch)
+- Art. 77 DSGVO (Beschwerderecht Aufsichtsbehörde)
+- §§ 34, 35 BDSG (Auskunfts- und Löscheinschränkungen)
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- Kamlah, in: Plath, DSGVO/BDSG, 3. Aufl. 2021, Art. 15 Rn. 1 ff.
+- Dix, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 15 Rn. 1 ff.
+- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
+
+## Ausgabeformat
+
+1. **Kopfzeile:** Anfrage-Art, Eingangsdatum, Fristdaten (1 Monat / Verlängerung), Bearbeiter
+2. **Klassifikations-Ergebnis**
+3. **Identitätsverifikations-Status**
+4. **Systemabfrage-Ergebnisse** (Tabelle: System | Datenfund | Zweck | Rechtsgrundlage | Frist)
+5. **Ausnahmenprüfung** (tabellarisch: Norm | anwendbar | Begründung)
+6. **Antwortentwurf** (druckreif, Briefkopf-Format, ohne Plugin-Kommentare im Text)
+7. **Dokumentations-Eintrag für Datenschutzregister**
+
+## Beispiel (Auskunftsanfrage)
+
+**Sachverhalt:** Frau M. stellt am 03.06.2024 per E-Mail eine Auskunftsanfrage gemäß Art. 15 DSGVO und bittet zusätzlich um Herausgabe einer Datenkopie (Art. 15 Abs. 3 DSGVO). Kein Kundenkonto, Identität nur per E-Mail bekannt.
+
+**Frist:** Grundfrist endet am 03.07.2024. Verlängerung (Art. 12 Abs. 3 Satz 2 DSGVO) bis 03.09.2024 möglich; Mitteilung an Frau M. spätestens 03.07.2024 erforderlich.
+
+**Identität:** E-Mail-Adresse allein reicht bei reinen Newsletter-Abonnenten aus, wenn keine weiteren personenbezogenen Daten verarbeitet werden. Vgl. EDSA-Leitlinien 01/2022, Abschn. 3.2: Verhältnismäßigkeit der Verifikation.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+**Ausnahmen:** § 34 BDSG: keine einschlägigen Tatbestände. Art. 17 Abs. 3 DSGVO: nicht relevant (kein Löschantrag). Keine weiteren Ausnahmen erkennbar.
+
+**Antwortentwurf-Auszug:**
+> Sehr geehrte Frau M., vielen Dank für Ihre Anfrage vom 03.06.2024. Gemäß Art. 15 Abs. 1 DSGVO teilen wir Ihnen mit, dass wir folgende personenbezogene Daten über Sie verarbeiten: [Auflistung]. Die Verarbeitung erfolgt zu folgenden Zwecken: [Zwecke], auf Grundlage von [Rechtsgrundlagen]. Im Übrigen stehen Ihnen die in Art. 16–21 DSGVO genannten Rechte zu. Sollten Sie mit unserer Antwort nicht zufrieden sein, steht Ihnen das Beschwerderecht bei der zuständigen Aufsichtsbehörde ([LfDI/BfDI]) gemäß Art. 77 DSGVO sowie das Klagerecht nach Art. 79 DSGVO zu.
+
+## Risiken / typische Fehler
+
+- **Fristversäumnis:** Art. 12 Abs. 4 DSGVO – Untätigkeit gilt als Ablehnung, eröffnet Klagerecht Art. 79 DSGVO und Beschwerde Art. 77 DSGVO. Fristmitteilung bei Verlängerung ist eigenständige Pflicht.
+- **Unvollständige Systemabfrage:** Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) verpflichtet zu nachweisbarer vollständiger Prüfung. Backup-Systeme und Archive werden häufig vergessen.
+- **Übermäßige Identitätshürde:** Passverlangen ohne Anlass verletzt Art. 12 Abs. 6 DSGVO; EDSA warnt vor übermäßiger Identifizierung als faktischem Abwehrmittel.
+- **§ 34 BDSG-Ausnahmen ohne Dokumentation:** Ausnahme muss einzelfallbezogen begründet sein; pauschale Verweigerung "wegen Geschäftsgeheimnisse" ist nicht ausreichend.
+- **Datenkopie-Format:** Art. 15 Abs. 3 DSGVO verlangt keine bestimmte Form; ein "strukturiertes, maschinenlesbares Format" ist bei Art. 20 DSGVO (Portabilität) vorgeschrieben, nicht bei Art. 15 Abs. 3 DSGVO – Verwechslung vermeiden.
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Rechtliche Grundlage
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung eines Auskunftsantrags als "exzessiv" — auch bei Erstantrag, wenn außergewöhnliche Umstände einen Rechtsmissbrauch belegen. Die Hürde ist hoch; das Auskunftsrecht ist ein fundamentales Recht, Ausnahmen sind eng auszulegen.
+
+### Zweistufiges Prüfschema vor Ablehnung
+
+Beide Stufen müssen kumulativ dokumentiert sein, bevor eine Ablehnung erfolgt:
+
+| Stufe | Inhalt | Dokumentationsanforderung |
+|---|---|---|
+| **Objektives Element** | Umstände, die auf künstliches Herbeiführen der Situation hindeuten | Zeitachse (Datenerhebung → Anfrage), Art der Datenerhebung, Kommunikationsmuster |
+| **Subjektives Element** | Missbräuchliche Absicht, Verfahren zu instrumentalisieren (Ziel: Schadensersatz Art. 82 DSGVO) | Indizien aus Gesamtschau: Formulierungsmuster, sofortige Schadensersatzdrohung, öffentliche Serienaktivität |
+
+**Nicht ausreichend allein:**
+- Frühere Anfragen derselben Person
+- Öffentlich dokumentiertes massenhaftes Vorgehen dieser Person ohne Einzelfallbezug
+- Geltendmachung von Art. 82 DSGVO-Schadensersatz als solche
+
+### Formulierungsbausteine
+
+**Ablehnungsschreiben (Missbrauch dokumentiert):**
+
+> Sehr geehrte·r [Name], Ihren Antrag auf Auskunft gemäß Art. 15 DSGVO vom [DATUM] lehnen wir gemäß Art. 12 Abs. 5 Satz 2 Alt. 2 DSGVO als offenkundig exzessiv ab. Im Einzelnen stützen wir die Ablehnung auf folgende dokumentierte Umstände:
+>
+> 1. [Objektives Element – z.B.: Ihre Anmeldung für unseren Newsletter erfolgte am [DATUM], d.h. [N] Tage vor Eingang Ihres Auskunftsantrags, ohne erkennbares Informationsinteresse.]
+> 2. [Subjektives Element – z.B.: Ihr Schreiben enthält bereits bei Antragstellung die Ankündigung von Schadensersatzforderungen nach Art. 82 DSGVO, was in der Gesamtschau auf eine instrumentalisierende Nutzung des Auskunftsrechts hindeutet.]
+>
+> Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+>
+> Sie haben das Recht, gegen diese Entscheidung Beschwerde bei [zuständige Aufsichtsbehörde] gemäß Art. 77 DSGVO oder Klage gemäß Art. 79 DSGVO zu erheben.
+
+**Internes Dokumentationsprotokoll (Pflicht vor Ablehnung):**
+
+```
+Datum der Ablehnung: [DATUM]
+Antragsdatum: [DATUM]
+Datum der Datenerhebung: [DATUM]
+Abstand Datenerhebung → Antrag: [N] Tage
+
+Objektives Element (Belege):
+- [Nachweis 1: z.B. Newsletter-Anmeldedaten]
+- [Nachweis 2: z.B. Screenshot/E-Mail]
+
+Subjektives Element (Belege):
+- [Nachweis: z.B. Wortlaut des Antragsschreibens, sofortige Schadensersatzankündigung]
+
+Gesamtwürdigung: [Begründung in eigenen Worten]
+Verantwortlich (DSB-Freigabe): [Name, Datum]
+```
+
+### Schadensersatzrisiko bei unberechtigter Ablehnung
+
+- Eine Ablehnung ohne vollständigen zweistufigen Nachweis ist ein eigenständiger DSGVO-Verstoß.
+- Dieser Verstoß löst einen eigenständigen Schadensersatzanspruch nach Art. 82 DSGVO aus — auch wenn die zugrundeliegende Datenverarbeitung vollständig DSGVO-konform war.
+- Der bloße Verstoß genügt nicht automatisch; die betroffene Person muss einen konkreten materiellen oder immateriellen Schaden darlegen (z.B. Kontrollverlust, Ungewissheit über Datenverarbeitung). Kein verschuldensunabhängiges Haftungsregime.
+- Eigenverschulden der betroffenen Person (wenn ihr eigenes Verhalten die entscheidende Schadensursache ist) schließt den Anspruch aus.
+
+### Konsequenz für die Antwortformulierung
+
+**Empfehlung:** Im Zweifel Auskunft vollständig und fristgerecht erteilen. Ablehnung nur bei lückenlos dokumentiertem zweistufigen Nachweis und nach DSB-Freigabe. Alternativ: Auskunft erteilen und Gebühr nach Art. 12 Abs. 5 Satz 2 Alt. 1 DSGVO erheben (ebenfalls nur bei dokumentiertem Exzess).
+
+**Perspektive betroffene Person:** Anfragen sollen erkennbar dem Zweck der Transparenz dienen. Schadensersatz nach Art. 82 DSGVO ist auch bei reiner Auskunftsverletzung möglich — konkreten Schaden (Kontrollverlust, Ungewissheit) in Klage- oder Beschwerdeschrift substantiiert darlegen.
+
+### Querverweise
+
+- `datenschutzrecht/skills/dsgvo-auskunft/SKILL.md` — Abschnitt "Rechtsmissbrauch" mit vollständigem Prüfschema und Indizien-Checkliste
+
+## Ergänzende Rechtsprechung (Aktualitäten)
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Quellen / Updates
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Aktuelle Rechtsprechung (v14.2 — Ergaenzung)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn
+
+1. Wer fragt aus? Mitarbeiter (§§ 34/35 BDSG prüfen) / Kunde / Vertragspartner / unbekannte Person
+2. Identitätsverifizierung erforderlich (Zweifel? Art. 12 Abs. 6 DSGVO → Nachweise anfordern)?
+3. Fristberechnung: Eingang [DATUM] → Ablauf 1 Monat: [DATUM]; Verlängerung möglich bis [DATUM]?
+4. Ausnahmetatbestände (§§ 34, 35 BDSG; Rechte Dritter Art. 15 Abs. 4; Geschäftsgeheimnisse)?
+
+## Output-Template — Auskunftsantwort formal
+
+**Adressat:** Betroffene Person — Tonfall: verständlich-erklärend
+
+```
+[ORGANISATION, ADRESSE]
+[DATUM]
+
+Betreff: Auskunft nach Art. 15 DSGVO — Ihr Ersuchen vom [DATUM]
+Unser Zeichen: [AZ]
+
+Sehr geehrte/r Frau/Herr [NAME BETROFFENE PERSON],
+
+wir erteilen Ihnen hiermit Auskunft über die Verarbeitung Ihrer
+personenbezogenen Daten gemäß Art. 15 DSGVO:
+
+1. Verarbeitungszwecke (Art. 15 Abs. 1 lit. a): [ZWECKE]
+2. Datenkategorien (Art. 15 Abs. 1 lit. b): [KATEGORIEN]
+3. Empfänger (Art. 15 Abs. 1 lit. c): [EMPFAENGER]
+4. Speicherdauer (Art. 15 Abs. 1 lit. d): [FRIST/KRITERIEN]
+5. Rechte (Art. 15 Abs. 1 lit. e): Berichtigung, Löschung, Einschränkung,
+   Widerspruch, Beschwerde bei [AUFSICHTSBEHOERDE].
+6. Herkunft der Daten (Art. 15 Abs. 1 lit. g): [HERKUNFT]
+7. Automatisierte Entscheidungen (Art. 15 Abs. 1 lit. h): [ja/nein]
+
+Datenkopie gemäß Art. 15 Abs. 3 DSGVO: [ANLAGE / Ablehnung mit Begruendung]
+
+[Ggf. Ausnahmen: § 34 BDSG / § 35 BDSG / Art. 15 Abs. 4 DSGVO: [BEGRUENDUNG]]
+
+Mit freundlichen Grüßen
+[NAME, FUNKTION, DSB-KONTAKT]
+```
+
+<!-- AUDIT 27.05.2026 | bundle_053
+Geprüft: BGH VI ZR 7/21 (WRONG_TOPIC: dejure.org zeigt Kfz-Unfall/fiktive Schadensabrechnung, NJW 2022, 1884; nicht Verjährung DSGVO-Schadensersatz)
+Ersatz: BGH VI ZR 97/22, ZIP 2023, 2472 (verifiziert auf dejure.org — Vorlage EuGH zu Art. 82 DSGVO immateriellem Schaden)
+Thema: DSGVO Art. 82 Schadensersatz — thematisch passend für DSGVO-Kontext
+-->

datenschutzrecht/skills/dsgvo-auskunft/SKILL.md

@@ -0,0 +1,215 @@
+---
+name: dsgvo-auskunft
+description: "Auskunftsersuchen nach Art. 15 DSGVO prüfen und beantworten wenn Betroffener Auskunft verlangt. Art. 15 12 DSGVO Betroffenenrechte. Prüfraster: Identitätsnachweis Vollständigkeitsprüfung Auskunftsinhalt Fristen Einschraenkungsgründe. Output: Auskunftserteilung oder Ablehnungsbegrundung. Abgrenzung: nicht für Auskunftsantwort-Gestaltung (dsgvo-auskunft-antwort)."
+---
+
+# DSGVO-Auskunftsrecht (Art. 15 DSGVO)
+
+## Zweck
+
+Dieser Skill begleitet Verantwortliche (und deren Berater) bei der vollständigen und fristgerechten Bearbeitung von Auskunftsersuchen nach Art. 15 DSGVO. Er deckt ebenso die Beratung betroffener Personen ab, die ein Auskunftsverlangen stellen wollen. Anwendungsfälle: Unternehmen erhält Auskunftsanfrage eines Kunden, ehemaligen Mitarbeiters oder Behörde; Arbeitnehmer fragt nach gespeicherten HR-Daten; Betroffener begehrt Auskunft von Auskunftei.
+
+## Eingaben
+
+Das Modell benötigt folgende Informationen:
+
+- **Rolle des Mandanten**: Verantwortlicher (Art. 4 Nr. 7 DSGVO) oder betroffene Person?
+- **Inhalt des Ersuchens**: Liegt ein schriftliches/mündliches Verlangen vor? Vollständiger Text?
+- **Eingangsdatum** des Ersuchens (für Fristberechnung entscheidend)
+- **Identitätsstatus**: Ist die betroffene Person zweifelsfrei identifiziert oder bestehen Zweifel?
+- **Datenkategorien und -systeme**: Welche Daten werden verarbeitet (CRM, HR, Protokolldateien)?
+- **Ausnahmetatbestände**: Gibt es Anhaltspunkte für § 34 BDSG, § 29 Abs. 1 BDSG, Berufsgeheimnis?
+- **Bereits erteilte Auskünfte**: Frühere Anfragen derselben Person in den letzten 12 Monaten?
+
+## Rechtlicher Rahmen
+
+### Primärnormen
+
+- **Art. 15 Abs. 1 DSGVO**: Anspruch auf Bestätigung der Verarbeitung und Auskunft über Kategorien, Zwecke, Empfänger, Speicherdauer, Herkunft, automatisierte Entscheidungsfindung.
+- **Art. 15 Abs. 3 DSGVO**: Anspruch auf Kopie der verarbeiteten personenbezogenen Daten; bei elektronischer Antragstellung in gängigem elektronischem Format.
+- **Art. 12 Abs. 3 DSGVO**: Frist von einem Monat ab Eingang des Ersuchens; Verlängerung um bis zu zwei weitere Monate bei Komplexität oder Vielzahl von Anfragen – Mitteilung über Verlängerung und Gründe innerhalb eines Monats.
+- **Art. 12 Abs. 5 DSGVO**: Unentgeltlichkeit; bei offenkundig unbegründeten oder exzessiven Anträgen: Gebühr oder Ablehnung möglich.
+- **§ 34 BDSG**: Ausnahmen vom Auskunftsrecht, insbesondere bei Vertraulichkeitspflichten, Gefährdung öffentlicher Ordnung, Unmöglichkeit oder unverhältnismäßigem Aufwand.
+- **§ 29 Abs. 1 BDSG**: Einschränkungen bei Datenverarbeitung zu journalistischen oder wissenschaftlichen Zwecken sowie bei Berufsgeheimnisträgern.
+
+### Leitentscheidungen
+
+1. Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+2. Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+## Ablauf
+
+**Schritt 1 – Eingangserfassung und Fristsetzen**
+- Eingangsdatum dokumentieren; 1-Monatsfrist nach Art. 12 Abs. 3 DSGVO berechnen.
+- Prüfen, ob Verlängerung um 2 Monate wegen Komplexität in Betracht kommt – wenn ja, Mitteilung an Betroffenen innerhalb der ersten Monatsfrist (Art. 12 Abs. 3 Satz 3 DSGVO).
+
+**Schritt 2 – Identifizierung der betroffenen Person**
+- Ausreichende Identifizierung verlangen, wenn Zweifel bestehen (Art. 12 Abs. 6 DSGVO); kein unverhältnismäßiges Nachforschungsrecht des Verantwortlichen.
+- Bei Online-Diensten: E-Mail-Abgleich, ggf. Sicherheitsfrage; keine Forderung nach Ausweis-Scan ohne konkreten Anlass.
+
+**Schritt 3 – Dateninventur**
+- Systematische Abfrage aller betroffenen Systeme: CRM, ERP, E-Mail-Archive, Protokolldateien, Backups (soweit zugänglich), Cloud-Dienste, Auftragsverarbeiter (Art. 28 Abs. 3 lit. f DSGVO).
+- Beauftragung von Auftragsverarbeitern, relevante Daten zu melden (Art. 28 Abs. 3 lit. f DSGVO).
+
+**Schritt 4 – Prüfung von Ausnahmetatbeständen**
+- § 34 Abs. 1 BDSG: Vertraulichkeit steuerlicher Daten; § 34 Abs. 2 BDSG: Daten zu präventiven und repressiven Zwecken.
+- § 29 Abs. 1 BDSG: Berufsgeheimnisträger (Rechtsanwälte, Ärzte, Steuerberater); Drittinteressen nach Art. 15 Abs. 4 DSGVO (Geschäftsgeheimnisse).
+- Konkurrierende Interessen nach ErwGr. 63 DSGVO abwägen.
+
+**Schritt 5 – Auskunftserteilung**
+- Umfang gem. Art. 15 Abs. 1 lit. a–h DSGVO vollständig abarbeiten; Datenkopie (Art. 15 Abs. 3 DSGVO) beilegen.
+- Gebührenfreie erste Kopie; Folgeantrag kann kostenpflichtig sein.
+- Bei Ablehnung: schriftliche Begründung + Hinweis auf Beschwerderecht bei Aufsichtsbehörde (Art. 12 Abs. 4 DSGVO).
+
+**Schritt 6 – Dokumentation**
+- Interne Dokumentation der Anfrage, Prüfschritte, Ergebnis und Versanddatum (Nachweispflicht Art. 5 Abs. 2 DSGVO).
+
+## Ausgabeformat
+
+- **Auskunftsschreiben** (Brief oder E-Mail) an Betroffenen: strukturierte Tabelle der Datenkategorien, Zwecke, Empfänger, Fristen; Anlage: Datenkopie.
+- **Internes Prüfmemo** (bei komplexen Fällen): Tatbestand, Rechtslage, Ausnahmeprüfung, Ergebnis, Fristprotokoll.
+- **Ablehnungsschreiben** mit Begründung und Belehrung über Beschwerderecht.
+- Stil: klar, präzise, ohne Fachjargon gegenüber dem Betroffenen; juristisch präzise im Mandanten-Memo.
+
+## Beispiel
+
+**Sachverhalt**: Ehemalige Mitarbeiterin M verlangt am 03.02.2025 per E-Mail Auskunft über alle sie betreffenden Daten sowie eine Datenkopie gemäß Art. 15 DSGVO vom Unternehmen U.
+
+**Gutachtenstil**:
+
+*Frist*: Die einmonatige Frist des Art. 12 Abs. 3 Satz 1 DSGVO läuft bis zum 03.03.2025. Eine Verlängerung setzt voraus, dass U spätestens bis 03.03.2025 unter Angabe der Gründe Mitteilung macht (Art. 12 Abs. 3 Satz 3 DSGVO).
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+*Ausnahmen*: Soweit E-Mails Geschäftsgeheimnisse Dritter enthalten, sind diese nach Art. 15 Abs. 4 DSGVO i.V.m. ErwGr. 63 DSGVO zu schwärzen. § 34 BDSG greift hier nicht, da keine der dort genannten Konstellationen vorliegt.
+
+*Ergebnis*: U erteilt bis 03.03.2025 vollständige Auskunft mit geschwärzter Datenkopie und dokumentiert den Vorgang intern (Art. 5 Abs. 2 DSGVO).
+
+## Risiken und typische Fehler
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- **Unvollständige Datenermittlung**: Fehlende Protokolldateien, Backup-Daten oder Cloud-Systeme begründen Pflichtverletzung; Beweislast beim Verantwortlichen (Art. 5 Abs. 2 DSGVO).
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+- **Identifizierung übertrieben**: Unverhältnismäßige Ausweispflicht abwehren; Art. 12 Abs. 6 DSGVO erlaubt zusätzliche Informationen nur bei begründetem Zweifel.
+- **§ 34 BDSG-Ausnahme zu weit**: Ausnahmen sind restriktiv auszulegen; pauschale Berufung auf "unverhältnismäßigen Aufwand" ohne konkrete Begründung genügt nicht.
+- **Berufsrecht**: Bei anwaltlicher Beratung des Verantwortlichen: Keine unzulässige Auskunftsverzögerung; § 43a Abs. 2 BRAO (Gewissenhaftigkeit) gebietet korrekte Beratung zur Frist.
+- **Mehrfachanträge**: Erst bei offenkundig exzessivem Verhalten darf Gebühr erhoben werden (Art. 12 Abs. 5 DSGVO); Dokumentationspflicht der Exzessivität.
+
+## Quellenpflicht
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Leitentscheidung
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+### Grundsatz
+
+Auch ein erstmaliger Auskunftsantrag kann "exzessiv" i.S.d. Art. 12 Abs. 5 DSGVO und damit rechtsmissbräuchlich sein — nicht nur bei einer Vielzahl von Anfragen (quantitativ), sondern auch qualitativ. Da das Auskunftsrecht ein fundamentales Recht ist, sind die Ausnahmen nach Art. 12 Abs. 5 DSGVO eng auszulegen; Rechtsmissbrauch setzt außergewöhnliche Umstände voraus. Die Beweislast für das Vorliegen von Rechtsmissbrauch liegt beim Verantwortlichen.
+
+### Zweistufiges Prüfschema (objektives + subjektives Element)
+
+Der Verantwortliche muss kumulativ nachweisen:
+
+**Stufe 1 — Objektives Element:**
+Umstände, die auf ein künstliches Herbeiführen der Anfragesituation hindeuten, z.B.:
+- Ungewöhnlich kurzer Zeitabstand zwischen Datenerhebung und Auskunftsantrag
+- Gezielte Anmeldung zu einem Newsletter o.Ä. kurz vor Antragstellung ohne erkennbares Informationsinteresse
+- Dokumentiertes Muster massenhaften Vorgehens (öffentlich bekannte Serienanfragen)
+
+**Stufe 2 — Subjektives Element:**
+Missbräuchliche Absicht der betroffenen Person, das Verfahren zu instrumentalisieren — insbesondere um einen Schadensersatzanspruch nach Art. 82 DSGVO künstlich herbeizuführen.
+
+### Indizien-Checkliste (Gesamtschau Einzelfall)
+
+| Indiz | Gewicht | Erläuterung |
+|---|---|---|
+| Zeitpunkt und Abstand Datenerhebung → Anfrage | mittel–hoch | Sehr kurzer Abstand ohne erkennbaren Anlass erhöht Missbrauchsverdacht |
+| Art der Datenerhebung (aktive Anmeldung kurz vor Anfrage) | hoch | Spricht für künstliches Herbeiführen der Situation |
+| Verhalten vor und nach Antragstellung | mittel | Kommunikationsmuster, öffentliche Äußerungen |
+| Art der Kommunikation | mittel | Formulierungsgleichheit mit Serienmustern, sofortiger Schadensersatzhinweis |
+| Rechtsprechung live prüfen | Live-Verifikation erforderlich | keine Entscheidung aus Modellwissen; Quelle vor Ausgabe protokollieren |
+| Frühere ähnliche Anfragen derselben Person | allein nicht ausreichend | Geltendmachung von Rechten ist nicht per se missbräuchlich |
+
+### Konsequenzen für den Verantwortlichen
+
+- **Ablehnung nur bei vollständigem Nachweis beider Stufen:** Weder das objektive noch das subjektive Element allein genügt; beide müssen durch konkrete, dokumentierte Umstände belegt werden.
+- **Dokumentationspflicht:** Alle zur Ablehnung herangezogenen Umstände sind intern zu dokumentieren (Zeitachse, Newsletter-Anmeldedaten, Korrespondenzverlauf) — Rechenschaftspflicht Art. 5 Abs. 2 DSGVO.
+- **Risiko unberechtigter Ablehnung:** Lehnt der Verantwortliche eine Auskunft ab, ohne den zweistufigen Nachweis führen zu können, stellt dies einen eigenständigen DSGVO-Verstoß dar, der einen eigenständigen Schadensersatzanspruch nach Art. 82 DSGVO auslöst — auch wenn die zugrundeliegende Datenverarbeitung selbst vollständig DSGVO-konform war.
+- **Kein Automatismus beim Schadensersatz:** Der bloße Verstoß löst nicht automatisch Schadensersatz aus; die betroffene Person muss den konkreten materiellen oder immateriellen Schaden darlegen (Kontrollverlust, Ungewissheit über Verarbeitung). Kein verschuldensunabhängiges Haftungsregime.
+- **Eigenverschulden der betroffenen Person:** Ist das Verhalten der betroffenen Person selbst die entscheidende Schadensursache, entfällt der Anspruch.
+
+### Empfehlung
+
+Vorzugsweise vollständige, fristgerechte Auskunft erteilen. Ablehnung nur als ultima ratio bei lückenlos dokumentiertem zweistufigen Nachweis. Im Zweifel Auskunft erteilen und ggf. Gebühr nach Art. 12 Abs. 5 DSGVO erheben.
+
+### Querverweise
+
+- `datenschutzrecht/skills/dsgvo-auskunft-antwort/SKILL.md` — Abschnitt "Ablehnung wegen Rechtsmissbrauch" mit Formulierungsbausteinen
+
+## Ergänzende Rechtsprechung (Aktualitäten)
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Faktische Updates (Stand 05/2026)
+
+- **EuGH-Linie zu Art. 15 DSGVO und Datenkopie (Art. 15 Abs. 3):** Mehrere EuGH-Vorabentscheidungsverfahren haben das Auskunftsrecht und den Umfang der Datenkopie konkretisiert. Aktuelle Entscheidungen vor Ausgabe live ueber curia.europa.eu pruefen; auch BGH VI. ZS und BAG zur arbeitsrechtlichen Auskunft beobachten (Aktenzeichen vor Zitat verifizieren).
+- **EDSA-Guidelines:** Die Guidelines 01/2022 on data subject rights (Right of Access) sind in der Endfassung verbindliche Auslegungshilfe. Quelle: edpb.europa.eu. Bei nachfolgenden Updates des EDSA live pruefen.
+- **Art. 82 DSGVO — Schadensersatz-Linie EuGH:** Der EuGH hat in mehreren Verfahren entschieden, dass auch der blosse Kontrollverlust einen ersatzfaehigen immateriellen Schaden begruenden kann, dass aber Kausalitaet und konkrete Darlegung erforderlich bleiben (kein verschuldensunabhaengiges Haftungsregime mit Pauschalierung; keine Bagatellgrenze, jedoch kein automatischer Anspruch aus blossem Verstoss). Konkrete Aktenzeichen und tragende Saetze vor Zitat ueber curia.europa.eu verifizieren.
+- **Verweigerung wegen Rechtsmissbrauch (Art. 12 Abs. 5 DSGVO):** Der EuGH hat zur restriktiven Auslegung der "offensichtlich unbegruendet oder exzessiv"-Klausel Stellung genommen. Zweistufiges Prüfschema (objektives + subjektives Element; Nachweislast beim Verantwortlichen) ist in mehreren EuGH-Entscheidungen abgesichert. Vor Zitat live pruefen.
+
+### Quellen / Updates
+
+Stand: 05/2026. Aktualität prüfen bei weiteren EuGH-Vorabentscheidungen zu Art. 15 DSGVO sowie bei EDSA-Leitlinien zu Auskunftsersuchen. Nächste Überprüfung: 05/2027 oder bei wesentlichen Änderungen.
+
+Quellen-URLs:
+- curia.europa.eu — EuGH-Suche zu Art. 15 DSGVO und Art. 82 DSGVO
+- edpb.europa.eu — EDSA Guidelines 01/2022 Right of Access
+- dejure.org / openjur.de — nationale Rechtsprechung BGH / BAG / OLG
+
+## Aktuelle Rechtsprechung (v14.2 — Ergaenzung)
+
+- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
+
+## Triage zu Beginn
+
+1. Wer stellt das Auskunftsersuchen (Mitarbeiter, Kunde, Wettbewerber im Rechtsstreit)?
+2. Liegt eine Identitätsverifizierung vor (Art. 12 Abs. 6 DSGVO — Nachweise anfordern bei Zweifeln)?
+3. Wann ist das Ersuchen eingegangen? (1-Monatsfrist nach Art. 12 Abs. 3 DSGVO berechnen)
+4. Besteht ein Ausnahmetatbestand (§§ 34, 35 BDSG; Art. 14 Abs. 5 DSGVO)?
+
+## Output-Template — Auskunftsantwort (Kurzform)
+
+**Adressat:** Betroffene Person — Tonfall: verständlich-erklärend, sachlich
+
+```
+Sehr geehrte/r Frau/Herr [NAME BETROFFENE PERSON],
+
+wir bestätigen den Eingang Ihres Auskunftsersuchens vom [DATUM] und erteilen
+Ihnen hiermit Auskunft gemäß Art. 15 DSGVO:
+
+1. Verarbeitete Datenkategorien:
+   [LISTE NACH Art. 15 Abs. 1 lit. a DSGVO]
+
+2. Verarbeitungszwecke: [ZWECKE]
+
+3. Empfänger / Kategorien von Empfängern: [LISTE]
+
+4. Speicherdauer / -kriterien: [FRIST ODER KRITERIEN]
+
+5. Rechte: Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18),
+   Widerspruch (Art. 21), Beschwerde Aufsichtsbehörde (Art. 77 DSGVO): [BEHOERDE].
+
+6. Datenkopie: [ANLAGE / GESONDERT ÜBERMITTELT]
+
+[Unterschrift, Datenschutzbeauftragter]
+[DATUM]
+```

datenschutzrecht/skills/dsr-betroffenenrechte-prozess-leitfaden/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: dsr-betroffenenrechte-prozess-leitfaden
+description: "Leitfaden Betroffenenrechte-Prozess Art. 15 ff. DSGVO: Auskunft, Berichtigung, Loeschung, Datenuebertragbarkeit. Pruefraster fuer Verantwortlichen und Auftragsverarbeiter."
+---
+
+# DSR: Betroffenenrechte-Prozess
+
+## Spezialwissen: DSR: Betroffenenrechte-Prozess
+- **Spezialgegenstand:** DSR: Betroffenenrechte-Prozess / dsr betroffenenrechte prozess leitfaden. Der Skill löst diese konkrete Lage und darf nicht in allgemeines Routing ausweichen.
+- **Normen-/Quellenanker:** Art. 15, DSGVO, DSR, BGH, BVerfG.
+- **Entscheidende Weiche:** Aus dem Sachverhalt sind Tatbestandsmerkmal, Zuständigkeit, Frist, Beweislast, Ermessen/Wertung und Rechtsfolge getrennt herauszuarbeiten; offene Tatsachen werden als offen markiert.
+- **Arbeitsprodukt:** Erzeuge eine fallbezogene Matrix `Norm / Tatsache / Beleg / Gegenargument / Risiko / nächster Schritt` plus einen direkt verwendbaren Baustein für Vermerk, Schreiben, Antrag, Schriftsatz oder Entscheidungsvorlage.
+
+
+## Fallweichen
+Frage zu Beginn nur ab, was fuer den naechsten Schritt unverzichtbar ist. Wenn Material vorliegt, mit dem Material arbeiten und nur eine gezielte Rueckfrage stellen.
+
+1. **Rolle und Ziel:** Wer fragt, welche Rolle, welcher gewuenschte Output (Memo, Schriftsatz, Tabelle, Checkliste)?
+2. **Sachverhalt:** Welche unstreitigen Tatsachen liegen vor, was ist streitig, was fehlt noch?
+3. **Fristen:** Gibt es Termine, Fristen, eilbeduerftige Schritte?
+4. **Unterlagen:** Welche Dokumente, Bescheide, Vertraege, Auszuege liegen vor?
+5. **Format:** Wie ausfuehrlich, fuer wen, in welcher Tonalitaet?
+
+## Pruefraster
+
+Der Output muss als verwertbares Arbeitsprodukt aufgebaut sein:
+
+1. **Sachverhalt fixieren** - streitige und unstreitige Tatsachen trennen, Lueckentafel.
+2. **Rechtliche Einordnung** - einschlaegige Normen, Rechtsprechung BGH/BVerfG/EuGH, Literatur.
+3. **Pruefung im Gutachtenstil** - Obersatz, Definition, Subsumtion, Zwischenergebnis.
+4. **Handlungsempfehlung** - konkret, mit naechstem Schritt, verantwortlicher Person, Frist.
+
+## Plugin-Kontext
+Dieser Skill gehoert zum Plugin `datenschutzrecht`. Er ergaenzt die uebrigen Skills des Plugins um einen vertieften Spezialfall oder eine systematische Einfuehrung. Bei Folgefragen werden andere Skills des Plugins als Anschluss vorgeschlagen.
+
+## Output-Module
+- Strukturierter Pruefvermerk im Gutachtenstil mit klaren Ueberschriften.
+- Tabellen und Checklisten, wo das die Lesbarkeit erhoeht.
+- Anschreiben-, Antrags- oder Klageschriftsatz-Geruest, wenn die Aufgabe das verlangt.
+- Quellenliste mit Gericht, Datum, Aktenzeichen, frei pruefbarem Link.
+
+## Quellenregel
+- Rechtsprechung nur mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei pruefbarem Link (`dejure.org`, `openjur.de`, `bundesgerichtshof.de`, `bundesverfassungsgericht.de`, `curia.europa.eu`).
+- Keine Zitate aus `anwalt24.de`. Keine `BeckRS` als alleinige Fundstelle bei tragenden Aussagen.
+- Aufsaetze mit Verfasser, Zeitschrift, Jahr, Heft (falls relevant) und Seite.
+- Kommentare mit Bearbeiter und Randnummer.
+- Annahmen explizit als solche kennzeichnen, keine Erfindungen.
+
+## Was dieser Skill nicht macht
+- Kein Ersatz fuer eine vollstaendige Mandantenberatung.
+- Keine Festlegung des Mandanten ohne dessen ausdrueckliche Entscheidung.
+- Keine Bewertung von Tatsachen, die nicht durch Unterlagen oder klare Mandantenangaben gedeckt sind.
+- Bei erkennbaren Interessenkonflikten oder Berufsrechtsfragen Hinweis an den fallfuehrenden Anwalt.

datenschutzrecht/skills/dsr-internationaler-datentransfer-spezial/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: dsr-internationaler-datentransfer-spezial
+description: "Spezialfall internationaler Datentransfer Art. 44 ff. DSGVO: Angemessenheitsbeschluss, SCC, Transfer Impact Assessment, US-Datenschutzrahmen. Pruefraster fuer Konzern."
+---
+
+# DSR: Internationaler Datentransfer
+
+## Spezialwissen: DSR: Internationaler Datentransfer
+- **Spezialgegenstand:** DSR: Internationaler Datentransfer / dsr internationaler datentransfer spezial. Der Skill löst diese konkrete Lage und darf nicht in allgemeines Routing ausweichen.
+- **Normen-/Quellenanker:** Art. 44, DSGVO, SCC, US, DSR, BGH, BVerfG.
+- **Entscheidende Weiche:** Aus dem Sachverhalt sind Tatbestandsmerkmal, Zuständigkeit, Frist, Beweislast, Ermessen/Wertung und Rechtsfolge getrennt herauszuarbeiten; offene Tatsachen werden als offen markiert.
+- **Arbeitsprodukt:** Erzeuge eine fallbezogene Matrix `Norm / Tatsache / Beleg / Gegenargument / Risiko / nächster Schritt` plus einen direkt verwendbaren Baustein für Vermerk, Schreiben, Antrag, Schriftsatz oder Entscheidungsvorlage.
+
+
+## Fallweichen
+Frage zu Beginn nur ab, was fuer den naechsten Schritt unverzichtbar ist. Wenn Material vorliegt, mit dem Material arbeiten und nur eine gezielte Rueckfrage stellen.
+
+1. **Rolle und Ziel:** Wer fragt, welche Rolle, welcher gewuenschte Output (Memo, Schriftsatz, Tabelle, Checkliste)?
+2. **Sachverhalt:** Welche unstreitigen Tatsachen liegen vor, was ist streitig, was fehlt noch?
+3. **Fristen:** Gibt es Termine, Fristen, eilbeduerftige Schritte?
+4. **Unterlagen:** Welche Dokumente, Bescheide, Vertraege, Auszuege liegen vor?
+5. **Format:** Wie ausfuehrlich, fuer wen, in welcher Tonalitaet?
+
+## Pruefraster
+
+Der Output muss als verwertbares Arbeitsprodukt aufgebaut sein:
+
+1. **Sachverhalt fixieren** - streitige und unstreitige Tatsachen trennen, Lueckentafel.
+2. **Rechtliche Einordnung** - einschlaegige Normen, Rechtsprechung BGH/BVerfG/EuGH, Literatur.
+3. **Pruefung im Gutachtenstil** - Obersatz, Definition, Subsumtion, Zwischenergebnis.
+4. **Handlungsempfehlung** - konkret, mit naechstem Schritt, verantwortlicher Person, Frist.
+
+## Plugin-Kontext
+Dieser Skill gehoert zum Plugin `datenschutzrecht`. Er ergaenzt die uebrigen Skills des Plugins um einen vertieften Spezialfall oder eine systematische Einfuehrung. Bei Folgefragen werden andere Skills des Plugins als Anschluss vorgeschlagen.
+
+## Output-Module
+- Strukturierter Pruefvermerk im Gutachtenstil mit klaren Ueberschriften.
+- Tabellen und Checklisten, wo das die Lesbarkeit erhoeht.
+- Anschreiben-, Antrags- oder Klageschriftsatz-Geruest, wenn die Aufgabe das verlangt.
+- Quellenliste mit Gericht, Datum, Aktenzeichen, frei pruefbarem Link.
+
+## Quellenregel
+- Rechtsprechung nur mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei pruefbarem Link (`dejure.org`, `openjur.de`, `bundesgerichtshof.de`, `bundesverfassungsgericht.de`, `curia.europa.eu`).
+- Keine Zitate aus `anwalt24.de`. Keine `BeckRS` als alleinige Fundstelle bei tragenden Aussagen.
+- Aufsaetze mit Verfasser, Zeitschrift, Jahr, Heft (falls relevant) und Seite.
+- Kommentare mit Bearbeiter und Randnummer.
+- Annahmen explizit als solche kennzeichnen, keine Erfindungen.
+
+## Was dieser Skill nicht macht
+- Kein Ersatz fuer eine vollstaendige Mandantenberatung.
+- Keine Festlegung des Mandanten ohne dessen ausdrueckliche Entscheidung.
+- Keine Bewertung von Tatsachen, die nicht durch Unterlagen oder klare Mandantenangaben gedeckt sind.
+- Bei erkennbaren Interessenkonflikten oder Berufsrechtsfragen Hinweis an den fallfuehrenden Anwalt.

datenschutzrecht/skills/dsr-rechtsgrundlage-bauleiter/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: dsr-rechtsgrundlage-bauleiter
+description: "Bauleiter Rechtsgrundlage Art. 6 DSGVO: Einwilligung, Vertrag, Pflicht, Interesse, oeffentliches Interesse. Pruefraster fuer typische Verarbeitungstaetigkeiten."
+---
+
+# DSR: Rechtsgrundlage Bauleiter
+
+## Spezialwissen: DSR: Rechtsgrundlage Bauleiter
+- **Spezialgegenstand:** DSR: Rechtsgrundlage Bauleiter / dsr rechtsgrundlage bauleiter. Der Skill löst diese konkrete Lage und darf nicht in allgemeines Routing ausweichen.
+- **Normen-/Quellenanker:** Art. 6, DSGVO, DSR, Art. 9, Art. 7, Art. 8, EDSA, EU, AO, HGB, GwG.
+- **Entscheidende Weiche:** Aus dem Sachverhalt sind Tatbestandsmerkmal, Zuständigkeit, Frist, Beweislast, Ermessen/Wertung und Rechtsfolge getrennt herauszuarbeiten; offene Tatsachen werden als offen markiert.
+- **Arbeitsprodukt:** Erzeuge eine fallbezogene Matrix `Norm / Tatsache / Beleg / Gegenargument / Risiko / nächster Schritt` plus einen direkt verwendbaren Baustein für Vermerk, Schreiben, Antrag, Schriftsatz oder Entscheidungsvorlage.
+
+
+## Fallweichen
+Frage zu Beginn nur ab, was fuer den naechsten Schritt unverzichtbar ist. Wenn Material vorliegt, mit dem Material arbeiten und nur eine gezielte Rueckfrage stellen.
+
+1. **Rolle und Ziel:** Wer fragt, welche Rolle, welcher gewuenschte Output (Memo, Schriftsatz, Tabelle, Checkliste)?
+2. **Sachverhalt:** Welche unstreitigen Tatsachen liegen vor, was ist streitig, was fehlt noch?
+3. **Fristen:** Gibt es Termine, Fristen, eilbeduerftige Schritte?
+4. **Unterlagen:** Welche Dokumente, Bescheide, Vertraege, Auszuege liegen vor?
+5. **Format:** Wie ausfuehrlich, fuer wen, in welcher Tonalitaet?
+
+## Pruefraster
+
+Der Output muss als verwertbares Arbeitsprodukt aufgebaut sein:
+
+1. **Sachverhalt fixieren** - streitige und unstreitige Tatsachen trennen, Lueckentafel.
+2. **Rechtliche Einordnung** - einschlaegige Normen, Rechtsprechung BGH/BVerfG/EuGH, Literatur.
+3. **Pruefung im Gutachtenstil** - Obersatz, Definition, Subsumtion, Zwischenergebnis.
+4. **Handlungsempfehlung** - konkret, mit naechstem Schritt, verantwortlicher Person, Frist.
+
+## Plugin-Kontext
+Dieser Skill gehoert zum Plugin `datenschutzrecht`. Er ergaenzt die uebrigen Skills des Plugins um einen vertieften Spezialfall oder eine systematische Einfuehrung. Bei Folgefragen werden andere Skills des Plugins als Anschluss vorgeschlagen.
+
+## Output-Module
+- Strukturierter Pruefvermerk im Gutachtenstil mit klaren Ueberschriften.
+- Tabellen und Checklisten, wo das die Lesbarkeit erhoeht.
+- Anschreiben-, Antrags- oder Klageschriftsatz-Geruest, wenn die Aufgabe das verlangt.
+- Quellenliste mit Gericht, Datum, Aktenzeichen, frei pruefbarem Link.
+
+## Quellenregel
+- Rechtsprechung nur mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei pruefbarem Link (`dejure.org`, `openjur.de`, `bundesgerichtshof.de`, `bundesverfassungsgericht.de`, `curia.europa.eu`).
+- Keine Zitate aus `anwalt24.de`. Keine `BeckRS` als alleinige Fundstelle bei tragenden Aussagen.
+- Aufsaetze mit Verfasser, Zeitschrift, Jahr, Heft (falls relevant) und Seite.
+- Kommentare mit Bearbeiter und Randnummer.
+- Annahmen explizit als solche kennzeichnen, keine Erfindungen.
+
+## Was dieser Skill nicht macht
+- Kein Ersatz fuer eine vollstaendige Mandantenberatung.
+- Keine Festlegung des Mandanten ohne dessen ausdrueckliche Entscheidung.
+- Keine Bewertung von Tatsachen, die nicht durch Unterlagen oder klare Mandantenangaben gedeckt sind.
+- Bei erkennbaren Interessenkonflikten oder Berufsrechtsfragen Hinweis an den fallfuehrenden Anwalt.

datenschutzrecht/skills/dsr-schadensersatz-art82-spezial/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: dsr-schadensersatz-art82-spezial
+description: "Spezialfall Schadensersatz Art. 82 DSGVO: materiell und immateriell, EuGH-Rechtsprechung Bagatell-Klausel, Beweislast. Pruefraster fuer Klaegervertreter."
+---
+
+# DSR: Art-82-Schadensersatz
+
+## Spezialwissen: DSR: Art-82-Schadensersatz
+- **Spezialgegenstand:** DSR: Art-82-Schadensersatz / dsr schadensersatz art82 spezial. Der Skill löst diese konkrete Lage und darf nicht in allgemeines Routing ausweichen.
+- **Normen-/Quellenanker:** Art. 82, DSGVO, DSR.
+- **Entscheidende Weiche:** Aus dem Sachverhalt sind Tatbestandsmerkmal, Zuständigkeit, Frist, Beweislast, Ermessen/Wertung und Rechtsfolge getrennt herauszuarbeiten; offene Tatsachen werden als offen markiert.
+- **Arbeitsprodukt:** Erzeuge eine fallbezogene Matrix `Norm / Tatsache / Beleg / Gegenargument / Risiko / nächster Schritt` plus einen direkt verwendbaren Baustein für Vermerk, Schreiben, Antrag, Schriftsatz oder Entscheidungsvorlage.
+
+
+## Fallweichen
+Frage zu Beginn nur ab, was fuer den naechsten Schritt unverzichtbar ist. Wenn Material vorliegt, mit dem Material arbeiten und nur eine gezielte Rueckfrage stellen.
+
+1. **Rolle und Ziel:** Wer fragt, welche Rolle, welcher gewuenschte Output (Memo, Schriftsatz, Tabelle, Checkliste)?
+2. **Sachverhalt:** Welche unstreitigen Tatsachen liegen vor, was ist streitig, was fehlt noch?
+3. **Fristen:** Gibt es Termine, Fristen, eilbeduerftige Schritte?
+4. **Unterlagen:** Welche Dokumente, Bescheide, Vertraege, Auszuege liegen vor?
+5. **Format:** Wie ausfuehrlich, fuer wen, in welcher Tonalitaet?
+
+## Pruefraster
+
+Der Output muss als verwertbares Arbeitsprodukt aufgebaut sein:
+
+1. **Sachverhalt fixieren** - streitige und unstreitige Tatsachen trennen, Lueckentafel.
+2. **Rechtliche Einordnung** - einschlaegige Normen, Rechtsprechung BGH/BVerfG/EuGH, Literatur.
+3. **Pruefung im Gutachtenstil** - Obersatz, Definition, Subsumtion, Zwischenergebnis.
+4. **Handlungsempfehlung** - konkret, mit naechstem Schritt, verantwortlicher Person, Frist.
+
+## Plugin-Kontext
+Dieser Skill gehoert zum Plugin `datenschutzrecht`. Er ergaenzt die uebrigen Skills des Plugins um einen vertieften Spezialfall oder eine systematische Einfuehrung. Bei Folgefragen werden andere Skills des Plugins als Anschluss vorgeschlagen.
+
+## Output-Module
+- Strukturierter Pruefvermerk im Gutachtenstil mit klaren Ueberschriften.
+- Tabellen und Checklisten, wo das die Lesbarkeit erhoeht.
+- Anschreiben-, Antrags- oder Klageschriftsatz-Geruest, wenn die Aufgabe das verlangt.
+- Quellenliste mit Gericht, Datum, Aktenzeichen, frei pruefbarem Link.
+
+## Quellenregel
+- Rechtsprechung nur mit Gericht, Entscheidungsform, Datum, Aktenzeichen und frei pruefbarem Link (`dejure.org`, `openjur.de`, `bundesgerichtshof.de`, `bundesverfassungsgericht.de`, `curia.europa.eu`).
+- Keine Zitate aus `anwalt24.de`. Keine `BeckRS` als alleinige Fundstelle bei tragenden Aussagen.
+- Aufsaetze mit Verfasser, Zeitschrift, Jahr, Heft (falls relevant) und Seite.
+- Kommentare mit Bearbeiter und Randnummer.
+- Annahmen explizit als solche kennzeichnen, keine Erfindungen.
+
+## Was dieser Skill nicht macht
+- Kein Ersatz fuer eine vollstaendige Mandantenberatung.
+- Keine Festlegung des Mandanten ohne dessen ausdrueckliche Entscheidung.
+- Keine Bewertung von Tatsachen, die nicht durch Unterlagen oder klare Mandantenangaben gedeckt sind.
+- Bei erkennbaren Interessenkonflikten oder Berufsrechtsfragen Hinweis an den fallfuehrenden Anwalt.

datenschutzrecht/skills/dsv-art-9-besondere-kategorien/SKILL.md

@@ -0,0 +1,50 @@
+---
+name: dsv-art-9-besondere-kategorien
+description: "Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; genetische und biometrische Daten zur eindeutigen Identifizierung; Gesundheitsdaten; Daten zum Sexualleben oder zur sexuellen Orientierung. Folgen: regelmäßige Annahme hohen Risikos; Benachrichtigung Art. 34 DSGVO; Bußgeldverschärfung Art. 83 Abs. 5. Output: Memo mit Schutzbedarfsanalyse. Abgrenzung: § 203 StGB getrennt; Sozialdaten getrennt."
+---
+
+# Besondere Kategorien Art. 9 DSGVO im Datenschutzvorfall
+
+## Triage — kläre vor der Bearbeitung
+
+1. Liegen Daten im Sinne Art. 9 Abs. 1 DSGVO vor — wenn ja welche konkret?
+2. Wie viele Betroffene und welche Mengen?
+3. Sind die Daten im Klartext oder verschlüsselt oder pseudonymisiert?
+4. Welche besondere Aufsicht (Sektorbehörde) ist zuständig?
+5. Welche besondere Bußgeldhöhe droht (Art. 83 Abs. 5 DSGVO)?
+- Was will der Mandant wirklich erreichen? (Schadensbegrenzung; rechtskonforme Benachrichtigung)
+
+## Rechtsgrundlagen
+
+- **Art. 9 Abs. 1 DSGVO** Verbot mit Erlaubnisvorbehalt; **Art. 9 Abs. 2 DSGVO** Ausnahmen.
+- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei hohem Risiko — bei Art. 9 regelmäßig zu bejahen.
+- **Art. 83 Abs. 5 lit. a DSGVO** verschärfter Bußgeldrahmen bis 20 Mio. EUR oder 4 Prozent.
+- **Erwägungsgrund 75 DSGVO** besondere Risiken bei sensiblen Daten.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Gesundheitsdaten-Leaks und Bußgeldhöhen vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 9 Abs. 1; Art. 9 Abs. 2; Art. 34 Abs. 1; Art. 83 Abs. 5 lit. a DSGVO; Erwägungsgrund 75.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Schutzbedarfsanalyse Art. 9
+
+Welche Kategorie liegt vor; in welcher Form (Klartext / pseudonymisiert / verschlüsselt); welche Anzahl; welche Folgen sind plausibel.
+
+Conclusion: bei Art. 9-Daten im Klartext regelmäßig Meldung Art. 33 und Benachrichtigung Art. 34; Begründung schriftlich für die Akte.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-paragraf-203-stgb-berufsgeheimnis` deckt strafrechtliche Geheimnistraeger ab.
+- `dsv-sozialdaten-sgb` deckt Sozialdaten ab.

datenschutzrecht/skills/dsv-aufnahme-statusinformation/SKILL.md

@@ -0,0 +1,68 @@
+---
+name: dsv-aufnahme-statusinformation
+description: "Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpostfach; Sachverhaltskurzfassung; 72-Stunden-Endpunkt als Datum und Uhrzeit; Ampelstatus grün gelb rot schwarz mit Begründung; aktuelle Einschätzung; Bewertung Meldepflicht nach Art. 33 DSGVO; Bewertung Informationspflicht nach Art. 34 DSGVO; nächster Schritt mit Verantwortlichem. Output: Fließtext-Memo 100-300 Wörter; matter-of-factly; Reasoning vor Conclusion in jedem Feld. Abgrenzung: keine Behördenmeldung; keine Risikobewertung im engeren Sinne."
+---
+
+# Datenschutzvorfall — Erstaufnahme als Statusinformation
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wann genau wurde der Vorfall durch wen bemerkt und an welche interne Stelle gemeldet?
+2. Welche Datenkategorien und welcher Personenkreis sind potenziell betroffen?
+3. Ist der 72-Stunden-Lauf nach Art. 33 Abs. 1 DSGVO bereits angestoßen oder läuft er noch?
+4. Welche Sofortmaßnahmen wurden bereits getroffen und welche stehen aus?
+5. Wer ist Empfänger der Statusinformation — Geschäftsleitung, Datenschutzbeauftragter, Vorstand, externer Berater?
+- Was will der Mandant wirklich erreichen? (Lagebild, Entscheidungsgrundlage Meldung, Eskalation, Dokumentation)
+
+## Rechtsgrundlagen
+
+- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden ab Kenntniserlangung an die zuständige Aufsichtsbehörde.
+- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht jedes Vorfalls unabhängig von der Meldepflicht.
+- **Art. 34 DSGVO** Benachrichtigung der betroffenen Personen bei voraussichtlich hohem Risiko.
+- **§ 42 BDSG** Strafvorschriften bei vorsätzlicher unbefugter Offenlegung.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht des Verantwortlichen.
+
+## Aktuelle Rechtsprechung
+
+Rechtsprechung wird nicht aus Modellwissen zitiert; aktuelle Entscheidungen des EuGH und BGH zur Auslegung der 72-Stunden-Frist und zum Kenntnisbegriff sind vor Ausgabe über die unten genannten Quellen zu verifizieren.
+
+## Zentrale Normen
+
+Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 3; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; § 42 BDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Statusinformation (Stilreferenz Fließtext)
+
+Vorgang: kurze sprechende Bezeichnung des Vorfalls.
+
+Kenntnisnahme: Wer hat wann was durch welche Wahrnehmung erkannt — Reasoning vor Conclusion.
+
+Eingang Service-Desk: Zeitpunkt und Ticketnummer mit kurzer Begründung der Zuordnung.
+
+Eingang Datenschutzpostfach: Zeitpunkt der formalen Weiterleitung an die Datenschutzorganisation.
+
+Sachverhalt: drei bis fünf Sätze; was ist passiert; welche Systeme; welche Datenkategorien; welcher Personenkreis.
+
+72-Stunden-Endpunkt: konkretes Datum und Uhrzeit mit Bezug auf den Kenntnisnahmezeitpunkt.
+
+Ampelstatus: 🟢 unkritisch / 🟡 beobachtet / 🔴 meldepflichtig / ⚫ benachrichtigungspflichtig — mit kurzer Erläuterung.
+
+Aktuelle Einschätzung: technische und organisatorische Lage; eingrenzbar oder nicht.
+
+Bewertung: Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten; Reasoning vor Conclusion.
+
+Meldepflicht Art. 33: ja / nein / noch offen mit Begründung.
+
+Informationspflicht Art. 34: ja / nein / noch offen mit Begründung.
+
+Nächster Schritt: konkret, mit Verantwortlichem und Zeitpunkt.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-benachrichtigung-art-34-ausnahmen/SKILL.md

@@ -0,0 +1,54 @@
+---
+name: dsv-benachrichtigung-art-34-ausnahmen
+description: "Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes Risiko nicht mehr eintreten lassen; lit. c unverhältnismäßiger Aufwand mit öffentlicher Bekanntmachung als Ersatz; Darlegungs- und Beweislast; Behördenakzeptanz. Output: Ausnahmenprüfungs-Memo mit Begründung. Abgrenzung: keine Schwellenwertentscheidung."
+---
+
+# Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Verschlüsselung war wirksam und entspricht dem Stand der Technik?
+2. Welche nachträglichen Maßnahmen reduzieren das Risiko nachweisbar?
+3. Welcher Aufwand wäre für die individuelle Benachrichtigung tatsächlich angefallen?
+4. Welche öffentliche Bekanntmachung kommt als Ersatz in Betracht?
+5. Welche Beweise dokumentieren die Ausnahme?
+- Was will der Mandant wirklich erreichen? (rechtssichere Nichtbenachrichtigung; saubere Akte)
+
+## Rechtsgrundlagen
+
+- **Art. 34 Abs. 3 lit. a DSGVO** technische Schutzmaßnahmen.
+- **Art. 34 Abs. 3 lit. b DSGVO** nachträgliche Maßnahmen.
+- **Art. 34 Abs. 3 lit. c DSGVO** unverhältnismäßiger Aufwand und öffentliche Bekanntmachung.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Erwägungsgrund 86 DSGVO**.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu lit. a Verschlüsselungsstandards und lit. c unverhältnismäßiger Aufwand vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 34 Abs. 3 lit. a-c; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 86.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Ausnahmenprüfung
+
+lit. a: Verschlüsselung nachweisen — Algorithmus, Schlüsselverwaltung, Stand der Technik (BSI-Empfehlungen). Reasoning vor Conclusion.
+
+lit. b: Nachträgliche Maßnahmen mit Wirksamkeitsnachweis dokumentieren.
+
+lit. c: Aufwandsabschätzung mit Vergleich zum Risiko; öffentliche Bekanntmachung Format und Reichweite.
+
+Beweislast: liegt beim Verantwortlichen — schriftlich dokumentieren mit Datum und Verantwortlichem.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-pressemitteilung-krisenkommunikation` deckt die oeffentliche Bekanntmachung ab.

datenschutzrecht/skills/dsv-benachrichtigung-art-34-betroffene/SKILL.md

@@ -0,0 +1,69 @@
+---
+name: dsv-benachrichtigung-art-34-betroffene
+description: "Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung; Kontaktdaten des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene und vorgeschlagene Abhilfemaßnahmen; konkrete Empfehlungen für Betroffene; Hotline; Versandweg E-Mail oder Brief. Output: Anschreiben mit Q&A. Abgrenzung: keine öffentliche Bekanntmachung; keine Behördenmeldung."
+---
+
+# Benachrichtigung der Betroffenen nach Art. 34 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Liegt die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO vor?
+2. Welche Adressdaten der Betroffenen sind vorhanden?
+3. Welcher Versandweg ist sachgerecht (E-Mail, Brief, Push-Nachricht)?
+4. Welche konkreten Schutzempfehlungen können gegeben werden?
+5. Welche Hotline oder E-Mail-Adresse steht zur Verfügung?
+- Was will der Mandant wirklich erreichen? (rechtskonforme Benachrichtigung; Vertrauenserhalt; Sammelklagen-Schutz)
+
+## Rechtsgrundlagen
+
+- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei voraussichtlich hohem Risiko.
+- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte und klare einfache Sprache.
+- **Art. 34 Abs. 3 DSGVO** Ausnahmen.
+- **Art. 12 DSGVO** Transparenz.
+- **§ 29 BDSG** Beschränkungen.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zur Form der Benachrichtigung und zu Sammelklagen wegen unvollständiger Benachrichtigung vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 12; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 34 Abs. 3 DSGVO; § 29 BDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Benachrichtigungsschreiben
+
+Betreff: Wichtige Information zu einem Datenschutzvorfall.
+
+Sehr geehrte/r [Name],
+
+wir möchten Sie darüber informieren, dass es am [Datum] in unserem Unternehmen zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, von der auch Ihre Daten betroffen sind.
+
+Was ist passiert: [klare einfache Beschreibung in zwei bis drei Sätzen].
+
+Welche Ihrer Daten sind betroffen: [konkrete Aufzählung].
+
+Welche Folgen sind möglich: [realistische Einschätzung ohne Verharmlosung und ohne Panikmache].
+
+Was wir bereits unternommen haben: [Sofortmaßnahmen].
+
+Was wir Ihnen empfehlen: [konkrete Schritte — Passwort ändern, Konten beobachten, Schufa-Auskunft einholen, je nach Fall].
+
+Kontakt: Datenschutzbeauftragter [Name, E-Mail, Telefon]; Hotline [Nummer]; FAQ [URL].
+
+Wir entschuldigen uns für die entstandene Unannehmlichkeit und stehen Ihnen für Rückfragen zur Verfügung.
+
+Mit freundlichen Grüßen, [Geschäftsleitung]
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` deckt die Schwellenwertentscheidung ab.
+- `dsv-benachrichtigung-art-34-ausnahmen` deckt die Ausnahmen ab.

datenschutzrecht/skills/dsv-benachrichtigung-art-34-schwelle-hohes-risiko/SKILL.md

@@ -0,0 +1,55 @@
+---
+name: dsv-benachrichtigung-art-34-schwelle-hohes-risiko
+description: "Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen Art. 9 DSGVO und Minderjährige; Klartext-Passwörter; Finanzdaten; Gesundheitsdaten; Bewertungsmemo für die Akte. Output: Schwellenentscheidung mit Begründung und Bezug auf EDSA. Abgrenzung: keine konkrete Benachrichtigung; keine Ausnahmenprüfung."
+---
+
+# Schwelle hohes Risiko nach Art. 34 Abs. 1 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Schwere der Folgen ist plausibel und welche Wahrscheinlichkeit?
+2. Welche EDSA-Beispielfallgruppe passt (Klartext-Passwort-Leak; Gesundheitsdaten-Leak; Finanzdaten-Leak)?
+3. Sind besondere Schutzbedürftige betroffen (Kinder, Patienten)?
+4. Welche Beweislast trifft den Verantwortlichen?
+5. Welche Folgewirkung hat die Entscheidung auf Pressekommunikation und Bußgeldverfahren?
+- Was will der Mandant wirklich erreichen? (begründete Entscheidung; Verteidigungsfähigkeit)
+
+## Rechtsgrundlagen
+
+- **Art. 34 Abs. 1 DSGVO** Schwellenwert.
+- **Erwägungsgrund 75; 76; 86 DSGVO**.
+- **EDSA-Leitlinien 9/2022** Beispiele.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Entscheidungen zur Schwellenwertentscheidung Art. 34 DSGVO vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 34 Abs. 1; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 75; 76; 86; EDSA-Leitlinien 9/2022.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Bewertungsraster
+
+Faktor 1 Schwere: gering / mittel / hoch / sehr hoch.
+
+Faktor 2 Wahrscheinlichkeit: gering / mittel / hoch.
+
+Faktor 3 Datenkategorie: normale Daten / Art. 9 / Finanzdaten / Identitätsdaten.
+
+Faktor 4 Personengruppe: Erwachsene / Minderjährige / Patienten / besonders Schutzbedürftige.
+
+Conclusion: hohes Risiko ab Schwere hoch + Wahrscheinlichkeit mittel; bei Art. 9 + Kinder regelmäßig zu bejahen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-risikobewertung-edsa-leitlinie` und `dsv-risikobewertung-enisa-schweregrad` liefern methodische Tiefe.

datenschutzrecht/skills/dsv-beweissicherung/SKILL.md

@@ -0,0 +1,50 @@
+---
+name: dsv-beweissicherung
+description: "Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabbilder; Hashes; Zeugenidentifikation; Dokumentation der Wahrnehmungen; Aufbewahrungsfristen; Datenschutzbeschränkungen bei Mitarbeiterüberwachung; Telekommunikationsgeheimnis. Output: Beweissicherungs-Protokoll mit Checkliste und Übergabeformular. Abgrenzung: keine eigene Forensik; keine Strafanzeige."
+---
+
+# Beweissicherung nach Datenschutzvorfall — Chain of Custody
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Systeme und Speichermedien sind potenziell Beweismittel?
+2. Gibt es Hinweise auf einen Innentäter und damit besondere Anforderungen an die Vertraulichkeit?
+3. Liegt Telekommunikationsgeheimnis nach § 3 TTDSG vor?
+4. Welche Aufbewahrungsfristen gelten für die Logs?
+5. Wer übernimmt die forensische Sicherung — interne IT oder externer Forensiker?
+- Was will der Mandant wirklich erreichen? (gerichtsverwertbare Beweise; saubere Akte; spätere Verteidigung)
+
+## Rechtsgrundlagen
+
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Art. 32 DSGVO** angemessene Sicherheitsmaßnahmen.
+- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
+- **§ 26 BDSG** Mitarbeiterdatenverarbeitung.
+- **§ 3 TTDSG** Fernmeldegeheimnis.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Beweisverwertungsverboten bei verdeckter Mitarbeiterkontrolle vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 32; Art. 33 Abs. 5 DSGVO; § 26 BDSG; § 3 TTDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Chain-of-Custody-Protokoll
+
+Asset-ID; Beschreibung; Sicherungszeitpunkt; sichernde Person; Übergabezeitpunkt; übernehmende Person; Hashwert vor/nach Sicherung; Aufbewahrungsort; Zugriffsberechtigte; Zweck der Sicherung; Rechtsgrundlage der Verarbeitung der gesicherten Daten.
+
+Logging: Welche Log-Quellen wurden eingefroren? Welche Retention war eingestellt? Welche Lücken gibt es?
+
+Zeugen: Wer hat wann was wahrgenommen — in eigenen Worten und mit Zeitstempel protokollieren.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-bussgeldverteidigung-art-83/SKILL.md

@@ -0,0 +1,64 @@
+---
+name: dsv-bussgeldverteidigung-art-83
+description: "Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit nach EuGH Deutsche Wohnen; Verschuldensfrage; Mitwirkungspflicht und Selbstbelastung; Rechtsweg gegen Bußgeldbescheid; OWiG-Spezialitäten. Output: Verteidigungsstrategie mit Bemessungsanalyse. Abgrenzung: keine Schadensersatzverteidigung Art. 82; keine Strafverteidigung § 42 BDSG."
+---
+
+# Bußgeldverteidigung Art. 83 DSGVO nach Datenschutzvorfall
+
+Dieser Skill ist die schnelle Datenschutzrecht-Brücke. Für die volle Verteidigung im Sanktionsverfahren zusätzlich das Spezialplugin `datenschutz-sanktionsverfahren-verteidigung` laden. Dort werden Bußgeldverfahren, Art.-58-Anordnungen, verwaltungsgerichtlicher Rechtsschutz, OWiG/StPO-Verfahrensgarantien und Behördenstrategie vertieft.
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Aufsichtsbehörde führt das Verfahren und welche bisherige Bußgeldpraxis hat sie?
+2. Welche Vorwürfe stehen im Raum (Art. 33; Art. 32; Art. 5)?
+3. Welche Umsatzgröße bestimmt die Bußgeldobergrenze nach Art. 83 Abs. 4 oder Abs. 5?
+4. Welche Mitwirkung des Mandanten ist behördlich erwartet worden?
+5. Welche mildernden Umstände sind verfügbar (Selbstmeldung; Kooperation; Vorbeugung)?
+- Was will der Mandant wirklich erreichen? (Bußgeldhöhe minimieren; Reputationsschutz; Verfahren rasch beenden)
+
+## Rechtsgrundlagen
+
+- **Art. 83 Abs. 1 DSGVO** allgemeine Bedingungen.
+- **Art. 83 Abs. 2 DSGVO** Bemessungsfaktoren.
+- **Art. 83 Abs. 4; 5 DSGVO** Bußgeldrahmen.
+- **EDSA-Leitlinien 04/2022** Bußgeldberechnung.
+- **§ 41 BDSG**: OWiG gilt sinngemäß; §§ 17, 35 und 36 OWiG gelten nicht; § 68 OWiG mit Landgerichtszuständigkeit, wenn die festgesetzte DSGVO-Geldbuße 100.000 EUR übersteigt.
+- **OWiG-Kernspur:** Anhörung § 55, Bußgeldbescheid § 65, Einspruch § 67, Zwischenverfahren § 69, Hauptverhandlung § 71, Beschlussverfahren § 72, Anwesenheit/Entbindung § 73, Rechtsbeschwerde § 79 OWiG.
+- **§ 20 BDSG**: Verwaltungsrechtsweg für Art.-78-Streitigkeiten gegen Aufsichtsbehörden, aber nicht für Bußgeldverfahren. Für Art.-58-Anordnungen immer separat prüfen.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen) und EuGH, Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras) vor Ausgabe über CURIA/EUR-Lex oder eine freie Rechtsprechungsdatenbank verifizieren. Kernaussage nur nach Prüfung verwenden: unmittelbare Unternehmensgeldbuße ohne Identifizierung einer natürlichen Person möglich, aber keine verschuldensunabhängige Haftung.
+
+## Zentrale Normen
+
+Art. 58 Abs. 2, Art. 78, Art. 83 Abs. 1, Art. 83 Abs. 2, Art. 83 Abs. 4, Art. 83 Abs. 5, Art. 83 Abs. 6 DSGVO; § 20, § 41 BDSG; §§ 49, 55, 65, 67, 68, 69, 71, 72, 73, 79 OWiG; § 147 StPO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Verteidigungsraster
+
+Schritt 1: Akteneinsicht beantragen.
+
+Schritt 2: Sachverhalt prüfen — was ist tatsächlich passiert; was kann die Behörde belegen.
+
+Schritt 3: Verschuldensfrage prüfen — Vorsatz oder Fahrlässigkeit; wirtschaftliche Einheit.
+
+Schritt 4: Verfahrensweg prüfen — Bußgeldspur nach OWiG/BDSG oder verwaltungsgerichtliche Abwehr gegen Art.-58-Anordnung; beides nicht vermischen.
+
+Schritt 5: Bemessungsfaktoren prüfen — alle Kriterien nach Art. 83 Abs. 2 DSGVO einzeln.
+
+Schritt 6: Mildernde Umstände sammeln — Selbstmeldung; Kooperation; Compliance-Programm; bereits ergriffene Maßnahmen.
+
+Schritt 7: Stellungnahme verfassen; ggf. Bußgeldbescheid abwarten; Einspruch fristgemäß.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-schadensersatz-art-82` deckt zivilrechtliche Folgen ab.

datenschutzrecht/skills/dsv-dsfa-update-nach-vorfall/SKILL.md

@@ -0,0 +1,54 @@
+---
+name: dsv-dsfa-update-nach-vorfall
+description: "Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei verbleibendem hohem Risiko; Verknüpfung mit VVT und Vorfallregister. Output: DSFA-Update-Vorlage mit Pflichtfeldern. Abgrenzung: keine neue DSFA; kein Verfahrensverzeichnis."
+---
+
+# Datenschutz-Folgenabschätzung nach Datenschutzvorfall aktualisieren
+
+## Triage — kläre vor der Bearbeitung
+
+1. Gab es bisher eine DSFA für die betroffene Verarbeitung?
+2. Welche Risiken haben sich realisiert oder offenbart?
+3. Welche Abhilfemaßnahmen sind nachhaltig wirksam?
+4. Bleibt nach Maßnahmen ein hohes Risiko bestehen?
+5. Ist Konsultation Art. 36 DSGVO erforderlich?
+- Was will der Mandant wirklich erreichen? (rechtskonforme Fortführung der Verarbeitung; Behördenkonsens)
+
+## Rechtsgrundlagen
+
+- **Art. 35 DSGVO** DSFA.
+- **Art. 36 DSGVO** vorherige Konsultation.
+- **Art. 32 DSGVO** TOM.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **BfDI- und LDA-DSFA-Listen** (Black- und Whitelist).
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Anforderungen an die DSFA-Aktualisierung nach Vorfall vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 32; Art. 35; Art. 36 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — DSFA-Update-Felder
+
+1. Beschreibung der Verarbeitung mit Bezug auf VVT.
+2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
+3. Bewertung der Risiken — vorher und nachher.
+4. Geplante Maßnahmen — vor und nach Vorfall.
+5. Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich ja/nein mit Begründung.
+6. Stellungnahme des Datenschutzbeauftragten.
+7. Versionsstand mit Datum und Bearbeiter.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-vvt-update-nach-vorfall` deckt das VVT ab.

datenschutzrecht/skills/dsv-erstgespraech-vorfallmeldung/SKILL.md

@@ -0,0 +1,64 @@
+---
+name: dsv-erstgespraech-vorfallmeldung
+description: "Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedarfsklassen; geschätzte Anzahl betroffener Personen; Auftragsverarbeiter-Konstellation; Konzernbezug Art. 56 DSGVO; bereits eingeleitete Sofortmaßnahmen; Beweissicherung; Pressekontakte; aufsichtsbehördliche Vorkontakte. Output: strukturiertes Gesprächsprotokoll mit Lücken-Liste. Abgrenzung: keine eigene Risikobewertung; keine Behördenmeldung."
+---
+
+# Erstgespräch nach gemeldetem Datenschutzvorfall — Fragenkatalog
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wer nimmt am Erstgespräch teil — Geschäftsleitung, DSB, IT-Leitung, externer Forensiker, Versicherer?
+2. Liegt eine schriftliche Vorfallmeldung vor oder erfolgt sie mündlich?
+3. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung?
+4. Ist eine Cyberversicherung im Spiel und welche Meldepflichten bestehen dort?
+5. Gibt es einen Auftragsverarbeitervertrag oder eine gemeinsame Verantwortlichkeit?
+- Was will der Mandant wirklich erreichen? (Lagebild, Meldepflichtprüfung, Bußgeldverteidigung, Haftungsminimierung)
+
+## Rechtsgrundlagen
+
+- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
+- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters an den Verantwortlichen.
+- **Art. 28 Abs. 3 lit. f DSGVO** Unterstützungspflicht des Auftragsverarbeiters.
+- **Art. 56 DSGVO** Federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Kenntnisbegriff Art. 33 Abs. 1 DSGVO und Reichweite der Meldepflicht des Auftragsverarbeiters vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 4 Nr. 12; Art. 28; Art. 33; Art. 34; Art. 56 DSGVO; § 42 BDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Fragenblöcke
+
+Zeitstrahl: Wann wurde was durch wen wahrgenommen — minutengenau wenn möglich.
+
+Betroffene Verarbeitungen: Welche Verarbeitungstätigkeiten nach VVT sind tangiert?
+
+Datenkategorien: Art. 9 DSGVO, Art. 10 DSGVO, Sozialdaten, Berufsgeheimnis § 203 StGB, Kinderdaten?
+
+Personenkreis: Mitarbeiter, Kunden, Patienten, Mandanten, Schüler — geschätzte Anzahl.
+
+Auftragsverarbeiter: Liegt AV-Vertrag vor; wer hat zuerst Kenntnis erlangt?
+
+Konzernbezug: Hauptniederlassung in welchem EU-Mitgliedstaat?
+
+Sofortmaßnahmen: Welche technischen und organisatorischen Schritte sind bereits erfolgt?
+
+Beweissicherung: Logs, Images, Zeugen, Chain of Custody.
+
+Externe Kommunikation: Presse, Kunden, Aufsichtsbehörde bereits angesprochen?
+
+Versicherung: Cyberpolice; Meldepflicht-Trigger?
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-eskalationsmatrix/SKILL.md

@@ -0,0 +1,51 @@
+---
+name: dsv-eskalationsmatrix
+description: "Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertreter; Wochenend- und Feiertagsregelung; Eskalationsprotokoll; Ausweichkommunikation bei IT-Ausfall. Output: Matrix mit Stufen und Verantwortlichen plus Erreichbarkeitsplan. Abgrenzung: keine konkrete Stakeholder-Information."
+---
+
+# Eskalationsmatrix Datenschutzvorfall
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Schwellenwerte rechtfertigen welche Eskalationsstufe?
+2. Welche Erreichbarkeit ist außerhalb der Bürozeiten gewährleistet?
+3. Wer entscheidet über externe Eskalation (Anwalt, Versicherung, Behörde)?
+4. Welche Ausweichkommunikation gilt bei IT-Ausfall (Mobilfunk, persönlich, Pager)?
+5. Wer dokumentiert die Eskalationsentscheidung?
+- Was will der Mandant wirklich erreichen? (klare Entscheidungswege; keine Eskalation läuft ins Leere)
+
+## Rechtsgrundlagen
+
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Art. 24 DSGVO** Verantwortung des Verantwortlichen.
+- **Art. 32 DSGVO** technische und organisatorische Maßnahmen.
+- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen verspäteter Meldung infolge Eskalationsversagen vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 1 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Eskalationsstufen
+
+Stufe 1: Erstmelder → Service-Desk (innerhalb 30 Minuten).
+Stufe 2: Service-Desk → DSB / IT-Sicherheit (innerhalb 1 Stunde).
+Stufe 3: DSB → Geschäftsleitung und Anwalt (innerhalb 4 Stunden).
+Stufe 4: Geschäftsleitung → Cyberversicherung und Aufsichtsbehörde (innerhalb 24 Stunden ab Kenntnisnahme).
+Stufe 5: Pressemitteilung und Mitarbeiter-Information (nach Lagebeurteilung).
+
+Erreichbarkeit: Hauptkontakt + zwei Stellvertreter je Stufe; 24/7-Rufbereitschaft definieren.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-forensische-erstsicherung/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: dsv-forensische-erstsicherung
+description: "Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsprivileg; Scope; Triage versus tiefe Analyse; Berichtsformate; Kommunikation mit Aufsichtsbehörde; Schnittstellen zur Cyberversicherung. Output: Beauftragungsmuster, Briefing für Forensiker und Steuerungsraster. Abgrenzung: keine eigene forensische Tätigkeit; keine technische Anleitung."
+---
+
+# Forensische Erstsicherung — Beauftragung und Steuerung
+
+## Triage — kläre vor der Bearbeitung
+
+1. Soll der Forensiker durch den Mandanten oder durch die Kanzlei beauftragt werden (Anwaltsprivileg)?
+2. Welche Cyberversicherung gibt einen Forensiker vor?
+3. Welche Daten sind besonders sensibel und schränken den Scope ein?
+4. Welche Sprache muss der Bericht haben — Deutsch oder Englisch für die Behörde?
+5. Wer übernimmt die Schnittstelle zur Aufsichtsbehörde?
+- Was will der Mandant wirklich erreichen? (Eindämmung; rechtssichere Bewertung; Verteidigungsfähigkeit)
+
+## Rechtsgrundlagen
+
+- **Art. 32 DSGVO** Sicherheit der Verarbeitung.
+- **Art. 33 Abs. 3 lit. c DSGVO** Maßnahmenangabe in der Meldung.
+- **§ 43a Abs. 2 BRAO** Verschwiegenheit; **§ 53 StPO** Zeugnisverweigerungsrecht.
+- **§ 203 StGB** Berufsgeheimnis.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zur Reichweite des Anwaltsprivilegs bei Cyber-Forensik vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 32; Art. 33 Abs. 3 lit. c DSGVO; § 43a Abs. 2 BRAO; § 53 StPO; § 203 StGB.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Beauftragungsraster
+
+Auftraggeber: Kanzlei in Untermandat / Mandant direkt.
+
+Scope: Triage-Bericht 48 h; vertiefte Analyse Wochen 1-4; Schlussbericht.
+
+Lieferobjekte: Sofort-Memo; Zwischenbericht; Schlussbericht; Behörden-tauglicher Kurzbericht.
+
+Vertraulichkeit: NDA; Anwaltsprivileg-Klausel; Aufbewahrung nur in Mandantenakte.
+
+Schnittstellen: Versicherung; Aufsichtsbehörde; Strafverfolgung.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-interne-dokumentation-art-33-abs-5/SKILL.md

@@ -0,0 +1,49 @@
+---
+name: dsv-interne-dokumentation-art-33-abs-5
+description: "Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schnittstelle zu Risikomanagement; Vorlage auf Anforderung der Aufsichtsbehörde; Versionierung. Output: Vorlage Vorfallregister mit Pflichtfeldern. Abgrenzung: kein Verfahrensverzeichnis Art. 30."
+---
+
+# Interne Dokumentation Art. 33 Abs. 5 DSGVO — Vorfallregister
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wer pflegt das Register — DSB, IT-Sicherheit, Compliance?
+2. Welches System (Excel, GRC-Tool, DMS)?
+3. Welche Aufbewahrungsfrist gilt im Unternehmen?
+4. Welche Schnittstellen zu VVT, DSFA, ISMS bestehen?
+5. Wer hat Zugriff?
+- Was will der Mandant wirklich erreichen? (Rechenschaftspflicht erfüllen; Bußgeldverteidigung)
+
+## Rechtsgrundlagen
+
+- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Art. 30 DSGVO** VVT.
+- **Art. 24 DSGVO** Verantwortung.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zur Aufbewahrungsdauer und Vorlagepflicht vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 24; Art. 30; Art. 33 Abs. 5 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Pflichtfelder Vorfallregister
+
+Vorfall-ID; Datum Kenntnisnahme; Datum Eintritt; Kategorie (V/I/V); Sachverhalt; betroffene Verarbeitung VVT-ID; Datenarten; Anzahl Betroffener; Folgen; ergriffene Maßnahmen; Bewertung Art. 33; Bewertung Art. 34; Meldedatum; Aktenzeichen Aufsichtsbehörde; verantwortlicher Bearbeiter; Status; Aufbewahrung bis.
+
+Versionierung: jede Änderung mit Datum und Bearbeiter; alte Versionen revisionssicher.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-vvt-update-nach-vorfall` deckt die Aktualisierung des VVT ab.

datenschutzrecht/skills/dsv-kein-risiko-dokumentation/SKILL.md

@@ -0,0 +1,52 @@
+---
+name: dsv-kein-risiko-dokumentation
+description: "Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; Sachverhalt; Auswirkungen; Abhilfemaßnahmen; Begründung der Nichtmeldung; Risikoabwägung mit Faktoren; Aufbewahrungsfristen; Vorlage für Aufsichtsbehörde auf Anforderung. Output: vollständige Dokumentationsvorlage. Abgrenzung: keine Behördenmeldung; keine Benachrichtigung."
+---
+
+# Kein-Risiko-Dokumentation nach Art. 33 Abs. 5 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Auf welchen Tatsachen beruht die Einschätzung kein Risiko?
+2. Welche Risikoabmilderung war vor dem Vorfall wirksam (Verschlüsselung, Pseudonymisierung)?
+3. Welche Anzahl Betroffener und welche Datenkategorien?
+4. Welche Aufbewahrungsfrist gilt für die Dokumentation?
+5. Wer prüft die Dokumentation mit (DSB, Anwalt)?
+- Was will der Mandant wirklich erreichen? (Beweislast bei Nichtmeldung erfüllen; Bußgeldverteidigung)
+
+## Rechtsgrundlagen
+
+- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht für jeden Vorfall.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Erwägungsgrund 85 DSGVO** Voraussichtlich-kein-Risiko-Ausnahme.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zur Beweislastverteilung bei Nichtmeldung vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 85.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Inhaltsraster
+
+1. Sachverhalt: was ist passiert; wann; in welchem System.
+2. Auswirkungen: welche Datenkategorien; welche Betroffenenanzahl; welche Identifizierbarkeit.
+3. Risikoabwägung: Faktoren mit Reasoning vor Conclusion; warum voraussichtlich kein Risiko.
+4. Abhilfemaßnahmen: was wurde getan; was wird getan; bis wann.
+5. Verzicht auf Meldung: begründete Conclusion mit Bezug auf Risikobewertung.
+6. Verzicht auf Benachrichtigung: begründete Conclusion zu Art. 34 DSGVO.
+7. Aufbewahrung: drei Jahre Mindestempfehlung; im Verfahrensverzeichnis verlinken.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-interne-dokumentation-art-33-abs-5` deckt die Dokumentation auch fuer gemeldete Faelle ab.

datenschutzrecht/skills/dsv-kinderdaten-besondere-schutzbeduerftigkeit/SKILL.md

@@ -0,0 +1,51 @@
+---
+name: dsv-kinderdaten-besondere-schutzbeduerftigkeit
+description: "Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identitätsdiebstahl-Risiko; lebenslange Schadensdauer; Pflicht zur Information der Erziehungsberechtigten. Output: Memo mit Risikohochstufung und Empfehlung zur Benachrichtigung. Abgrenzung: keine konkrete Meldung; keine pädagogische Beratung."
+---
+
+# Kinderdaten im Datenschutzvorfall — besondere Schutzbedürftigkeit
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wie alt sind die betroffenen Kinder und Jugendlichen?
+2. Welche Datenkategorien sind betroffen (Schule, Gesundheit, Wohnort)?
+3. Wer ist Adressat der Benachrichtigung — Kind, Erziehungsberechtigte, Einrichtung?
+4. Liegt eine besondere Schutzbeziehung vor (Schule, Klinik, Jugendamt)?
+5. Welche Aufsicht ist neben Datenschutzbehörde involviert (Schulaufsicht, Jugendamt)?
+- Was will der Mandant wirklich erreichen? (rechtskonforme Information ohne Sekundärschäden)
+
+## Rechtsgrundlagen
+
+- **Art. 8 DSGVO** besondere Anforderungen Kinder.
+- **Erwägungsgrund 38 DSGVO** besondere Schutzbedürftigkeit.
+- **Art. 34 Abs. 2 DSGVO** klare und einfache Sprache.
+- **§ 22 BDSG** Verarbeitung besonderer Kategorien.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Bußgeldverschärfungen bei Kinderdaten und Informationspflichten gegenüber Erziehungsberechtigten vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 8; Art. 34 Abs. 2 DSGVO; Erwägungsgrund 38; § 22 BDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Sonderaspekte Kinderdaten
+
+Sprache: doppelte Adressierung — Erziehungsberechtigte und altersgerecht Kind.
+
+Risikohochstufung: Identitätsdiebstahl wirkt lebenslang; Reputation wirkt früh; daher regelmäßig hohes Risiko.
+
+Schnittstellen: Schulaufsicht, Jugendamt, Kinder- und Jugendpsychiatrische Dienste je nach Kontext einbeziehen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-art-9-besondere-kategorien` deckt Gesundheitsdaten und sensible Kategorien ab.

datenschutzrecht/skills/dsv-kommunikationssperre/SKILL.md

@@ -0,0 +1,45 @@
+---
+name: dsv-kommunikationssperre
+description: "Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelung; Holdingstatement; Kunden-Hotline; Pressekontakte; Mitarbeiterinformation; Betriebsrat-Beteiligung; Sozialmedien. Output: Kommunikationssperre-Memo und Sprachregelung. Abgrenzung: keine Pressemitteilung; keine Krisen-PR."
+---
+
+# Kommunikationssperre nach Datenschutzvorfall
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung in Stunden oder Tagen?
+2. Wer ist Single Point of Contact für Anfragen?
+3. Welche Betriebsratspflichten bestehen bei Mitarbeiterinformation?
+4. Welche Verträge verpflichten zu Vorabinformationen an Großkunden?
+5. Welche Aufsichtsbehörde ist zuständig und welche eigene Pressepolitik hat sie?
+- Was will der Mandant wirklich erreichen? (Ordnung im Chaos; keine voreiligen Festlegungen)
+
+## Rechtsgrundlagen
+
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Art. 34 Abs. 2 DSGVO** Inhalt der Benachrichtigung — kein Übermaß und keine voreiligen Festlegungen.
+- **§ 87 Abs. 1 Nr. 1 BetrVG** Mitbestimmung Ordnung des Betriebs.
+- **§ 80 Abs. 1 BetrVG** Aufgaben des Betriebsrats.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Entscheidungen zu Auskunftsansprüchen Betroffener im laufenden Vorfall vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 34 Abs. 2 DSGVO; § 80; § 87 Abs. 1 Nr. 1 BetrVG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Sprachregelung Holdingstatement
+
+Wir prüfen derzeit einen Vorfall im Bereich [Bezeichnung]. Datenschutz und Sicherheit unserer Kunden haben für uns höchste Priorität. Sobald belastbare Erkenntnisse vorliegen, informieren wir die zuständige Aufsichtsbehörde und die Betroffenen entsprechend den gesetzlichen Anforderungen. Bis dahin bitten wir um Verständnis, dass wir keine Spekulationen kommentieren.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

datenschutzrecht/skills/dsv-lead-authority-konzern/SKILL.md

@@ -0,0 +1,52 @@
+---
+name: dsv-lead-authority-konzern
+description: "Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperationsverfahren Art. 60 DSGVO; Konsistenzverfahren Art. 63; Meldung an Lead Authority versus parallele Meldung an betroffene Behörden. Output: Memo zur Behördenzuständigkeit mit Begründung. Abgrenzung: keine konkrete Meldung."
+---
+
+# Federführende Aufsichtsbehörde im Konzern — Art. 56 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Hauptniederlassung hat die Verantwortliche im EU-Sinn?
+2. Wer trifft die Verarbeitungsentscheidungen tatsächlich?
+3. Welche Mitgliedstaaten sind betroffen?
+4. Gibt es eine deutsche Tochter mit eigener Aufsichtsbehörde?
+5. Ist eine parallele Meldung an mehrere Behörden ratsam?
+- Was will der Mandant wirklich erreichen? (richtige Behörde; Vermeidung von Doppelverfahren)
+
+## Rechtsgrundlagen
+
+- **Art. 56 DSGVO** federführende Aufsichtsbehörde.
+- **Art. 60 DSGVO** Kooperation.
+- **Art. 63 DSGVO** Konsistenz.
+- **Art. 4 Nr. 16 DSGVO** Hauptniederlassung.
+- **EDSA-Leitlinien zur Bestimmung der Lead Authority**.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu EuGH-Entscheidungen zur Auslegung Art. 56 DSGVO vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 4 Nr. 16; Art. 56; Art. 60; Art. 63 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Bestimmungsraster
+
+1. Hauptniederlassung identifizieren.
+2. Entscheidungsmacht prüfen — wer steuert die Verarbeitung?
+3. Lead Authority benennen; weitere betroffene Behörden auflisten.
+4. Meldung an Lead Authority; informierende Mitteilung an deutsche Behörde, wenn deutsche Niederlassung beteiligt.
+5. Sprachpolitik: Lead Authority erhält Meldung in deren Amtssprache.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-bfdi` und `dsv-meldung-<land>` decken konkrete Einreichung ab.

datenschutzrecht/skills/dsv-lessons-learned-nachbereitung/SKILL.md

@@ -0,0 +1,57 @@
+---
+name: dsv-lessons-learned-nachbereitung
+description: "Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Übung tabletop oder ernst; Kommunikation an Geschäftsleitung; Erfolgsmessung. Output: Workshop-Leitfaden und Maßnahmen-Tracker. Abgrenzung: keine VVT- oder DSFA-Pflege; keine Bußgeldverteidigung."
+---
+
+# Lessons Learned und Nachbereitung Datenschutzvorfall
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wer nimmt am Post-Mortem teil (Just Culture sicherstellen)?
+2. Welche Wahrheits-Suche-Kultur ist möglich (No-Blame)?
+3. Welche Ursachenanalyse-Methode (5-Why; Ishikawa) passt?
+4. Welcher Maßnahmen-Tracker wird verwendet?
+5. Wer überwacht die Umsetzung mit Fristen?
+- Was will der Mandant wirklich erreichen? (echte Verbesserung; Bußgeldmilderung; Compliance-Reife)
+
+## Rechtsgrundlagen
+
+- **Art. 24 DSGVO** Verantwortung.
+- **Art. 32 DSGVO** TOM.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+- **Art. 33 Abs. 5 DSGVO** Dokumentation.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Bußgeldmilderungen bei nachweislicher Lessons-Learned-Umsetzung vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 5 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Workshop-Ablauf
+
+1. Eröffnung — Ziel; Just Culture; Vertraulichkeit.
+2. Zeitleiste rekonstruieren — minutiös.
+3. Ursachenanalyse — 5-Why oder Ishikawa.
+4. Maßnahmen ableiten — technisch und organisatorisch.
+5. Verantwortlichkeiten und Fristen festlegen.
+6. Schulung und Awareness planen.
+7. Übungstermin Tabletop in sechs Monaten festsetzen.
+8. Erfolgsmessung definieren — KPIs.
+9. Bericht an Geschäftsleitung mit klarem Maßnahmenstatus.
+10. Anonymisierte Lessons-Learned-Notiz für Branchenaustausch (optional).
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-vvt-update-nach-vorfall` und `dsv-dsfa-update-nach-vorfall` decken die Compliance-Aktualisierung ab.
+- `dsv-bussgeldverteidigung-art-83` deckt die Verteidigung ab.

datenschutzrecht/skills/dsv-massenbenachrichtigung/SKILL.md

@@ -0,0 +1,56 @@
+---
+name: dsv-massenbenachrichtigung
+description: "Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewelle; Hilfsdienste wie Schufa-Auskunft. Output: Versandplan, Skalierungsraster, Q&A-Matrix. Abgrenzung: keine individuelle Benachrichtigung; keine Behördenmeldung."
+---
+
+# Massenbenachrichtigung bei großem Datenschutzvorfall
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Adressdaten liegen in welcher Qualität vor?
+2. Welche Sprachen müssen abgedeckt werden?
+3. Welche Hotline-Kapazität ist erforderlich?
+4. Welche Versanddienstleister sind vertraglich gebunden?
+5. Welche regulatorischen Anforderungen an Massenversand bestehen (E-Privacy)?
+- Was will der Mandant wirklich erreichen? (zuverlässige Erreichung der Betroffenen; saubere Logistik)
+
+## Rechtsgrundlagen
+
+- **Art. 34 Abs. 1 DSGVO** Benachrichtigung.
+- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte.
+- **Art. 12 Abs. 1 DSGVO** klare einfache Sprache.
+- **§ 7 UWG** Werbung im Geschäftsverkehr (nicht anwendbar auf Pflichtinformation).
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Sammelklagen nach Massendatenpannen vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 12 Abs. 1; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 5 Abs. 2 DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Versandplan
+
+Welle 1: E-Mail an alle Adressaten mit valider E-Mail-Adresse — Versand über DSGVO-konformen Dienstleister; Bounce-Handling automatisiert.
+
+Welle 2: Brief an alle Adressaten ohne E-Mail oder mit Bounce — innerhalb von sieben Tagen.
+
+Welle 3: öffentliche Bekanntmachung über Webseite und Pressemeldung — als Auffangnetz.
+
+Hotline: 24/7 in der ersten Woche; 8-20 Uhr ab Woche zwei; mehrsprachig.
+
+Q&A-Matrix: 20-30 Fragen mit abgestimmten Antworten.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-pressemitteilung-krisenkommunikation` deckt Pressekommunikation ab.

datenschutzrecht/skills/dsv-meldekette-auftragsverarbeiter/SKILL.md

@@ -0,0 +1,61 @@
+---
+name: dsv-meldekette-auftragsverarbeiter
+description: "Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertragsklauseln nach Art. 28 Abs. 3 lit. f und h DSGVO; Unterauftragsverarbeiter; Vertragsstrafen; Beweissicherungspflichten beim Auftragsverarbeiter. Output: Mustermeldung Auftragsverarbeiter an Verantwortlichen plus Eskalationsschreiben. Abgrenzung: keine Behördenmeldung durch den Auftragsverarbeiter."
+---
+
+# Meldekette Auftragsverarbeiter — Art. 33 Abs. 2 DSGVO
+
+## Triage — kläre vor der Bearbeitung
+
+1. Wer ist Verantwortlicher und wer Auftragsverarbeiter (klare Abgrenzung)?
+2. Liegt ein AV-Vertrag nach Art. 28 Abs. 3 DSGVO vor?
+3. Welche Meldefristen sind dort vereinbart (oft kürzer als 72 Stunden)?
+4. Sind Unterauftragsverarbeiter beteiligt?
+5. Welche Vertragsstrafen oder Schadensersatzklauseln greifen?
+- Was will der Mandant wirklich erreichen? (klare Verantwortungsabgrenzung; Schadensersatzansprüche sichern)
+
+## Rechtsgrundlagen
+
+- **Art. 28 Abs. 3 lit. f; h DSGVO** AV-Pflichten.
+- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters.
+- **Art. 82 DSGVO** Schadensersatz.
+- **§ 280 BGB** Pflichtverletzung.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu Fristberechnung Art. 33 Abs. 1 DSGVO bei Kenntnis nur des Auftragsverarbeiters vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 28 Abs. 3; Art. 33 Abs. 2; Art. 82 DSGVO; § 280 BGB.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Muster Meldung Auftragsverarbeiter
+
+Betreff: Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DSGVO.
+
+Sehr geehrte Damen und Herren, gemäß Art. 33 Abs. 2 DSGVO und unserem AV-Vertrag vom [Datum] melden wir Ihnen folgenden Vorfall:
+
+- Datum und Uhrzeit der Kenntnisnahme: [...]
+- Beschreibung der Verletzung: [...]
+- Betroffene Verarbeitung: [...]
+- Geschätzte Anzahl betroffener Datensätze: [...]
+- Bereits eingeleitete Sofortmaßnahmen: [...]
+- Vorgeschlagene weitere Maßnahmen: [...]
+- Ansprechpartner: [...]
+
+Eine Nachmeldung mit weiteren Details folgt unverzüglich nach Abschluss der forensischen Analyse.
+
+Eskalationsschreiben bei Schweigen: Fristsetzung 24 h; danach Vertragsstrafe und Kündigungsandrohung.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behoerdenmeldung des Verantwortlichen ab.

datenschutzrecht/skills/dsv-meldung-art-33-pflichtangaben/SKILL.md

@@ -0,0 +1,102 @@
+---
+name: dsv-meldung-art-33-pflichtangaben
+description: "Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der Betroffenen und Datensätze; Name und Kontakt des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene oder vorgeschlagene Abhilfemaßnahmen; Begründung Verspätung Art. 33 Abs. 1 Satz 2; Form schriftlich oder per Online-Formular; schrittweise Übermittlung Art. 33 Abs. 4. Output: Fließtext-Meldung in der Reihenfolge der Berliner Formularstruktur I bis VI. Abgrenzung: keine behörden-spezifischen Eingabewege; keine Benachrichtigung Art. 34."
+---
+
+# Meldung nach Art. 33 DSGVO — Pflichtangaben generisch
+
+## Triage — kläre vor der Bearbeitung
+
+1. Welche Aufsichtsbehörde ist zuständig (Sitzland-Prinzip nach Art. 55; Lead Authority Art. 56)?
+2. Welches Online-Formular oder welcher Postweg ist vorgegeben?
+3. Welche Fristberechnung — wann begann die qualifizierte Kenntnis?
+4. Liegen Daten Art. 9 DSGVO oder § 203 StGB-Geheimnisse vor?
+5. Ist eine vorläufige Meldung sinnvoll und welche Nachmeldungen sind geplant?
+- Was will der Mandant wirklich erreichen? (Behördentauglicher Erstmelde-Text in 72 h; Vermeidung von Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
+- **Art. 33 Abs. 3 DSGVO** Pflichtangaben.
+- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
+- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
+- **Art. 55; 56 DSGVO** Zuständigkeit.
+- **§ 51 BlnDSG / Landesdatenschutzgesetze** für öffentliche Stellen.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen unvollständiger oder verspäteter Meldungen vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33 Abs. 1; Art. 33 Abs. 3 lit. a-d; Art. 33 Abs. 4; Art. 33 Abs. 5; Art. 55; Art. 56 DSGVO; § 51 BlnDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Meldungstext Reihenfolge Meldung-vor-Bewertung
+
+Die Meldung wird als Fließtext oder als ausgefülltes Online-Formular eingereicht. Reihenfolge der Inhalte:
+
+1. Verantwortliche Stelle und meldende Person (Block I).
+2. Was ist passiert — Beschreibung der Verletzung; Beginn und Kenntnisnahme; Datenarten; Anzahl Betroffener und Datensätze; wahrscheinliche Folgen (Block II).
+3. Welche Gegenmaßnahmen wurden ergriffen oder werden vorgeschlagen — einschließlich vorbestehender TOM und deren Schwächen (Block III).
+4. Sonstige Mitteilungen — andere Behörden, Strafanzeige, sonstige Hinweise (Block IV).
+5. Beilagen — forensischer Bericht, TOM-Liste, Muster Benachrichtigungsschreiben (Block V).
+6. Abschluss — vorläufig oder endgültig; Ergänzung binnen 14 Tagen (Block VI).
+
+Erst nach der Meldung folgt die anwaltliche Einschätzung zu Meldepflicht, Benachrichtigungspflicht und Bußgeldrisiken — getrennt vom Meldetext.
+
+Output ist Text, kein Code, kein JSON.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- Behoerdenspezifische Eingabewege und Adressen siehe dsv-meldung-bfdi / dsv-meldung-baylda / dsv-meldung-ldi-nrw etc.

datenschutzrecht/skills/dsv-meldung-baylda/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-baylda
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter); Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die BayLDA
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die BayLDA tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter) ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BayLDA vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter).
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten BayLDA
+
+- Name: Bayerisches Landesamt für Datenschutzaufsicht
+- Anschrift: Promenade 18; 91522 Ansbach
+- Kontakt: poststelle@lda.bayern.de; Telefon 0981 180093-0
+- Online-Meldeformular: lda.bayern.de — Online-Meldeformular Datenpanne
+- Sondernorm: BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)
+- Bundesland: Bayern (nicht-öffentliche Stellen)
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-bfdi/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-bfdi
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BDSG insbesondere § 65 für Bundesbehörden; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die BfDI
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die BfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus BDSG insbesondere § 65 für Bundesbehörden ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **BDSG insbesondere § 65 für Bundesbehörden** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BfDI vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BDSG insbesondere § 65 für Bundesbehörden.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten BfDI
+
+- Name: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
+- Anschrift: Graurheindorfer Straße 153; 53117 Bonn
+- Kontakt: poststelle@bfdi.bund.de; Telefon 0228 997799-0
+- Online-Meldeformular: bfdi.bund.de — Meldung von Datenpannen (Online-Formular)
+- Sondernorm: BDSG insbesondere § 65 für Bundesbehörden
+- Bundesland: Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen)
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-bln-bdi/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-bln-bdi
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BlnDSG insbesondere § 51 BlnDSG; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die BlnBDI
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die BlnBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus BlnDSG insbesondere § 51 BlnDSG ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **BlnDSG insbesondere § 51 BlnDSG** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BlnBDI vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BlnDSG insbesondere § 51 BlnDSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten BlnBDI
+
+- Name: Berliner Beauftragte für Datenschutz und Informationsfreiheit
+- Anschrift: Alt-Moabit 59-61; 10555 Berlin (Eingang Alt-Moabit 60)
+- Kontakt: mailbox@datenschutz-berlin.de; Telefon 030 13889-0
+- Online-Meldeformular: datenpannen.datenschutz-berlin.de — Online-Meldeformular (Goldstandard)
+- Sondernorm: BlnDSG insbesondere § 51 BlnDSG
+- Bundesland: Berlin
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-grenzueberschreitend/SKILL.md

@@ -0,0 +1,48 @@
+---
+name: dsv-meldung-grenzueberschreitend
+description: "Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsichten und ihre Meldepflichten (z.B. UK ICO, Schweiz EDÖB); Schnittstelle zu Art. 49 DSGVO-Übermittlungen; Hinweispflichten an US-Aufsichten bei BIPA, CCPA, GLBA. Output: Memo zur Meldelandkarte. Abgrenzung: keine vertiefte US-Beratung."
+---
+
+# Meldung grenzüberschreitender Datenschutzvorfälle — EU und Drittstaaten
+
+## Triage — kläre vor der Bearbeitung
+
+1. In welchen EU-Staaten sind Betroffene?
+2. Welche Drittstaaten sind tangiert?
+3. Welche Lead Authority ist nach Art. 56 DSGVO zuständig?
+4. Welche Drittstaatsaufsichten erfordern parallele Meldung?
+5. Welche Sprache verlangt jede Behörde?
+- Was will der Mandant wirklich erreichen? (rechtssichere Meldelandkarte; keine vergessene Behörde)
+
+## Rechtsgrundlagen
+
+- **Art. 56 DSGVO** Lead Authority.
+- **Art. 60 DSGVO** Kooperation.
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 49 DSGVO** Übermittlungen.
+- **UK GDPR; Swiss DSG; CCPA; BIPA** je nach Drittstaatsbezug.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; insbesondere zu One-Stop-Shop-Streitigkeiten und Drittstaaten-Anerkennung vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 49; Art. 56; Art. 60 DSGVO; UK GDPR; Swiss DSG.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Meldelandkarte
+
+Spalte 1: Land; Spalte 2: Behörde; Spalte 3: Pflicht oder freiwillig; Spalte 4: Frist; Spalte 5: Sprache; Spalte 6: Verantwortlicher intern; Spalte 7: Status.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-lead-authority-konzern` deckt die Bestimmung der federfuehrenden Behoerde ab.

datenschutzrecht/skills/dsv-meldung-hbdi/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-hbdi
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die HBDI
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die HBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HBDI vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten HBDI
+
+- Name: Hessischer Beauftragter für Datenschutz und Informationsfreiheit
+- Anschrift: Postfach 3163; 65021 Wiesbaden (Gustav-Stresemann-Ring 1; 65189 Wiesbaden)
+- Kontakt: poststelle@datenschutz.hessen.de; Telefon 0611 1408-0
+- Online-Meldeformular: datenschutz.hessen.de — Online-Meldeformular Datenpanne
+- Sondernorm: HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz
+- Bundesland: Hessen
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-hmbbfdi/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-hmbbfdi
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HmbDSG Hamburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die HmbBfDI
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die HmbBfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus HmbDSG Hamburgisches Datenschutzgesetz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **HmbDSG Hamburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HmbBfDI vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HmbDSG Hamburgisches Datenschutzgesetz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten HmbBfDI
+
+- Name: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
+- Anschrift: Ludwig-Erhard-Straße 22; 20459 Hamburg
+- Kontakt: mailbox@datenschutz.hamburg.de; Telefon 040 428 54-4040
+- Online-Meldeformular: datenschutz-hamburg.de — Meldeformular Datenpanne
+- Sondernorm: HmbDSG Hamburgisches Datenschutzgesetz
+- Bundesland: Hamburg
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-kritis-sektoraufsicht/SKILL.md

@@ -0,0 +1,56 @@
+---
+name: dsv-meldung-kritis-sektoraufsicht
+description: "Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meldungen nach § 168 TKG; Konsistenz der Meldetexte; Datenschutzschnittstelle. Output: Memo zur Mehrfachmeldelandschaft. Abgrenzung: keine vertiefte BaFin-Beratung."
+---
+
+# Parallele Meldung KRITIS und Sektoraufsicht — BSIG, BaFin, BNetzA, NIS-2
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist der Mandant KRITIS-Betreiber, NIS-2-pflichtige Einrichtung oder reguliertes Institut?
+2. Welche Sektoraufsicht ist zusätzlich zur Datenschutzbehörde zu informieren?
+3. Welche Fristen gelten (BSIG, NIS-2, TKG)?
+4. Welcher Texte muss konsistent gehalten werden?
+5. Welche Aufsicht hat informellen Vorrang?
+- Was will der Mandant wirklich erreichen? (rechtssichere Parallel-Meldung; konsistente Aussagen)
+
+## Rechtsgrundlagen
+
+- **§ 8b BSIG** KRITIS-Meldepflicht.
+- **NIS-2-Richtlinie** und deutsches Umsetzungsgesetz (Stand prüfen).
+- **§ 168 TKG** Sicherheitsvorfälle TK.
+- **BaFin BAIT/MaRisk** für Finanzinstitute.
+- **Art. 33 DSGVO** Datenschutzmeldung.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Stände zur NIS-2-Umsetzung in Deutschland vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33 DSGVO; § 8b BSIG; § 168 TKG; NIS-2-Richtlinie; BAIT.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Praxisformulierung — Mehrfach-Meldelandschaft
+
+Datenschutz-Spur: zuständige Datenschutzbehörde (Lead-Authority + Land).
+
+BSIG/NIS-2-Spur: BSI Meldestelle.
+
+TK-Spur: BNetzA.
+
+Finanzaufsicht: BaFin.
+
+Texte synchronisiert; Aktenzeichen wechselseitig zitieren.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` deckt die Datenschutz-Meldung ab.

datenschutzrecht/skills/dsv-meldung-lda-brandenburg/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lda-brandenburg
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BbgDSG Brandenburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LDA BB
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LDA BB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus BbgDSG Brandenburgisches Datenschutzgesetz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **BbgDSG Brandenburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDA BB vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BbgDSG Brandenburgisches Datenschutzgesetz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LDA BB
+
+- Name: Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
+- Anschrift: Stahnsdorfer Damm 77; 14532 Kleinmachnow
+- Kontakt: poststelle@lda.brandenburg.de; Telefon 033203 356-0
+- Online-Meldeformular: lda.brandenburg.de — Meldeformular Datenpanne
+- Sondernorm: BbgDSG Brandenburgisches Datenschutzgesetz
+- Bundesland: Brandenburg
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-ldi-nrw/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-ldi-nrw
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG NRW; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LDI NRW
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LDI NRW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus DSG NRW ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **DSG NRW** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDI NRW vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG NRW.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LDI NRW
+
+- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
+- Anschrift: Kavalleriestraße 2-4; 40213 Düsseldorf
+- Kontakt: poststelle@ldi.nrw.de; Telefon 0211 38424-0
+- Online-Meldeformular: ldi.nrw.de — Online-Meldeformular Datenpanne
+- Sondernorm: DSG NRW
+- Bundesland: Nordrhein-Westfalen
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfd-niedersachsen/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfd-niedersachsen
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus NDSG Niedersächsisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfD NI
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfD NI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus NDSG Niedersächsisches Datenschutzgesetz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **NDSG Niedersächsisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD NI vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; NDSG Niedersächsisches Datenschutzgesetz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfD NI
+
+- Name: Landesbeauftragte für den Datenschutz Niedersachsen
+- Anschrift: Prinzenstraße 5; 30159 Hannover
+- Kontakt: poststelle@lfd.niedersachsen.de; Telefon 0511 120-4500
+- Online-Meldeformular: lfd.niedersachsen.de — Online-Meldeformular Datenpanne
+- Sondernorm: NDSG Niedersächsisches Datenschutzgesetz
+- Bundesland: Niedersachsen
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfd-sachsen-anhalt/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfd-sachsen-anhalt
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG LSA Datenschutzgesetz Sachsen-Anhalt; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfD ST
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfD ST tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus DSG LSA Datenschutzgesetz Sachsen-Anhalt ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **DSG LSA Datenschutzgesetz Sachsen-Anhalt** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD ST vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG LSA Datenschutzgesetz Sachsen-Anhalt.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfD ST
+
+- Name: Landesbeauftragter für den Datenschutz Sachsen-Anhalt
+- Anschrift: Leiterstraße 9; 39104 Magdeburg
+- Kontakt: poststelle@lfd.sachsen-anhalt.de; Telefon 0391 81803-0
+- Online-Meldeformular: datenschutz.sachsen-anhalt.de — Meldeformular Datenpanne
+- Sondernorm: DSG LSA Datenschutzgesetz Sachsen-Anhalt
+- Bundesland: Sachsen-Anhalt
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfdi-bremen/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfdi-bremen
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfDI HB
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfDI HB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI HB vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfDI HB
+
+- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
+- Anschrift: Arndtstraße 1; 27570 Bremerhaven (Hauptsitz) / Bremen
+- Kontakt: office@datenschutz.bremen.de; Telefon 0421 361-2010
+- Online-Meldeformular: datenschutz.bremen.de — Meldeformular Datenpanne
+- Sondernorm: BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO
+- Bundesland: Bremen
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfdi-bw/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfdi-bw
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Baden-Württemberg; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfDI BW
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfDI BW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus LDSG Baden-Württemberg ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **LDSG Baden-Württemberg** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI BW vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Baden-Württemberg.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfDI BW
+
+- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
+- Anschrift: Heilbronner Straße 35; 70191 Stuttgart (stufenloser Zugang ueber Rampe; Navigationsadresse Räpplenstraße 2; 70191 Stuttgart; Umzug zum 22.12.2025)
+- Kontakt: poststelle@lfdi.bwl.de; Telefon 0711 615541-0
+- Online-Meldeformular: baden-wuerttemberg.datenschutz.de — Online-Meldeformular
+- Sondernorm: LDSG Baden-Württemberg
+- Bundesland: Baden-Württemberg
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfdi-mv/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfdi-mv
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommern und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfDI MV
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfDI MV tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI MV vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfDI MV
+
+- Name: Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
+- Anschrift: Werderstraße 74a; 19055 Schwerin
+- Kontakt: info@datenschutz-mv.de; Telefon 0385 59494-0
+- Online-Meldeformular: datenschutz-mv.de — Meldeformular Datenpanne
+- Sondernorm: DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern
+- Bundesland: Mecklenburg-Vorpommern
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfdi-rlp/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfdi-rlp
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Rheinland-Pfalz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die LfDI RLP
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die LfDI RLP tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus LDSG Rheinland-Pfalz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **LDSG Rheinland-Pfalz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI RLP vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Rheinland-Pfalz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten LfDI RLP
+
+- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
+- Anschrift: Hintere Bleiche 34; 55116 Mainz
+- Kontakt: poststelle@datenschutz.rlp.de; Telefon 06131 8920-0
+- Online-Meldeformular: datenschutz.rlp.de — Online-Meldeformular Datenpanne
+- Sondernorm: LDSG Rheinland-Pfalz
+- Bundesland: Rheinland-Pfalz
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.

datenschutzrecht/skills/dsv-meldung-lfdi-saarland/SKILL.md

@@ -0,0 +1,105 @@
+---
+name: dsv-meldung-lfdi-saarland
+description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarland und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus SDSG Saarländisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
+---
+
+# Meldung Art. 33 DSGVO an die UDS
+
+## Triage — kläre vor der Bearbeitung
+
+1. Ist die UDS tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
+2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
+3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
+4. Welche Sonderregelung aus SDSG Saarländisches Datenschutzgesetz ist zu beachten?
+5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
+- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
+
+## Rechtsgrundlagen
+
+- **Art. 33 DSGVO** Meldepflicht.
+- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
+- **SDSG Saarländisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
+- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
+
+## Aktuelle Rechtsprechung
+
+Nicht aus Modellwissen; aktuelle Bußgeldpraxis der UDS vor Ausgabe verifizieren.
+
+## Zentrale Normen
+
+Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; SDSG Saarländisches Datenschutzgesetz.
+
+## Quellenregel
+
+Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
+
+## Behördenstammdaten UDS
+
+- Name: Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit
+- Anschrift: Fritz-Dobisch-Straße 12; 66111 Saarbrücken
+- Kontakt: poststelle@datenschutz.saarland.de; Telefon 0681 94781-0
+- Online-Meldeformular: datenschutz.saarland.de — Meldeformular Datenpanne
+- Sondernorm: SDSG Saarländisches Datenschutzgesetz
+- Bundesland: Saarland
+
+Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
+
+## Berliner Struktur als Goldstandard
+
+Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
+
+**I. Wo ist die Datenpanne passiert?**
+- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
+- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
+
+**II. Was ist passiert?**
+- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
+- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
+- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
+- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
+- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
+- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
+- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
+- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
+- Anzahl betroffener Personen (Obergrenze).
+- Anzahl betroffener Datensaetze.
+- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Bloss­stellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
+
+**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
+- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
+- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
+- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
+
+**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
+- Andere Behoerden eingeschaltet (mit Aktenzeichen).
+- Strafanzeige (Dienststelle, Aktenzeichen).
+- Sonstige Hinweise.
+
+**V. Dokumente**
+- Forensischer Untersuchungsbericht.
+- Auflistung der technischen und organisatorischen Massnahmen.
+- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
+- Schluesselmaterial (PGP).
+
+**VI. Abschluss**
+- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
+
+Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
+
+## Praxisformulierung — Einreichungsablauf
+
+1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
+2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
+3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
+4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
+5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
+
+## Abgrenzung zu anderen Skills
+
+- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
+- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
+- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
+- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
+
+- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
+- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.