datenschutz-datenpanne-art-33-34-72h-incident

star 872

Datenpannen-Incident-Response Art. 33 und 34 DSGVO. 72-Stunden-Frist ab Kenntnis Art. 33 I DSGVO und Benachrichtigung Betroffener bei hohem Risiko Art. 34 I DSGVO. Sieben-Fragen-Diagnose: Wer hat wann was entdeckt Datenkategorien Anzahl Betroffener Vertraulichkeit Integritaet Verfuegbarkeit Risiko TOM Art. 32 DSGVO Auftragsverarbeiter beteiligt. Schritt-für-Schritt: Sachverhalt klaeren NICHT vorschnell handeln Risikobewertung dokumentieren Mandantenfreigabe Aufsicht melden Betroffene benachrichtigen Massnahmen Lessons Learned. Mustertexte für Meldebogen und Betroffenenbenachrichtigung. Abgrenzung: keine Bussgeldverteidigung (datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung).

Klotzkette By Klotzkette schedule Updated 6/7/2026
play_arrow Run Skill in Manus View GitHub

name: datenschutz-datenpanne-art-33-34-72h-incident description: "Datenpannen-Incident-Response Art. 33 und 34 DSGVO. 72-Stunden-Frist ab Kenntnis Art. 33 I DSGVO und Benachrichtigung Betroffener bei hohem Risiko Art. 34 I DSGVO. Sieben-Fragen-Diagnose: Wer hat wann was entdeckt Datenkategorien Anzahl Betroffener Vertraulichkeit Integritaet Verfuegbarkeit Risik..."

Datenschutz Datenpanne — 72 Stunden Incident Response nach Art. 33 und 34 DSGVO

Zweck

Führt durch den Akutfall einer Datenpanne. Ziel ist die fristwahrende und zugleich bussgeldminimierende Meldung an die Aufsichtsbehoerde nach Art. 33 DSGVO und — falls erforderlich — die Benachrichtigung der Betroffenen nach Art. 34 DSGVO, ohne durch vorschnelle Selbstbelastung das Bussgeldrisiko nach Art. 83 DSGVO zu erhoehen.

Wann dieses Modul hilft / Kaltstart-Fragen

Sie brauchen den Skill ab dem Moment, in dem der Mandant Kenntnis von einem Vorfall erlangt: Ransomware, Phishing-Mail mit Anhangsverlust, falsch versendete Massen-E-Mail, gestohlener Laptop ohne Verschluesselung, fehlerhaft konfiguriertes Cloud-Bucket, unbefugter Mitarbeiterzugriff, Diebstahl USB, Druckdienstleister-Fehlversand.

Sieben-Fragen-Diagnose mit Antwort-Pattern:

  1. Wer hat wann was entdeckt? Konkretes Datum und Uhrzeit, Person, Quelle. Achtung: Die 72-Stunden-Frist nach Art. 33 I DSGVO laeuft ab Kenntnis des Verantwortlichen — bei Auftragsverarbeitern beginnt die Frist beim Verantwortlichen ab dessen Kenntnis (Art. 33 II DSGVO).
  2. Welche Datenkategorien sind betroffen? Allgemein, Art. 9 DSGVO (Gesundheit, Religion, Gewerkschaft, sexuelle Orientierung, biometrisch), Art. 10 DSGVO (Strafrechtsdaten), Art. 8 DSGVO (Minderjaehrige), Bankdaten, Authentifizierungsdaten?
  3. Anzahl Betroffener? Geschaetzt — Mindest- und Maximalwert.
  4. Welche Schutzziele verletzt? Vertraulichkeit (Offenlegung), Integritaet (Veraenderung), Verfuegbarkeit (Verlust)?
  5. Welche TOM nach Art. 32 DSGVO waren wirksam (Verschluesselung, Pseudonymisierung, Backup)? Wichtig für Art. 34 III a DSGVO Ausnahme.
  6. Ist ein Auftragsverarbeiter beteiligt? Wer ist Verantwortlicher? Wer meldet?
  7. Risiko für Betroffene? Identitaetsdiebstahl, finanzieller Schaden, Diskriminierung, Rufschaedigung, Verlust der Kontrolle, unbefugte Aufhebung der Pseudonymisierung?

Rechtlicher Rahmen

  • Art. 4 Nr. 12 DSGVO Definition Verletzung des Schutzes personenbezogener Daten: Vernichtung, Verlust, Veraenderung, unbefugte Offenlegung oder Zugang.
  • Art. 33 I DSGVO Meldepflicht innerhalb 72 Stunden ab Kenntnis des Verantwortlichen, ausser unwahrscheinliches Risiko für Rechte und Freiheiten.
  • Art. 33 II DSGVO Auftragsverarbeiter meldet unverzueglich an Verantwortlichen.
  • Art. 33 III DSGVO Pflichtinhalt: Art der Verletzung, Kategorien und Anzahl Betroffener, DSB-Kontakt, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.
  • Art. 33 IV DSGVO Stufenmeldung zulässig.
  • Art. 33 V DSGVO Dokumentationspflicht aller Verletzungen unabhaengig von Meldung.
  • Art. 34 I DSGVO Benachrichtigung Betroffener bei voraussichtlich hohem Risiko.
  • Art. 34 III DSGVO Ausnahmen: (a) wirksame Verschluesselung, (b) Folgemassnahmen verhindern Risiko, (c) Unverhaeltnismaessigkeit / öffentliche Bekanntmachung.
  • Art. 32 DSGVO TOM-Pflicht.
  • § 65 BDSG Spezifische Meldepflichten Strafverfolgung.
  • EDSA Leitlinien 9/2022 zur Meldung von Datenpannen (angenommen 28.03.2023).

Mandantenfuehrung Schritt-für-Schritt

  1. Sachverhalt klären — NICHT vorschnell handeln. Erste 4-8 Stunden: Fakten sammeln, Zeitstrahl, Personenkreis. Noch nichts ausserhalb des Mandanten kommunizieren. Vermeiden Sie pauschale Selbstvorwuerfe in Mails (werden im Bussgeldverfahren zur Akte).
  2. Risikobewertung dokumentieren. Matrix: Eintrittswahrscheinlichkeit Risiko x Schwere. EDSA-Leitlinien 9/2022 als Maßstab.
  3. Mandantenfreigabe einholen. Geschäftsführung, DSB nach Art. 37 DSGVO, ggf. IT-Sicherheitsbeauftragter, ggf. Betriebsrat.
  4. Aufsicht melden — innerhalb 72 Stunden ab Kenntnis. Stufenmeldung Art. 33 IV nutzen, wenn Fakten noch unklar. Lieber knapp und ehrlich als spekulativ ueberschwaenglich.
  5. Betroffene benachrichtigen — nur bei hohem Risiko Art. 34 I. Bei wirksamer Verschluesselung Ausnahme Art. 34 III a prüfen. Nicht voreilig benachrichtigen, wenn Risiko gering — sonst unnoetige Sorge und Reputationsschaden.
  6. Maßnahmen einleiten. Passworter zuruecksetzen, Zugaenge sperren, Backup aktivieren, Vorfall eindaemmen.
  7. Lessons Learned und Dokumentation Art. 33 V DSGVO. Internes Pannenregister, Update der TOM, ggf. DSFA aktualisieren.

Trade-off-Matrix

Variante Vorteil Nachteil
Sofortmeldung unter 24h Kooperation signalisiert, Bussgeldmilderung Art. 83 II c Unvollstaendige Fakten erhoehen spaeteren Änderungsbedarf
Stufenmeldung Art. 33 IV Frist gewahrt, Praezision steigt Mehr Schreibarbeit, Aufsicht erwartet Update
Verschluesselungs-Ausnahme Art. 34 III a Spart Massenbenachrichtigung Wirksamkeit muss dokumentiert sein (Schlüssel sicher, Algorithmus aktuell)
Oeffentliche Bekanntmachung Art. 34 III c Spart Einzelbenachrichtigung Reputationsschaden, Anwaltsabmahnung

Mustertexte

Interner Sachverhalts-Zeitstrahl (Vorlage)

Vorfall: [kurz]
Entdeckung: [Datum, Uhrzeit, Person]
Vermuteter Eintritt: [Datum]
Datenkategorien: [Art. 6 / Art. 9 / Art. 10 / Bankdaten]
Schaetzung Betroffene: min [n] max [n]
Schutzziel verletzt: [Vertraulichkeit / Integritaet / Verfuegbarkeit]
Wirksame TOM: [Verschluesselung ja/nein, Algorithmus, Schluesselverwaltung]
Auftragsverarbeiter beteiligt: [ja/nein, AVV Art. 28]
Aktuelles Risiko: [niedrig / mittel / hoch]

Meldebogen Aufsichtsbehoerde (Kerntext)

Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO

  1. Verantwortlicher: [Firma, Anschrift, Ansprechpartner].
  2. DSB: [Name, Kontakt nach Art. 37 VII DSGVO].
  3. Art der Verletzung: [konkret, z. B. unbefugte Offenlegung durch Fehlversand].
  4. Kategorien personenbezogener Daten: [konkret].
  5. Anzahl Betroffener: [Schaetzung, mit Begruendung].
  6. Wahrscheinliche Folgen: [konkret nach EDSA 9/2022].
  7. Ergriffene und vorgeschlagene Maßnahmen: [TOM-Bezug Art. 32 DSGVO, Sofortmassnahmen].
  8. Bewertung der Meldepflicht und der Benachrichtigung Betroffener Art. 34 DSGVO: [Prüfung mit Ergebnis].
  9. Stufenmeldung Art. 33 IV: [ja/nein, Update bis Datum].

Betroffenenbenachrichtigung (Art. 34 II DSGVO)

Sehr geehrte/r [Name],

in einer am [Datum] festgestellten Verletzung des Schutzes personenbezogener Daten sind moeglicherweise auch Ihre Daten betroffen. Wir informieren Sie hiermit gemäß Art. 34 DSGVO.

Was ist passiert: [klar]. Welche Daten sind betroffen: [konkret]. Welche moeglichen Folgen können entstehen: [konkret]. Was wir getan haben: [Maßnahmen, TOM]. Was Sie tun können: [Passwortwechsel, Konto-Monitoring, Hotline].

Datenschutzbeauftragter: [Kontakt nach Art. 37 VII DSGVO]. Sie können sich beschweren bei der zuständigen Aufsichtsbehoerde nach Art. 77 DSGVO: [Adresse].

Mit freundlichen Gruessen

Typische Fehler

  • Frist 72h aus Art. 33 I DSGVO ab Vorfall statt ab Kenntnis berechnen.
  • Selbstbelastung in interner Mail-Kommunikation ("wir hatten doch gesagt, das Backup macht keiner").
  • Verschluesselungs-Ausnahme Art. 34 III a behaupten, ohne Schlüsselverwaltung und Algorithmus zu belegen.
  • Betroffene per Massen-E-Mail aus dem System informieren, das gerade kompromittiert wurde.
  • Stufenmeldung Art. 33 IV genannt, aber nie Update geliefert.

Was triggert die Aufsichtsbehoerde besonders? Fristueberschreitung, leere Floskeln zu TOM, fehlende Risikoabwaegung Art. 34, keine Mandantenbeteiligung dokumentiert, kein DSB beteiligt.

Quellen Stand 06/2026

  • DSGVO Art. 4 Nr. 12, 32, 33, 34, 37, 82, 83.
  • BDSG § 65.
  • EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten, Version 2.0, angenommen 28.03.2023.
  • EDSA, Leitlinien 01/2021 zu Beispielen für Meldungen von Datenpannen.
  • Keine Aufsatzfundstellen aus Modellwissen.
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill datenschutz-datenpanne-art-33-34-72h-incident
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →