mirror of
https://github.com/Klotzkette/claude-fuer-deutsches-recht
synced 2026-06-09 10:03:19 +00:00
feat(datenschutz): 57 dsv-Skills fuer Datenschutzvorfall-Workflow (Art. 33 / 34 DSGVO) (#189)
Block A (12) Aufnahme und Triage: Statusinformation, Erstgespraech, Schnelltriage, Sofortmassnahmen, Beweissicherung, forensische Erstsicherung, Kommunikationssperre, Stakeholder-Mapping, Zeitleiste, Verdacht-vs-festgestellt, Spezialfaelle, Eskalationsmatrix. Block B (8) Risikobewertung: EDSA-Leitlinie, ENISA-Schweregrad, Art. 9 besondere Kategorien, Kinderdaten, Paragraf 203 StGB Berufsgeheimnis, Sozialdaten SGB, kein-Risiko-Dokumentation, Schwellen Art. 33/34. Block C (25) Meldung Art. 33: Pflichtangaben, Nachmeldung Abs. 4, AVV-Meldekette, Lead-Authority, interne Dokumentation Abs. 5, Pressemitteilung, grenzueberschreitend, KRITIS-Sektoraufsicht plus 17 Behoerden-Skills (BfDI und alle 16 Landesbehoerden) mit Berliner BlnBDI-Meldeformular als Goldstandard-Struktur. Block D (6) Art. 34 Benachrichtigung: Pflichtinhalte, Schwelle hohes Risiko, Ausnahmen, Massenbenachrichtigung, Tonfall Krisenkommunikation, Sammelklagen-Praevention. Block E (6) Nachbereitung: VVT-Update, DSFA-Update, Bussgeldverteidigung Art. 83, Schadensersatz Art. 82, Rechtsprechung immaterieller Schaden BGH/OLG, Lessons Learned. 114 SKILL.md (57 Skills x 2 Plugins: datenschutzrecht und fachanwalt-it-recht). Validatoren gruen: plugin-structure OK; YAML 0 Fehler 0 Warnungen; Testakten OK.
This commit is contained in:
Klotzkette
@@ -1,6 +1,6 @@
|
||||
# Skill-Gesamtuebersicht
|
||||
|
||||
Automatisch generierte Gesamtuebersicht aller **8803 Skills** in **128 Plugins**.
|
||||
Automatisch generierte Gesamtuebersicht aller **8917 Skills** in **128 Plugins**.
|
||||
|
||||
Stand: `v57.0.2`.
|
||||
|
||||
@@ -34,7 +34,7 @@ So bekommt man die komplette Sammlung als ZIP:
|
||||
|
||||
**Wichtig:** Wenn irgendwo im Repo ein neuer Skill angelegt wird (also ein neuer Ordner `<plugin>/skills/<skill>/SKILL.md`), erscheint er beim naechsten Lauf von `scripts/generate-skills-md.py` automatisch -- sowohl in dieser Liste als auch auf der jeweiligen Plugin-Detailseite. Es kann also nichts fehlen.
|
||||
|
||||
Die Detailseiten liegen unter [`skills-index/`](skills-index/) -- eine eigene `.md`-Datei pro Plugin. So bleibt diese Hauptseite klein und laedt schnell, statt mit 8803 Tabellenzeilen den Browser-Renderer von GitHub zu ueberfordern.
|
||||
Die Detailseiten liegen unter [`skills-index/`](skills-index/) -- eine eigene `.md`-Datei pro Plugin. So bleibt diese Hauptseite klein und laedt schnell, statt mit 8917 Tabellenzeilen den Browser-Renderer von GitHub zu ueberfordern.
|
||||
|
||||
## Alle Plugins
|
||||
|
||||
@@ -64,7 +64,7 @@ Pro Plugin: Klick auf den Namen oeffnet die Detailseite mit allen Skills, Beschr
|
||||
| **commercial-courts-deutschland** | 57 | [Skills ansehen](skills-index/commercial-courts-deutschland.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/commercial-courts-deutschland.zip) |
|
||||
| **common-law-kompass** | 54 | [Skills ansehen](skills-index/common-law-kompass.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/common-law-kompass.zip) |
|
||||
| **corporate-kanzlei** | 50 | [Skills ansehen](skills-index/corporate-kanzlei.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/corporate-kanzlei.zip) |
|
||||
| **datenschutzrecht** | 113 | [Skills ansehen](skills-index/datenschutzrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/datenschutzrecht.zip) |
|
||||
| **datenschutzrecht** | 170 | [Skills ansehen](skills-index/datenschutzrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/datenschutzrecht.zip) |
|
||||
| **dfg-foerderantrag** | 54 | [Skills ansehen](skills-index/dfg-foerderantrag.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/dfg-foerderantrag.zip) |
|
||||
| **dsa-dma-digitalregulierung** | 54 | [Skills ansehen](skills-index/dsa-dma-digitalregulierung.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/dsa-dma-digitalregulierung.zip) |
|
||||
| **ecommerce-recht** | 67 | [Skills ansehen](skills-index/ecommerce-recht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/ecommerce-recht.zip) |
|
||||
@@ -82,7 +82,7 @@ Pro Plugin: Klick auf den Namen oeffnet die Detailseite mit allen Skills, Beschr
|
||||
| **fachanwalt-handels-gesellschaftsrecht** | 54 | [Skills ansehen](skills-index/fachanwalt-handels-gesellschaftsrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-handels-gesellschaftsrecht.zip) |
|
||||
| **fachanwalt-insolvenz-sanierungsrecht** | 54 | [Skills ansehen](skills-index/fachanwalt-insolvenz-sanierungsrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-insolvenz-sanierungsrecht.zip) |
|
||||
| **fachanwalt-internationales-wirtschaftsrecht** | 54 | [Skills ansehen](skills-index/fachanwalt-internationales-wirtschaftsrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-internationales-wirtschaftsrecht.zip) |
|
||||
| **fachanwalt-it-recht** | 57 | [Skills ansehen](skills-index/fachanwalt-it-recht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-it-recht.zip) |
|
||||
| **fachanwalt-it-recht** | 114 | [Skills ansehen](skills-index/fachanwalt-it-recht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-it-recht.zip) |
|
||||
| **fachanwalt-medizinrecht** | 54 | [Skills ansehen](skills-index/fachanwalt-medizinrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-medizinrecht.zip) |
|
||||
| **fachanwalt-miet-wohnungseigentumsrecht** | 225 | [Skills ansehen](skills-index/fachanwalt-miet-wohnungseigentumsrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-miet-wohnungseigentumsrecht.zip) |
|
||||
| **fachanwalt-migrationsrecht** | 376 | [Skills ansehen](skills-index/fachanwalt-migrationsrecht.md) | [Download](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/fachanwalt-migrationsrecht.zip) |
|
||||
|
||||
@@ -266,7 +266,7 @@ datenschutzrecht/
|
||||
|
||||
## Alle Skills im Ueberblick
|
||||
|
||||
Automatisch generierte Komplett-Liste aller 113 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
|
||||
Automatisch generierte Komplett-Liste aller 170 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
|
||||
|
||||
| Skill | Beschreibung |
|
||||
| --- | --- |
|
||||
@@ -328,6 +328,63 @@ Automatisch generierte Komplett-Liste aller 113 Skills in diesem Plugin. Beschre
|
||||
| `dsr-internationaler-datentransfer-spezial` | Spezialfall internationaler Datentransfer Art. 44 ff. DSGVO: Angemessenheitsbeschluss, SCC, Transfer Impact Assessment, US-Datenschutzrahmen. Pruefraster fuer Konzern. |
|
||||
| `dsr-rechtsgrundlage-bauleiter` | Bauleiter Rechtsgrundlage Art. 6 DSGVO: Einwilligung, Vertrag, Pflicht, Interesse, oeffentliches Interesse. Pruefraster fuer typische Verarbeitungstaetigkeiten. |
|
||||
| `dsr-schadensersatz-art82-spezial` | Spezialfall Schadensersatz Art. 82 DSGVO: materiell und immateriell, EuGH-Rechtsprechung Bagatell-Klausel, Beweislast. Pruefraster fuer Klaegervertreter. |
|
||||
| `dsv-art-9-besondere-kategorien` | Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; g... |
|
||||
| `dsv-aufnahme-statusinformation` | Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpos... |
|
||||
| `dsv-benachrichtigung-art-34-ausnahmen` | Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes... |
|
||||
| `dsv-benachrichtigung-art-34-betroffene` | Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung;... |
|
||||
| `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` | Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen... |
|
||||
| `dsv-beweissicherung` | Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabb... |
|
||||
| `dsv-bussgeldverteidigung-art-83` | Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit... |
|
||||
| `dsv-dsfa-update-nach-vorfall` | Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation d... |
|
||||
| `dsv-erstgespraech-vorfallmeldung` | Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedar... |
|
||||
| `dsv-eskalationsmatrix` | Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertret... |
|
||||
| `dsv-forensische-erstsicherung` | Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsp... |
|
||||
| `dsv-interne-dokumentation-art-33-abs-5` | Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schn... |
|
||||
| `dsv-kein-risiko-dokumentation` | Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; S... |
|
||||
| `dsv-kinderdaten-besondere-schutzbeduerftigkeit` | Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identit... |
|
||||
| `dsv-kommunikationssperre` | Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelu... |
|
||||
| `dsv-lead-authority-konzern` | Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperati... |
|
||||
| `dsv-lessons-learned-nachbereitung` | Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Ü... |
|
||||
| `dsv-massenbenachrichtigung` | Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewell... |
|
||||
| `dsv-meldekette-auftragsverarbeiter` | Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertrags... |
|
||||
| `dsv-meldung-art-33-pflichtangaben` | Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der... |
|
||||
| `dsv-meldung-baylda` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentlich... |
|
||||
| `dsv-meldung-bfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbeh... |
|
||||
| `dsv-meldung-bln-bdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; O... |
|
||||
| `dsv-meldung-grenzueberschreitend` | Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsich... |
|
||||
| `dsv-meldung-hbdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen;... |
|
||||
| `dsv-meldung-hmbbfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche St... |
|
||||
| `dsv-meldung-kritis-sektoraufsicht` | Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meld... |
|
||||
| `dsv-meldung-lda-brandenburg` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für... |
|
||||
| `dsv-meldung-ldi-nrw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und f... |
|
||||
| `dsv-meldung-lfd-niedersachsen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Onli... |
|
||||
| `dsv-meldung-lfd-sachsen-anhalt` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; O... |
|
||||
| `dsv-meldung-lfdi-bremen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für n... |
|
||||
| `dsv-meldung-lfdi-bw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg... |
|
||||
| `dsv-meldung-lfdi-mv` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommer... |
|
||||
| `dsv-meldung-lfdi-rlp` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und... |
|
||||
| `dsv-meldung-lfdi-saarland` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarla... |
|
||||
| `dsv-meldung-saechsdsb` | Reicht eine Meldung nach Art. 33 DSGVO bei der Sächsische Datenschutz- und Transparenzbeauftragte (SaechsDSB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen und für nicht-öffentliche Stellen; Online-F... |
|
||||
| `dsv-meldung-tlfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Thüringen und für nicht-öffe... |
|
||||
| `dsv-meldung-uld-sh` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Schleswig-Holstein und für nicht-öffentliche S... |
|
||||
| `dsv-nachmeldung-aktualisierung-art-33-abs-4` | Erstellt die Nachmeldung zu einer vorläufigen Erstmeldung nach Art. 33 Abs. 4 DSGVO. Behandelt: 14-Tage-Frist der Berliner Praxis; Ergänzung der Datenarten; Korrektur der Anzahl Betroffener; Update der Gegenmaßnahmen; Information zur Pre... |
|
||||
| `dsv-paragraf-203-stgb-berufsgeheimnis` | Bewertet einen Datenschutzvorfall bei Berufsgeheimnisträgern nach § 203 StGB. Behandelt: Ärzte; Rechtsanwälte; Steuerberater; Wirtschaftsprüfer; Psychotherapeuten; Sozialarbeiter; berufsmäßige Gehilfen; mitwirkende Personen nach § 203 Ab... |
|
||||
| `dsv-pressemitteilung-krisenkommunikation` | Entwirft eine Pressemitteilung und begleitende Krisenkommunikation bei einem Datenschutzvorfall mit öffentlicher Wahrnehmung. Behandelt: rechtliche Pflichten aus Art. 34 Abs. 3 lit. c DSGVO (öffentliche Bekanntmachung); Inhalt; Tonfall;... |
|
||||
| `dsv-rechtsprechung-immaterieller-schaden-bgh-olg` | Analysiert die deutsche Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO im Lichte der EuGH-Vorgaben. Behandelt: BGH-Entscheidungen zur Substantiierung; OLG-Linien zur Bagatellschwelle; OLG-Entscheidungen zur Beweislast... |
|
||||
| `dsv-risikobewertung-edsa-leitlinie` | Führt die Risikobewertung eines Datenschutzvorfalls anhand der EDSA-Leitlinie 9/2022 zu Beispielen für die Meldung von Datenschutzverletzungen durch. Behandelt: Beispielfallgruppen Ransomware; Datenexfiltration; Insider; Verlust; Fehlver... |
|
||||
| `dsv-risikobewertung-enisa-schweregrad` | Wendet die ENISA-Methodik Recommendations for a methodology of the assessment of severity of personal data breaches auf einen konkreten Vorfall an. Behandelt: Data Processing Context DPC; Ease of Identification EI; Circumstances of Breac... |
|
||||
| `dsv-risikobewertung-schwellen-art-33-34` | Strukturiert die Schwellenwertentscheidung nach Art. 33 und Art. 34 DSGVO als anwaltlichen Entscheidungsbaum. Behandelt: voraussichtlich-kein-Risiko-Schwelle Art. 33 Abs. 1; Meldeschwelle; voraussichtlich-hohes-Risiko Art. 34 Abs. 1; Aus... |
|
||||
| `dsv-sammelklagen-praevention` | Entwickelt eine Strategie zur Prävention und Steuerung von Sammelklagen und Massenverfahren nach einer Massendatenpanne. Behandelt: Verbandsklage-Richtlinie; UKlaG; KapMuG-Analogien; Inkasso-Plattformen; anwaltliche Akquise-Wellen; Bewei... |
|
||||
| `dsv-schadensersatz-art-82` | Verteidigt den Verantwortlichen gegen Schadensersatzansprüche nach Art. 82 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Anspruchsvoraussetzungen; materieller und immaterieller Schaden; EuGH-Rechtsprechung (insbesondere Österre... |
|
||||
| `dsv-schnelltriage-risiko` | Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung. Behandelt: Vertraulichkeits-, Integritäts- und Verfügbarkeitsverletzung; Datenkategorien;... |
|
||||
| `dsv-sofortmassnahmen-checkliste` | Generiert eine priorisierte Sofortmaßnahmen-Checkliste innerhalb der ersten Stunden nach Bekanntwerden eines Datenschutzvorfalls. Behandelt: Eindämmung; Beweissicherung; Zugriffsbeschränkung; Passwort-Reset; Account-Sperrung; Netzwerkseg... |
|
||||
| `dsv-sozialdaten-sgb` | Bewertet einen Datenschutzvorfall bei Sozialleistungsträgern, Sozialversicherungen und sozialen Diensten nach den Sondervorschriften der Sozialgesetzbücher. Behandelt: Sozialdatenbegriff § 67 SGB X; Sozialgeheimnis § 35 SGB I; Verhältnis... |
|
||||
| `dsv-spezialfaelle-uebersicht` | Liefert eine schnelle Übersicht über häufige Spezialfälle eines Datenschutzvorfalls und verweist auf vertiefte Skills. Behandelt: Ransomware; Insider-Threat; Fehlversand E-Mail/Brief; Endgeräteverlust; verlorener Datenträger; Cloud-Fehlk... |
|
||||
| `dsv-stakeholder-mapping` | Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher. Behandelt: Geschäftsleitung; Datenschutzbeauftragter; IT-Sicherheit; Betriebsrat; Auftragsverarbeiter... |
|
||||
| `dsv-tonfall-krisenkommunikation` | Bestimmt den richtigen Tonfall und die Sprachregelung in der Krisenkommunikation nach einem Datenschutzvorfall. Behandelt: Vermeidung von Verharmlosung; Vermeidung von Panikmache; matter-of-factly; Reasoning vor Conclusion; Vermeidung se... |
|
||||
| `dsv-verdacht-vs-festgestellt` | Bewertet, ob der Mandant bereits Kenntnis von einer Verletzung im Sinne Art. 33 Abs. 1 DSGVO hat oder ob noch bloßer Verdacht vorliegt. Behandelt: Abgrenzung Verdacht und Kenntnis; angemessene Sicherheit der Feststellung; Pflicht zur unv... |
|
||||
| `dsv-vvt-update-nach-vorfall` | Steuert die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Identifikation der betroffenen Verarbeitungen; Anpassung der technischen und organisatorische... |
|
||||
| `dsv-zeitleiste` | Erstellt eine minutiös rekonstruierte Zeitleiste vom Eintritt der Verletzung bis zur Meldung und Benachrichtigung. Behandelt: Eintritt; Erstwahrnehmung; Meldung an Service-Desk; Eingang Datenschutzpostfach; Kenntnisbegriff Art. 33 DSGVO;... |
|
||||
| `funktionsuebertragung-vs-auftragsverarbeitung` | Abgrenzung Funktionsuebertragung gegen Auftragsverarbeitung Art. 28 DSGVO bei Berufsgeheimnistraegern Inkasso Steuerberatung Wirtschaftspruefung und externe Rechtsdienstleistung. Wann handelt der Dritte als eigener Verantwortlicher und w... |
|
||||
| `joint-controller-vereinbarung` | Joint-Controller-Vereinbarung nach Art. 26 DSGVO erstellen wenn zwei oder mehr Verantwortliche gemeinsam entscheiden. Art. 26 DSGVO Gemeinsame Verantwortlichkeit. Prüfraster: gemeinsame Zwecke und Mittel Aufgabenverteilung Anlaufstelle B... |
|
||||
| `joint-controllership-en-template` | English language joint controller agreement template under Article 26 GDPR. Allocates responsibilities for information duties data subject requests security incidents and DPIA. Includes published essence clause required by Article 26 (2)... |
|
||||
|
||||
@@ -0,0 +1,50 @@
|
||||
---
|
||||
name: dsv-art-9-besondere-kategorien
|
||||
description: "Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; genetische und biometrische Daten zur eindeutigen Identifizierung; Gesundheitsdaten; Daten zum Sexualleben oder zur sexuellen Orientierung. Folgen: regelmäßige Annahme hohen Risikos; Benachrichtigung Art. 34 DSGVO; Bußgeldverschärfung Art. 83 Abs. 5. Output: Memo mit Schutzbedarfsanalyse. Abgrenzung: § 203 StGB getrennt; Sozialdaten getrennt."
|
||||
---
|
||||
|
||||
# Besondere Kategorien Art. 9 DSGVO im Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegen Daten im Sinne Art. 9 Abs. 1 DSGVO vor — wenn ja welche konkret?
|
||||
2. Wie viele Betroffene und welche Mengen?
|
||||
3. Sind die Daten im Klartext oder verschlüsselt oder pseudonymisiert?
|
||||
4. Welche besondere Aufsicht (Sektorbehörde) ist zuständig?
|
||||
5. Welche besondere Bußgeldhöhe droht (Art. 83 Abs. 5 DSGVO)?
|
||||
- Was will der Mandant wirklich erreichen? (Schadensbegrenzung; rechtskonforme Benachrichtigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 9 Abs. 1 DSGVO** Verbot mit Erlaubnisvorbehalt; **Art. 9 Abs. 2 DSGVO** Ausnahmen.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei hohem Risiko — bei Art. 9 regelmäßig zu bejahen.
|
||||
- **Art. 83 Abs. 5 lit. a DSGVO** verschärfter Bußgeldrahmen bis 20 Mio. EUR oder 4 Prozent.
|
||||
- **Erwägungsgrund 75 DSGVO** besondere Risiken bei sensiblen Daten.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Gesundheitsdaten-Leaks und Bußgeldhöhen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 9 Abs. 1; Art. 9 Abs. 2; Art. 34 Abs. 1; Art. 83 Abs. 5 lit. a DSGVO; Erwägungsgrund 75.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Schutzbedarfsanalyse Art. 9
|
||||
|
||||
Welche Kategorie liegt vor; in welcher Form (Klartext / pseudonymisiert / verschlüsselt); welche Anzahl; welche Folgen sind plausibel.
|
||||
|
||||
Conclusion: bei Art. 9-Daten im Klartext regelmäßig Meldung Art. 33 und Benachrichtigung Art. 34; Begründung schriftlich für die Akte.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-paragraf-203-stgb-berufsgeheimnis` deckt strafrechtliche Geheimnistraeger ab.
|
||||
- `dsv-sozialdaten-sgb` deckt Sozialdaten ab.
|
||||
@@ -0,0 +1,68 @@
|
||||
---
|
||||
name: dsv-aufnahme-statusinformation
|
||||
description: "Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpostfach; Sachverhaltskurzfassung; 72-Stunden-Endpunkt als Datum und Uhrzeit; Ampelstatus grün gelb rot schwarz mit Begründung; aktuelle Einschätzung; Bewertung Meldepflicht nach Art. 33 DSGVO; Bewertung Informationspflicht nach Art. 34 DSGVO; nächster Schritt mit Verantwortlichem. Output: Fließtext-Memo 100-300 Wörter; matter-of-factly; Reasoning vor Conclusion in jedem Feld. Abgrenzung: keine Behördenmeldung; keine Risikobewertung im engeren Sinne."
|
||||
---
|
||||
|
||||
# Datenschutzvorfall — Erstaufnahme als Statusinformation
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wann genau wurde der Vorfall durch wen bemerkt und an welche interne Stelle gemeldet?
|
||||
2. Welche Datenkategorien und welcher Personenkreis sind potenziell betroffen?
|
||||
3. Ist der 72-Stunden-Lauf nach Art. 33 Abs. 1 DSGVO bereits angestoßen oder läuft er noch?
|
||||
4. Welche Sofortmaßnahmen wurden bereits getroffen und welche stehen aus?
|
||||
5. Wer ist Empfänger der Statusinformation — Geschäftsleitung, Datenschutzbeauftragter, Vorstand, externer Berater?
|
||||
- Was will der Mandant wirklich erreichen? (Lagebild, Entscheidungsgrundlage Meldung, Eskalation, Dokumentation)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden ab Kenntniserlangung an die zuständige Aufsichtsbehörde.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht jedes Vorfalls unabhängig von der Meldepflicht.
|
||||
- **Art. 34 DSGVO** Benachrichtigung der betroffenen Personen bei voraussichtlich hohem Risiko.
|
||||
- **§ 42 BDSG** Strafvorschriften bei vorsätzlicher unbefugter Offenlegung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht des Verantwortlichen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Rechtsprechung wird nicht aus Modellwissen zitiert; aktuelle Entscheidungen des EuGH und BGH zur Auslegung der 72-Stunden-Frist und zum Kenntnisbegriff sind vor Ausgabe über die unten genannten Quellen zu verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 3; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; § 42 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Statusinformation (Stilreferenz Fließtext)
|
||||
|
||||
Vorgang: kurze sprechende Bezeichnung des Vorfalls.
|
||||
|
||||
Kenntnisnahme: Wer hat wann was durch welche Wahrnehmung erkannt — Reasoning vor Conclusion.
|
||||
|
||||
Eingang Service-Desk: Zeitpunkt und Ticketnummer mit kurzer Begründung der Zuordnung.
|
||||
|
||||
Eingang Datenschutzpostfach: Zeitpunkt der formalen Weiterleitung an die Datenschutzorganisation.
|
||||
|
||||
Sachverhalt: drei bis fünf Sätze; was ist passiert; welche Systeme; welche Datenkategorien; welcher Personenkreis.
|
||||
|
||||
72-Stunden-Endpunkt: konkretes Datum und Uhrzeit mit Bezug auf den Kenntnisnahmezeitpunkt.
|
||||
|
||||
Ampelstatus: 🟢 unkritisch / 🟡 beobachtet / 🔴 meldepflichtig / ⚫ benachrichtigungspflichtig — mit kurzer Erläuterung.
|
||||
|
||||
Aktuelle Einschätzung: technische und organisatorische Lage; eingrenzbar oder nicht.
|
||||
|
||||
Bewertung: Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten; Reasoning vor Conclusion.
|
||||
|
||||
Meldepflicht Art. 33: ja / nein / noch offen mit Begründung.
|
||||
|
||||
Informationspflicht Art. 34: ja / nein / noch offen mit Begründung.
|
||||
|
||||
Nächster Schritt: konkret, mit Verantwortlichem und Zeitpunkt.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,54 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-ausnahmen
|
||||
description: "Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes Risiko nicht mehr eintreten lassen; lit. c unverhältnismäßiger Aufwand mit öffentlicher Bekanntmachung als Ersatz; Darlegungs- und Beweislast; Behördenakzeptanz. Output: Ausnahmenprüfungs-Memo mit Begründung. Abgrenzung: keine Schwellenwertentscheidung."
|
||||
---
|
||||
|
||||
# Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Verschlüsselung war wirksam und entspricht dem Stand der Technik?
|
||||
2. Welche nachträglichen Maßnahmen reduzieren das Risiko nachweisbar?
|
||||
3. Welcher Aufwand wäre für die individuelle Benachrichtigung tatsächlich angefallen?
|
||||
4. Welche öffentliche Bekanntmachung kommt als Ersatz in Betracht?
|
||||
5. Welche Beweise dokumentieren die Ausnahme?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Nichtbenachrichtigung; saubere Akte)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 3 lit. a DSGVO** technische Schutzmaßnahmen.
|
||||
- **Art. 34 Abs. 3 lit. b DSGVO** nachträgliche Maßnahmen.
|
||||
- **Art. 34 Abs. 3 lit. c DSGVO** unverhältnismäßiger Aufwand und öffentliche Bekanntmachung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Erwägungsgrund 86 DSGVO**.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu lit. a Verschlüsselungsstandards und lit. c unverhältnismäßiger Aufwand vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 34 Abs. 3 lit. a-c; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 86.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Ausnahmenprüfung
|
||||
|
||||
lit. a: Verschlüsselung nachweisen — Algorithmus, Schlüsselverwaltung, Stand der Technik (BSI-Empfehlungen). Reasoning vor Conclusion.
|
||||
|
||||
lit. b: Nachträgliche Maßnahmen mit Wirksamkeitsnachweis dokumentieren.
|
||||
|
||||
lit. c: Aufwandsabschätzung mit Vergleich zum Risiko; öffentliche Bekanntmachung Format und Reichweite.
|
||||
|
||||
Beweislast: liegt beim Verantwortlichen — schriftlich dokumentieren mit Datum und Verantwortlichem.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-pressemitteilung-krisenkommunikation` deckt die oeffentliche Bekanntmachung ab.
|
||||
@@ -0,0 +1,69 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-betroffene
|
||||
description: "Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung; Kontaktdaten des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene und vorgeschlagene Abhilfemaßnahmen; konkrete Empfehlungen für Betroffene; Hotline; Versandweg E-Mail oder Brief. Output: Anschreiben mit Q&A. Abgrenzung: keine öffentliche Bekanntmachung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Benachrichtigung der Betroffenen nach Art. 34 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegt die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO vor?
|
||||
2. Welche Adressdaten der Betroffenen sind vorhanden?
|
||||
3. Welcher Versandweg ist sachgerecht (E-Mail, Brief, Push-Nachricht)?
|
||||
4. Welche konkreten Schutzempfehlungen können gegeben werden?
|
||||
5. Welche Hotline oder E-Mail-Adresse steht zur Verfügung?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Benachrichtigung; Vertrauenserhalt; Sammelklagen-Schutz)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei voraussichtlich hohem Risiko.
|
||||
- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte und klare einfache Sprache.
|
||||
- **Art. 34 Abs. 3 DSGVO** Ausnahmen.
|
||||
- **Art. 12 DSGVO** Transparenz.
|
||||
- **§ 29 BDSG** Beschränkungen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Form der Benachrichtigung und zu Sammelklagen wegen unvollständiger Benachrichtigung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 12; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 34 Abs. 3 DSGVO; § 29 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Benachrichtigungsschreiben
|
||||
|
||||
Betreff: Wichtige Information zu einem Datenschutzvorfall.
|
||||
|
||||
Sehr geehrte/r [Name],
|
||||
|
||||
wir möchten Sie darüber informieren, dass es am [Datum] in unserem Unternehmen zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, von der auch Ihre Daten betroffen sind.
|
||||
|
||||
Was ist passiert: [klare einfache Beschreibung in zwei bis drei Sätzen].
|
||||
|
||||
Welche Ihrer Daten sind betroffen: [konkrete Aufzählung].
|
||||
|
||||
Welche Folgen sind möglich: [realistische Einschätzung ohne Verharmlosung und ohne Panikmache].
|
||||
|
||||
Was wir bereits unternommen haben: [Sofortmaßnahmen].
|
||||
|
||||
Was wir Ihnen empfehlen: [konkrete Schritte — Passwort ändern, Konten beobachten, Schufa-Auskunft einholen, je nach Fall].
|
||||
|
||||
Kontakt: Datenschutzbeauftragter [Name, E-Mail, Telefon]; Hotline [Nummer]; FAQ [URL].
|
||||
|
||||
Wir entschuldigen uns für die entstandene Unannehmlichkeit und stehen Ihnen für Rückfragen zur Verfügung.
|
||||
|
||||
Mit freundlichen Grüßen, [Geschäftsleitung]
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` deckt die Schwellenwertentscheidung ab.
|
||||
- `dsv-benachrichtigung-art-34-ausnahmen` deckt die Ausnahmen ab.
|
||||
@@ -0,0 +1,55 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-schwelle-hohes-risiko
|
||||
description: "Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen Art. 9 DSGVO und Minderjährige; Klartext-Passwörter; Finanzdaten; Gesundheitsdaten; Bewertungsmemo für die Akte. Output: Schwellenentscheidung mit Begründung und Bezug auf EDSA. Abgrenzung: keine konkrete Benachrichtigung; keine Ausnahmenprüfung."
|
||||
---
|
||||
|
||||
# Schwelle hohes Risiko nach Art. 34 Abs. 1 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Schwere der Folgen ist plausibel und welche Wahrscheinlichkeit?
|
||||
2. Welche EDSA-Beispielfallgruppe passt (Klartext-Passwort-Leak; Gesundheitsdaten-Leak; Finanzdaten-Leak)?
|
||||
3. Sind besondere Schutzbedürftige betroffen (Kinder, Patienten)?
|
||||
4. Welche Beweislast trifft den Verantwortlichen?
|
||||
5. Welche Folgewirkung hat die Entscheidung auf Pressekommunikation und Bußgeldverfahren?
|
||||
- Was will der Mandant wirklich erreichen? (begründete Entscheidung; Verteidigungsfähigkeit)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Schwellenwert.
|
||||
- **Erwägungsgrund 75; 76; 86 DSGVO**.
|
||||
- **EDSA-Leitlinien 9/2022** Beispiele.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Entscheidungen zur Schwellenwertentscheidung Art. 34 DSGVO vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 34 Abs. 1; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 75; 76; 86; EDSA-Leitlinien 9/2022.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Bewertungsraster
|
||||
|
||||
Faktor 1 Schwere: gering / mittel / hoch / sehr hoch.
|
||||
|
||||
Faktor 2 Wahrscheinlichkeit: gering / mittel / hoch.
|
||||
|
||||
Faktor 3 Datenkategorie: normale Daten / Art. 9 / Finanzdaten / Identitätsdaten.
|
||||
|
||||
Faktor 4 Personengruppe: Erwachsene / Minderjährige / Patienten / besonders Schutzbedürftige.
|
||||
|
||||
Conclusion: hohes Risiko ab Schwere hoch + Wahrscheinlichkeit mittel; bei Art. 9 + Kinder regelmäßig zu bejahen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-risikobewertung-edsa-leitlinie` und `dsv-risikobewertung-enisa-schweregrad` liefern methodische Tiefe.
|
||||
@@ -0,0 +1,50 @@
|
||||
---
|
||||
name: dsv-beweissicherung
|
||||
description: "Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabbilder; Hashes; Zeugenidentifikation; Dokumentation der Wahrnehmungen; Aufbewahrungsfristen; Datenschutzbeschränkungen bei Mitarbeiterüberwachung; Telekommunikationsgeheimnis. Output: Beweissicherungs-Protokoll mit Checkliste und Übergabeformular. Abgrenzung: keine eigene Forensik; keine Strafanzeige."
|
||||
---
|
||||
|
||||
# Beweissicherung nach Datenschutzvorfall — Chain of Custody
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Systeme und Speichermedien sind potenziell Beweismittel?
|
||||
2. Gibt es Hinweise auf einen Innentäter und damit besondere Anforderungen an die Vertraulichkeit?
|
||||
3. Liegt Telekommunikationsgeheimnis nach § 3 TTDSG vor?
|
||||
4. Welche Aufbewahrungsfristen gelten für die Logs?
|
||||
5. Wer übernimmt die forensische Sicherung — interne IT oder externer Forensiker?
|
||||
- Was will der Mandant wirklich erreichen? (gerichtsverwertbare Beweise; saubere Akte; spätere Verteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 32 DSGVO** angemessene Sicherheitsmaßnahmen.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **§ 26 BDSG** Mitarbeiterdatenverarbeitung.
|
||||
- **§ 3 TTDSG** Fernmeldegeheimnis.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Beweisverwertungsverboten bei verdeckter Mitarbeiterkontrolle vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 32; Art. 33 Abs. 5 DSGVO; § 26 BDSG; § 3 TTDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Chain-of-Custody-Protokoll
|
||||
|
||||
Asset-ID; Beschreibung; Sicherungszeitpunkt; sichernde Person; Übergabezeitpunkt; übernehmende Person; Hashwert vor/nach Sicherung; Aufbewahrungsort; Zugriffsberechtigte; Zweck der Sicherung; Rechtsgrundlage der Verarbeitung der gesicherten Daten.
|
||||
|
||||
Logging: Welche Log-Quellen wurden eingefroren? Welche Retention war eingestellt? Welche Lücken gibt es?
|
||||
|
||||
Zeugen: Wer hat wann was wahrgenommen — in eigenen Worten und mit Zeitstempel protokollieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-bussgeldverteidigung-art-83
|
||||
description: "Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit nach EuGH Deutsche Wohnen; Verschuldensfrage; Mitwirkungspflicht und Selbstbelastung; Rechtsweg gegen Bußgeldbescheid; OWiG-Spezialitäten. Output: Verteidigungsstrategie mit Bemessungsanalyse. Abgrenzung: keine Schadensersatzverteidigung Art. 82; keine Strafverteidigung § 42 BDSG."
|
||||
---
|
||||
|
||||
# Bußgeldverteidigung Art. 83 DSGVO nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Aufsichtsbehörde führt das Verfahren und welche bisherige Bußgeldpraxis hat sie?
|
||||
2. Welche Vorwürfe stehen im Raum (Art. 33; Art. 32; Art. 5)?
|
||||
3. Welche Umsatzgröße bestimmt die Bußgeldobergrenze nach Art. 83 Abs. 4 oder Abs. 5?
|
||||
4. Welche Mitwirkung des Mandanten ist behördlich erwartet worden?
|
||||
5. Welche Mildernde Umstände sind verfügbar (Selbstmeldung; Kooperation; Vorbeugung)?
|
||||
- Was will der Mandant wirklich erreichen? (Bußgeldhöhe minimieren; Reputationsschutz; Verfahren rasch beenden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 83 Abs. 1 DSGVO** allgemeine Bedingungen.
|
||||
- **Art. 83 Abs. 2 DSGVO** Bemessungsfaktoren.
|
||||
- **Art. 83 Abs. 4; 5 DSGVO** Bußgeldrahmen.
|
||||
- **EDSA-Leitlinien 4/2022** Bußgeldberechnung.
|
||||
- **§§ 17; 41 BDSG** und OWiG-Vorschriften.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere EuGH Deutsche Wohnen C-807/21; KG Berlin- und LG-Entscheidungen vor Ausgabe über dejure.org oder openjur.de verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 83 Abs. 1; Art. 83 Abs. 2; Art. 83 Abs. 4; Art. 83 Abs. 5 DSGVO; §§ 17; 41 BDSG; OWiG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Verteidigungsraster
|
||||
|
||||
Schritt 1: Akteneinsicht beantragen.
|
||||
|
||||
Schritt 2: Sachverhalt prüfen — was ist tatsächlich passiert; was kann die Behörde belegen.
|
||||
|
||||
Schritt 3: Verschuldensfrage prüfen — Vorsatz oder Fahrlässigkeit; wirtschaftliche Einheit.
|
||||
|
||||
Schritt 4: Bemessungsfaktoren prüfen — alle 13 Faktoren nach Art. 83 Abs. 2 DSGVO einzeln.
|
||||
|
||||
Schritt 5: Mildernde Umstände sammeln — Selbstmeldung; Kooperation; Compliance-Programm; bereits ergriffene Maßnahmen.
|
||||
|
||||
Schritt 6: Stellungnahme verfassen; ggf. Bußgeldbescheid abwarten; Einspruch fristgemäß.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-schadensersatz-art-82` deckt zivilrechtliche Folgen ab.
|
||||
@@ -0,0 +1,54 @@
|
||||
---
|
||||
name: dsv-dsfa-update-nach-vorfall
|
||||
description: "Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei verbleibendem hohem Risiko; Verknüpfung mit VVT und Vorfallregister. Output: DSFA-Update-Vorlage mit Pflichtfeldern. Abgrenzung: keine neue DSFA; kein Verfahrensverzeichnis."
|
||||
---
|
||||
|
||||
# Datenschutz-Folgenabschätzung nach Datenschutzvorfall aktualisieren
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Gab es bisher eine DSFA für die betroffene Verarbeitung?
|
||||
2. Welche Risiken haben sich realisiert oder offenbart?
|
||||
3. Welche Abhilfemaßnahmen sind nachhaltig wirksam?
|
||||
4. Bleibt nach Maßnahmen ein hohes Risiko bestehen?
|
||||
5. Ist Konsultation Art. 36 DSGVO erforderlich?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Fortführung der Verarbeitung; Behördenkonsens)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 35 DSGVO** DSFA.
|
||||
- **Art. 36 DSGVO** vorherige Konsultation.
|
||||
- **Art. 32 DSGVO** TOM.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **BfDI- und LDA-DSFA-Listen** (Black- und Whitelist).
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Anforderungen an die DSFA-Aktualisierung nach Vorfall vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 32; Art. 35; Art. 36 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — DSFA-Update-Felder
|
||||
|
||||
1. Beschreibung der Verarbeitung mit Bezug auf VVT.
|
||||
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
|
||||
3. Bewertung der Risiken — vorher und nachher.
|
||||
4. Geplante Maßnahmen — vor und nach Vorfall.
|
||||
5. Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich ja/nein mit Begründung.
|
||||
6. Stellungnahme des Datenschutzbeauftragten.
|
||||
7. Versionsstand mit Datum und Bearbeiter.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` deckt das VVT ab.
|
||||
@@ -0,0 +1,64 @@
|
||||
---
|
||||
name: dsv-erstgespraech-vorfallmeldung
|
||||
description: "Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedarfsklassen; geschätzte Anzahl betroffener Personen; Auftragsverarbeiter-Konstellation; Konzernbezug Art. 56 DSGVO; bereits eingeleitete Sofortmaßnahmen; Beweissicherung; Pressekontakte; aufsichtsbehördliche Vorkontakte. Output: strukturiertes Gesprächsprotokoll mit Lücken-Liste. Abgrenzung: keine eigene Risikobewertung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Erstgespräch nach gemeldetem Datenschutzvorfall — Fragenkatalog
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer nimmt am Erstgespräch teil — Geschäftsleitung, DSB, IT-Leitung, externer Forensiker, Versicherer?
|
||||
2. Liegt eine schriftliche Vorfallmeldung vor oder erfolgt sie mündlich?
|
||||
3. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung?
|
||||
4. Ist eine Cyberversicherung im Spiel und welche Meldepflichten bestehen dort?
|
||||
5. Gibt es einen Auftragsverarbeitervertrag oder eine gemeinsame Verantwortlichkeit?
|
||||
- Was will der Mandant wirklich erreichen? (Lagebild, Meldepflichtprüfung, Bußgeldverteidigung, Haftungsminimierung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters an den Verantwortlichen.
|
||||
- **Art. 28 Abs. 3 lit. f DSGVO** Unterstützungspflicht des Auftragsverarbeiters.
|
||||
- **Art. 56 DSGVO** Federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Kenntnisbegriff Art. 33 Abs. 1 DSGVO und Reichweite der Meldepflicht des Auftragsverarbeiters vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 28; Art. 33; Art. 34; Art. 56 DSGVO; § 42 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Fragenblöcke
|
||||
|
||||
Zeitstrahl: Wann wurde was durch wen wahrgenommen — minutengenau wenn möglich.
|
||||
|
||||
Betroffene Verarbeitungen: Welche Verarbeitungstätigkeiten nach VVT sind tangiert?
|
||||
|
||||
Datenkategorien: Art. 9 DSGVO, Art. 10 DSGVO, Sozialdaten, Berufsgeheimnis § 203 StGB, Kinderdaten?
|
||||
|
||||
Personenkreis: Mitarbeiter, Kunden, Patienten, Mandanten, Schüler — geschätzte Anzahl.
|
||||
|
||||
Auftragsverarbeiter: Liegt AV-Vertrag vor; wer hat zuerst Kenntnis erlangt?
|
||||
|
||||
Konzernbezug: Hauptniederlassung in welchem EU-Mitgliedstaat?
|
||||
|
||||
Sofortmaßnahmen: Welche technischen und organisatorischen Schritte sind bereits erfolgt?
|
||||
|
||||
Beweissicherung: Logs, Images, Zeugen, Chain of Custody.
|
||||
|
||||
Externe Kommunikation: Presse, Kunden, Aufsichtsbehörde bereits angesprochen?
|
||||
|
||||
Versicherung: Cyberpolice; Meldepflicht-Trigger?
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,51 @@
|
||||
---
|
||||
name: dsv-eskalationsmatrix
|
||||
description: "Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertreter; Wochenend- und Feiertagsregelung; Eskalationsprotokoll; Ausweichkommunikation bei IT-Ausfall. Output: Matrix mit Stufen und Verantwortlichen plus Erreichbarkeitsplan. Abgrenzung: keine konkrete Stakeholder-Information."
|
||||
---
|
||||
|
||||
# Eskalationsmatrix Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Schwellenwerte rechtfertigen welche Eskalationsstufe?
|
||||
2. Welche Erreichbarkeit ist außerhalb der Bürozeiten gewährleistet?
|
||||
3. Wer entscheidet über externe Eskalation (Anwalt, Versicherung, Behörde)?
|
||||
4. Welche Ausweichkommunikation gilt bei IT-Ausfall (Mobilfunk, persönlich, Pager)?
|
||||
5. Wer dokumentiert die Eskalationsentscheidung?
|
||||
- Was will der Mandant wirklich erreichen? (klare Entscheidungswege; keine Eskalation läuft ins Leere)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 24 DSGVO** Verantwortung des Verantwortlichen.
|
||||
- **Art. 32 DSGVO** technische und organisatorische Maßnahmen.
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen verspäteter Meldung infolge Eskalationsversagen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 1 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Eskalationsstufen
|
||||
|
||||
Stufe 1: Erstmelder → Service-Desk (innerhalb 30 Minuten).
|
||||
Stufe 2: Service-Desk → DSB / IT-Sicherheit (innerhalb 1 Stunde).
|
||||
Stufe 3: DSB → Geschäftsleitung und Anwalt (innerhalb 4 Stunden).
|
||||
Stufe 4: Geschäftsleitung → Cyberversicherung und Aufsichtsbehörde (innerhalb 24 Stunden ab Kenntnisnahme).
|
||||
Stufe 5: Pressemitteilung und Mitarbeiter-Information (nach Lagebeurteilung).
|
||||
|
||||
Erreichbarkeit: Hauptkontakt + zwei Stellvertreter je Stufe; 24/7-Rufbereitschaft definieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,53 @@
|
||||
---
|
||||
name: dsv-forensische-erstsicherung
|
||||
description: "Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsprivileg; Scope; Triage versus tiefe Analyse; Berichtsformate; Kommunikation mit Aufsichtsbehörde; Schnittstellen zur Cyberversicherung. Output: Beauftragungsmuster, Briefing für Forensiker und Steuerungsraster. Abgrenzung: keine eigene forensische Tätigkeit; keine technische Anleitung."
|
||||
---
|
||||
|
||||
# Forensische Erstsicherung — Beauftragung und Steuerung
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Soll der Forensiker durch den Mandanten oder durch die Kanzlei beauftragt werden (Anwaltsprivileg)?
|
||||
2. Welche Cyberversicherung gibt einen Forensiker vor?
|
||||
3. Welche Daten sind besonders sensibel und schränken den Scope ein?
|
||||
4. Welche Sprache muss der Bericht haben — Deutsch oder Englisch für die Behörde?
|
||||
5. Wer übernimmt die Schnittstelle zur Aufsichtsbehörde?
|
||||
- Was will der Mandant wirklich erreichen? (Eindämmung; rechtssichere Bewertung; Verteidigungsfähigkeit)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 32 DSGVO** Sicherheit der Verarbeitung.
|
||||
- **Art. 33 Abs. 3 lit. c DSGVO** Maßnahmenangabe in der Meldung.
|
||||
- **§ 43a Abs. 2 BRAO** Verschwiegenheit; **§ 53 StPO** Zeugnisverweigerungsrecht.
|
||||
- **§ 203 StGB** Berufsgeheimnis.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Reichweite des Anwaltsprivilegs bei Cyber-Forensik vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 32; Art. 33 Abs. 3 lit. c DSGVO; § 43a Abs. 2 BRAO; § 53 StPO; § 203 StGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Beauftragungsraster
|
||||
|
||||
Auftraggeber: Kanzlei in Untermandat / Mandant direkt.
|
||||
|
||||
Scope: Triage-Bericht 48 h; vertiefte Analyse Wochen 1-4; Schlussbericht.
|
||||
|
||||
Lieferobjekte: Sofort-Memo; Zwischenbericht; Schlussbericht; Behörden-tauglicher Kurzbericht.
|
||||
|
||||
Vertraulichkeit: NDA; Anwaltsprivileg-Klausel; Aufbewahrung nur in Mandantenakte.
|
||||
|
||||
Schnittstellen: Versicherung; Aufsichtsbehörde; Strafverfolgung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,49 @@
|
||||
---
|
||||
name: dsv-interne-dokumentation-art-33-abs-5
|
||||
description: "Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schnittstelle zu Risikomanagement; Vorlage auf Anforderung der Aufsichtsbehörde; Versionierung. Output: Vorlage Vorfallregister mit Pflichtfeldern. Abgrenzung: kein Verfahrensverzeichnis Art. 30."
|
||||
---
|
||||
|
||||
# Interne Dokumentation Art. 33 Abs. 5 DSGVO — Vorfallregister
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer pflegt das Register — DSB, IT-Sicherheit, Compliance?
|
||||
2. Welches System (Excel, GRC-Tool, DMS)?
|
||||
3. Welche Aufbewahrungsfrist gilt im Unternehmen?
|
||||
4. Welche Schnittstellen zu VVT, DSFA, ISMS bestehen?
|
||||
5. Wer hat Zugriff?
|
||||
- Was will der Mandant wirklich erreichen? (Rechenschaftspflicht erfüllen; Bußgeldverteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 30 DSGVO** VVT.
|
||||
- **Art. 24 DSGVO** Verantwortung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Aufbewahrungsdauer und Vorlagepflicht vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 30; Art. 33 Abs. 5 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Pflichtfelder Vorfallregister
|
||||
|
||||
Vorfall-ID; Datum Kenntnisnahme; Datum Eintritt; Kategorie (V/I/V); Sachverhalt; betroffene Verarbeitung VVT-ID; Datenarten; Anzahl Betroffener; Folgen; ergriffene Maßnahmen; Bewertung Art. 33; Bewertung Art. 34; Meldedatum; Aktenzeichen Aufsichtsbehörde; verantwortlicher Bearbeiter; Status; Aufbewahrung bis.
|
||||
|
||||
Versionierung: jede Änderung mit Datum und Bearbeiter; alte Versionen revisionssicher.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` deckt die Aktualisierung des VVT ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-kein-risiko-dokumentation
|
||||
description: "Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; Sachverhalt; Auswirkungen; Abhilfemaßnahmen; Begründung der Nichtmeldung; Risikoabwägung mit Faktoren; Aufbewahrungsfristen; Vorlage für Aufsichtsbehörde auf Anforderung. Output: vollständige Dokumentationsvorlage. Abgrenzung: keine Behördenmeldung; keine Benachrichtigung."
|
||||
---
|
||||
|
||||
# Kein-Risiko-Dokumentation nach Art. 33 Abs. 5 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Auf welchen Tatsachen beruht die Einschätzung kein Risiko?
|
||||
2. Welche Risikoabmilderung war vor dem Vorfall wirksam (Verschlüsselung, Pseudonymisierung)?
|
||||
3. Welche Anzahl Betroffener und welche Datenkategorien?
|
||||
4. Welche Aufbewahrungsfrist gilt für die Dokumentation?
|
||||
5. Wer prüft die Dokumentation mit (DSB, Anwalt)?
|
||||
- Was will der Mandant wirklich erreichen? (Beweislast bei Nichtmeldung erfüllen; Bußgeldverteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht für jeden Vorfall.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Erwägungsgrund 85 DSGVO** Voraussichtlich-kein-Risiko-Ausnahme.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Beweislastverteilung bei Nichtmeldung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 85.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Inhaltsraster
|
||||
|
||||
1. Sachverhalt: was ist passiert; wann; in welchem System.
|
||||
2. Auswirkungen: welche Datenkategorien; welche Betroffenenanzahl; welche Identifizierbarkeit.
|
||||
3. Risikoabwägung: Faktoren mit Reasoning vor Conclusion; warum voraussichtlich kein Risiko.
|
||||
4. Abhilfemaßnahmen: was wurde getan; was wird getan; bis wann.
|
||||
5. Verzicht auf Meldung: begründete Conclusion mit Bezug auf Risikobewertung.
|
||||
6. Verzicht auf Benachrichtigung: begründete Conclusion zu Art. 34 DSGVO.
|
||||
7. Aufbewahrung: drei Jahre Mindestempfehlung; im Verfahrensverzeichnis verlinken.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-interne-dokumentation-art-33-abs-5` deckt die Dokumentation auch fuer gemeldete Faelle ab.
|
||||
@@ -0,0 +1,51 @@
|
||||
---
|
||||
name: dsv-kinderdaten-besondere-schutzbeduerftigkeit
|
||||
description: "Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identitätsdiebstahl-Risiko; lebenslange Schadensdauer; Pflicht zur Information der Erziehungsberechtigten. Output: Memo mit Risikohochstufung und Empfehlung zur Benachrichtigung. Abgrenzung: keine konkrete Meldung; keine pädagogische Beratung."
|
||||
---
|
||||
|
||||
# Kinderdaten im Datenschutzvorfall — besondere Schutzbedürftigkeit
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wie alt sind die betroffenen Kinder und Jugendlichen?
|
||||
2. Welche Datenkategorien sind betroffen (Schule, Gesundheit, Wohnort)?
|
||||
3. Wer ist Adressat der Benachrichtigung — Kind, Erziehungsberechtigte, Einrichtung?
|
||||
4. Liegt eine besondere Schutzbeziehung vor (Schule, Klinik, Jugendamt)?
|
||||
5. Welche Aufsicht ist neben Datenschutzbehörde involviert (Schulaufsicht, Jugendamt)?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Information ohne Sekundärschäden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 8 DSGVO** besondere Anforderungen Kinder.
|
||||
- **Erwägungsgrund 38 DSGVO** besondere Schutzbedürftigkeit.
|
||||
- **Art. 34 Abs. 2 DSGVO** klare und einfache Sprache.
|
||||
- **§ 22 BDSG** Verarbeitung besonderer Kategorien.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Bußgeldverschärfungen bei Kinderdaten und Informationspflichten gegenüber Erziehungsberechtigten vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 8; Art. 34 Abs. 2 DSGVO; Erwägungsgrund 38; § 22 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Sonderaspekte Kinderdaten
|
||||
|
||||
Sprache: doppelte Adressierung — Erziehungsberechtigte und altersgerecht Kind.
|
||||
|
||||
Risikohochstufung: Identitätsdiebstahl wirkt lebenslang; Reputation wirkt früh; daher regelmäßig hohes Risiko.
|
||||
|
||||
Schnittstellen: Schulaufsicht, Jugendamt, Kinder- und Jugendpsychiatrische Dienste je nach Kontext einbeziehen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-art-9-besondere-kategorien` deckt Gesundheitsdaten und sensible Kategorien ab.
|
||||
@@ -0,0 +1,45 @@
|
||||
---
|
||||
name: dsv-kommunikationssperre
|
||||
description: "Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelung; Holdingstatement; Kunden-Hotline; Pressekontakte; Mitarbeiterinformation; Betriebsrat-Beteiligung; Sozialmedien. Output: Kommunikationssperre-Memo und Sprachregelung. Abgrenzung: keine Pressemitteilung; keine Krisen-PR."
|
||||
---
|
||||
|
||||
# Kommunikationssperre nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung in Stunden oder Tagen?
|
||||
2. Wer ist Single Point of Contact für Anfragen?
|
||||
3. Welche Betriebsratspflichten bestehen bei Mitarbeiterinformation?
|
||||
4. Welche Verträge verpflichten zu Vorabinformationen an Großkunden?
|
||||
5. Welche Aufsichtsbehörde ist zuständig und welche eigene Pressepolitik hat sie?
|
||||
- Was will der Mandant wirklich erreichen? (Ordnung im Chaos; keine voreiligen Festlegungen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 34 Abs. 2 DSGVO** Inhalt der Benachrichtigung — kein Übermaß und keine voreiligen Festlegungen.
|
||||
- **§ 87 Abs. 1 Nr. 1 BetrVG** Mitbestimmung Ordnung des Betriebs.
|
||||
- **§ 80 Abs. 1 BetrVG** Aufgaben des Betriebsrats.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Entscheidungen zu Auskunftsansprüchen Betroffener im laufenden Vorfall vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 34 Abs. 2 DSGVO; § 80; § 87 Abs. 1 Nr. 1 BetrVG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Sprachregelung Holdingstatement
|
||||
|
||||
Wir prüfen derzeit einen Vorfall im Bereich [Bezeichnung]. Datenschutz und Sicherheit unserer Kunden haben für uns höchste Priorität. Sobald belastbare Erkenntnisse vorliegen, informieren wir die zuständige Aufsichtsbehörde und die Betroffenen entsprechend den gesetzlichen Anforderungen. Bis dahin bitten wir um Verständnis, dass wir keine Spekulationen kommentieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-lead-authority-konzern
|
||||
description: "Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperationsverfahren Art. 60 DSGVO; Konsistenzverfahren Art. 63; Meldung an Lead Authority versus parallele Meldung an betroffene Behörden. Output: Memo zur Behördenzuständigkeit mit Begründung. Abgrenzung: keine konkrete Meldung."
|
||||
---
|
||||
|
||||
# Federführende Aufsichtsbehörde im Konzern — Art. 56 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Hauptniederlassung hat die Verantwortliche im EU-Sinn?
|
||||
2. Wer trifft die Verarbeitungsentscheidungen tatsächlich?
|
||||
3. Welche Mitgliedstaaten sind betroffen?
|
||||
4. Gibt es eine deutsche Tochter mit eigener Aufsichtsbehörde?
|
||||
5. Ist eine parallele Meldung an mehrere Behörden ratsam?
|
||||
- Was will der Mandant wirklich erreichen? (richtige Behörde; Vermeidung von Doppelverfahren)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 56 DSGVO** federführende Aufsichtsbehörde.
|
||||
- **Art. 60 DSGVO** Kooperation.
|
||||
- **Art. 63 DSGVO** Konsistenz.
|
||||
- **Art. 4 Nr. 16 DSGVO** Hauptniederlassung.
|
||||
- **EDSA-Leitlinien zur Bestimmung der Lead Authority**.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu EuGH-Entscheidungen zur Auslegung Art. 56 DSGVO vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 16; Art. 56; Art. 60; Art. 63 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Bestimmungsraster
|
||||
|
||||
1. Hauptniederlassung identifizieren.
|
||||
2. Entscheidungsmacht prüfen — wer steuert die Verarbeitung?
|
||||
3. Lead Authority benennen; weitere betroffene Behörden auflisten.
|
||||
4. Meldung an Lead Authority; informierende Mitteilung an deutsche Behörde, wenn deutsche Niederlassung beteiligt.
|
||||
5. Sprachpolitik: Lead Authority erhält Meldung in deren Amtssprache.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-bfdi` und `dsv-meldung-<land>` decken konkrete Einreichung ab.
|
||||
@@ -0,0 +1,57 @@
|
||||
---
|
||||
name: dsv-lessons-learned-nachbereitung
|
||||
description: "Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Übung tabletop oder ernst; Kommunikation an Geschäftsleitung; Erfolgsmessung. Output: Workshop-Leitfaden und Maßnahmen-Tracker. Abgrenzung: keine VVT- oder DSFA-Pflege; keine Bußgeldverteidigung."
|
||||
---
|
||||
|
||||
# Lessons Learned und Nachbereitung Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer nimmt am Post-Mortem teil (Just Culture sicherstellen)?
|
||||
2. Welche Wahrheits-Suche-Kultur ist möglich (No-Blame)?
|
||||
3. Welche Ursachenanalyse-Methode (5-Why; Ishikawa) passt?
|
||||
4. Welcher Maßnahmen-Tracker wird verwendet?
|
||||
5. Wer überwacht die Umsetzung mit Fristen?
|
||||
- Was will der Mandant wirklich erreichen? (echte Verbesserung; Bußgeldmilderung; Compliance-Reife)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 24 DSGVO** Verantwortung.
|
||||
- **Art. 32 DSGVO** TOM.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentation.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Bußgeldmilderungen bei nachweislicher Lessons-Learned-Umsetzung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 5 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Workshop-Ablauf
|
||||
|
||||
1. Eröffnung — Ziel; Just Culture; Vertraulichkeit.
|
||||
2. Zeitleiste rekonstruieren — minutiös.
|
||||
3. Ursachenanalyse — 5-Why oder Ishikawa.
|
||||
4. Maßnahmen ableiten — technisch und organisatorisch.
|
||||
5. Verantwortlichkeiten und Fristen festlegen.
|
||||
6. Schulung und Awareness planen.
|
||||
7. Übungstermin Tabletop in sechs Monaten festsetzen.
|
||||
8. Erfolgsmessung definieren — KPIs.
|
||||
9. Bericht an Geschäftsleitung mit klarem Maßnahmenstatus.
|
||||
10. Anonymisierte Lessons-Learned-Notiz für Branchenaustausch (optional).
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` und `dsv-dsfa-update-nach-vorfall` decken die Compliance-Aktualisierung ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` deckt die Verteidigung ab.
|
||||
@@ -0,0 +1,56 @@
|
||||
---
|
||||
name: dsv-massenbenachrichtigung
|
||||
description: "Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewelle; Hilfsdienste wie Schufa-Auskunft. Output: Versandplan, Skalierungsraster, Q&A-Matrix. Abgrenzung: keine individuelle Benachrichtigung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Massenbenachrichtigung bei großem Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Adressdaten liegen in welcher Qualität vor?
|
||||
2. Welche Sprachen müssen abgedeckt werden?
|
||||
3. Welche Hotline-Kapazität ist erforderlich?
|
||||
4. Welche Versanddienstleister sind vertraglich gebunden?
|
||||
5. Welche regulatorischen Anforderungen an Massenversand bestehen (E-Privacy)?
|
||||
- Was will der Mandant wirklich erreichen? (zuverlässige Erreichung der Betroffenen; saubere Logistik)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung.
|
||||
- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte.
|
||||
- **Art. 12 Abs. 1 DSGVO** klare einfache Sprache.
|
||||
- **§ 7 UWG** Werbung im Geschäftsverkehr (nicht anwendbar auf Pflichtinformation).
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Sammelklagen nach Massendatenpannen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 12 Abs. 1; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 5 Abs. 2 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Versandplan
|
||||
|
||||
Welle 1: E-Mail an alle Adressaten mit valider E-Mail-Adresse — Versand über DSGVO-konformen Dienstleister; Bounce-Handling automatisiert.
|
||||
|
||||
Welle 2: Brief an alle Adressaten ohne E-Mail oder mit Bounce — innerhalb von sieben Tagen.
|
||||
|
||||
Welle 3: öffentliche Bekanntmachung über Webseite und Pressemeldung — als Auffangnetz.
|
||||
|
||||
Hotline: 24/7 in der ersten Woche; 8-20 Uhr ab Woche zwei; mehrsprachig.
|
||||
|
||||
Q&A-Matrix: 20-30 Fragen mit abgestimmten Antworten.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-pressemitteilung-krisenkommunikation` deckt Pressekommunikation ab.
|
||||
@@ -0,0 +1,61 @@
|
||||
---
|
||||
name: dsv-meldekette-auftragsverarbeiter
|
||||
description: "Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertragsklauseln nach Art. 28 Abs. 3 lit. f und h DSGVO; Unterauftragsverarbeiter; Vertragsstrafen; Beweissicherungspflichten beim Auftragsverarbeiter. Output: Mustermeldung Auftragsverarbeiter an Verantwortlichen plus Eskalationsschreiben. Abgrenzung: keine Behördenmeldung durch den Auftragsverarbeiter."
|
||||
---
|
||||
|
||||
# Meldekette Auftragsverarbeiter — Art. 33 Abs. 2 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer ist Verantwortlicher und wer Auftragsverarbeiter (klare Abgrenzung)?
|
||||
2. Liegt ein AV-Vertrag nach Art. 28 Abs. 3 DSGVO vor?
|
||||
3. Welche Meldefristen sind dort vereinbart (oft kürzer als 72 Stunden)?
|
||||
4. Sind Unterauftragsverarbeiter beteiligt?
|
||||
5. Welche Vertragsstrafen oder Schadensersatzklauseln greifen?
|
||||
- Was will der Mandant wirklich erreichen? (klare Verantwortungsabgrenzung; Schadensersatzansprüche sichern)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 28 Abs. 3 lit. f; h DSGVO** AV-Pflichten.
|
||||
- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters.
|
||||
- **Art. 82 DSGVO** Schadensersatz.
|
||||
- **§ 280 BGB** Pflichtverletzung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Fristberechnung Art. 33 Abs. 1 DSGVO bei Kenntnis nur des Auftragsverarbeiters vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 28 Abs. 3; Art. 33 Abs. 2; Art. 82 DSGVO; § 280 BGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Muster Meldung Auftragsverarbeiter
|
||||
|
||||
Betreff: Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DSGVO.
|
||||
|
||||
Sehr geehrte Damen und Herren, gemäß Art. 33 Abs. 2 DSGVO und unserem AV-Vertrag vom [Datum] melden wir Ihnen folgenden Vorfall:
|
||||
|
||||
- Datum und Uhrzeit der Kenntnisnahme: [...]
|
||||
- Beschreibung der Verletzung: [...]
|
||||
- Betroffene Verarbeitung: [...]
|
||||
- Geschätzte Anzahl betroffener Datensätze: [...]
|
||||
- Bereits eingeleitete Sofortmaßnahmen: [...]
|
||||
- Vorgeschlagene weitere Maßnahmen: [...]
|
||||
- Ansprechpartner: [...]
|
||||
|
||||
Eine Nachmeldung mit weiteren Details folgt unverzüglich nach Abschluss der forensischen Analyse.
|
||||
|
||||
Eskalationsschreiben bei Schweigen: Fristsetzung 24 h; danach Vertragsstrafe und Kündigungsandrohung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behoerdenmeldung des Verantwortlichen ab.
|
||||
@@ -0,0 +1,102 @@
|
||||
---
|
||||
name: dsv-meldung-art-33-pflichtangaben
|
||||
description: "Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der Betroffenen und Datensätze; Name und Kontakt des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene oder vorgeschlagene Abhilfemaßnahmen; Begründung Verspätung Art. 33 Abs. 1 Satz 2; Form schriftlich oder per Online-Formular; schrittweise Übermittlung Art. 33 Abs. 4. Output: Fließtext-Meldung in der Reihenfolge der Berliner Formularstruktur I bis VI. Abgrenzung: keine behörden-spezifischen Eingabewege; keine Benachrichtigung Art. 34."
|
||||
---
|
||||
|
||||
# Meldung nach Art. 33 DSGVO — Pflichtangaben generisch
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Aufsichtsbehörde ist zuständig (Sitzland-Prinzip nach Art. 55; Lead Authority Art. 56)?
|
||||
2. Welches Online-Formular oder welcher Postweg ist vorgegeben?
|
||||
3. Welche Fristberechnung — wann begann die qualifizierte Kenntnis?
|
||||
4. Liegen Daten Art. 9 DSGVO oder § 203 StGB-Geheimnisse vor?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und welche Nachmeldungen sind geplant?
|
||||
- Was will der Mandant wirklich erreichen? (Behördentauglicher Erstmelde-Text in 72 h; Vermeidung von Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
- **Art. 33 Abs. 3 DSGVO** Pflichtangaben.
|
||||
- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **Art. 55; 56 DSGVO** Zuständigkeit.
|
||||
- **§ 51 BlnDSG / Landesdatenschutzgesetze** für öffentliche Stellen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen unvollständiger oder verspäteter Meldungen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 33 Abs. 3 lit. a-d; Art. 33 Abs. 4; Art. 33 Abs. 5; Art. 55; Art. 56 DSGVO; § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Meldungstext Reihenfolge Meldung-vor-Bewertung
|
||||
|
||||
Die Meldung wird als Fließtext oder als ausgefülltes Online-Formular eingereicht. Reihenfolge der Inhalte:
|
||||
|
||||
1. Verantwortliche Stelle und meldende Person (Block I).
|
||||
2. Was ist passiert — Beschreibung der Verletzung; Beginn und Kenntnisnahme; Datenarten; Anzahl Betroffener und Datensätze; wahrscheinliche Folgen (Block II).
|
||||
3. Welche Gegenmaßnahmen wurden ergriffen oder werden vorgeschlagen — einschließlich vorbestehender TOM und deren Schwächen (Block III).
|
||||
4. Sonstige Mitteilungen — andere Behörden, Strafanzeige, sonstige Hinweise (Block IV).
|
||||
5. Beilagen — forensischer Bericht, TOM-Liste, Muster Benachrichtigungsschreiben (Block V).
|
||||
6. Abschluss — vorläufig oder endgültig; Ergänzung binnen 14 Tagen (Block VI).
|
||||
|
||||
Erst nach der Meldung folgt die anwaltliche Einschätzung zu Meldepflicht, Benachrichtigungspflicht und Bußgeldrisiken — getrennt vom Meldetext.
|
||||
|
||||
Output ist Text, kein Code, kein JSON.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- Behoerdenspezifische Eingabewege und Adressen siehe dsv-meldung-bfdi / dsv-meldung-baylda / dsv-meldung-ldi-nrw etc.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-baylda
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter); Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BayLDA
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BayLDA tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter) ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BayLDA vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter).
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BayLDA
|
||||
|
||||
- Name: Bayerisches Landesamt für Datenschutzaufsicht
|
||||
- Anschrift: Promenade 18; 91522 Ansbach
|
||||
- Kontakt: poststelle@lda.bayern.de; Telefon 0981 180093-0
|
||||
- Online-Meldeformular: lda.bayern.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)
|
||||
- Bundesland: Bayern (nicht-öffentliche Stellen)
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-bfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BDSG insbesondere § 65 für Bundesbehörden; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BDSG insbesondere § 65 für Bundesbehörden ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BDSG insbesondere § 65 für Bundesbehörden** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BDSG insbesondere § 65 für Bundesbehörden.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BfDI
|
||||
|
||||
- Name: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
|
||||
- Anschrift: Graurheindorfer Straße 153; 53117 Bonn
|
||||
- Kontakt: poststelle@bfdi.bund.de; Telefon 0228 997799-0
|
||||
- Online-Meldeformular: bfdi.bund.de — Meldung von Datenpannen (Online-Formular)
|
||||
- Sondernorm: BDSG insbesondere § 65 für Bundesbehörden
|
||||
- Bundesland: Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen)
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-bln-bdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BlnDSG insbesondere § 51 BlnDSG; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BlnBDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BlnBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BlnDSG insbesondere § 51 BlnDSG ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BlnDSG insbesondere § 51 BlnDSG** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BlnBDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BlnDSG insbesondere § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BlnBDI
|
||||
|
||||
- Name: Berliner Beauftragte für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Friedrichstraße 219; 10969 Berlin
|
||||
- Kontakt: mailbox@datenschutz-berlin.de; Telefon 030 13889-0
|
||||
- Online-Meldeformular: datenpannen.datenschutz-berlin.de — Online-Meldeformular (Goldstandard)
|
||||
- Sondernorm: BlnDSG insbesondere § 51 BlnDSG
|
||||
- Bundesland: Berlin
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,48 @@
|
||||
---
|
||||
name: dsv-meldung-grenzueberschreitend
|
||||
description: "Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsichten und ihre Meldepflichten (z.B. UK ICO, Schweiz EDÖB); Schnittstelle zu Art. 49 DSGVO-Übermittlungen; Hinweispflichten an US-Aufsichten bei BIPA, CCPA, GLBA. Output: Memo zur Meldelandkarte. Abgrenzung: keine vertiefte US-Beratung."
|
||||
---
|
||||
|
||||
# Meldung grenzüberschreitender Datenschutzvorfälle — EU und Drittstaaten
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. In welchen EU-Staaten sind Betroffene?
|
||||
2. Welche Drittstaaten sind tangiert?
|
||||
3. Welche Lead Authority ist nach Art. 56 DSGVO zuständig?
|
||||
4. Welche Drittstaatsaufsichten erfordern parallele Meldung?
|
||||
5. Welche Sprache verlangt jede Behörde?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Meldelandkarte; keine vergessene Behörde)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 56 DSGVO** Lead Authority.
|
||||
- **Art. 60 DSGVO** Kooperation.
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 49 DSGVO** Übermittlungen.
|
||||
- **UK GDPR; Swiss DSG; CCPA; BIPA** je nach Drittstaatsbezug.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu One-Stop-Shop-Streitigkeiten und Drittstaaten-Anerkennung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 49; Art. 56; Art. 60 DSGVO; UK GDPR; Swiss DSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Meldelandkarte
|
||||
|
||||
Spalte 1: Land; Spalte 2: Behörde; Spalte 3: Pflicht oder freiwillig; Spalte 4: Frist; Spalte 5: Sprache; Spalte 6: Verantwortlicher intern; Spalte 7: Status.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-lead-authority-konzern` deckt die Bestimmung der federfuehrenden Behoerde ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-hbdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die HBDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die HBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HBDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten HBDI
|
||||
|
||||
- Name: Hessischer Beauftragter für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Postfach 3163; 65021 Wiesbaden (Gustav-Stresemann-Ring 1; 65189 Wiesbaden)
|
||||
- Kontakt: poststelle@datenschutz.hessen.de; Telefon 0611 1408-0
|
||||
- Online-Meldeformular: datenschutz.hessen.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz
|
||||
- Bundesland: Hessen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-hmbbfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HmbDSG Hamburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die HmbBfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die HmbBfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus HmbDSG Hamburgisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **HmbDSG Hamburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HmbBfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HmbDSG Hamburgisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten HmbBfDI
|
||||
|
||||
- Name: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Ludwig-Erhard-Straße 22; 20459 Hamburg
|
||||
- Kontakt: mailbox@datenschutz.hamburg.de; Telefon 040 428 54-4040
|
||||
- Online-Meldeformular: datenschutz-hamburg.de — Meldeformular Datenpanne
|
||||
- Sondernorm: HmbDSG Hamburgisches Datenschutzgesetz
|
||||
- Bundesland: Hamburg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,56 @@
|
||||
---
|
||||
name: dsv-meldung-kritis-sektoraufsicht
|
||||
description: "Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meldungen nach § 168 TKG; Konsistenz der Meldetexte; Datenschutzschnittstelle. Output: Memo zur Mehrfachmeldelandschaft. Abgrenzung: keine vertiefte BaFin-Beratung."
|
||||
---
|
||||
|
||||
# Parallele Meldung KRITIS und Sektoraufsicht — BSIG, BaFin, BNetzA, NIS-2
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist der Mandant KRITIS-Betreiber, NIS-2-pflichtige Einrichtung oder reguliertes Institut?
|
||||
2. Welche Sektoraufsicht ist zusätzlich zur Datenschutzbehörde zu informieren?
|
||||
3. Welche Fristen gelten (BSIG, NIS-2, TKG)?
|
||||
4. Welcher Texte muss konsistent gehalten werden?
|
||||
5. Welche Aufsicht hat informellen Vorrang?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Parallel-Meldung; konsistente Aussagen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **§ 8b BSIG** KRITIS-Meldepflicht.
|
||||
- **NIS-2-Richtlinie** und deutsches Umsetzungsgesetz (Stand prüfen).
|
||||
- **§ 168 TKG** Sicherheitsvorfälle TK.
|
||||
- **BaFin BAIT/MaRisk** für Finanzinstitute.
|
||||
- **Art. 33 DSGVO** Datenschutzmeldung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Stände zur NIS-2-Umsetzung in Deutschland vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 DSGVO; § 8b BSIG; § 168 TKG; NIS-2-Richtlinie; BAIT.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Mehrfach-Meldelandschaft
|
||||
|
||||
Datenschutz-Spur: zuständige Datenschutzbehörde (Lead-Authority + Land).
|
||||
|
||||
BSIG/NIS-2-Spur: BSI Meldestelle.
|
||||
|
||||
TK-Spur: BNetzA.
|
||||
|
||||
Finanzaufsicht: BaFin.
|
||||
|
||||
Texte synchronisiert; Aktenzeichen wechselseitig zitieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Datenschutz-Meldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lda-brandenburg
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BbgDSG Brandenburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LDA BB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LDA BB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BbgDSG Brandenburgisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BbgDSG Brandenburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDA BB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BbgDSG Brandenburgisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LDA BB
|
||||
|
||||
- Name: Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
|
||||
- Anschrift: Stahnsdorfer Damm 77; 14532 Kleinmachnow
|
||||
- Kontakt: poststelle@lda.brandenburg.de; Telefon 033203 356-0
|
||||
- Online-Meldeformular: lda.brandenburg.de — Meldeformular Datenpanne
|
||||
- Sondernorm: BbgDSG Brandenburgisches Datenschutzgesetz
|
||||
- Bundesland: Brandenburg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-ldi-nrw
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG NRW; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LDI NRW
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LDI NRW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG NRW ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG NRW** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDI NRW vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG NRW.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LDI NRW
|
||||
|
||||
- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
|
||||
- Anschrift: Kavalleriestraße 2-4; 40213 Düsseldorf
|
||||
- Kontakt: poststelle@ldi.nrw.de; Telefon 0211 38424-0
|
||||
- Online-Meldeformular: ldi.nrw.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: DSG NRW
|
||||
- Bundesland: Nordrhein-Westfalen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfd-niedersachsen
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus NDSG Niedersächsisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfD NI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfD NI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus NDSG Niedersächsisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **NDSG Niedersächsisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD NI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; NDSG Niedersächsisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfD NI
|
||||
|
||||
- Name: Landesbeauftragte für den Datenschutz Niedersachsen
|
||||
- Anschrift: Prinzenstraße 5; 30159 Hannover
|
||||
- Kontakt: poststelle@lfd.niedersachsen.de; Telefon 0511 120-4500
|
||||
- Online-Meldeformular: lfd.niedersachsen.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: NDSG Niedersächsisches Datenschutzgesetz
|
||||
- Bundesland: Niedersachsen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfd-sachsen-anhalt
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG LSA Datenschutzgesetz Sachsen-Anhalt; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfD ST
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfD ST tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG LSA Datenschutzgesetz Sachsen-Anhalt ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG LSA Datenschutzgesetz Sachsen-Anhalt** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD ST vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG LSA Datenschutzgesetz Sachsen-Anhalt.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfD ST
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz Sachsen-Anhalt
|
||||
- Anschrift: Leiterstraße 9; 39104 Magdeburg
|
||||
- Kontakt: poststelle@lfd.sachsen-anhalt.de; Telefon 0391 81803-0
|
||||
- Online-Meldeformular: datenschutz.sachsen-anhalt.de — Meldeformular Datenpanne
|
||||
- Sondernorm: DSG LSA Datenschutzgesetz Sachsen-Anhalt
|
||||
- Bundesland: Sachsen-Anhalt
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-bremen
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI HB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI HB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI HB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI HB
|
||||
|
||||
- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
|
||||
- Anschrift: Arndtstraße 1; 27570 Bremerhaven (Hauptsitz) / Bremen
|
||||
- Kontakt: office@datenschutz.bremen.de; Telefon 0421 361-2010
|
||||
- Online-Meldeformular: datenschutz.bremen.de — Meldeformular Datenpanne
|
||||
- Sondernorm: BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO
|
||||
- Bundesland: Bremen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-bw
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Baden-Württemberg; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI BW
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI BW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Baden-Württemberg ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Baden-Württemberg** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI BW vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Baden-Württemberg.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI BW
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
|
||||
- Anschrift: Lautenschlagerstraße 20; 70173 Stuttgart
|
||||
- Kontakt: poststelle@lfdi.bwl.de; Telefon 0711 615541-0
|
||||
- Online-Meldeformular: baden-wuerttemberg.datenschutz.de — Online-Meldeformular
|
||||
- Sondernorm: LDSG Baden-Württemberg
|
||||
- Bundesland: Baden-Württemberg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-mv
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommern und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI MV
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI MV tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI MV vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI MV
|
||||
|
||||
- Name: Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
|
||||
- Anschrift: Werderstraße 74a; 19055 Schwerin
|
||||
- Kontakt: info@datenschutz-mv.de; Telefon 0385 59494-0
|
||||
- Online-Meldeformular: datenschutz-mv.de — Meldeformular Datenpanne
|
||||
- Sondernorm: DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern
|
||||
- Bundesland: Mecklenburg-Vorpommern
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-rlp
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Rheinland-Pfalz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI RLP
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI RLP tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Rheinland-Pfalz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Rheinland-Pfalz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI RLP vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Rheinland-Pfalz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI RLP
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
|
||||
- Anschrift: Hintere Bleiche 34; 55116 Mainz
|
||||
- Kontakt: poststelle@datenschutz.rlp.de; Telefon 06131 8920-0
|
||||
- Online-Meldeformular: datenschutz.rlp.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: LDSG Rheinland-Pfalz
|
||||
- Bundesland: Rheinland-Pfalz
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-saarland
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarland und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus SDSG Saarländisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die UDS
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die UDS tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus SDSG Saarländisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **SDSG Saarländisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der UDS vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; SDSG Saarländisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten UDS
|
||||
|
||||
- Name: Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Fritz-Dobisch-Straße 12; 66111 Saarbrücken
|
||||
- Kontakt: poststelle@datenschutz.saarland.de; Telefon 0681 94781-0
|
||||
- Online-Meldeformular: datenschutz.saarland.de — Meldeformular Datenpanne
|
||||
- Sondernorm: SDSG Saarländisches Datenschutzgesetz
|
||||
- Bundesland: Saarland
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-saechsdsb
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Sächsische Datenschutz- und Transparenzbeauftragte (SaechsDSB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus SächsDSDG / SächsDSUG; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die SaechsDSB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die SaechsDSB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus SächsDSDG / SächsDSUG ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **SächsDSDG / SächsDSUG** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der SaechsDSB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; SächsDSDG / SächsDSUG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten SaechsDSB
|
||||
|
||||
- Name: Sächsische Datenschutz- und Transparenzbeauftragte
|
||||
- Anschrift: Devrientstraße 5; 01067 Dresden
|
||||
- Kontakt: saechsdsb@slt.sachsen.de; Telefon 0351 493-5401
|
||||
- Online-Meldeformular: datenschutz.sachsen.de — Meldeformular Datenpanne
|
||||
- Sondernorm: SächsDSDG / SächsDSUG
|
||||
- Bundesland: Sachsen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-tlfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Thüringen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus ThürDSG Thüringer Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die TLfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die TLfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus ThürDSG Thüringer Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **ThürDSG Thüringer Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der TLfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; ThürDSG Thüringer Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten TLfDI
|
||||
|
||||
- Name: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
|
||||
- Anschrift: Häßlerstraße 8; 99096 Erfurt
|
||||
- Kontakt: poststelle@datenschutz.thueringen.de; Telefon 0361 57311-2900
|
||||
- Online-Meldeformular: tlfdi.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: ThürDSG Thüringer Datenschutzgesetz
|
||||
- Bundesland: Thüringen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-uld-sh
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Schleswig-Holstein und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Schleswig-Holstein; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die ULD
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die ULD tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Schleswig-Holstein ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Schleswig-Holstein** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der ULD vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Schleswig-Holstein.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten ULD
|
||||
|
||||
- Name: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
|
||||
- Anschrift: Holstenstraße 98; 24103 Kiel
|
||||
- Kontakt: mail@datenschutzzentrum.de; Telefon 0431 988-1200
|
||||
- Online-Meldeformular: datenschutzzentrum.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: LDSG Schleswig-Holstein
|
||||
- Bundesland: Schleswig-Holstein
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-nachmeldung-aktualisierung-art-33-abs-4
|
||||
description: "Erstellt die Nachmeldung zu einer vorläufigen Erstmeldung nach Art. 33 Abs. 4 DSGVO. Behandelt: 14-Tage-Frist der Berliner Praxis; Ergänzung der Datenarten; Korrektur der Anzahl Betroffener; Update der Gegenmaßnahmen; Information zur Pressemitteilung; Verweis auf Forensikbericht; Mitteilung zur Strafanzeige; Schluss der Meldung. Output: Nachmeldungs-Schreiben mit Bezug auf Aktenzeichen der Erstmeldung. Abgrenzung: keine neue Erstmeldung."
|
||||
---
|
||||
|
||||
# Nachmeldung und Aktualisierung nach Art. 33 Abs. 4 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegt das Aktenzeichen der Erstmeldung vor?
|
||||
2. Welche Felder waren in der Erstmeldung noch offen oder vorläufig?
|
||||
3. Liegt zwischenzeitlich ein Forensikbericht vor?
|
||||
4. Hat sich die Risikoeinschätzung verändert?
|
||||
5. Wurde Art. 34 DSGVO zwischenzeitlich ausgelöst?
|
||||
- Was will der Mandant wirklich erreichen? (saubere Akte; Behörde schließt Vorgang)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **§ 51 BlnDSG** und vergleichbare Landesnormen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Frage, ob neue Erkenntnisse den 72-Stunden-Lauf neu auslösen können, vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 4; Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Nachmeldungstext
|
||||
|
||||
Betreff: Nachmeldung zur Datenpannenmeldung [Aktenzeichen] vom [Datum].
|
||||
|
||||
Sehr geehrte Damen und Herren, im Anschluss an die vorläufige Meldung vom [Datum] übermittle ich für die [Verantwortliche Stelle] folgende Ergänzungen:
|
||||
|
||||
1. Aktualisierte Sachverhaltsdarstellung [...].
|
||||
2. Endgültige Anzahl betroffener Personen [...] und Datensätze [...].
|
||||
3. Forensik-Ergebnisse [...]; der Bericht ist als Anlage beigefügt.
|
||||
4. Umgesetzte und geplante Gegenmaßnahmen [...].
|
||||
5. Bewertung der Benachrichtigungspflicht Art. 34 DSGVO [...].
|
||||
6. Status anderer Behörden und Strafanzeige [...].
|
||||
|
||||
Mit dieser Nachmeldung gilt die Meldung als endgültig.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Erstmeldung ab.
|
||||
@@ -0,0 +1,55 @@
|
||||
---
|
||||
name: dsv-paragraf-203-stgb-berufsgeheimnis
|
||||
description: "Bewertet einen Datenschutzvorfall bei Berufsgeheimnisträgern nach § 203 StGB. Behandelt: Ärzte; Rechtsanwälte; Steuerberater; Wirtschaftsprüfer; Psychotherapeuten; Sozialarbeiter; berufsmäßige Gehilfen; mitwirkende Personen nach § 203 Abs. 3 StGB; Reichweite der Schweigepflicht; Verhältnis zur DSGVO; Anzeige- und Benachrichtigungspflichten; Risiken bei Cloud-Auslagerung; berufsrechtliche Folgen. Output: Memo zu Strafbarkeitsrisiko und Pflichten. Abgrenzung: keine berufsrechtliche Verteidigung; keine Strafanzeige."
|
||||
---
|
||||
|
||||
# § 203 StGB Berufsgeheimnis im Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welcher Berufsgeheimnisträger ist betroffen?
|
||||
2. Wurde das Geheimnis offenbart oder unbefugt zugänglich gemacht?
|
||||
3. Lag Vorsatz oder Fahrlässigkeit vor?
|
||||
4. Sind mitwirkende Personen nach § 203 Abs. 3 StGB beteiligt — Cloud-Anbieter, Praxisverwaltungssystem?
|
||||
5. Welche Schweigepflichtsentbindung der Betroffenen liegt vor?
|
||||
- Was will der Mandant wirklich erreichen? (Strafbarkeitsrisiko vermeiden; Berufszulassung sichern)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **§ 203 Abs. 1 StGB** Verletzung von Privatgeheimnissen.
|
||||
- **§ 203 Abs. 3 Satz 2 StGB** mitwirkende Personen.
|
||||
- **§ 203 Abs. 4 StGB** Offenbarungstatbestände.
|
||||
- **Art. 33 DSGVO** Meldepflicht (zusätzlich zur strafrechtlichen Bewertung).
|
||||
- **§ 43a Abs. 2 BRAO** anwaltliche Verschwiegenheit.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Reichweite des § 203 Abs. 3 Satz 2 StGB bei IT-Dienstleistern vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
§ 203 Abs. 1; § 203 Abs. 3; § 203 Abs. 4 StGB; Art. 33 DSGVO; § 43a Abs. 2 BRAO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Strafbarkeitsraster
|
||||
|
||||
Tathandlung: Offenbaren / unbefugt Zugänglichmachen.
|
||||
|
||||
Täterkreis: § 203 Abs. 1 StGB Katalog; § 203 Abs. 3 mitwirkende Personen.
|
||||
|
||||
Schuld: Vorsatz / Fahrlässigkeit (§ 203 Abs. 1 setzt Vorsatz voraus; fahrlässige Offenbarung nicht strafbar, aber berufsrechtlich relevant).
|
||||
|
||||
Berufsrecht: zusätzliche Meldung an Kammer; Disziplinarverfahren möglich.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-art-9-besondere-kategorien` deckt sensible Daten ab.
|
||||
- `dsv-sozialdaten-sgb` deckt Sozialdaten ab.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-pressemitteilung-krisenkommunikation
|
||||
description: "Entwirft eine Pressemitteilung und begleitende Krisenkommunikation bei einem Datenschutzvorfall mit öffentlicher Wahrnehmung. Behandelt: rechtliche Pflichten aus Art. 34 Abs. 3 lit. c DSGVO (öffentliche Bekanntmachung); Inhalt; Tonfall; Vermeidung von Selbstbelastung; Abstimmung mit Aufsichtsbehörde; Q&A für Pressestelle; Social-Media-Steuerung. Output: Pressemitteilung mit Q&A. Abgrenzung: keine individuelle Benachrichtigung; keine Pressepressespiegel."
|
||||
---
|
||||
|
||||
# Pressemitteilung und Krisenkommunikation bei Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die öffentliche Bekanntmachung Pflicht (Art. 34 Abs. 3 lit. c) oder freiwillig?
|
||||
2. Welche Medien sind bereits aktiv und welche Fragen kommen?
|
||||
3. Welcher Tonfall passt zum Mandanten (Konzern, Mittelstand, Praxis)?
|
||||
4. Welche Aussagen müssen mit Behörde und Versicherer abgestimmt werden?
|
||||
5. Welche Social-Media-Kanäle erfordern eigene Botschaften?
|
||||
- Was will der Mandant wirklich erreichen? (Vertrauenserhalt; keine Selbstbelastung; Sammelklagen-Schutz)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung Betroffener.
|
||||
- **Art. 34 Abs. 3 lit. c DSGVO** öffentliche Bekanntmachung als Ersatz.
|
||||
- **Art. 5 Abs. 1 lit. a DSGVO** Transparenz.
|
||||
- **§ 824 BGB** Kreditgefährdung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Sammelklagen und immateriellen Schadensersatzansprüchen nach öffentlicher Bekanntmachung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 1 lit. a; Art. 34 Abs. 1; Art. 34 Abs. 3 lit. c DSGVO; § 824 BGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Pressemitteilung-Bausteine
|
||||
|
||||
Headline: sachlich; keine Schuldzuweisung; keine Verharmlosung.
|
||||
|
||||
Lead: Was, wann, wer, wie viele.
|
||||
|
||||
Body: Welche Maßnahmen wurden bereits getroffen; welche Empfehlungen für Betroffene; welche Anlaufstelle (Hotline, E-Mail); welche Behördenkommunikation läuft.
|
||||
|
||||
Tonfall: matter-of-factly; verantwortungsbewusst; ohne unverbindliche Beruhigung.
|
||||
|
||||
Q&A: zehn bis fünfzehn Standardfragen mit abgestimmten Antworten für Pressestelle und Hotline.
|
||||
|
||||
Sperrfristen: erst nach Information der Betroffenen oder gleichzeitig veröffentlichen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-kommunikationssperre` deckt die internen Sprachregelungen ab.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die individuelle Benachrichtigung ab.
|
||||
@@ -0,0 +1,50 @@
|
||||
---
|
||||
name: dsv-rechtsprechung-immaterieller-schaden-bgh-olg
|
||||
description: "Analysiert die deutsche Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO im Lichte der EuGH-Vorgaben. Behandelt: BGH-Entscheidungen zur Substantiierung; OLG-Linien zur Bagatellschwelle; OLG-Entscheidungen zur Beweislast bei Kontrollverlust; LG-Streuung bei Datenleck-Massenklagen; Schmerzensgeldgrößen; Kausalitäts-anforderungen. Output: Rechtsprechungs-Übersicht mit Begründungslinien. Abgrenzung: keine konkrete Verteidigung."
|
||||
---
|
||||
|
||||
# Rechtsprechung BGH und OLG zum immateriellen Schaden Art. 82 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Sachverhaltskonstellation liegt vor (Kontrollverlust; Phishing-Folge; Identitätsdiebstahl)?
|
||||
2. Welche OLG-Region ist relevant?
|
||||
3. Welche EuGH-Entscheidungen sind seit C-300/21 ergangen?
|
||||
4. Welche Schmerzensgeldgrößen werden zugesprochen?
|
||||
5. Welche Beweisanforderungen stellt das Gericht?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Argumentation; passende Präzedenzen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 82 DSGVO** Schadensersatz.
|
||||
- **EuGH C-300/21 Österreichische Post** Auslegung Schadensbegriff.
|
||||
- **EuGH C-687/21 Saturn** geringe Schwelle für Schadenseintritt.
|
||||
- **EuGH C-456/22 Gemeinde Ummendorf** keine Bagatellgrenze für Schaden, aber Substantiierung erforderlich.
|
||||
- **BGH VI ZR-Rechtsprechung** zur immateriellen Schadenshöhe.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; jede zitierte Entscheidung vor Ausgabe über bundesgerichtshof.de; openjur.de; eur-lex.europa.eu verifizieren mit Aktenzeichen Datum und Tenor.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 82 DSGVO; § 253 Abs. 2 BGB; EuGH C-300/21; C-687/21; C-456/22.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Übersichtsraster
|
||||
|
||||
Spalte 1: Aktenzeichen und Gericht; Spalte 2: Datum; Spalte 3: Sachverhaltstyp; Spalte 4: Schadenshöhe zugesprochen; Spalte 5: tragende Argumente; Spalte 6: Quelle.
|
||||
|
||||
Verifikationsschritt: vor jeder Zitation prüfen — wegen Quellenregel keine Zitate aus Modellwissen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-schadensersatz-art-82` deckt die konkrete Verteidigung ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-risikobewertung-edsa-leitlinie
|
||||
description: "Führt die Risikobewertung eines Datenschutzvorfalls anhand der EDSA-Leitlinie 9/2022 zu Beispielen für die Meldung von Datenschutzverletzungen durch. Behandelt: Beispielfallgruppen Ransomware; Datenexfiltration; Insider; Verlust; Fehlversand; soziale Ingenieurkunst; jeweils mit Schwere-Schwellen für Meldepflicht Art. 33 DSGVO und Benachrichtigungspflicht Art. 34 DSGVO. Output: strukturierte Bewertung mit Bezug auf konkrete Beispielfallgruppe und begründeter Empfehlung Meldung Ja/Nein und Benachrichtigung Ja/Nein. Abgrenzung: keine Behördenmeldung; keine ENISA-Methodik."
|
||||
---
|
||||
|
||||
# Risikobewertung nach EDSA-Leitlinie 9/2022
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welcher EDSA-Beispielfallgruppe ist der Vorfall am nächsten?
|
||||
2. Welche Schutzziele sind verletzt — Vertraulichkeit, Integrität, Verfügbarkeit?
|
||||
3. Wie hoch ist die Anzahl Betroffener und welche Datenkategorien sind involviert?
|
||||
4. Welche technischen und organisatorischen Maßnahmen waren wirksam?
|
||||
5. Welche Risikoabmilderung wurde bereits umgesetzt?
|
||||
- Was will der Mandant wirklich erreichen? (begründete Risikoeinschätzung; Behörden-feste Argumentation)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht außer kein Risiko.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei hohem Risiko.
|
||||
- **Erwägungsgrund 75; 76 DSGVO** Risikofaktoren.
|
||||
- **EDSA-Leitlinien 9/2022** Beispiele für die Meldung von Datenschutzverletzungen (englisch: Examples regarding Personal Data Breach Notification).
|
||||
- **EDSA-Leitlinien 4/2022** Berechnung von Geldbußen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Anwendungspraxis der Aufsichtsbehörden zu EDSA-Beispielen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 34 Abs. 1 DSGVO; Erwägungsgrund 75; 76; EDSA-Leitlinien 9/2022.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Anwendung EDSA-Beispiele
|
||||
|
||||
Fallgruppe identifizieren: Ransomware mit/ohne Exfiltration; Datenexfiltration Hashes Passwörter; Insider absichtlich/unabsichtlich; Verlust verschlüsselt/unverschlüsselt; Fehlversand mit Empfängerrückläufer; soziale Ingenieurkunst.
|
||||
|
||||
Schwellenwerte EDSA: Meldung an Aufsichtsbehörde regelmäßig bei Ransomware mit unverschlüsselten Daten oder Exfiltration; Benachrichtigung Betroffene bei Klartext-Passwörtern, Finanzdaten, Gesundheitsdaten.
|
||||
|
||||
Risikomatrix: Eintrittswahrscheinlichkeit × Schwere; Begründung mit EDSA-Referenz und Begründung aus dem konkreten Fall.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-risikobewertung-enisa-schweregrad` ergaenzt um quantitative ENISA-Methodik.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-risikobewertung-enisa-schweregrad
|
||||
description: "Wendet die ENISA-Methodik Recommendations for a methodology of the assessment of severity of personal data breaches auf einen konkreten Vorfall an. Behandelt: Data Processing Context DPC; Ease of Identification EI; Circumstances of Breach CB; Schweregradformel SE = DPC × EI + CB; vier Stufen Low Medium High Very High; Übersetzung in Meldepflicht Art. 33 und Benachrichtigung Art. 34 DSGVO. Output: quantitative ENISA-Bewertung mit Faktoren und Schwellenwerten. Abgrenzung: keine EDSA-Beispielmethodik; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# ENISA-Methodik zur Schweregradbewertung von Datenschutzverletzungen
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Verarbeitungskontextstufe (DPC) liegt vor — einfach, behavior, sensitive, oder highly sensitive?
|
||||
2. Wie leicht sind Betroffene identifizierbar (EI von 0,25 bis 1)?
|
||||
3. Welche Umstände erhöhen oder mindern das Risiko (CB-Faktoren)?
|
||||
4. Welche Daten sind besonders schutzbedürftig?
|
||||
5. Wie ist die quantitative Bewertung zu kommunizieren?
|
||||
- Was will der Mandant wirklich erreichen? (objektivierte Bewertung; Verteidigung gegen Behörde)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung.
|
||||
- **Erwägungsgrund 75; 76 DSGVO**.
|
||||
- **ENISA Recommendations for a methodology of the assessment of severity of personal data breaches** (2013, weiterhin in Praxis verwendet).
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Akzeptanz der ENISA-Methodik durch deutsche Aufsichtsbehörden vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 34 Abs. 1; Art. 5 Abs. 2 DSGVO; ENISA-Methodik 2013.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — ENISA-Berechnung
|
||||
|
||||
DPC: simple data 1; behavioural data 2; sensitive data 3; highly sensitive data 4.
|
||||
|
||||
EI: negligible 0,25; limited 0,5; significant 0,75; maximum 1.
|
||||
|
||||
CB: -2 bis +0,5 je nach Umständen (Loss of confidentiality, integrity, availability; malicious intent; etc.).
|
||||
|
||||
SE = DPC × EI + CB.
|
||||
|
||||
Stufen: SE < 2 Low; 2-3 Medium; 3-4 High; > 4 Very High.
|
||||
|
||||
Conclusion: Meldung Art. 33 ab Medium; Benachrichtigung Art. 34 ab High.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-risikobewertung-edsa-leitlinie` ergaenzt um qualitative Beispielfallgruppen.
|
||||
@@ -0,0 +1,54 @@
|
||||
---
|
||||
name: dsv-risikobewertung-schwellen-art-33-34
|
||||
description: "Strukturiert die Schwellenwertentscheidung nach Art. 33 und Art. 34 DSGVO als anwaltlichen Entscheidungsbaum. Behandelt: voraussichtlich-kein-Risiko-Schwelle Art. 33 Abs. 1; Meldeschwelle; voraussichtlich-hohes-Risiko Art. 34 Abs. 1; Ausnahmen Art. 34 Abs. 3 (technische Schutzmaßnahmen, nachträgliche Risikominderung, unverhältnismäßiger Aufwand); EDSA-Auslegung; deutsche Praxis. Output: Entscheidungsbaum mit Begründungstexten für jede Verzweigung. Abgrenzung: keine konkrete Meldung; keine ENISA-Quantifizierung."
|
||||
---
|
||||
|
||||
# Schwellenwerte Art. 33 und Art. 34 DSGVO — Entscheidungsbaum
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegt überhaupt eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 DSGVO vor?
|
||||
2. Welche Wahrscheinlichkeit eines Risikos für Rechte und Freiheiten besteht?
|
||||
3. Welche Schwere des Risikos ist plausibel?
|
||||
4. Greift eine Ausnahme nach Art. 34 Abs. 3 DSGVO?
|
||||
5. Welche Begründung trägt die Behörde wahrscheinlich mit?
|
||||
- Was will der Mandant wirklich erreichen? (sichere Entscheidung; nachprüfbare Begründung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 4 Nr. 12 DSGVO** Definition Verletzung.
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldeschwelle.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigungsschwelle.
|
||||
- **Art. 34 Abs. 3 DSGVO** Ausnahmen.
|
||||
- **Erwägungsgrund 75; 76; 85; 86 DSGVO**.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Auslegung Art. 34 Abs. 3 lit. a DSGVO (Verschlüsselung) und lit. c (unverhältnismäßiger Aufwand) vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 34 Abs. 1; Art. 34 Abs. 3 DSGVO; Erwägungsgrund 75; 76; 85; 86.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Entscheidungsbaum
|
||||
|
||||
Frage 1: Verletzung im Sinne Art. 4 Nr. 12? Nein → Dokumentation reicht. Ja → Frage 2.
|
||||
|
||||
Frage 2: Voraussichtlich kein Risiko? Ja → keine Meldung; Dokumentation Art. 33 Abs. 5. Nein → Meldung Art. 33.
|
||||
|
||||
Frage 3: Voraussichtlich hohes Risiko? Nein → keine Benachrichtigung. Ja → Frage 4.
|
||||
|
||||
Frage 4: Art. 34 Abs. 3 DSGVO Ausnahme? Ja → öffentliche Bekanntmachung statt individueller Benachrichtigung. Nein → individuelle Benachrichtigung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-risikobewertung-edsa-leitlinie` und `dsv-risikobewertung-enisa-schweregrad` liefern die methodische Tiefe.
|
||||
@@ -0,0 +1,57 @@
|
||||
---
|
||||
name: dsv-sammelklagen-praevention
|
||||
description: "Entwickelt eine Strategie zur Prävention und Steuerung von Sammelklagen und Massenverfahren nach einer Massendatenpanne. Behandelt: Verbandsklage-Richtlinie; UKlaG; KapMuG-Analogien; Inkasso-Plattformen; anwaltliche Akquise-Wellen; Beweisaufnahme-Risiken bei öffentlicher Bekanntmachung; Vergleichsangebote; Goodwill-Leistungen ohne Anerkenntnis; Schufa-Auskünfte. Output: Strategie-Memo mit Maßnahmen-Roadmap. Abgrenzung: keine konkrete Schadensersatzverteidigung."
|
||||
---
|
||||
|
||||
# Sammelklagen-Prävention nach Massendatenpanne
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Größenordnung Betroffener und welche Datenkategorien?
|
||||
2. Welche Inkasso-Plattformen oder Verbraucherzentralen sind erfahrungsgemäß aktiv?
|
||||
3. Welche Vergleichsangebote sind versicherungstechnisch gedeckt?
|
||||
4. Welche Aussagen im Anschreiben können Sammelklagen befeuern?
|
||||
5. Welche Aussagen mindern das Risiko ohne Selbstbelastung?
|
||||
- Was will der Mandant wirklich erreichen? (Schadensbegrenzung; Verfahrensökonomie; Markenschutz)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 82 DSGVO** Schadensersatzanspruch.
|
||||
- **Verbandsklagen-Richtlinie EU 2020/1828** und VDuG.
|
||||
- **§ 1 UKlaG** Unterlassungsklagengesetz.
|
||||
- **§ 309 BGB** AGB-Klauselverbote.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu BGH/EuGH-Urteilen zum immateriellen Schadensersatz und zu Massenverfahren vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 82 DSGVO; § 1 UKlaG; VDuG; § 309 BGB; Verbandsklagen-Richtlinie 2020/1828.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Roadmap
|
||||
|
||||
Phase 1 vor Versand: Wortwahl prüfen; Goodwill-Pakete schnüren; Pressepolitik abstimmen.
|
||||
|
||||
Phase 2 erste Welle Anwaltsschreiben: einheitliche Antwortlinie; Standard-Schriftsätze; Substantiierungsanforderungen einhalten.
|
||||
|
||||
Phase 3 Klagewelle: Streitwerte zusammenführen; Verfahrenskonzentration prüfen; Vergleichsstrategie.
|
||||
|
||||
Phase 4 Verbands- oder Sammelklage: Musterverfahren; Streithilfe; Pressepolitik.
|
||||
|
||||
Goodwill: pauschale Kulanzpakete (z.B. Schufa-Auskunft, Identitätsschutz) ohne Anerkenntnis der Pflicht.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-schadensersatz-art-82` deckt die zivilrechtliche Verteidigung ab.
|
||||
- `dsv-rechtsprechung-immaterieller-schaden-bgh-olg` deckt die Rechtsprechungsanalyse ab.
|
||||
@@ -0,0 +1,59 @@
|
||||
---
|
||||
name: dsv-schadensersatz-art-82
|
||||
description: "Verteidigt den Verantwortlichen gegen Schadensersatzansprüche nach Art. 82 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Anspruchsvoraussetzungen; materieller und immaterieller Schaden; EuGH-Rechtsprechung (insbesondere Österreichische Post C-300/21; Saturn C-687/21); Substantiierungsanforderungen; Bagatellschwelle; Kausalität; Exkulpation nach Art. 82 Abs. 3 DSGVO; gesamtschuldnerische Haftung. Output: Verteidigungsraster mit Schriftsatzgliederung. Abgrenzung: keine Bußgeldverteidigung."
|
||||
---
|
||||
|
||||
# Schadensersatz nach Art. 82 DSGVO — Verteidigung
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welcher Schadensbetrag wird konkret geltend gemacht und auf welcher Grundlage?
|
||||
2. Welche Substantiierung liegt vor (konkret oder Massen-Standardschriftsatz)?
|
||||
3. Welche Kausalität wird behauptet?
|
||||
4. Welche Exkulpationsmöglichkeit besteht (Art. 82 Abs. 3)?
|
||||
5. Welche EuGH-Rechtsprechung trägt die Verteidigung?
|
||||
- Was will der Mandant wirklich erreichen? (Klage abweisen; geringe Vergleichssumme; Präzedenz vermeiden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 82 Abs. 1 DSGVO** Anspruch.
|
||||
- **Art. 82 Abs. 2 DSGVO** Verantwortlicher und Auftragsverarbeiter.
|
||||
- **Art. 82 Abs. 3 DSGVO** Exkulpation.
|
||||
- **Art. 82 Abs. 4 DSGVO** gesamtschuldnerische Haftung.
|
||||
- **§§ 253; 280; 823 BGB** ergänzend.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere EuGH Österreichische Post C-300/21; Saturn C-687/21; Gemeinde Ummendorf C-456/22 vor Ausgabe über eur-lex.europa.eu verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 82 Abs. 1; Art. 82 Abs. 2; Art. 82 Abs. 3; Art. 82 Abs. 4 DSGVO; §§ 253; 280; 823 BGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Schriftsatzgliederung
|
||||
|
||||
A. Sachverhalt — konkret und auf substantiierte Klage bezogen.
|
||||
|
||||
B. Zur fehlenden Verletzung — wenn streitig.
|
||||
|
||||
C. Zur fehlenden Substantiierung des Schadens — Kläger muss konkret darlegen; bloße Sorge reicht nach EuGH C-300/21 nicht ohne weiteres.
|
||||
|
||||
D. Zur fehlenden Kausalität — alternative Schadensursachen; Mitverschulden.
|
||||
|
||||
E. Zur Exkulpation Art. 82 Abs. 3 — Beweis fehlender Verantwortlichkeit.
|
||||
|
||||
F. Höhe — Bagatellgrenze; Vergleich mit Rechtsprechung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-rechtsprechung-immaterieller-schaden-bgh-olg` deckt die Rechtsprechungsanalyse ab.
|
||||
- `dsv-sammelklagen-praevention` deckt die strategische Praevention ab.
|
||||
@@ -0,0 +1,60 @@
|
||||
---
|
||||
name: dsv-schnelltriage-risiko
|
||||
description: "Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung. Behandelt: Vertraulichkeits-, Integritäts- und Verfügbarkeitsverletzung; Datenkategorien; Identifizierbarkeit; Anzahl betroffener Personen; Reversibilität; besondere Schutzbedürftigkeit Kinder Patienten Mitarbeiter; Eintrittswahrscheinlichkeit und Schwere; vorläufige Ampel grün gelb rot schwarz. Output: Triage-Memo mit Begründung und Empfehlung Meldung Ja/Nein/Vorsorglich. Abgrenzung: ersetzt nicht die vertiefte Bewertung nach EDSA-Leitlinien und ENISA."
|
||||
---
|
||||
|
||||
# Schnelltriage Risikoeinschätzung nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Schutzziele sind verletzt — Vertraulichkeit, Integrität, Verfügbarkeit?
|
||||
2. Welche Datenkategorien und welcher Personenkreis sind betroffen?
|
||||
3. Sind besondere Kategorien nach Art. 9 DSGVO oder strafrechtsrelevante Daten nach Art. 10 DSGVO beteiligt?
|
||||
4. Ist die Verletzung eingrenzbar oder breitet sie sich aus?
|
||||
5. Wie viel Zeit bleibt bis zum Ende der 72-Stunden-Frist?
|
||||
- Was will der Mandant wirklich erreichen? (schnelle Entscheidung; rechtssichere Begründung der Nichtmeldung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 Satz 1 DSGVO** Meldepflicht außer wenn voraussichtlich kein Risiko.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentation auch bei Nichtmeldung.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei voraussichtlich hohem Risiko.
|
||||
- **Erwägungsgrund 75 DSGVO** Risikofaktoren.
|
||||
- **Erwägungsgrund 76 DSGVO** Wahrscheinlichkeit und Schwere des Risikos.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Schwelle voraussichtlich kein Risiko und zur Beweislast bei Nichtmeldung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; Erwägungsgrund 75; Erwägungsgrund 76.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Schnelltriage-Raster
|
||||
|
||||
Schutzzielverletzung: V/I/V mit kurzer Begründung.
|
||||
|
||||
Datenkategorien: normale / besondere Art. 9 / strafrechtsrelevant Art. 10 / Berufsgeheimnis § 203 StGB.
|
||||
|
||||
Personenkreis und Anzahl: geschätzter Bereich; Identifizierbarkeit ja/nein.
|
||||
|
||||
Reversibilität: vollständig wiederherstellbar / teilweise / irreversibel.
|
||||
|
||||
Schwere: gering / mittel / hoch / sehr hoch — mit Reasoning.
|
||||
|
||||
Wahrscheinlichkeit: gering / mittel / hoch.
|
||||
|
||||
Ampelvorschlag: 🟢 keine Meldung / 🟡 Vorsorglich melden / 🔴 melden / ⚫ zusätzlich Art. 34.
|
||||
|
||||
Begründung: drei bis fünf Sätze für die Akte.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,66 @@
|
||||
---
|
||||
name: dsv-sofortmassnahmen-checkliste
|
||||
description: "Generiert eine priorisierte Sofortmaßnahmen-Checkliste innerhalb der ersten Stunden nach Bekanntwerden eines Datenschutzvorfalls. Behandelt: Eindämmung; Beweissicherung; Zugriffsbeschränkung; Passwort-Reset; Account-Sperrung; Netzwerksegmentierung; forensische Erstsicherung; Benachrichtigung interner Stakeholder; Versicherungsmeldung; Logging-Sicherung; Backups schützen; Pressepolitik; rechtliche Sofortmaßnahmen bei Insider-Tätern oder Strafanzeige. Output: priorisierte Maßnahmenliste mit Verantwortlichen und Zeitvorgaben. Abgrenzung: keine Behördenmeldung; keine vertiefte Forensik."
|
||||
---
|
||||
|
||||
# Sofortmaßnahmen-Checkliste nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist der Angriff oder das Leck noch aktiv oder bereits gestoppt?
|
||||
2. Sind Backups intakt und vom kompromittierten System getrennt?
|
||||
3. Gibt es Hinweise auf einen Innentäter — dann besondere Vorsicht bei Account-Sperrungen wegen Beweismittelvernichtung?
|
||||
4. Greift eine Strafanzeigepflicht oder ein Strafanzeigeinteresse?
|
||||
5. Welche Verträge mit Auftragsverarbeitern oder Cyberversicherern verlangen Sofortmeldungen?
|
||||
- Was will der Mandant wirklich erreichen? (Schadensbegrenzung; Beweissicherung; Compliance-Dokumentation)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 32 DSGVO** Pflicht zu angemessenen technischen und organisatorischen Maßnahmen einschließlich Wiederherstellungsfähigkeit.
|
||||
- **Art. 33 Abs. 3 lit. c DSGVO** Angabe der ergriffenen oder vorgeschlagenen Maßnahmen in der Meldung.
|
||||
- **Art. 5 Abs. 1 lit. f DSGVO** Integrität und Vertraulichkeit.
|
||||
- **§ 42 BDSG** Strafvorschriften.
|
||||
- **§ 274 StGB** Urkundenunterdrückung; **§ 303a StGB** Datenveränderung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Entscheidungen zu Beweisverwertungsverboten bei eilig getroffenen Maßnahmen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 1 lit. f; Art. 32; Art. 33 Abs. 3 lit. c DSGVO; § 42 BDSG; §§ 274; 303a StGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Sofortmaßnahmen Priorität 1 bis 4
|
||||
|
||||
Priorität 1 (sofort, 0-1 h):
|
||||
- Eindämmung — System isolieren oder Account sperren ohne Beweisvernichtung.
|
||||
- Beweissicherung — Logs einfrieren; Speicherabbild ziehen lassen.
|
||||
- Interner Alarm — DSB, Geschäftsleitung, IT-Sicherheit.
|
||||
- Versicherer kontaktieren falls Cyberpolice vorhanden.
|
||||
|
||||
Priorität 2 (1-6 h):
|
||||
- Forensiker beauftragen.
|
||||
- Passwort- und Token-Reset für betroffene Konten.
|
||||
- Backups vom Netz trennen.
|
||||
- Kommunikationssperre bis zur Lagebeurteilung.
|
||||
|
||||
Priorität 3 (6-24 h):
|
||||
- Detaillierte Bestandsaufnahme der betroffenen Verarbeitungen.
|
||||
- Auftragsverarbeiter informieren.
|
||||
- Risikoabwägung Art. 33 / Art. 34 DSGVO einleiten.
|
||||
|
||||
Priorität 4 (24-72 h):
|
||||
- Meldung an Aufsichtsbehörde vorbereiten und absenden.
|
||||
- Strafanzeige bei Insider-Verdacht prüfen.
|
||||
- Pressemitteilung und Kundenkommunikation vorbereiten.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,53 @@
|
||||
---
|
||||
name: dsv-sozialdaten-sgb
|
||||
description: "Bewertet einen Datenschutzvorfall bei Sozialleistungsträgern, Sozialversicherungen und sozialen Diensten nach den Sondervorschriften der Sozialgesetzbücher. Behandelt: Sozialdatenbegriff § 67 SGB X; Sozialgeheimnis § 35 SGB I; Verhältnis zur DSGVO; Meldepflicht nach § 83a SGB X; besondere Bußgeldvorschriften; Aufsichtsstruktur Bund/Länder. Output: Memo zur Meldepflicht-Doppelspur und Empfehlung. Abgrenzung: keine konkrete Behördenmeldung."
|
||||
---
|
||||
|
||||
# Sozialdaten im Datenschutzvorfall — SGB I und SGB X
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegen Sozialdaten im Sinne § 67 SGB X vor?
|
||||
2. Welche Stelle ist Verantwortlicher — Sozialleistungsträger, Krankenkasse, Berufsgenossenschaft?
|
||||
3. Welche Aufsicht ist zuständig (Bundesbeauftragte oder Landesbeauftragte)?
|
||||
4. Welche Meldewege überschneiden sich (DSGVO und SGB)?
|
||||
5. Welche besonderen Strafvorschriften greifen (§ 85 SGB X)?
|
||||
- Was will der Mandant wirklich erreichen? (Doppelmeldung sauber abwickeln; berufs- und beamtenrechtliche Folgen vermeiden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **§ 35 SGB I** Sozialgeheimnis.
|
||||
- **§ 67 SGB X** Definitionen.
|
||||
- **§ 83a SGB X** Meldung Datenschutzverletzungen.
|
||||
- **§ 85 SGB X** Bußgeldvorschriften.
|
||||
- **Art. 33 DSGVO** allgemeine Meldepflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zum Verhältnis § 83a SGB X zu Art. 33 DSGVO vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
§ 35; § 67; § 83a; § 85 SGB X; § 35 SGB I; Art. 33 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Doppelspur Meldung
|
||||
|
||||
DSGVO-Spur: Meldung an Aufsichtsbehörde (BfDI bei Bundesbehörde oder zuständige Landesbehörde).
|
||||
|
||||
SGB-Spur: zusätzliche Pflichten nach § 83a SGB X; ggf. Aufsicht durch Sozialministerium.
|
||||
|
||||
Berichtsformate parallel halten; Konsistenz beachten.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-art-9-besondere-kategorien` deckt Gesundheitsdaten ab.
|
||||
- `dsv-paragraf-203-stgb-berufsgeheimnis` deckt aerztliches Geheimnis ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-spezialfaelle-uebersicht
|
||||
description: "Liefert eine schnelle Übersicht über häufige Spezialfälle eines Datenschutzvorfalls und verweist auf vertiefte Skills. Behandelt: Ransomware; Insider-Threat; Fehlversand E-Mail/Brief; Endgeräteverlust; verlorener Datenträger; Cloud-Fehlkonfiguration; offene S3-Buckets; kompromittiertes E-Mail-Konto; Phishing-Erfolg; Schatten-IT; kompromittierter Dienstleister; Web-Defacement; Datenleck durch Whistleblower. Output: Übersichts-Matrix mit Erstbewertung und Verweisen auf vertiefte Skills. Abgrenzung: ersetzt nicht die Einzelbewertung."
|
||||
---
|
||||
|
||||
# Spezialfälle Datenschutzvorfall — Übersicht für die Triage
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welcher Spezialfall liegt vor und welche Sofortmaßnahmen prägt das?
|
||||
2. Liegt ein typischer Mehrfach-Trigger vor (Ransomware = V+I+V)?
|
||||
3. Welche besondere Sektoraufsicht ist betroffen (KRITIS, Finanzen, Gesundheit)?
|
||||
4. Welche typischen Bußgeldhebel sind aus der Praxis bekannt?
|
||||
5. Welche typischen Beweisprobleme prägen den Fall?
|
||||
- Was will der Mandant wirklich erreichen? (schneller Überblick; passende vertiefte Skills wählen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 32 DSGVO** Sicherheit der Verarbeitung.
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 34 DSGVO** Benachrichtigung.
|
||||
- **§ 8b BSIG** Meldepflicht KRITIS.
|
||||
- **NIS-2-UmsuCG** (sofern in Kraft) zusätzliche Meldepflichten.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Ransomware-Bußgeldbescheide und Sammelklagen wegen Datenleck vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 32; Art. 33; Art. 34 DSGVO; § 8b BSIG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Spezialfall-Matrix
|
||||
|
||||
Ransomware → V+I+V; Lösegeldverbot prüfen; KRITIS-Meldung.
|
||||
Insider-Threat → Beweissicherung diskret; Strafanzeige prüfen; Mitbestimmung beachten.
|
||||
Fehlversand → Empfänger kontaktieren; Vernichtungsbestätigung einholen.
|
||||
Endgeräteverlust → Verschlüsselungsnachweis; Remote-Wipe protokollieren.
|
||||
Cloud-Fehlkonfiguration → Konfigurationsänderung; Logs; CSP-AV-Pflichten.
|
||||
Kompromittiertes E-Mail-Konto → Tokens widerrufen; Mailregeln prüfen; Phishing-Welle erwarten.
|
||||
Dienstleisterleck → AV-Vertrag prüfen; Meldekette Art. 33 Abs. 2 DSGVO.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,46 @@
|
||||
---
|
||||
name: dsv-stakeholder-mapping
|
||||
description: "Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher. Behandelt: Geschäftsleitung; Datenschutzbeauftragter; IT-Sicherheit; Betriebsrat; Auftragsverarbeiter; gemeinsam Verantwortliche; Cyberversicherung; Aufsichtsbehörde; Strafverfolgungsbehörden; Betroffene; Großkunden mit Vertragsklauseln; Presse; Sozialmedien. Output: Stakeholder-Matrix mit Eskalations- und Informationsplan. Abgrenzung: keine konkreten Schreiben."
|
||||
---
|
||||
|
||||
# Stakeholder-Mapping nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Vertragsbeziehungen verlangen frühzeitige Information (Banken, Großkunden, Auftragsverarbeiter)?
|
||||
2. Welche Aufsichtsbehörde ist primär, welche zusätzlich (Sektoraufsicht BaFin, BSI § 8b BSIG)?
|
||||
3. Ist der Konzern grenzüberschreitend tätig — Lead-Authority nach Art. 56 DSGVO?
|
||||
4. Gibt es Betriebsrat und welche Beteiligungsrechte?
|
||||
5. Welche Sozialmedien-Kanäle hat der Mandant?
|
||||
- Was will der Mandant wirklich erreichen? (kein Stakeholder vergessen; keine Doppelkommunikation)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 26 DSGVO** gemeinsam Verantwortliche.
|
||||
- **Art. 28 DSGVO** Auftragsverarbeiter.
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 56 DSGVO** federführende Aufsichtsbehörde.
|
||||
- **§ 8b BSIG** Meldepflicht bei kritischen Infrastrukturen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Abgrenzung gemeinsam Verantwortlicher und reiner Auftragsverarbeitung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 26; Art. 28; Art. 33; Art. 56 DSGVO; § 8b BSIG; § 109 TKG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Stakeholder-Matrix-Spalten
|
||||
|
||||
Stakeholder; Rolle; Pflicht oder freiwillig; Zeitpunkt; Verantwortlicher intern; Format der Information; abgestimmte Kernbotschaft; Eskalationsstufe.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,55 @@
|
||||
---
|
||||
name: dsv-tonfall-krisenkommunikation
|
||||
description: "Bestimmt den richtigen Tonfall und die Sprachregelung in der Krisenkommunikation nach einem Datenschutzvorfall. Behandelt: Vermeidung von Verharmlosung; Vermeidung von Panikmache; matter-of-factly; Reasoning vor Conclusion; Vermeidung selbstbelastender Aussagen; keine voreiligen Schuldzuweisungen; Empathie ohne Anerkenntnis; rechtliche Grenzen (§ 824 BGB; § 4 UWG; Art. 5 Abs. 1 lit. a DSGVO). Output: Sprachregel-Leitfaden mit Beispielsätzen Do/Don't. Abgrenzung: keine Pressemitteilung; keine individuelle Benachrichtigung."
|
||||
---
|
||||
|
||||
# Tonfall und Sprache in der Krisenkommunikation nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Zielgruppe wird angesprochen (Betroffene, Presse, Mitarbeiter, Großkunden)?
|
||||
2. Welcher Markenton ist beim Mandanten etabliert?
|
||||
3. Welche Aussagen sind faktenfest belegbar?
|
||||
4. Welche Aussagen wären selbstbelastend im Bußgeldverfahren?
|
||||
5. Welche Aussagen wären zivilrechtlich riskant?
|
||||
- Was will der Mandant wirklich erreichen? (Vertrauenserhalt; keine Selbstbelastung; keine Sammelklagen-Munition)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 12 Abs. 1 DSGVO** klare einfache Sprache.
|
||||
- **Art. 34 Abs. 2 DSGVO** Inhalt der Benachrichtigung.
|
||||
- **Art. 5 Abs. 1 lit. a DSGVO** Transparenz.
|
||||
- **§ 824 BGB** Kreditgefährdung.
|
||||
- **§ 4 UWG** Mitbewerberschutz.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Wortlaut-Streitigkeiten in Massendatenpannen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 1 lit. a; Art. 12 Abs. 1; Art. 34 Abs. 2 DSGVO; § 824 BGB; § 4 UWG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Do/Don't
|
||||
|
||||
Do: konkrete Beschreibung des Vorfalls; konkrete Folgen; konkrete Empfehlungen; respektvolle Anrede; Hotline.
|
||||
|
||||
Don't: Pauschalentschuldigungen ohne Bezug; Schuldzuweisungen an Dritte ohne Beleg; Versprechungen Es-kann-nicht-mehr-passieren; juristische Wertungen wie kein-Risiko ohne Beleg.
|
||||
|
||||
Empathie ohne Anerkenntnis: Wir bedauern den Vorfall; wir verstehen Ihre Sorge; wir prüfen alle erforderlichen Schritte.
|
||||
|
||||
Reasoning vor Conclusion: erst Beschreibung der Lage; dann Bewertung; dann Empfehlung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-pressemitteilung-krisenkommunikation` deckt die Pressemitteilung ab.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt das Anschreiben ab.
|
||||
@@ -0,0 +1,51 @@
|
||||
---
|
||||
name: dsv-verdacht-vs-festgestellt
|
||||
description: "Bewertet, ob der Mandant bereits Kenntnis von einer Verletzung im Sinne Art. 33 Abs. 1 DSGVO hat oder ob noch bloßer Verdacht vorliegt. Behandelt: Abgrenzung Verdacht und Kenntnis; angemessene Sicherheit der Feststellung; Pflicht zur unverzüglichen Aufklärung; Erwägungsgrund 87; Dokumentationspflichten in der Verdachtsphase; Risiko einer verspäteten Meldung. Output: Memo zur Einordnung und Begründung des Fristbeginns. Abgrenzung: keine eigene Meldung; keine Risikobewertung."
|
||||
---
|
||||
|
||||
# Verdacht versus festgestellte Verletzung — Kenntnisbegriff Art. 33 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Worauf basiert der Verdacht — Logeintrag, Anruf, Drittmeldung, Pressebericht?
|
||||
2. Welche internen Prüfungen wurden bereits durchgeführt?
|
||||
3. Liegen objektive Anhaltspunkte für eine Verletzung vor oder reine Spekulation?
|
||||
4. Wie lange dauert die Aufklärung voraussichtlich?
|
||||
5. Welche Sofortmaßnahmen sind während der Aufklärung sinnvoll?
|
||||
- Was will der Mandant wirklich erreichen? (Rechtssicherheit beim Fristbeginn; keine voreilige Falschmeldung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldung ab Kenntniserlangung.
|
||||
- **Erwägungsgrund 87 DSGVO** unverzügliche Feststellung mit angemessener Sicherheit.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht auch in der Verdachtsphase.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Maßstäben angemessener Sicherheit der Feststellung und Reichweite der Aufklärungspflicht vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 87.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Einordnungsraster
|
||||
|
||||
Phase Verdacht: kein Fristbeginn; Dokumentation der eingeleiteten Aufklärungsschritte.
|
||||
|
||||
Phase qualifizierte Kenntnis: Fristbeginn 72 Stunden; Festlegung des Zeitpunkts.
|
||||
|
||||
Maßstab: ein verständiger Verantwortlicher würde von einer Verletzung ausgehen — Reasoning zuerst dann Conclusion.
|
||||
|
||||
Dokumentationsbausteine: was wurde wann wahrgenommen; welche Prüfungen wurden eingeleitet; welche Ergebnisse haben den Verdacht zur Kenntnis verdichtet.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,59 @@
|
||||
---
|
||||
name: dsv-vvt-update-nach-vorfall
|
||||
description: "Steuert die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Identifikation der betroffenen Verarbeitungen; Anpassung der technischen und organisatorischen Maßnahmen; neue Risikoeinschätzung; Auftragsverarbeiter-Update; Aufbewahrungsfristen; Verknüpfung mit Vorfallregister Art. 33 Abs. 5. Output: Update-Checkliste mit Pflichtfeldern. Abgrenzung: kein neues VVT; keine DSFA."
|
||||
---
|
||||
|
||||
# Aktualisierung des Verfahrensverzeichnisses nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche VVT-Einträge sind durch den Vorfall berührt?
|
||||
2. Welche TOM müssen aktualisiert werden?
|
||||
3. Sind neue Auftragsverarbeiter hinzugekommen (Forensiker, Hotline)?
|
||||
4. Welche Aufbewahrungsfristen ändern sich (Logs, Vorfallakten)?
|
||||
5. Wer pflegt das VVT und genehmigt die Änderung?
|
||||
- Was will der Mandant wirklich erreichen? (Rechenschaftspflicht erfüllen; Bußgeldverteidigung; saubere Audit-Spur)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 30 DSGVO** VVT.
|
||||
- **Art. 32 DSGVO** TOM.
|
||||
- **Art. 33 Abs. 5 DSGVO** Vorfallregister.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 24 DSGVO** Verantwortung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Vorlagepflicht des VVT auf Behördenanforderung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 30; Art. 32; Art. 33 Abs. 5 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Update-Checkliste
|
||||
|
||||
Schritt 1: Vorfall einer Verarbeitung VVT-ID zuordnen.
|
||||
|
||||
Schritt 2: TOM-Liste aktualisieren — was war wirksam, was nicht, was wurde nachgerüstet.
|
||||
|
||||
Schritt 3: Risikobewertung in VVT überarbeiten.
|
||||
|
||||
Schritt 4: Auftragsverarbeiter-Eintrag pflegen — neue Subunternehmer dokumentieren.
|
||||
|
||||
Schritt 5: Aufbewahrungsfristen anpassen; Vorfallakte mit Aufbewahrungsende eintragen.
|
||||
|
||||
Schritt 6: Versionsstand mit Datum und Bearbeiter speichern; alte Version revisionssicher archivieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-dsfa-update-nach-vorfall` deckt die Datenschutz-Folgenabschätzung ab.
|
||||
- `dsv-interne-dokumentation-art-33-abs-5` deckt das Vorfallregister ab.
|
||||
@@ -0,0 +1,47 @@
|
||||
---
|
||||
name: dsv-zeitleiste
|
||||
description: "Erstellt eine minutiös rekonstruierte Zeitleiste vom Eintritt der Verletzung bis zur Meldung und Benachrichtigung. Behandelt: Eintritt; Erstwahrnehmung; Meldung an Service-Desk; Eingang Datenschutzpostfach; Kenntnisbegriff Art. 33 DSGVO; 72-Stunden-Lauf; Sofortmaßnahmen; Forensik-Beauftragung; Meldung an Aufsichtsbehörde; Benachrichtigung Betroffene; Pressemitteilung; Nachmeldung. Output: tabellarische Zeitleiste mit Quellen und Rechtsfolgen. Abgrenzung: keine Risikobewertung; keine Behördenmeldung im engeren Sinne."
|
||||
---
|
||||
|
||||
# Zeitleiste des Datenschutzvorfalls — minutiöse Rekonstruktion
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Aus welchen Quellen lässt sich der Zeitstrahl rekonstruieren — Logs, E-Mails, Tickets, Aussagen?
|
||||
2. Welche Zeitstempel sind in welcher Zeitzone protokolliert?
|
||||
3. Wann genau hat der Verantwortliche im Sinne Art. 33 DSGVO Kenntnis erlangt?
|
||||
4. Wann beginnt der 72-Stunden-Lauf — Erstwahrnehmung oder qualifizierte Kenntnis?
|
||||
5. Gibt es Lücken, die durch Zeugenaussagen geschlossen werden müssen?
|
||||
- Was will der Mandant wirklich erreichen? (verteidigungsfähige Zeitachse; Begründung Fristbeginn)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Kenntnisbegriff und 72-Stunden-Frist.
|
||||
- **Erwägungsgrund 87 DSGVO** unverzügliche Feststellung.
|
||||
- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Auslegung Kenntnisbegriff und zum Beginn der 72-Stunden-Frist vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 33 Abs. 4; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 87.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Zeitleisten-Spalten
|
||||
|
||||
Datum/Uhrzeit (Zeitzone); Ereignis; Quelle; Akteur; Rechtsfolge; Anmerkungen; Beweismittel.
|
||||
|
||||
Wichtig: Kenntnisbegriff sauber dokumentieren — ein bloßer Verdacht oder Hinweis löst noch nicht den Fristlauf aus; maßgeblich ist die qualifizierte Kenntnis im Sinne Erwägungsgrund 87.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -67,12 +67,69 @@ Apache-2.0 OR MIT — Auswahl beim Empfänger.
|
||||
|
||||
## Alle Skills im Ueberblick
|
||||
|
||||
Automatisch generierte Komplett-Liste aller 57 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
|
||||
Automatisch generierte Komplett-Liste aller 114 Skills in diesem Plugin. Beschreibungen stammen aus dem `description`-Feld der jeweiligen SKILL.md.
|
||||
|
||||
| Skill | Beschreibung |
|
||||
| --- | --- |
|
||||
| `allgemein` | Einstieg, Schnelltriage und Workflow-Routing im Fachanwalt IT Recht-Plugin. Fragt Rolle, Ziel, Fristen, Unterlagen, Risiken und Wunsch-Output ab, schlägt passende Spezial-Skills aus diesem Plugin vor und führt in einen klaren Arbeitsplan... |
|
||||
| `cyber-incident-response-72h` | Sofortmassnahmen bei aktivem Cyber-Vorfall Ransomware Datenexfiltration oder Insider-Threat. Anwendungsfall Cyberangriff ist entdeckt und IT-rechtliche Meldepflichten sowie Beweissicherung muessen binnen Stunden eingeleitet werden. Norme... |
|
||||
| `dsv-art-9-besondere-kategorien` | Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; g... |
|
||||
| `dsv-aufnahme-statusinformation` | Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpos... |
|
||||
| `dsv-benachrichtigung-art-34-ausnahmen` | Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes... |
|
||||
| `dsv-benachrichtigung-art-34-betroffene` | Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung;... |
|
||||
| `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` | Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen... |
|
||||
| `dsv-beweissicherung` | Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabb... |
|
||||
| `dsv-bussgeldverteidigung-art-83` | Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit... |
|
||||
| `dsv-dsfa-update-nach-vorfall` | Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation d... |
|
||||
| `dsv-erstgespraech-vorfallmeldung` | Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedar... |
|
||||
| `dsv-eskalationsmatrix` | Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertret... |
|
||||
| `dsv-forensische-erstsicherung` | Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsp... |
|
||||
| `dsv-interne-dokumentation-art-33-abs-5` | Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schn... |
|
||||
| `dsv-kein-risiko-dokumentation` | Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; S... |
|
||||
| `dsv-kinderdaten-besondere-schutzbeduerftigkeit` | Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identit... |
|
||||
| `dsv-kommunikationssperre` | Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelu... |
|
||||
| `dsv-lead-authority-konzern` | Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperati... |
|
||||
| `dsv-lessons-learned-nachbereitung` | Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Ü... |
|
||||
| `dsv-massenbenachrichtigung` | Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewell... |
|
||||
| `dsv-meldekette-auftragsverarbeiter` | Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertrags... |
|
||||
| `dsv-meldung-art-33-pflichtangaben` | Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der... |
|
||||
| `dsv-meldung-baylda` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentlich... |
|
||||
| `dsv-meldung-bfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbeh... |
|
||||
| `dsv-meldung-bln-bdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; O... |
|
||||
| `dsv-meldung-grenzueberschreitend` | Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsich... |
|
||||
| `dsv-meldung-hbdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen;... |
|
||||
| `dsv-meldung-hmbbfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche St... |
|
||||
| `dsv-meldung-kritis-sektoraufsicht` | Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meld... |
|
||||
| `dsv-meldung-lda-brandenburg` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für... |
|
||||
| `dsv-meldung-ldi-nrw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und f... |
|
||||
| `dsv-meldung-lfd-niedersachsen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Onli... |
|
||||
| `dsv-meldung-lfd-sachsen-anhalt` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; O... |
|
||||
| `dsv-meldung-lfdi-bremen` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für n... |
|
||||
| `dsv-meldung-lfdi-bw` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg... |
|
||||
| `dsv-meldung-lfdi-mv` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommer... |
|
||||
| `dsv-meldung-lfdi-rlp` | Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und... |
|
||||
| `dsv-meldung-lfdi-saarland` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarla... |
|
||||
| `dsv-meldung-saechsdsb` | Reicht eine Meldung nach Art. 33 DSGVO bei der Sächsische Datenschutz- und Transparenzbeauftragte (SaechsDSB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen und für nicht-öffentliche Stellen; Online-F... |
|
||||
| `dsv-meldung-tlfdi` | Reicht eine Meldung nach Art. 33 DSGVO bei der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Thüringen und für nicht-öffe... |
|
||||
| `dsv-meldung-uld-sh` | Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Schleswig-Holstein und für nicht-öffentliche S... |
|
||||
| `dsv-nachmeldung-aktualisierung-art-33-abs-4` | Erstellt die Nachmeldung zu einer vorläufigen Erstmeldung nach Art. 33 Abs. 4 DSGVO. Behandelt: 14-Tage-Frist der Berliner Praxis; Ergänzung der Datenarten; Korrektur der Anzahl Betroffener; Update der Gegenmaßnahmen; Information zur Pre... |
|
||||
| `dsv-paragraf-203-stgb-berufsgeheimnis` | Bewertet einen Datenschutzvorfall bei Berufsgeheimnisträgern nach § 203 StGB. Behandelt: Ärzte; Rechtsanwälte; Steuerberater; Wirtschaftsprüfer; Psychotherapeuten; Sozialarbeiter; berufsmäßige Gehilfen; mitwirkende Personen nach § 203 Ab... |
|
||||
| `dsv-pressemitteilung-krisenkommunikation` | Entwirft eine Pressemitteilung und begleitende Krisenkommunikation bei einem Datenschutzvorfall mit öffentlicher Wahrnehmung. Behandelt: rechtliche Pflichten aus Art. 34 Abs. 3 lit. c DSGVO (öffentliche Bekanntmachung); Inhalt; Tonfall;... |
|
||||
| `dsv-rechtsprechung-immaterieller-schaden-bgh-olg` | Analysiert die deutsche Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO im Lichte der EuGH-Vorgaben. Behandelt: BGH-Entscheidungen zur Substantiierung; OLG-Linien zur Bagatellschwelle; OLG-Entscheidungen zur Beweislast... |
|
||||
| `dsv-risikobewertung-edsa-leitlinie` | Führt die Risikobewertung eines Datenschutzvorfalls anhand der EDSA-Leitlinie 9/2022 zu Beispielen für die Meldung von Datenschutzverletzungen durch. Behandelt: Beispielfallgruppen Ransomware; Datenexfiltration; Insider; Verlust; Fehlver... |
|
||||
| `dsv-risikobewertung-enisa-schweregrad` | Wendet die ENISA-Methodik Recommendations for a methodology of the assessment of severity of personal data breaches auf einen konkreten Vorfall an. Behandelt: Data Processing Context DPC; Ease of Identification EI; Circumstances of Breac... |
|
||||
| `dsv-risikobewertung-schwellen-art-33-34` | Strukturiert die Schwellenwertentscheidung nach Art. 33 und Art. 34 DSGVO als anwaltlichen Entscheidungsbaum. Behandelt: voraussichtlich-kein-Risiko-Schwelle Art. 33 Abs. 1; Meldeschwelle; voraussichtlich-hohes-Risiko Art. 34 Abs. 1; Aus... |
|
||||
| `dsv-sammelklagen-praevention` | Entwickelt eine Strategie zur Prävention und Steuerung von Sammelklagen und Massenverfahren nach einer Massendatenpanne. Behandelt: Verbandsklage-Richtlinie; UKlaG; KapMuG-Analogien; Inkasso-Plattformen; anwaltliche Akquise-Wellen; Bewei... |
|
||||
| `dsv-schadensersatz-art-82` | Verteidigt den Verantwortlichen gegen Schadensersatzansprüche nach Art. 82 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Anspruchsvoraussetzungen; materieller und immaterieller Schaden; EuGH-Rechtsprechung (insbesondere Österre... |
|
||||
| `dsv-schnelltriage-risiko` | Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung. Behandelt: Vertraulichkeits-, Integritäts- und Verfügbarkeitsverletzung; Datenkategorien;... |
|
||||
| `dsv-sofortmassnahmen-checkliste` | Generiert eine priorisierte Sofortmaßnahmen-Checkliste innerhalb der ersten Stunden nach Bekanntwerden eines Datenschutzvorfalls. Behandelt: Eindämmung; Beweissicherung; Zugriffsbeschränkung; Passwort-Reset; Account-Sperrung; Netzwerkseg... |
|
||||
| `dsv-sozialdaten-sgb` | Bewertet einen Datenschutzvorfall bei Sozialleistungsträgern, Sozialversicherungen und sozialen Diensten nach den Sondervorschriften der Sozialgesetzbücher. Behandelt: Sozialdatenbegriff § 67 SGB X; Sozialgeheimnis § 35 SGB I; Verhältnis... |
|
||||
| `dsv-spezialfaelle-uebersicht` | Liefert eine schnelle Übersicht über häufige Spezialfälle eines Datenschutzvorfalls und verweist auf vertiefte Skills. Behandelt: Ransomware; Insider-Threat; Fehlversand E-Mail/Brief; Endgeräteverlust; verlorener Datenträger; Cloud-Fehlk... |
|
||||
| `dsv-stakeholder-mapping` | Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher. Behandelt: Geschäftsleitung; Datenschutzbeauftragter; IT-Sicherheit; Betriebsrat; Auftragsverarbeiter... |
|
||||
| `dsv-tonfall-krisenkommunikation` | Bestimmt den richtigen Tonfall und die Sprachregelung in der Krisenkommunikation nach einem Datenschutzvorfall. Behandelt: Vermeidung von Verharmlosung; Vermeidung von Panikmache; matter-of-factly; Reasoning vor Conclusion; Vermeidung se... |
|
||||
| `dsv-verdacht-vs-festgestellt` | Bewertet, ob der Mandant bereits Kenntnis von einer Verletzung im Sinne Art. 33 Abs. 1 DSGVO hat oder ob noch bloßer Verdacht vorliegt. Behandelt: Abgrenzung Verdacht und Kenntnis; angemessene Sicherheit der Feststellung; Pflicht zur unv... |
|
||||
| `dsv-vvt-update-nach-vorfall` | Steuert die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Identifikation der betroffenen Verarbeitungen; Anpassung der technischen und organisatorische... |
|
||||
| `dsv-zeitleiste` | Erstellt eine minutiös rekonstruierte Zeitleiste vom Eintritt der Verletzung bis zur Meldung und Benachrichtigung. Behandelt: Eintritt; Erstwahrnehmung; Meldung an Service-Desk; Eingang Datenschutzpostfach; Kenntnisbegriff Art. 33 DSGVO;... |
|
||||
| `erstgespraech-mandatsannahme` | Strukturierter Erstgespraechsleitfaden für IT-, Datenschutz- und Telemedienrecht: Erfassung der Konstellation, Konflikt- und GwG-Check, Vollmacht, Streitwert/Gebührenvereinbarung, Fristen-Erstprognose und Handlungsweichen. |
|
||||
| `fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen` | Cyber-Vorfall-Sofortmassnahmen Ransomware Datenleck Hack. Meldepflichten 72 Stunden Art. 33 DSGVO BSIG NIS2UmsuCG kritische Infrastruktur. Forensik Beweissicherung Chain-of-Custody Behoerden Cybercrime. Krisenkommunikation Betroffene Auf... |
|
||||
| `fachanwalt-it-recht-datenschutz-folgenabschaetzung` | Datenschutz-Folgenabschaetzung DSFA nach Art. 35 DSGVO bei voraussichtlich hohem Risiko. Anwendungsfall neues Verarbeitungsverfahren mit hohem Risiko für Betroffene soll eingeführt werden. Normen Art. 35 DSGVO DSFA-Pflicht Art. 36 DSGVO... |
|
||||
|
||||
@@ -0,0 +1,50 @@
|
||||
---
|
||||
name: dsv-art-9-besondere-kategorien
|
||||
description: "Bewertet einen Datenschutzvorfall mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Behandelt: rassische/ethnische Herkunft; politische Meinungen; religiöse/weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; genetische und biometrische Daten zur eindeutigen Identifizierung; Gesundheitsdaten; Daten zum Sexualleben oder zur sexuellen Orientierung. Folgen: regelmäßige Annahme hohen Risikos; Benachrichtigung Art. 34 DSGVO; Bußgeldverschärfung Art. 83 Abs. 5. Output: Memo mit Schutzbedarfsanalyse. Abgrenzung: § 203 StGB getrennt; Sozialdaten getrennt."
|
||||
---
|
||||
|
||||
# Besondere Kategorien Art. 9 DSGVO im Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegen Daten im Sinne Art. 9 Abs. 1 DSGVO vor — wenn ja welche konkret?
|
||||
2. Wie viele Betroffene und welche Mengen?
|
||||
3. Sind die Daten im Klartext oder verschlüsselt oder pseudonymisiert?
|
||||
4. Welche besondere Aufsicht (Sektorbehörde) ist zuständig?
|
||||
5. Welche besondere Bußgeldhöhe droht (Art. 83 Abs. 5 DSGVO)?
|
||||
- Was will der Mandant wirklich erreichen? (Schadensbegrenzung; rechtskonforme Benachrichtigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 9 Abs. 1 DSGVO** Verbot mit Erlaubnisvorbehalt; **Art. 9 Abs. 2 DSGVO** Ausnahmen.
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei hohem Risiko — bei Art. 9 regelmäßig zu bejahen.
|
||||
- **Art. 83 Abs. 5 lit. a DSGVO** verschärfter Bußgeldrahmen bis 20 Mio. EUR oder 4 Prozent.
|
||||
- **Erwägungsgrund 75 DSGVO** besondere Risiken bei sensiblen Daten.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Gesundheitsdaten-Leaks und Bußgeldhöhen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 9 Abs. 1; Art. 9 Abs. 2; Art. 34 Abs. 1; Art. 83 Abs. 5 lit. a DSGVO; Erwägungsgrund 75.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Schutzbedarfsanalyse Art. 9
|
||||
|
||||
Welche Kategorie liegt vor; in welcher Form (Klartext / pseudonymisiert / verschlüsselt); welche Anzahl; welche Folgen sind plausibel.
|
||||
|
||||
Conclusion: bei Art. 9-Daten im Klartext regelmäßig Meldung Art. 33 und Benachrichtigung Art. 34; Begründung schriftlich für die Akte.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-paragraf-203-stgb-berufsgeheimnis` deckt strafrechtliche Geheimnistraeger ab.
|
||||
- `dsv-sozialdaten-sgb` deckt Sozialdaten ab.
|
||||
@@ -0,0 +1,68 @@
|
||||
---
|
||||
name: dsv-aufnahme-statusinformation
|
||||
description: "Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpostfach; Sachverhaltskurzfassung; 72-Stunden-Endpunkt als Datum und Uhrzeit; Ampelstatus grün gelb rot schwarz mit Begründung; aktuelle Einschätzung; Bewertung Meldepflicht nach Art. 33 DSGVO; Bewertung Informationspflicht nach Art. 34 DSGVO; nächster Schritt mit Verantwortlichem. Output: Fließtext-Memo 100-300 Wörter; matter-of-factly; Reasoning vor Conclusion in jedem Feld. Abgrenzung: keine Behördenmeldung; keine Risikobewertung im engeren Sinne."
|
||||
---
|
||||
|
||||
# Datenschutzvorfall — Erstaufnahme als Statusinformation
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wann genau wurde der Vorfall durch wen bemerkt und an welche interne Stelle gemeldet?
|
||||
2. Welche Datenkategorien und welcher Personenkreis sind potenziell betroffen?
|
||||
3. Ist der 72-Stunden-Lauf nach Art. 33 Abs. 1 DSGVO bereits angestoßen oder läuft er noch?
|
||||
4. Welche Sofortmaßnahmen wurden bereits getroffen und welche stehen aus?
|
||||
5. Wer ist Empfänger der Statusinformation — Geschäftsleitung, Datenschutzbeauftragter, Vorstand, externer Berater?
|
||||
- Was will der Mandant wirklich erreichen? (Lagebild, Entscheidungsgrundlage Meldung, Eskalation, Dokumentation)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden ab Kenntniserlangung an die zuständige Aufsichtsbehörde.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht jedes Vorfalls unabhängig von der Meldepflicht.
|
||||
- **Art. 34 DSGVO** Benachrichtigung der betroffenen Personen bei voraussichtlich hohem Risiko.
|
||||
- **§ 42 BDSG** Strafvorschriften bei vorsätzlicher unbefugter Offenlegung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht des Verantwortlichen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Rechtsprechung wird nicht aus Modellwissen zitiert; aktuelle Entscheidungen des EuGH und BGH zur Auslegung der 72-Stunden-Frist und zum Kenntnisbegriff sind vor Ausgabe über die unten genannten Quellen zu verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 3; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; § 42 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Statusinformation (Stilreferenz Fließtext)
|
||||
|
||||
Vorgang: kurze sprechende Bezeichnung des Vorfalls.
|
||||
|
||||
Kenntnisnahme: Wer hat wann was durch welche Wahrnehmung erkannt — Reasoning vor Conclusion.
|
||||
|
||||
Eingang Service-Desk: Zeitpunkt und Ticketnummer mit kurzer Begründung der Zuordnung.
|
||||
|
||||
Eingang Datenschutzpostfach: Zeitpunkt der formalen Weiterleitung an die Datenschutzorganisation.
|
||||
|
||||
Sachverhalt: drei bis fünf Sätze; was ist passiert; welche Systeme; welche Datenkategorien; welcher Personenkreis.
|
||||
|
||||
72-Stunden-Endpunkt: konkretes Datum und Uhrzeit mit Bezug auf den Kenntnisnahmezeitpunkt.
|
||||
|
||||
Ampelstatus: 🟢 unkritisch / 🟡 beobachtet / 🔴 meldepflichtig / ⚫ benachrichtigungspflichtig — mit kurzer Erläuterung.
|
||||
|
||||
Aktuelle Einschätzung: technische und organisatorische Lage; eingrenzbar oder nicht.
|
||||
|
||||
Bewertung: Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten; Reasoning vor Conclusion.
|
||||
|
||||
Meldepflicht Art. 33: ja / nein / noch offen mit Begründung.
|
||||
|
||||
Informationspflicht Art. 34: ja / nein / noch offen mit Begründung.
|
||||
|
||||
Nächster Schritt: konkret, mit Verantwortlichem und Zeitpunkt.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,54 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-ausnahmen
|
||||
description: "Prüft die Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO. Behandelt: lit. a technische und organisatorische Maßnahmen (insb. Verschlüsselung) die Daten unverständlich machen; lit. b nachträgliche Maßnahmen die hohes Risiko nicht mehr eintreten lassen; lit. c unverhältnismäßiger Aufwand mit öffentlicher Bekanntmachung als Ersatz; Darlegungs- und Beweislast; Behördenakzeptanz. Output: Ausnahmenprüfungs-Memo mit Begründung. Abgrenzung: keine Schwellenwertentscheidung."
|
||||
---
|
||||
|
||||
# Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Verschlüsselung war wirksam und entspricht dem Stand der Technik?
|
||||
2. Welche nachträglichen Maßnahmen reduzieren das Risiko nachweisbar?
|
||||
3. Welcher Aufwand wäre für die individuelle Benachrichtigung tatsächlich angefallen?
|
||||
4. Welche öffentliche Bekanntmachung kommt als Ersatz in Betracht?
|
||||
5. Welche Beweise dokumentieren die Ausnahme?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Nichtbenachrichtigung; saubere Akte)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 3 lit. a DSGVO** technische Schutzmaßnahmen.
|
||||
- **Art. 34 Abs. 3 lit. b DSGVO** nachträgliche Maßnahmen.
|
||||
- **Art. 34 Abs. 3 lit. c DSGVO** unverhältnismäßiger Aufwand und öffentliche Bekanntmachung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Erwägungsgrund 86 DSGVO**.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu lit. a Verschlüsselungsstandards und lit. c unverhältnismäßiger Aufwand vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 34 Abs. 3 lit. a-c; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 86.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Ausnahmenprüfung
|
||||
|
||||
lit. a: Verschlüsselung nachweisen — Algorithmus, Schlüsselverwaltung, Stand der Technik (BSI-Empfehlungen). Reasoning vor Conclusion.
|
||||
|
||||
lit. b: Nachträgliche Maßnahmen mit Wirksamkeitsnachweis dokumentieren.
|
||||
|
||||
lit. c: Aufwandsabschätzung mit Vergleich zum Risiko; öffentliche Bekanntmachung Format und Reichweite.
|
||||
|
||||
Beweislast: liegt beim Verantwortlichen — schriftlich dokumentieren mit Datum und Verantwortlichem.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-pressemitteilung-krisenkommunikation` deckt die oeffentliche Bekanntmachung ab.
|
||||
@@ -0,0 +1,69 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-betroffene
|
||||
description: "Erstellt das Benachrichtigungsschreiben an die von einer Datenschutzverletzung betroffenen Personen nach Art. 34 DSGVO. Behandelt: Pflichtinhalte nach Art. 34 Abs. 2 DSGVO; klare und einfache Sprache; Beschreibung der Art der Verletzung; Kontaktdaten des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene und vorgeschlagene Abhilfemaßnahmen; konkrete Empfehlungen für Betroffene; Hotline; Versandweg E-Mail oder Brief. Output: Anschreiben mit Q&A. Abgrenzung: keine öffentliche Bekanntmachung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Benachrichtigung der Betroffenen nach Art. 34 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegt die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO vor?
|
||||
2. Welche Adressdaten der Betroffenen sind vorhanden?
|
||||
3. Welcher Versandweg ist sachgerecht (E-Mail, Brief, Push-Nachricht)?
|
||||
4. Welche konkreten Schutzempfehlungen können gegeben werden?
|
||||
5. Welche Hotline oder E-Mail-Adresse steht zur Verfügung?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Benachrichtigung; Vertrauenserhalt; Sammelklagen-Schutz)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei voraussichtlich hohem Risiko.
|
||||
- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte und klare einfache Sprache.
|
||||
- **Art. 34 Abs. 3 DSGVO** Ausnahmen.
|
||||
- **Art. 12 DSGVO** Transparenz.
|
||||
- **§ 29 BDSG** Beschränkungen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Form der Benachrichtigung und zu Sammelklagen wegen unvollständiger Benachrichtigung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 12; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 34 Abs. 3 DSGVO; § 29 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Benachrichtigungsschreiben
|
||||
|
||||
Betreff: Wichtige Information zu einem Datenschutzvorfall.
|
||||
|
||||
Sehr geehrte/r [Name],
|
||||
|
||||
wir möchten Sie darüber informieren, dass es am [Datum] in unserem Unternehmen zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, von der auch Ihre Daten betroffen sind.
|
||||
|
||||
Was ist passiert: [klare einfache Beschreibung in zwei bis drei Sätzen].
|
||||
|
||||
Welche Ihrer Daten sind betroffen: [konkrete Aufzählung].
|
||||
|
||||
Welche Folgen sind möglich: [realistische Einschätzung ohne Verharmlosung und ohne Panikmache].
|
||||
|
||||
Was wir bereits unternommen haben: [Sofortmaßnahmen].
|
||||
|
||||
Was wir Ihnen empfehlen: [konkrete Schritte — Passwort ändern, Konten beobachten, Schufa-Auskunft einholen, je nach Fall].
|
||||
|
||||
Kontakt: Datenschutzbeauftragter [Name, E-Mail, Telefon]; Hotline [Nummer]; FAQ [URL].
|
||||
|
||||
Wir entschuldigen uns für die entstandene Unannehmlichkeit und stehen Ihnen für Rückfragen zur Verfügung.
|
||||
|
||||
Mit freundlichen Grüßen, [Geschäftsleitung]
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-benachrichtigung-art-34-schwelle-hohes-risiko` deckt die Schwellenwertentscheidung ab.
|
||||
- `dsv-benachrichtigung-art-34-ausnahmen` deckt die Ausnahmen ab.
|
||||
@@ -0,0 +1,55 @@
|
||||
---
|
||||
name: dsv-benachrichtigung-art-34-schwelle-hohes-risiko
|
||||
description: "Bewertet, ob die Schwelle voraussichtlich hohes Risiko nach Art. 34 Abs. 1 DSGVO erreicht ist. Behandelt: Abgrenzung zur Meldeschwelle Art. 33 Abs. 1 DSGVO; EDSA-Beispielfallgruppen; Faktoren Schwere und Wahrscheinlichkeit; Sondergruppen Art. 9 DSGVO und Minderjährige; Klartext-Passwörter; Finanzdaten; Gesundheitsdaten; Bewertungsmemo für die Akte. Output: Schwellenentscheidung mit Begründung und Bezug auf EDSA. Abgrenzung: keine konkrete Benachrichtigung; keine Ausnahmenprüfung."
|
||||
---
|
||||
|
||||
# Schwelle hohes Risiko nach Art. 34 Abs. 1 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Schwere der Folgen ist plausibel und welche Wahrscheinlichkeit?
|
||||
2. Welche EDSA-Beispielfallgruppe passt (Klartext-Passwort-Leak; Gesundheitsdaten-Leak; Finanzdaten-Leak)?
|
||||
3. Sind besondere Schutzbedürftige betroffen (Kinder, Patienten)?
|
||||
4. Welche Beweislast trifft den Verantwortlichen?
|
||||
5. Welche Folgewirkung hat die Entscheidung auf Pressekommunikation und Bußgeldverfahren?
|
||||
- Was will der Mandant wirklich erreichen? (begründete Entscheidung; Verteidigungsfähigkeit)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Schwellenwert.
|
||||
- **Erwägungsgrund 75; 76; 86 DSGVO**.
|
||||
- **EDSA-Leitlinien 9/2022** Beispiele.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Entscheidungen zur Schwellenwertentscheidung Art. 34 DSGVO vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 34 Abs. 1; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 75; 76; 86; EDSA-Leitlinien 9/2022.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Bewertungsraster
|
||||
|
||||
Faktor 1 Schwere: gering / mittel / hoch / sehr hoch.
|
||||
|
||||
Faktor 2 Wahrscheinlichkeit: gering / mittel / hoch.
|
||||
|
||||
Faktor 3 Datenkategorie: normale Daten / Art. 9 / Finanzdaten / Identitätsdaten.
|
||||
|
||||
Faktor 4 Personengruppe: Erwachsene / Minderjährige / Patienten / besonders Schutzbedürftige.
|
||||
|
||||
Conclusion: hohes Risiko ab Schwere hoch + Wahrscheinlichkeit mittel; bei Art. 9 + Kinder regelmäßig zu bejahen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-risikobewertung-edsa-leitlinie` und `dsv-risikobewertung-enisa-schweregrad` liefern methodische Tiefe.
|
||||
@@ -0,0 +1,50 @@
|
||||
---
|
||||
name: dsv-beweissicherung
|
||||
description: "Strukturiert die Beweissicherung nach einem Datenschutzvorfall so, dass die Beweismittel in einem späteren Bußgeldverfahren, Strafverfahren oder Zivilprozess verwertbar bleiben. Behandelt: Chain of Custody; Logging-Sicherung; Speicherabbilder; Hashes; Zeugenidentifikation; Dokumentation der Wahrnehmungen; Aufbewahrungsfristen; Datenschutzbeschränkungen bei Mitarbeiterüberwachung; Telekommunikationsgeheimnis. Output: Beweissicherungs-Protokoll mit Checkliste und Übergabeformular. Abgrenzung: keine eigene Forensik; keine Strafanzeige."
|
||||
---
|
||||
|
||||
# Beweissicherung nach Datenschutzvorfall — Chain of Custody
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Systeme und Speichermedien sind potenziell Beweismittel?
|
||||
2. Gibt es Hinweise auf einen Innentäter und damit besondere Anforderungen an die Vertraulichkeit?
|
||||
3. Liegt Telekommunikationsgeheimnis nach § 3 TTDSG vor?
|
||||
4. Welche Aufbewahrungsfristen gelten für die Logs?
|
||||
5. Wer übernimmt die forensische Sicherung — interne IT oder externer Forensiker?
|
||||
- Was will der Mandant wirklich erreichen? (gerichtsverwertbare Beweise; saubere Akte; spätere Verteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 32 DSGVO** angemessene Sicherheitsmaßnahmen.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **§ 26 BDSG** Mitarbeiterdatenverarbeitung.
|
||||
- **§ 3 TTDSG** Fernmeldegeheimnis.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Beweisverwertungsverboten bei verdeckter Mitarbeiterkontrolle vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 32; Art. 33 Abs. 5 DSGVO; § 26 BDSG; § 3 TTDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Chain-of-Custody-Protokoll
|
||||
|
||||
Asset-ID; Beschreibung; Sicherungszeitpunkt; sichernde Person; Übergabezeitpunkt; übernehmende Person; Hashwert vor/nach Sicherung; Aufbewahrungsort; Zugriffsberechtigte; Zweck der Sicherung; Rechtsgrundlage der Verarbeitung der gesicherten Daten.
|
||||
|
||||
Logging: Welche Log-Quellen wurden eingefroren? Welche Retention war eingestellt? Welche Lücken gibt es?
|
||||
|
||||
Zeugen: Wer hat wann was wahrgenommen — in eigenen Worten und mit Zeitstempel protokollieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-bussgeldverteidigung-art-83
|
||||
description: "Verteidigt den Verantwortlichen im Bußgeldverfahren nach Art. 83 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Bemessungsfaktoren nach Art. 83 Abs. 2 DSGVO; EDSA-Leitlinien 4/2022 zur Bußgeldberechnung; Wirtschaftliche Einheit nach EuGH Deutsche Wohnen; Verschuldensfrage; Mitwirkungspflicht und Selbstbelastung; Rechtsweg gegen Bußgeldbescheid; OWiG-Spezialitäten. Output: Verteidigungsstrategie mit Bemessungsanalyse. Abgrenzung: keine Schadensersatzverteidigung Art. 82; keine Strafverteidigung § 42 BDSG."
|
||||
---
|
||||
|
||||
# Bußgeldverteidigung Art. 83 DSGVO nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Aufsichtsbehörde führt das Verfahren und welche bisherige Bußgeldpraxis hat sie?
|
||||
2. Welche Vorwürfe stehen im Raum (Art. 33; Art. 32; Art. 5)?
|
||||
3. Welche Umsatzgröße bestimmt die Bußgeldobergrenze nach Art. 83 Abs. 4 oder Abs. 5?
|
||||
4. Welche Mitwirkung des Mandanten ist behördlich erwartet worden?
|
||||
5. Welche Mildernde Umstände sind verfügbar (Selbstmeldung; Kooperation; Vorbeugung)?
|
||||
- Was will der Mandant wirklich erreichen? (Bußgeldhöhe minimieren; Reputationsschutz; Verfahren rasch beenden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 83 Abs. 1 DSGVO** allgemeine Bedingungen.
|
||||
- **Art. 83 Abs. 2 DSGVO** Bemessungsfaktoren.
|
||||
- **Art. 83 Abs. 4; 5 DSGVO** Bußgeldrahmen.
|
||||
- **EDSA-Leitlinien 4/2022** Bußgeldberechnung.
|
||||
- **§§ 17; 41 BDSG** und OWiG-Vorschriften.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere EuGH Deutsche Wohnen C-807/21; KG Berlin- und LG-Entscheidungen vor Ausgabe über dejure.org oder openjur.de verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 83 Abs. 1; Art. 83 Abs. 2; Art. 83 Abs. 4; Art. 83 Abs. 5 DSGVO; §§ 17; 41 BDSG; OWiG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Verteidigungsraster
|
||||
|
||||
Schritt 1: Akteneinsicht beantragen.
|
||||
|
||||
Schritt 2: Sachverhalt prüfen — was ist tatsächlich passiert; was kann die Behörde belegen.
|
||||
|
||||
Schritt 3: Verschuldensfrage prüfen — Vorsatz oder Fahrlässigkeit; wirtschaftliche Einheit.
|
||||
|
||||
Schritt 4: Bemessungsfaktoren prüfen — alle 13 Faktoren nach Art. 83 Abs. 2 DSGVO einzeln.
|
||||
|
||||
Schritt 5: Mildernde Umstände sammeln — Selbstmeldung; Kooperation; Compliance-Programm; bereits ergriffene Maßnahmen.
|
||||
|
||||
Schritt 6: Stellungnahme verfassen; ggf. Bußgeldbescheid abwarten; Einspruch fristgemäß.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-schadensersatz-art-82` deckt zivilrechtliche Folgen ab.
|
||||
@@ -0,0 +1,54 @@
|
||||
---
|
||||
name: dsv-dsfa-update-nach-vorfall
|
||||
description: "Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei verbleibendem hohem Risiko; Verknüpfung mit VVT und Vorfallregister. Output: DSFA-Update-Vorlage mit Pflichtfeldern. Abgrenzung: keine neue DSFA; kein Verfahrensverzeichnis."
|
||||
---
|
||||
|
||||
# Datenschutz-Folgenabschätzung nach Datenschutzvorfall aktualisieren
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Gab es bisher eine DSFA für die betroffene Verarbeitung?
|
||||
2. Welche Risiken haben sich realisiert oder offenbart?
|
||||
3. Welche Abhilfemaßnahmen sind nachhaltig wirksam?
|
||||
4. Bleibt nach Maßnahmen ein hohes Risiko bestehen?
|
||||
5. Ist Konsultation Art. 36 DSGVO erforderlich?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Fortführung der Verarbeitung; Behördenkonsens)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 35 DSGVO** DSFA.
|
||||
- **Art. 36 DSGVO** vorherige Konsultation.
|
||||
- **Art. 32 DSGVO** TOM.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **BfDI- und LDA-DSFA-Listen** (Black- und Whitelist).
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Anforderungen an die DSFA-Aktualisierung nach Vorfall vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 32; Art. 35; Art. 36 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — DSFA-Update-Felder
|
||||
|
||||
1. Beschreibung der Verarbeitung mit Bezug auf VVT.
|
||||
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
|
||||
3. Bewertung der Risiken — vorher und nachher.
|
||||
4. Geplante Maßnahmen — vor und nach Vorfall.
|
||||
5. Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich ja/nein mit Begründung.
|
||||
6. Stellungnahme des Datenschutzbeauftragten.
|
||||
7. Versionsstand mit Datum und Bearbeiter.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` deckt das VVT ab.
|
||||
@@ -0,0 +1,64 @@
|
||||
---
|
||||
name: dsv-erstgespraech-vorfallmeldung
|
||||
description: "Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedarfsklassen; geschätzte Anzahl betroffener Personen; Auftragsverarbeiter-Konstellation; Konzernbezug Art. 56 DSGVO; bereits eingeleitete Sofortmaßnahmen; Beweissicherung; Pressekontakte; aufsichtsbehördliche Vorkontakte. Output: strukturiertes Gesprächsprotokoll mit Lücken-Liste. Abgrenzung: keine eigene Risikobewertung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Erstgespräch nach gemeldetem Datenschutzvorfall — Fragenkatalog
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer nimmt am Erstgespräch teil — Geschäftsleitung, DSB, IT-Leitung, externer Forensiker, Versicherer?
|
||||
2. Liegt eine schriftliche Vorfallmeldung vor oder erfolgt sie mündlich?
|
||||
3. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung?
|
||||
4. Ist eine Cyberversicherung im Spiel und welche Meldepflichten bestehen dort?
|
||||
5. Gibt es einen Auftragsverarbeitervertrag oder eine gemeinsame Verantwortlichkeit?
|
||||
- Was will der Mandant wirklich erreichen? (Lagebild, Meldepflichtprüfung, Bußgeldverteidigung, Haftungsminimierung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters an den Verantwortlichen.
|
||||
- **Art. 28 Abs. 3 lit. f DSGVO** Unterstützungspflicht des Auftragsverarbeiters.
|
||||
- **Art. 56 DSGVO** Federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Kenntnisbegriff Art. 33 Abs. 1 DSGVO und Reichweite der Meldepflicht des Auftragsverarbeiters vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 12; Art. 28; Art. 33; Art. 34; Art. 56 DSGVO; § 42 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Fragenblöcke
|
||||
|
||||
Zeitstrahl: Wann wurde was durch wen wahrgenommen — minutengenau wenn möglich.
|
||||
|
||||
Betroffene Verarbeitungen: Welche Verarbeitungstätigkeiten nach VVT sind tangiert?
|
||||
|
||||
Datenkategorien: Art. 9 DSGVO, Art. 10 DSGVO, Sozialdaten, Berufsgeheimnis § 203 StGB, Kinderdaten?
|
||||
|
||||
Personenkreis: Mitarbeiter, Kunden, Patienten, Mandanten, Schüler — geschätzte Anzahl.
|
||||
|
||||
Auftragsverarbeiter: Liegt AV-Vertrag vor; wer hat zuerst Kenntnis erlangt?
|
||||
|
||||
Konzernbezug: Hauptniederlassung in welchem EU-Mitgliedstaat?
|
||||
|
||||
Sofortmaßnahmen: Welche technischen und organisatorischen Schritte sind bereits erfolgt?
|
||||
|
||||
Beweissicherung: Logs, Images, Zeugen, Chain of Custody.
|
||||
|
||||
Externe Kommunikation: Presse, Kunden, Aufsichtsbehörde bereits angesprochen?
|
||||
|
||||
Versicherung: Cyberpolice; Meldepflicht-Trigger?
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,51 @@
|
||||
---
|
||||
name: dsv-eskalationsmatrix
|
||||
description: "Definiert eine Eskalationsmatrix vom Erstmelder über Service-Desk und Datenschutzbeauftragten bis zur Geschäftsleitung und externen Beratern. Behandelt: Schwellenwerte für Eskalation; Erreichbarkeit außerhalb der Bürozeiten; Stellvertreter; Wochenend- und Feiertagsregelung; Eskalationsprotokoll; Ausweichkommunikation bei IT-Ausfall. Output: Matrix mit Stufen und Verantwortlichen plus Erreichbarkeitsplan. Abgrenzung: keine konkrete Stakeholder-Information."
|
||||
---
|
||||
|
||||
# Eskalationsmatrix Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Schwellenwerte rechtfertigen welche Eskalationsstufe?
|
||||
2. Welche Erreichbarkeit ist außerhalb der Bürozeiten gewährleistet?
|
||||
3. Wer entscheidet über externe Eskalation (Anwalt, Versicherung, Behörde)?
|
||||
4. Welche Ausweichkommunikation gilt bei IT-Ausfall (Mobilfunk, persönlich, Pager)?
|
||||
5. Wer dokumentiert die Eskalationsentscheidung?
|
||||
- Was will der Mandant wirklich erreichen? (klare Entscheidungswege; keine Eskalation läuft ins Leere)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 24 DSGVO** Verantwortung des Verantwortlichen.
|
||||
- **Art. 32 DSGVO** technische und organisatorische Maßnahmen.
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen verspäteter Meldung infolge Eskalationsversagen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 1 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Eskalationsstufen
|
||||
|
||||
Stufe 1: Erstmelder → Service-Desk (innerhalb 30 Minuten).
|
||||
Stufe 2: Service-Desk → DSB / IT-Sicherheit (innerhalb 1 Stunde).
|
||||
Stufe 3: DSB → Geschäftsleitung und Anwalt (innerhalb 4 Stunden).
|
||||
Stufe 4: Geschäftsleitung → Cyberversicherung und Aufsichtsbehörde (innerhalb 24 Stunden ab Kenntnisnahme).
|
||||
Stufe 5: Pressemitteilung und Mitarbeiter-Information (nach Lagebeurteilung).
|
||||
|
||||
Erreichbarkeit: Hauptkontakt + zwei Stellvertreter je Stufe; 24/7-Rufbereitschaft definieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,53 @@
|
||||
---
|
||||
name: dsv-forensische-erstsicherung
|
||||
description: "Steuert die forensische Erstsicherung nach einem Datenschutzvorfall im Zusammenspiel zwischen Mandant, interner IT, externem Forensiker und Anwaltskanzlei. Behandelt: Auswahl und Beauftragung des Forensikers; Mandatsstruktur mit Anwaltsprivileg; Scope; Triage versus tiefe Analyse; Berichtsformate; Kommunikation mit Aufsichtsbehörde; Schnittstellen zur Cyberversicherung. Output: Beauftragungsmuster, Briefing für Forensiker und Steuerungsraster. Abgrenzung: keine eigene forensische Tätigkeit; keine technische Anleitung."
|
||||
---
|
||||
|
||||
# Forensische Erstsicherung — Beauftragung und Steuerung
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Soll der Forensiker durch den Mandanten oder durch die Kanzlei beauftragt werden (Anwaltsprivileg)?
|
||||
2. Welche Cyberversicherung gibt einen Forensiker vor?
|
||||
3. Welche Daten sind besonders sensibel und schränken den Scope ein?
|
||||
4. Welche Sprache muss der Bericht haben — Deutsch oder Englisch für die Behörde?
|
||||
5. Wer übernimmt die Schnittstelle zur Aufsichtsbehörde?
|
||||
- Was will der Mandant wirklich erreichen? (Eindämmung; rechtssichere Bewertung; Verteidigungsfähigkeit)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 32 DSGVO** Sicherheit der Verarbeitung.
|
||||
- **Art. 33 Abs. 3 lit. c DSGVO** Maßnahmenangabe in der Meldung.
|
||||
- **§ 43a Abs. 2 BRAO** Verschwiegenheit; **§ 53 StPO** Zeugnisverweigerungsrecht.
|
||||
- **§ 203 StGB** Berufsgeheimnis.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Reichweite des Anwaltsprivilegs bei Cyber-Forensik vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 32; Art. 33 Abs. 3 lit. c DSGVO; § 43a Abs. 2 BRAO; § 53 StPO; § 203 StGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Beauftragungsraster
|
||||
|
||||
Auftraggeber: Kanzlei in Untermandat / Mandant direkt.
|
||||
|
||||
Scope: Triage-Bericht 48 h; vertiefte Analyse Wochen 1-4; Schlussbericht.
|
||||
|
||||
Lieferobjekte: Sofort-Memo; Zwischenbericht; Schlussbericht; Behörden-tauglicher Kurzbericht.
|
||||
|
||||
Vertraulichkeit: NDA; Anwaltsprivileg-Klausel; Aufbewahrung nur in Mandantenakte.
|
||||
|
||||
Schnittstellen: Versicherung; Aufsichtsbehörde; Strafverfolgung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,49 @@
|
||||
---
|
||||
name: dsv-interne-dokumentation-art-33-abs-5
|
||||
description: "Pflegt das interne Vorfallregister nach Art. 33 Abs. 5 DSGVO als Beweisinstrument der Rechenschaftspflicht. Behandelt: Pflichtinhalte Sachverhalt, Auswirkungen, Abhilfemaßnahmen, Bewertung; Verknüpfung mit VVT; Aufbewahrungsfristen; Schnittstelle zu Risikomanagement; Vorlage auf Anforderung der Aufsichtsbehörde; Versionierung. Output: Vorlage Vorfallregister mit Pflichtfeldern. Abgrenzung: kein Verfahrensverzeichnis Art. 30."
|
||||
---
|
||||
|
||||
# Interne Dokumentation Art. 33 Abs. 5 DSGVO — Vorfallregister
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer pflegt das Register — DSB, IT-Sicherheit, Compliance?
|
||||
2. Welches System (Excel, GRC-Tool, DMS)?
|
||||
3. Welche Aufbewahrungsfrist gilt im Unternehmen?
|
||||
4. Welche Schnittstellen zu VVT, DSFA, ISMS bestehen?
|
||||
5. Wer hat Zugriff?
|
||||
- Was will der Mandant wirklich erreichen? (Rechenschaftspflicht erfüllen; Bußgeldverteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 30 DSGVO** VVT.
|
||||
- **Art. 24 DSGVO** Verantwortung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Aufbewahrungsdauer und Vorlagepflicht vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 30; Art. 33 Abs. 5 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Pflichtfelder Vorfallregister
|
||||
|
||||
Vorfall-ID; Datum Kenntnisnahme; Datum Eintritt; Kategorie (V/I/V); Sachverhalt; betroffene Verarbeitung VVT-ID; Datenarten; Anzahl Betroffener; Folgen; ergriffene Maßnahmen; Bewertung Art. 33; Bewertung Art. 34; Meldedatum; Aktenzeichen Aufsichtsbehörde; verantwortlicher Bearbeiter; Status; Aufbewahrung bis.
|
||||
|
||||
Versionierung: jede Änderung mit Datum und Bearbeiter; alte Versionen revisionssicher.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` deckt die Aktualisierung des VVT ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-kein-risiko-dokumentation
|
||||
description: "Erstellt die interne Dokumentation eines Datenschutzvorfalls, der nicht an die Aufsichtsbehörde gemeldet wird, weil voraussichtlich kein Risiko für die Rechte und Freiheiten besteht. Behandelt: Pflichtangaben nach Art. 33 Abs. 5 DSGVO; Sachverhalt; Auswirkungen; Abhilfemaßnahmen; Begründung der Nichtmeldung; Risikoabwägung mit Faktoren; Aufbewahrungsfristen; Vorlage für Aufsichtsbehörde auf Anforderung. Output: vollständige Dokumentationsvorlage. Abgrenzung: keine Behördenmeldung; keine Benachrichtigung."
|
||||
---
|
||||
|
||||
# Kein-Risiko-Dokumentation nach Art. 33 Abs. 5 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Auf welchen Tatsachen beruht die Einschätzung kein Risiko?
|
||||
2. Welche Risikoabmilderung war vor dem Vorfall wirksam (Verschlüsselung, Pseudonymisierung)?
|
||||
3. Welche Anzahl Betroffener und welche Datenkategorien?
|
||||
4. Welche Aufbewahrungsfrist gilt für die Dokumentation?
|
||||
5. Wer prüft die Dokumentation mit (DSB, Anwalt)?
|
||||
- Was will der Mandant wirklich erreichen? (Beweislast bei Nichtmeldung erfüllen; Bußgeldverteidigung)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht für jeden Vorfall.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Erwägungsgrund 85 DSGVO** Voraussichtlich-kein-Risiko-Ausnahme.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Beweislastverteilung bei Nichtmeldung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; Erwägungsgrund 85.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Inhaltsraster
|
||||
|
||||
1. Sachverhalt: was ist passiert; wann; in welchem System.
|
||||
2. Auswirkungen: welche Datenkategorien; welche Betroffenenanzahl; welche Identifizierbarkeit.
|
||||
3. Risikoabwägung: Faktoren mit Reasoning vor Conclusion; warum voraussichtlich kein Risiko.
|
||||
4. Abhilfemaßnahmen: was wurde getan; was wird getan; bis wann.
|
||||
5. Verzicht auf Meldung: begründete Conclusion mit Bezug auf Risikobewertung.
|
||||
6. Verzicht auf Benachrichtigung: begründete Conclusion zu Art. 34 DSGVO.
|
||||
7. Aufbewahrung: drei Jahre Mindestempfehlung; im Verfahrensverzeichnis verlinken.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-interne-dokumentation-art-33-abs-5` deckt die Dokumentation auch fuer gemeldete Faelle ab.
|
||||
@@ -0,0 +1,51 @@
|
||||
---
|
||||
name: dsv-kinderdaten-besondere-schutzbeduerftigkeit
|
||||
description: "Bewertet einen Datenschutzvorfall mit Daten von Minderjährigen unter Berücksichtigung der besonderen Schutzbedürftigkeit nach Erwägungsgrund 38 DSGVO. Behandelt: Schulen; Kitas; Vereine; Jugendamt; Online-Dienste mit Altersbezug; Identitätsdiebstahl-Risiko; lebenslange Schadensdauer; Pflicht zur Information der Erziehungsberechtigten. Output: Memo mit Risikohochstufung und Empfehlung zur Benachrichtigung. Abgrenzung: keine konkrete Meldung; keine pädagogische Beratung."
|
||||
---
|
||||
|
||||
# Kinderdaten im Datenschutzvorfall — besondere Schutzbedürftigkeit
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wie alt sind die betroffenen Kinder und Jugendlichen?
|
||||
2. Welche Datenkategorien sind betroffen (Schule, Gesundheit, Wohnort)?
|
||||
3. Wer ist Adressat der Benachrichtigung — Kind, Erziehungsberechtigte, Einrichtung?
|
||||
4. Liegt eine besondere Schutzbeziehung vor (Schule, Klinik, Jugendamt)?
|
||||
5. Welche Aufsicht ist neben Datenschutzbehörde involviert (Schulaufsicht, Jugendamt)?
|
||||
- Was will der Mandant wirklich erreichen? (rechtskonforme Information ohne Sekundärschäden)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 8 DSGVO** besondere Anforderungen Kinder.
|
||||
- **Erwägungsgrund 38 DSGVO** besondere Schutzbedürftigkeit.
|
||||
- **Art. 34 Abs. 2 DSGVO** klare und einfache Sprache.
|
||||
- **§ 22 BDSG** Verarbeitung besonderer Kategorien.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Bußgeldverschärfungen bei Kinderdaten und Informationspflichten gegenüber Erziehungsberechtigten vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 8; Art. 34 Abs. 2 DSGVO; Erwägungsgrund 38; § 22 BDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Sonderaspekte Kinderdaten
|
||||
|
||||
Sprache: doppelte Adressierung — Erziehungsberechtigte und altersgerecht Kind.
|
||||
|
||||
Risikohochstufung: Identitätsdiebstahl wirkt lebenslang; Reputation wirkt früh; daher regelmäßig hohes Risiko.
|
||||
|
||||
Schnittstellen: Schulaufsicht, Jugendamt, Kinder- und Jugendpsychiatrische Dienste je nach Kontext einbeziehen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-art-9-besondere-kategorien` deckt Gesundheitsdaten und sensible Kategorien ab.
|
||||
@@ -0,0 +1,45 @@
|
||||
---
|
||||
name: dsv-kommunikationssperre
|
||||
description: "Etabliert eine interne und externe Kommunikationssperre nach einem Datenschutzvorfall, um voreilige Aussagen, Beweismittelvernichtung und Sammelklagenrisiken zu vermeiden. Behandelt: Single-Point-of-Contact-Regelung; interne Sprachregelung; Holdingstatement; Kunden-Hotline; Pressekontakte; Mitarbeiterinformation; Betriebsrat-Beteiligung; Sozialmedien. Output: Kommunikationssperre-Memo und Sprachregelung. Abgrenzung: keine Pressemitteilung; keine Krisen-PR."
|
||||
---
|
||||
|
||||
# Kommunikationssperre nach Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung in Stunden oder Tagen?
|
||||
2. Wer ist Single Point of Contact für Anfragen?
|
||||
3. Welche Betriebsratspflichten bestehen bei Mitarbeiterinformation?
|
||||
4. Welche Verträge verpflichten zu Vorabinformationen an Großkunden?
|
||||
5. Welche Aufsichtsbehörde ist zuständig und welche eigene Pressepolitik hat sie?
|
||||
- Was will der Mandant wirklich erreichen? (Ordnung im Chaos; keine voreiligen Festlegungen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 34 Abs. 2 DSGVO** Inhalt der Benachrichtigung — kein Übermaß und keine voreiligen Festlegungen.
|
||||
- **§ 87 Abs. 1 Nr. 1 BetrVG** Mitbestimmung Ordnung des Betriebs.
|
||||
- **§ 80 Abs. 1 BetrVG** Aufgaben des Betriebsrats.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Entscheidungen zu Auskunftsansprüchen Betroffener im laufenden Vorfall vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 34 Abs. 2 DSGVO; § 80; § 87 Abs. 1 Nr. 1 BetrVG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Sprachregelung Holdingstatement
|
||||
|
||||
Wir prüfen derzeit einen Vorfall im Bereich [Bezeichnung]. Datenschutz und Sicherheit unserer Kunden haben für uns höchste Priorität. Sobald belastbare Erkenntnisse vorliegen, informieren wir die zuständige Aufsichtsbehörde und die Betroffenen entsprechend den gesetzlichen Anforderungen. Bis dahin bitten wir um Verständnis, dass wir keine Spekulationen kommentieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
@@ -0,0 +1,52 @@
|
||||
---
|
||||
name: dsv-lead-authority-konzern
|
||||
description: "Bestimmt die federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung im Konzern nach Art. 56 DSGVO. Behandelt: Hauptniederlassung; entscheidungsmächtige Stelle; Konzernstruktur; EDSA-Leitlinien zur Lead Authority; Kooperationsverfahren Art. 60 DSGVO; Konsistenzverfahren Art. 63; Meldung an Lead Authority versus parallele Meldung an betroffene Behörden. Output: Memo zur Behördenzuständigkeit mit Begründung. Abgrenzung: keine konkrete Meldung."
|
||||
---
|
||||
|
||||
# Federführende Aufsichtsbehörde im Konzern — Art. 56 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Hauptniederlassung hat die Verantwortliche im EU-Sinn?
|
||||
2. Wer trifft die Verarbeitungsentscheidungen tatsächlich?
|
||||
3. Welche Mitgliedstaaten sind betroffen?
|
||||
4. Gibt es eine deutsche Tochter mit eigener Aufsichtsbehörde?
|
||||
5. Ist eine parallele Meldung an mehrere Behörden ratsam?
|
||||
- Was will der Mandant wirklich erreichen? (richtige Behörde; Vermeidung von Doppelverfahren)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 56 DSGVO** federführende Aufsichtsbehörde.
|
||||
- **Art. 60 DSGVO** Kooperation.
|
||||
- **Art. 63 DSGVO** Konsistenz.
|
||||
- **Art. 4 Nr. 16 DSGVO** Hauptniederlassung.
|
||||
- **EDSA-Leitlinien zur Bestimmung der Lead Authority**.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu EuGH-Entscheidungen zur Auslegung Art. 56 DSGVO vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 4 Nr. 16; Art. 56; Art. 60; Art. 63 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Bestimmungsraster
|
||||
|
||||
1. Hauptniederlassung identifizieren.
|
||||
2. Entscheidungsmacht prüfen — wer steuert die Verarbeitung?
|
||||
3. Lead Authority benennen; weitere betroffene Behörden auflisten.
|
||||
4. Meldung an Lead Authority; informierende Mitteilung an deutsche Behörde, wenn deutsche Niederlassung beteiligt.
|
||||
5. Sprachpolitik: Lead Authority erhält Meldung in deren Amtssprache.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-bfdi` und `dsv-meldung-<land>` decken konkrete Einreichung ab.
|
||||
@@ -0,0 +1,57 @@
|
||||
---
|
||||
name: dsv-lessons-learned-nachbereitung
|
||||
description: "Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Übung tabletop oder ernst; Kommunikation an Geschäftsleitung; Erfolgsmessung. Output: Workshop-Leitfaden und Maßnahmen-Tracker. Abgrenzung: keine VVT- oder DSFA-Pflege; keine Bußgeldverteidigung."
|
||||
---
|
||||
|
||||
# Lessons Learned und Nachbereitung Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer nimmt am Post-Mortem teil (Just Culture sicherstellen)?
|
||||
2. Welche Wahrheits-Suche-Kultur ist möglich (No-Blame)?
|
||||
3. Welche Ursachenanalyse-Methode (5-Why; Ishikawa) passt?
|
||||
4. Welcher Maßnahmen-Tracker wird verwendet?
|
||||
5. Wer überwacht die Umsetzung mit Fristen?
|
||||
- Was will der Mandant wirklich erreichen? (echte Verbesserung; Bußgeldmilderung; Compliance-Reife)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 24 DSGVO** Verantwortung.
|
||||
- **Art. 32 DSGVO** TOM.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentation.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Bußgeldmilderungen bei nachweislicher Lessons-Learned-Umsetzung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 5 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Workshop-Ablauf
|
||||
|
||||
1. Eröffnung — Ziel; Just Culture; Vertraulichkeit.
|
||||
2. Zeitleiste rekonstruieren — minutiös.
|
||||
3. Ursachenanalyse — 5-Why oder Ishikawa.
|
||||
4. Maßnahmen ableiten — technisch und organisatorisch.
|
||||
5. Verantwortlichkeiten und Fristen festlegen.
|
||||
6. Schulung und Awareness planen.
|
||||
7. Übungstermin Tabletop in sechs Monaten festsetzen.
|
||||
8. Erfolgsmessung definieren — KPIs.
|
||||
9. Bericht an Geschäftsleitung mit klarem Maßnahmenstatus.
|
||||
10. Anonymisierte Lessons-Learned-Notiz für Branchenaustausch (optional).
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-vvt-update-nach-vorfall` und `dsv-dsfa-update-nach-vorfall` decken die Compliance-Aktualisierung ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` deckt die Verteidigung ab.
|
||||
@@ -0,0 +1,56 @@
|
||||
---
|
||||
name: dsv-massenbenachrichtigung
|
||||
description: "Steuert die Massenbenachrichtigung tausender oder Millionen Betroffener nach Art. 34 DSGVO. Behandelt: Versandlogistik E-Mail-Welle; Brief-Welle; Push und SMS; Adressqualität; Bounces; Sprachvarianten; Hotline-Dimensionierung; Pressewelle; Hilfsdienste wie Schufa-Auskunft. Output: Versandplan, Skalierungsraster, Q&A-Matrix. Abgrenzung: keine individuelle Benachrichtigung; keine Behördenmeldung."
|
||||
---
|
||||
|
||||
# Massenbenachrichtigung bei großem Datenschutzvorfall
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Adressdaten liegen in welcher Qualität vor?
|
||||
2. Welche Sprachen müssen abgedeckt werden?
|
||||
3. Welche Hotline-Kapazität ist erforderlich?
|
||||
4. Welche Versanddienstleister sind vertraglich gebunden?
|
||||
5. Welche regulatorischen Anforderungen an Massenversand bestehen (E-Privacy)?
|
||||
- Was will der Mandant wirklich erreichen? (zuverlässige Erreichung der Betroffenen; saubere Logistik)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 34 Abs. 1 DSGVO** Benachrichtigung.
|
||||
- **Art. 34 Abs. 2 DSGVO** Pflichtinhalte.
|
||||
- **Art. 12 Abs. 1 DSGVO** klare einfache Sprache.
|
||||
- **§ 7 UWG** Werbung im Geschäftsverkehr (nicht anwendbar auf Pflichtinformation).
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Sammelklagen nach Massendatenpannen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 12 Abs. 1; Art. 34 Abs. 1; Art. 34 Abs. 2; Art. 5 Abs. 2 DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Versandplan
|
||||
|
||||
Welle 1: E-Mail an alle Adressaten mit valider E-Mail-Adresse — Versand über DSGVO-konformen Dienstleister; Bounce-Handling automatisiert.
|
||||
|
||||
Welle 2: Brief an alle Adressaten ohne E-Mail oder mit Bounce — innerhalb von sieben Tagen.
|
||||
|
||||
Welle 3: öffentliche Bekanntmachung über Webseite und Pressemeldung — als Auffangnetz.
|
||||
|
||||
Hotline: 24/7 in der ersten Woche; 8-20 Uhr ab Woche zwei; mehrsprachig.
|
||||
|
||||
Q&A-Matrix: 20-30 Fragen mit abgestimmten Antworten.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-pressemitteilung-krisenkommunikation` deckt Pressekommunikation ab.
|
||||
@@ -0,0 +1,61 @@
|
||||
---
|
||||
name: dsv-meldekette-auftragsverarbeiter
|
||||
description: "Steuert die Meldekette in einer Auftragsverarbeiter-Konstellation nach Art. 33 Abs. 2 DSGVO. Behandelt: Meldung des Auftragsverarbeiters an den Verantwortlichen; Form, Frist, Inhalt; Eskalation bei Schweigen oder Verzögerung; AV-Vertragsklauseln nach Art. 28 Abs. 3 lit. f und h DSGVO; Unterauftragsverarbeiter; Vertragsstrafen; Beweissicherungspflichten beim Auftragsverarbeiter. Output: Mustermeldung Auftragsverarbeiter an Verantwortlichen plus Eskalationsschreiben. Abgrenzung: keine Behördenmeldung durch den Auftragsverarbeiter."
|
||||
---
|
||||
|
||||
# Meldekette Auftragsverarbeiter — Art. 33 Abs. 2 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Wer ist Verantwortlicher und wer Auftragsverarbeiter (klare Abgrenzung)?
|
||||
2. Liegt ein AV-Vertrag nach Art. 28 Abs. 3 DSGVO vor?
|
||||
3. Welche Meldefristen sind dort vereinbart (oft kürzer als 72 Stunden)?
|
||||
4. Sind Unterauftragsverarbeiter beteiligt?
|
||||
5. Welche Vertragsstrafen oder Schadensersatzklauseln greifen?
|
||||
- Was will der Mandant wirklich erreichen? (klare Verantwortungsabgrenzung; Schadensersatzansprüche sichern)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 28 Abs. 3 lit. f; h DSGVO** AV-Pflichten.
|
||||
- **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters.
|
||||
- **Art. 82 DSGVO** Schadensersatz.
|
||||
- **§ 280 BGB** Pflichtverletzung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu Fristberechnung Art. 33 Abs. 1 DSGVO bei Kenntnis nur des Auftragsverarbeiters vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 28 Abs. 3; Art. 33 Abs. 2; Art. 82 DSGVO; § 280 BGB.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Muster Meldung Auftragsverarbeiter
|
||||
|
||||
Betreff: Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DSGVO.
|
||||
|
||||
Sehr geehrte Damen und Herren, gemäß Art. 33 Abs. 2 DSGVO und unserem AV-Vertrag vom [Datum] melden wir Ihnen folgenden Vorfall:
|
||||
|
||||
- Datum und Uhrzeit der Kenntnisnahme: [...]
|
||||
- Beschreibung der Verletzung: [...]
|
||||
- Betroffene Verarbeitung: [...]
|
||||
- Geschätzte Anzahl betroffener Datensätze: [...]
|
||||
- Bereits eingeleitete Sofortmaßnahmen: [...]
|
||||
- Vorgeschlagene weitere Maßnahmen: [...]
|
||||
- Ansprechpartner: [...]
|
||||
|
||||
Eine Nachmeldung mit weiteren Details folgt unverzüglich nach Abschluss der forensischen Analyse.
|
||||
|
||||
Eskalationsschreiben bei Schweigen: Fristsetzung 24 h; danach Vertragsstrafe und Kündigungsandrohung.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behoerdenmeldung des Verantwortlichen ab.
|
||||
@@ -0,0 +1,102 @@
|
||||
---
|
||||
name: dsv-meldung-art-33-pflichtangaben
|
||||
description: "Erstellt eine vollständige Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Behandelt: Pflichtangaben nach Art. 33 Abs. 3 lit. a-d DSGVO — Art der Verletzung; Kategorien und ungefähre Zahl der Betroffenen und Datensätze; Name und Kontakt des Datenschutzbeauftragten; wahrscheinliche Folgen; ergriffene oder vorgeschlagene Abhilfemaßnahmen; Begründung Verspätung Art. 33 Abs. 1 Satz 2; Form schriftlich oder per Online-Formular; schrittweise Übermittlung Art. 33 Abs. 4. Output: Fließtext-Meldung in der Reihenfolge der Berliner Formularstruktur I bis VI. Abgrenzung: keine behörden-spezifischen Eingabewege; keine Benachrichtigung Art. 34."
|
||||
---
|
||||
|
||||
# Meldung nach Art. 33 DSGVO — Pflichtangaben generisch
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Welche Aufsichtsbehörde ist zuständig (Sitzland-Prinzip nach Art. 55; Lead Authority Art. 56)?
|
||||
2. Welches Online-Formular oder welcher Postweg ist vorgegeben?
|
||||
3. Welche Fristberechnung — wann begann die qualifizierte Kenntnis?
|
||||
4. Liegen Daten Art. 9 DSGVO oder § 203 StGB-Geheimnisse vor?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und welche Nachmeldungen sind geplant?
|
||||
- Was will der Mandant wirklich erreichen? (Behördentauglicher Erstmelde-Text in 72 h; Vermeidung von Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden.
|
||||
- **Art. 33 Abs. 3 DSGVO** Pflichtangaben.
|
||||
- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **Art. 55; 56 DSGVO** Zuständigkeit.
|
||||
- **§ 51 BlnDSG / Landesdatenschutzgesetze** für öffentliche Stellen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldfälle wegen unvollständiger oder verspäteter Meldungen vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 1; Art. 33 Abs. 3 lit. a-d; Art. 33 Abs. 4; Art. 33 Abs. 5; Art. 55; Art. 56 DSGVO; § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Meldungstext Reihenfolge Meldung-vor-Bewertung
|
||||
|
||||
Die Meldung wird als Fließtext oder als ausgefülltes Online-Formular eingereicht. Reihenfolge der Inhalte:
|
||||
|
||||
1. Verantwortliche Stelle und meldende Person (Block I).
|
||||
2. Was ist passiert — Beschreibung der Verletzung; Beginn und Kenntnisnahme; Datenarten; Anzahl Betroffener und Datensätze; wahrscheinliche Folgen (Block II).
|
||||
3. Welche Gegenmaßnahmen wurden ergriffen oder werden vorgeschlagen — einschließlich vorbestehender TOM und deren Schwächen (Block III).
|
||||
4. Sonstige Mitteilungen — andere Behörden, Strafanzeige, sonstige Hinweise (Block IV).
|
||||
5. Beilagen — forensischer Bericht, TOM-Liste, Muster Benachrichtigungsschreiben (Block V).
|
||||
6. Abschluss — vorläufig oder endgültig; Ergänzung binnen 14 Tagen (Block VI).
|
||||
|
||||
Erst nach der Meldung folgt die anwaltliche Einschätzung zu Meldepflicht, Benachrichtigungspflicht und Bußgeldrisiken — getrennt vom Meldetext.
|
||||
|
||||
Output ist Text, kein Code, kein JSON.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- Behoerdenspezifische Eingabewege und Adressen siehe dsv-meldung-bfdi / dsv-meldung-baylda / dsv-meldung-ldi-nrw etc.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-baylda
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter); Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BayLDA
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BayLDA tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter) ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BayLDA vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter).
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BayLDA
|
||||
|
||||
- Name: Bayerisches Landesamt für Datenschutzaufsicht
|
||||
- Anschrift: Promenade 18; 91522 Ansbach
|
||||
- Kontakt: poststelle@lda.bayern.de; Telefon 0981 180093-0
|
||||
- Online-Meldeformular: lda.bayern.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)
|
||||
- Bundesland: Bayern (nicht-öffentliche Stellen)
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-bfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BDSG insbesondere § 65 für Bundesbehörden; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BDSG insbesondere § 65 für Bundesbehörden ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BDSG insbesondere § 65 für Bundesbehörden** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BDSG insbesondere § 65 für Bundesbehörden.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BfDI
|
||||
|
||||
- Name: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
|
||||
- Anschrift: Graurheindorfer Straße 153; 53117 Bonn
|
||||
- Kontakt: poststelle@bfdi.bund.de; Telefon 0228 997799-0
|
||||
- Online-Meldeformular: bfdi.bund.de — Meldung von Datenpannen (Online-Formular)
|
||||
- Sondernorm: BDSG insbesondere § 65 für Bundesbehörden
|
||||
- Bundesland: Bund (Telekommunikation, Post, Bundesbehörden, Krankenkassen)
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-bln-bdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Berlin und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BlnDSG insbesondere § 51 BlnDSG; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die BlnBDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die BlnBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BlnDSG insbesondere § 51 BlnDSG ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BlnDSG insbesondere § 51 BlnDSG** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BlnBDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BlnDSG insbesondere § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten BlnBDI
|
||||
|
||||
- Name: Berliner Beauftragte für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Friedrichstraße 219; 10969 Berlin
|
||||
- Kontakt: mailbox@datenschutz-berlin.de; Telefon 030 13889-0
|
||||
- Online-Meldeformular: datenpannen.datenschutz-berlin.de — Online-Meldeformular (Goldstandard)
|
||||
- Sondernorm: BlnDSG insbesondere § 51 BlnDSG
|
||||
- Bundesland: Berlin
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,48 @@
|
||||
---
|
||||
name: dsv-meldung-grenzueberschreitend
|
||||
description: "Steuert die Meldung eines Datenschutzvorfalls mit Bezug zu mehreren Mitgliedstaaten oder Drittstaaten. Behandelt: Lead-Authority-Verfahren Art. 56 DSGVO; parallele Meldung an betroffene Behörden; Sprache der Meldung; Drittstaaten-Aufsichten und ihre Meldepflichten (z.B. UK ICO, Schweiz EDÖB); Schnittstelle zu Art. 49 DSGVO-Übermittlungen; Hinweispflichten an US-Aufsichten bei BIPA, CCPA, GLBA. Output: Memo zur Meldelandkarte. Abgrenzung: keine vertiefte US-Beratung."
|
||||
---
|
||||
|
||||
# Meldung grenzüberschreitender Datenschutzvorfälle — EU und Drittstaaten
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. In welchen EU-Staaten sind Betroffene?
|
||||
2. Welche Drittstaaten sind tangiert?
|
||||
3. Welche Lead Authority ist nach Art. 56 DSGVO zuständig?
|
||||
4. Welche Drittstaatsaufsichten erfordern parallele Meldung?
|
||||
5. Welche Sprache verlangt jede Behörde?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Meldelandkarte; keine vergessene Behörde)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 56 DSGVO** Lead Authority.
|
||||
- **Art. 60 DSGVO** Kooperation.
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 49 DSGVO** Übermittlungen.
|
||||
- **UK GDPR; Swiss DSG; CCPA; BIPA** je nach Drittstaatsbezug.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zu One-Stop-Shop-Streitigkeiten und Drittstaaten-Anerkennung vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 49; Art. 56; Art. 60 DSGVO; UK GDPR; Swiss DSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Meldelandkarte
|
||||
|
||||
Spalte 1: Land; Spalte 2: Behörde; Spalte 3: Pflicht oder freiwillig; Spalte 4: Frist; Spalte 5: Sprache; Spalte 6: Verantwortlicher intern; Spalte 7: Status.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-lead-authority-konzern` deckt die Bestimmung der federfuehrenden Behoerde ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-hbdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hessen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die HBDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die HBDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HBDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten HBDI
|
||||
|
||||
- Name: Hessischer Beauftragter für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Postfach 3163; 65021 Wiesbaden (Gustav-Stresemann-Ring 1; 65189 Wiesbaden)
|
||||
- Kontakt: poststelle@datenschutz.hessen.de; Telefon 0611 1408-0
|
||||
- Online-Meldeformular: datenschutz.hessen.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: HDSIG Hessisches Datenschutz- und Informationsfreiheitsgesetz
|
||||
- Bundesland: Hessen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-hmbbfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Hamburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus HmbDSG Hamburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die HmbBfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die HmbBfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus HmbDSG Hamburgisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **HmbDSG Hamburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der HmbBfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; HmbDSG Hamburgisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten HmbBfDI
|
||||
|
||||
- Name: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Ludwig-Erhard-Straße 22; 20459 Hamburg
|
||||
- Kontakt: mailbox@datenschutz.hamburg.de; Telefon 040 428 54-4040
|
||||
- Online-Meldeformular: datenschutz-hamburg.de — Meldeformular Datenpanne
|
||||
- Sondernorm: HmbDSG Hamburgisches Datenschutzgesetz
|
||||
- Bundesland: Hamburg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,56 @@
|
||||
---
|
||||
name: dsv-meldung-kritis-sektoraufsicht
|
||||
description: "Steuert die parallele Meldung an Sektoraufsichten neben der Datenschutzaufsicht. Behandelt: § 8b BSIG für KRITIS; NIS-2-Umsetzung mit erweiterten Meldepflichten; BaFin BAIT/MaRisk für Finanzinstitute; BNetzA für TK- und Postdienste; Meldungen nach § 168 TKG; Konsistenz der Meldetexte; Datenschutzschnittstelle. Output: Memo zur Mehrfachmeldelandschaft. Abgrenzung: keine vertiefte BaFin-Beratung."
|
||||
---
|
||||
|
||||
# Parallele Meldung KRITIS und Sektoraufsicht — BSIG, BaFin, BNetzA, NIS-2
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist der Mandant KRITIS-Betreiber, NIS-2-pflichtige Einrichtung oder reguliertes Institut?
|
||||
2. Welche Sektoraufsicht ist zusätzlich zur Datenschutzbehörde zu informieren?
|
||||
3. Welche Fristen gelten (BSIG, NIS-2, TKG)?
|
||||
4. Welcher Texte muss konsistent gehalten werden?
|
||||
5. Welche Aufsicht hat informellen Vorrang?
|
||||
- Was will der Mandant wirklich erreichen? (rechtssichere Parallel-Meldung; konsistente Aussagen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **§ 8b BSIG** KRITIS-Meldepflicht.
|
||||
- **NIS-2-Richtlinie** und deutsches Umsetzungsgesetz (Stand prüfen).
|
||||
- **§ 168 TKG** Sicherheitsvorfälle TK.
|
||||
- **BaFin BAIT/MaRisk** für Finanzinstitute.
|
||||
- **Art. 33 DSGVO** Datenschutzmeldung.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Stände zur NIS-2-Umsetzung in Deutschland vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 DSGVO; § 8b BSIG; § 168 TKG; NIS-2-Richtlinie; BAIT.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Mehrfach-Meldelandschaft
|
||||
|
||||
Datenschutz-Spur: zuständige Datenschutzbehörde (Lead-Authority + Land).
|
||||
|
||||
BSIG/NIS-2-Spur: BSI Meldestelle.
|
||||
|
||||
TK-Spur: BNetzA.
|
||||
|
||||
Finanzaufsicht: BaFin.
|
||||
|
||||
Texte synchronisiert; Aktenzeichen wechselseitig zitieren.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Datenschutz-Meldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lda-brandenburg
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Brandenburg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BbgDSG Brandenburgisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LDA BB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LDA BB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BbgDSG Brandenburgisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BbgDSG Brandenburgisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDA BB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BbgDSG Brandenburgisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LDA BB
|
||||
|
||||
- Name: Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
|
||||
- Anschrift: Stahnsdorfer Damm 77; 14532 Kleinmachnow
|
||||
- Kontakt: poststelle@lda.brandenburg.de; Telefon 033203 356-0
|
||||
- Online-Meldeformular: lda.brandenburg.de — Meldeformular Datenpanne
|
||||
- Sondernorm: BbgDSG Brandenburgisches Datenschutzgesetz
|
||||
- Bundesland: Brandenburg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-ldi-nrw
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Nordrhein-Westfalen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG NRW; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LDI NRW
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LDI NRW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG NRW ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG NRW** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LDI NRW vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG NRW.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LDI NRW
|
||||
|
||||
- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
|
||||
- Anschrift: Kavalleriestraße 2-4; 40213 Düsseldorf
|
||||
- Kontakt: poststelle@ldi.nrw.de; Telefon 0211 38424-0
|
||||
- Online-Meldeformular: ldi.nrw.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: DSG NRW
|
||||
- Bundesland: Nordrhein-Westfalen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfd-niedersachsen
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Niedersachsen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus NDSG Niedersächsisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfD NI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfD NI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus NDSG Niedersächsisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **NDSG Niedersächsisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD NI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; NDSG Niedersächsisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfD NI
|
||||
|
||||
- Name: Landesbeauftragte für den Datenschutz Niedersachsen
|
||||
- Anschrift: Prinzenstraße 5; 30159 Hannover
|
||||
- Kontakt: poststelle@lfd.niedersachsen.de; Telefon 0511 120-4500
|
||||
- Online-Meldeformular: lfd.niedersachsen.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: NDSG Niedersächsisches Datenschutzgesetz
|
||||
- Bundesland: Niedersachsen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfd-sachsen-anhalt
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz Sachsen-Anhalt (LfD ST) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen-Anhalt und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG LSA Datenschutzgesetz Sachsen-Anhalt; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfD ST
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfD ST tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG LSA Datenschutzgesetz Sachsen-Anhalt ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG LSA Datenschutzgesetz Sachsen-Anhalt** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfD ST vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG LSA Datenschutzgesetz Sachsen-Anhalt.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfD ST
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz Sachsen-Anhalt
|
||||
- Anschrift: Leiterstraße 9; 39104 Magdeburg
|
||||
- Kontakt: poststelle@lfd.sachsen-anhalt.de; Telefon 0391 81803-0
|
||||
- Online-Meldeformular: datenschutz.sachsen-anhalt.de — Meldeformular Datenpanne
|
||||
- Sondernorm: DSG LSA Datenschutzgesetz Sachsen-Anhalt
|
||||
- Bundesland: Sachsen-Anhalt
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-bremen
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI HB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bremen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI HB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI HB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI HB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI HB
|
||||
|
||||
- Name: Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
|
||||
- Anschrift: Arndtstraße 1; 27570 Bremerhaven (Hauptsitz) / Bremen
|
||||
- Kontakt: office@datenschutz.bremen.de; Telefon 0421 361-2010
|
||||
- Online-Meldeformular: datenschutz.bremen.de — Meldeformular Datenpanne
|
||||
- Sondernorm: BremDSGVOAG Bremisches Ausführungsgesetz zur DSGVO
|
||||
- Bundesland: Bremen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-bw
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Baden-Württemberg und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Baden-Württemberg; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI BW
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI BW tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Baden-Württemberg ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Baden-Württemberg** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI BW vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Baden-Württemberg.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI BW
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
|
||||
- Anschrift: Lautenschlagerstraße 20; 70173 Stuttgart
|
||||
- Kontakt: poststelle@lfdi.bwl.de; Telefon 0711 615541-0
|
||||
- Online-Meldeformular: baden-wuerttemberg.datenschutz.de — Online-Meldeformular
|
||||
- Sondernorm: LDSG Baden-Württemberg
|
||||
- Bundesland: Baden-Württemberg
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-mv
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Mecklenburg-Vorpommern und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI MV
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI MV tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI MV vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI MV
|
||||
|
||||
- Name: Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
|
||||
- Anschrift: Werderstraße 74a; 19055 Schwerin
|
||||
- Kontakt: info@datenschutz-mv.de; Telefon 0385 59494-0
|
||||
- Online-Meldeformular: datenschutz-mv.de — Meldeformular Datenpanne
|
||||
- Sondernorm: DSG M-V Datenschutzgesetz Mecklenburg-Vorpommern
|
||||
- Bundesland: Mecklenburg-Vorpommern
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-rlp
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Rheinland-Pfalz und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Rheinland-Pfalz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die LfDI RLP
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die LfDI RLP tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Rheinland-Pfalz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Rheinland-Pfalz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der LfDI RLP vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Rheinland-Pfalz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten LfDI RLP
|
||||
|
||||
- Name: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
|
||||
- Anschrift: Hintere Bleiche 34; 55116 Mainz
|
||||
- Kontakt: poststelle@datenschutz.rlp.de; Telefon 06131 8920-0
|
||||
- Online-Meldeformular: datenschutz.rlp.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: LDSG Rheinland-Pfalz
|
||||
- Bundesland: Rheinland-Pfalz
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-lfdi-saarland
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit (UDS) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Saarland und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus SDSG Saarländisches Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die UDS
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die UDS tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus SDSG Saarländisches Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **SDSG Saarländisches Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der UDS vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; SDSG Saarländisches Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten UDS
|
||||
|
||||
- Name: Unabhängiges Datenschutzzentrum Saarland — Landesbeauftragte für Datenschutz und Informationsfreiheit
|
||||
- Anschrift: Fritz-Dobisch-Straße 12; 66111 Saarbrücken
|
||||
- Kontakt: poststelle@datenschutz.saarland.de; Telefon 0681 94781-0
|
||||
- Online-Meldeformular: datenschutz.saarland.de — Meldeformular Datenpanne
|
||||
- Sondernorm: SDSG Saarländisches Datenschutzgesetz
|
||||
- Bundesland: Saarland
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-saechsdsb
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Sächsische Datenschutz- und Transparenzbeauftragte (SaechsDSB) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Sachsen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus SächsDSDG / SächsDSUG; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die SaechsDSB
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die SaechsDSB tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus SächsDSDG / SächsDSUG ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **SächsDSDG / SächsDSUG** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der SaechsDSB vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; SächsDSDG / SächsDSUG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten SaechsDSB
|
||||
|
||||
- Name: Sächsische Datenschutz- und Transparenzbeauftragte
|
||||
- Anschrift: Devrientstraße 5; 01067 Dresden
|
||||
- Kontakt: saechsdsb@slt.sachsen.de; Telefon 0351 493-5401
|
||||
- Online-Meldeformular: datenschutz.sachsen.de — Meldeformular Datenpanne
|
||||
- Sondernorm: SächsDSDG / SächsDSUG
|
||||
- Bundesland: Sachsen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-tlfdi
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Thüringen und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus ThürDSG Thüringer Datenschutzgesetz; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die TLfDI
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die TLfDI tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus ThürDSG Thüringer Datenschutzgesetz ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **ThürDSG Thüringer Datenschutzgesetz** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der TLfDI vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; ThürDSG Thüringer Datenschutzgesetz.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten TLfDI
|
||||
|
||||
- Name: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
|
||||
- Anschrift: Häßlerstraße 8; 99096 Erfurt
|
||||
- Kontakt: poststelle@datenschutz.thueringen.de; Telefon 0361 57311-2900
|
||||
- Online-Meldeformular: tlfdi.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: ThürDSG Thüringer Datenschutzgesetz
|
||||
- Bundesland: Thüringen
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,105 @@
|
||||
---
|
||||
name: dsv-meldung-uld-sh
|
||||
description: "Reicht eine Meldung nach Art. 33 DSGVO bei der Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Schleswig-Holstein und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus LDSG Schleswig-Holstein; Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO."
|
||||
---
|
||||
|
||||
# Meldung Art. 33 DSGVO an die ULD
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Ist die ULD tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
|
||||
2. Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
|
||||
3. Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
|
||||
4. Welche Sonderregelung aus LDSG Schleswig-Holstein ist zu beachten?
|
||||
5. Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
|
||||
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 DSGVO** Meldepflicht.
|
||||
- **Art. 55 DSGVO** Zuständigkeit der Aufsichtsbehörde.
|
||||
- **LDSG Schleswig-Holstein** landesrechtliche Sondervorschriften für öffentliche Stellen.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der ULD vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; LDSG Schleswig-Holstein.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Behördenstammdaten ULD
|
||||
|
||||
- Name: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
|
||||
- Anschrift: Holstenstraße 98; 24103 Kiel
|
||||
- Kontakt: mail@datenschutzzentrum.de; Telefon 0431 988-1200
|
||||
- Online-Meldeformular: datenschutzzentrum.de — Online-Meldeformular Datenpanne
|
||||
- Sondernorm: LDSG Schleswig-Holstein
|
||||
- Bundesland: Schleswig-Holstein
|
||||
|
||||
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
|
||||
|
||||
## Berliner Struktur als Goldstandard
|
||||
|
||||
Die Meldeformular-Vorlage der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Pruefliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
|
||||
|
||||
**I. Wo ist die Datenpanne passiert?**
|
||||
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behoerde) — Name, Anschrift, Webseite, Branche.
|
||||
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
|
||||
|
||||
**II. Was ist passiert?**
|
||||
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
|
||||
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
|
||||
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
|
||||
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
|
||||
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
|
||||
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhaeltnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
|
||||
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
|
||||
- Kategorien betroffener Personen — Mitarbeitende; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen oeffentlichen Lebens; andere.
|
||||
- Anzahl betroffener Personen (Obergrenze).
|
||||
- Anzahl betroffener Datensaetze.
|
||||
- Wahrscheinliche Folgen fuer Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
|
||||
|
||||
**III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?**
|
||||
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
|
||||
- Vorbestehende technische und organisatorische Massnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
|
||||
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
|
||||
|
||||
**IV. Sonstige Mitteilungen an die Aufsichtsbehoerde**
|
||||
- Andere Behoerden eingeschaltet (mit Aktenzeichen).
|
||||
- Strafanzeige (Dienststelle, Aktenzeichen).
|
||||
- Sonstige Hinweise.
|
||||
|
||||
**V. Dokumente**
|
||||
- Forensischer Untersuchungsbericht.
|
||||
- Auflistung der technischen und organisatorischen Massnahmen.
|
||||
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
|
||||
- Schluesselmaterial (PGP).
|
||||
|
||||
**VI. Abschluss**
|
||||
- Vorlaeufige Meldung ja/nein; bei vorlaeufiger Meldung Ergaenzung binnen 14 Tagen.
|
||||
|
||||
Diese sechs Bloecke werden in jeder Behoerden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
|
||||
|
||||
## Praxisformulierung — Einreichungsablauf
|
||||
|
||||
1. Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
|
||||
2. Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
|
||||
3. Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
|
||||
4. Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
|
||||
5. Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` liefert die generische Pflichtinhalte-Vorlage.
|
||||
- `dsv-nachmeldung-aktualisierung-art-33-abs-4` deckt die Nachmeldung ab.
|
||||
@@ -0,0 +1,58 @@
|
||||
---
|
||||
name: dsv-nachmeldung-aktualisierung-art-33-abs-4
|
||||
description: "Erstellt die Nachmeldung zu einer vorläufigen Erstmeldung nach Art. 33 Abs. 4 DSGVO. Behandelt: 14-Tage-Frist der Berliner Praxis; Ergänzung der Datenarten; Korrektur der Anzahl Betroffener; Update der Gegenmaßnahmen; Information zur Pressemitteilung; Verweis auf Forensikbericht; Mitteilung zur Strafanzeige; Schluss der Meldung. Output: Nachmeldungs-Schreiben mit Bezug auf Aktenzeichen der Erstmeldung. Abgrenzung: keine neue Erstmeldung."
|
||||
---
|
||||
|
||||
# Nachmeldung und Aktualisierung nach Art. 33 Abs. 4 DSGVO
|
||||
|
||||
## Triage — kläre vor der Bearbeitung
|
||||
|
||||
1. Liegt das Aktenzeichen der Erstmeldung vor?
|
||||
2. Welche Felder waren in der Erstmeldung noch offen oder vorläufig?
|
||||
3. Liegt zwischenzeitlich ein Forensikbericht vor?
|
||||
4. Hat sich die Risikoeinschätzung verändert?
|
||||
5. Wurde Art. 34 DSGVO zwischenzeitlich ausgelöst?
|
||||
- Was will der Mandant wirklich erreichen? (saubere Akte; Behörde schließt Vorgang)
|
||||
|
||||
## Rechtsgrundlagen
|
||||
|
||||
- **Art. 33 Abs. 4 DSGVO** schrittweise Übermittlung.
|
||||
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
|
||||
- **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht.
|
||||
- **§ 51 BlnDSG** und vergleichbare Landesnormen.
|
||||
|
||||
## Aktuelle Rechtsprechung
|
||||
|
||||
Nicht aus Modellwissen; insbesondere zur Frage, ob neue Erkenntnisse den 72-Stunden-Lauf neu auslösen können, vor Ausgabe verifizieren.
|
||||
|
||||
## Zentrale Normen
|
||||
|
||||
Art. 33 Abs. 4; Art. 33 Abs. 5; Art. 5 Abs. 2 DSGVO; § 51 BlnDSG.
|
||||
|
||||
## Quellenregel
|
||||
|
||||
Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen. Rechtsprechung nicht aus Modellwissen zitieren; vor Ausgabe ueber offizielle oder frei zugaengliche Quelle (eur-lex.europa.eu, edpb.europa.eu, bfdi.bund.de, dejure.org, openjur.de, gesetze-im-internet.de) mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. BeckRS-Fundstellen nur in Verbindung mit einer primaeren oder offenen Sekundaerquelle.
|
||||
|
||||
## Praxisformulierung — Nachmeldungstext
|
||||
|
||||
Betreff: Nachmeldung zur Datenpannenmeldung [Aktenzeichen] vom [Datum].
|
||||
|
||||
Sehr geehrte Damen und Herren, im Anschluss an die vorläufige Meldung vom [Datum] übermittle ich für die [Verantwortliche Stelle] folgende Ergänzungen:
|
||||
|
||||
1. Aktualisierte Sachverhaltsdarstellung [...].
|
||||
2. Endgültige Anzahl betroffener Personen [...] und Datensätze [...].
|
||||
3. Forensik-Ergebnisse [...]; der Bericht ist als Anlage beigefügt.
|
||||
4. Umgesetzte und geplante Gegenmaßnahmen [...].
|
||||
5. Bewertung der Benachrichtigungspflicht Art. 34 DSGVO [...].
|
||||
6. Status anderer Behörden und Strafanzeige [...].
|
||||
|
||||
Mit dieser Nachmeldung gilt die Meldung als endgültig.
|
||||
|
||||
## Abgrenzung zu anderen Skills
|
||||
|
||||
- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
|
||||
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
|
||||
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
|
||||
|
||||
- `dsv-meldung-art-33-pflichtangaben` deckt die Erstmeldung ab.
|
||||
Some files were not shown because too many files have changed in this diff Show More
Reference in New Issue
Block a user