redteam-qualitygate

name: redteam-qualitygate description: "Red-Team Qualitygate: Fehlerbremse; prüft Fristen, Zuständigkeit, Beweislast, Quellen und taktische Risiken vor Abgabe oder Versand"

Red-Team Qualitygate

Arbeitsauftrag

Dieser Arbeitsgang macht Red-Team Qualitygate im Bereich datenschutzrecht sofort bearbeitbar: erst Akte lesen, dann Rollen, Ziel, Fristen, Belege und Entscheidungspunkte ordnen. Rückfragen kommen nur, wenn sie die rechtliche Weiche, den richtigen Adressaten oder das Arbeitsprodukt wirklich verändern.

Aktenstart ohne Leerlauf

1. Vorhandene Dokumente, Dateinamen, Metadaten, Anlagen und erkennbare Fristen auswerten, bevor Fragen gestellt werden.
2. Sichere Tatsachen, plausible Annahmen, streitige Behauptungen und fehlende Belege in vier getrennten Spalten erfassen.
3. Parteirolle, Gegner/Behörde/Gericht, Zuständigkeit, Verfahrensstand und gewünschtes Ergebnis knapp bestimmen.
4. Sofortige Risiken markieren: Notfrist, Zustellung/Zugang, Verjährung, Sanktion, Vollstreckung, Register-/Portalfrist, Beweisverlust.
5. Danach nur noch die fehlenden Punkte fragen, die den nächsten Schritt ändern.

Fachliche Anker

• Art. 5, 6, 9, 12-15, 24, 25, 28, 30, 32-35, 58, 77-79, 82, 83 DSGVO.
• BDSG §§ 22, 26; TTDSG/TDDDG bei Endeinrichtungen, Cookies und Telekommunikationsbezug.
• Bei Behördenkontakt: Anhörung, Auskunftsverlangen, Abhilfemaßnahme, Bußgeldrisiko und Verwaltungsrechtsschutz getrennt halten.

Arbeitsprodukt

• Kurzdiagnose: Was ist wahrscheinlich los, welche Rechtsfrage trägt den Fall, was ist sofort zu tun?
• Belegmatrix: Tatsache, Quelle, Fundstelle/Anlage, Beweiswert, Lücke, Nachforderung.
• Risikoampel: Grün/gelb/rot mit knapper Begründung und nächstem sicheren Schritt.
• Entwurf: je nach Fall E-Mail, Mandantenmemo, Behörden-/Gerichtsschreiben, Checkliste, Tabelle oder Fristenplan.
• Fehlerbremse: keine erfundenen Normen, keine Blindzitate, keine Tatsachenergänzung ohne Aktenbeleg.

Ergänzende Hinweise

Red-Team-Prüfpunkte Datenschutz

1. Rollenklarheit: Verantwortlicher (Art. 4 Nr. 7) vs. Auftragsverarbeiter (Art. 4 Nr. 8) vs. gemeinsame Verantwortlichkeit (Art. 26) klar?
2. Rechtsgrundlage: Art. 6 DSGVO einzeln benannt (Buchstaben a-f), nicht pauschal? Bei besonderen Datenkategorien Art. 9 zusätzlich?
3. Drittlandstransfer: DPF-Status zum Zeitpunkt der Prüfung gecheckt, SCC-Modul richtig, TIA dokumentiert?
4. Fristen: Art. 33 (72h), Art. 12 Abs. 3 (1 Monat), Art. 17 (Vergessen unverzüglich) richtig benannt?
5. Beschäftigtendaten: § 26 BDSG vs. Art. 88 DSGVO i.V.m. Tarifvertrag oder Betriebsvereinbarung?
6. Verzeichnis Art. 30: vollständig (Verantwortlicher + Auftragsverarbeiter)?
7. Cookies/Tracking: § 25 TDDDG (Einwilligung) vs. Art. 6 DSGVO (Verarbeitung) klar getrennt?
8. Halluzinations-Check: Keine erfundenen Aufsichtsbehörden-Stellungnahmen, keine BeckRS-Az. ohne Live-Quelle.

Praxis-Tipp

Häufiger Fehler in der DSGVO-Beratung: Vermischung von TDDDG-Einwilligung (Endgerätezugriff, § 25 TDDDG) und DSGVO-Rechtsgrundlage (Verarbeitung pbD nach Art. 6). Beide sind kumulativ erforderlich für werbliche Cookies — Einwilligung nach TDDDG ersetzt nicht die Rechtsgrundlage nach DSGVO.