DSGVO

Wie reagiere ich auf eine Datenpanne in 72 Stunden?

Zuletzt aktualisiert:

Sechs Schritte

  1. Vorfall erkennen + dokumentieren.

  2. Eingrenzung (Schaden minimieren).

  3. Risiko-Bewertung.

  4. Meldung an Behörde in 72h.

  5. Betroffene informieren (bei hohem Risiko).

  6. Lessons-Learned.

Erkennung

  • SIEM + Monitoring-Tools.

  • User-Reports.

  • Externe Hinweise.

  • Routine-Audits.

  • Pflicht-Dokumentation ab Bekanntwerden.

Eingrenzung

  • Sofortige Massnahmen.

  • Zugriffe sperren.

  • Schaden minimieren.

  • Forensik-Daten sichern.

  • Externe Hilfe wenn nötig.

Risiko-Bewertung

  1. Welche Daten betroffen (Anzahl, Art).

  2. Welche Personen-Gruppen.

  3. Wahrscheinlichkeit Missbrauch.

  4. Schwere des möglichen Schadens.

  5. Hohes Risiko -> Art. 34 (Betroffene informieren).

Behörden-Meldung

  • Online-Formular der zuständigen Behörde.

  • Pflicht-Inhalte (Vorfall, Massnahmen, Personen, Folgen).

  • In unter 72h nach Bekanntwerden.

  • Bei Verzug: Begründung.

  • Doku-Pflicht intern.

Betroffene-Information (Art. 34)

  1. Bei hohem Risiko für Betroffene.

  2. Direkte Kommunikation (Mail, Brief).

  3. Pflicht-Inhalte.

  4. Empfehlungen für Massnahmen.

  5. Kontakt-Person DPO.

Bussgeld-Risiko

  • Bis 20 Mio EUR oder 4 % Welt-Umsatz.

  • Verspaetete Meldung erhöht.

  • Vertuschung erhöht stark.

  • Lessons-Learned + Massnahmen mildernd.

  • Documentation Pflicht.

Anti-Patterns

  • Vertuschung oder Verzögerung.

  • DSB nicht informiert.

  • Betroffene nicht informiert trotz hohem Risiko.

  • Forensik gelöscht (Aufräumen statt Sichern).

  • Lessons-Learned skippt.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.