Checkliste Meldung von Verletzungen personenbezogener Daten fuer Gruender und Compliance Leads

Die Meldung von Verletzungen personenbezogener Daten funktioniert am besten, wenn das Team schnell von Unsicherheit zu einer dokumentierten Entscheidung kommt. Die Checkliste ist praktisch: klaeren, ob personenbezogene Daten betroffen sind, ein Bewertungsprotokoll oeffnen, Entscheidungsinhaber benennen, das Risiko fuer Personen bewerten, ueber Meldungen an Aufsichtsbehoerden oder betroffene Personen entscheiden, Nachweise sichern und Remediation bis zum Abschluss verfolgen.

Nach Artikel 33 DSGVO muss ein Verantwortlicher die zustaendige Aufsichtsbehoerde ohne unangemessene Verzoegerung und moeglichst innerhalb von 72 Stunden nach Kenntnis einer Verletzung melden, sofern die Verletzung voraussichtlich nicht zu einem Risiko fuer Rechte und Freiheiten natuerlicher Personen fuehrt. Artikel 34 betrifft die Kommunikation an betroffene Personen, wenn voraussichtlich ein hohes Risiko besteht. Auftragsverarbeiter muessen den Verantwortlichen ohne unangemessene Verzoegerung informieren.

Was diese Checkliste verhindern soll

Die meisten Probleme entstehen vor der eigentlichen Meldungsentscheidung. Ein Security Event wird erkannt, aber niemand weiss sicher, ob personenbezogene Daten betroffen sind. Security behebt das Problem, aber Legal und Privacy erhalten nicht genug Fakten. Customer Success hoert vom Vorfall, bevor vertragliche Benachrichtigungspflichten geprueft wurden. Leadership fragt nach der 72-Stunden-Frist, aber niemand kennt den Zeitpunkt der Kenntnis.

Diese Checkliste verbindet Incident Response, Datenschutzbewertung, Kundenpflichten, Vendor Management und Audit-Nachweise, bevor ein echter Vorfall den Druck erzeugt.

Die Checkliste

Nutzen Sie diese Punkte fuer jeden vermuteten Security- oder Datenvorfall, der personenbezogene Daten in Produktivsystemen, Support-Tools, Logs, Analytics, CRM, Backups, KI-Funktionen, Lieferantenplattformen oder Kundendaten betreffen koennte.

1. Bewertungsprotokoll sofort oeffnen

Warten Sie nicht, bis sicher ist, dass gemeldet werden muss. Das Protokoll ist der Ort, an dem diese Entscheidung entsteht. Erfassen Sie Vorfallstitel, interne Referenz, Erkennungszeit, Meldekanal, erste Pruefung, moeglichen Kenntniszeitpunkt, betroffene Systeme, erste Eindämmung, Incident Owner, Privacy Owner, Legal Reviewer, Security Owner, Kommunikationsowner, offene Fakten und naechste Review-Zeit.

Ein fruehes Protokoll darf unvollstaendig sein. Es muss Unsicherheit sichtbar machen.

2. Klaeren, ob personenbezogene Daten betroffen sind

Die DSGVO umfasst Verletzungen der Vertraulichkeit, Integritaet und Verfuegbarkeit. Fragen Sie, ob Daten ueber identifizierte oder identifizierbare Personen betroffen sind, ob Kunden, Mitarbeitende, Leads, Admins oder Endnutzer betroffen sein koennten, ob Logs, Anhaenge, Exporte, Backups, Analytics-Daten oder KI-Prompts enthalten waren und ob Daten offengelegt, veraendert, geloescht, beschaedigt oder unverfuegbar wurden.

Wenn die Antwort unklar ist, bleibt die Bewertung offen und ein Owner klaert den Datenumfang.

3. Rolle des Unternehmens bestimmen

Ein SaaS-Unternehmen kann Verantwortlicher fuer Mitarbeiter-, Interessenten-, Abrechnungs-, Analytics- oder Accountdaten sein und zugleich Auftragsverarbeiter fuer Kundendaten. Halten Sie fuer jedes betroffene Dataset fest, ob das Unternehmen Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher oder Unterauftragsverarbeiter ist, welche Vertrags- oder DPA-Pflichten gelten und wer die Meldungsentscheidung treffen muss.

4. Mindestfakten fuer Artikel 33 sammeln

Ermitteln Sie Kategorien und ungefaehre Anzahl betroffener Personen und Datensaetze, Datenarten, Zeitfenster, Zugriff oder Offenlegung, Verlust oder Unverfuegbarkeit, Eindämmungsstatus, moegliche Folgen und geplante Massnahmen. Fehlen Fakten, dokumentieren Sie, was fehlt und wer nachliefert.

5. Risiko und hohes Risiko getrennt bewerten

Artikel 33 und Artikel 34 haben verschiedene Schwellen. Pruefen Sie Sensibilitaet der Daten, Identifizierbarkeit, moegliche Folgen, Missbrauchswahrscheinlichkeit, Zugangsdaten, Zahlungsdaten, Gesundheitsdaten, besondere Kategorien, Kinder, Schutzmassnahmen wie Verschluesselung, Dauer und Umfang sowie Hinweise auf tatsaechlichen Zugriff.

6. Entscheiden, wer informiert werden muss

Trennen Sie Aufsichtsbehoerde, betroffene Personen, Kunden, Lieferanten, Versicherer, interne Leitung und Board. Erfassen Sie je Zielgruppe Pflicht, Grundlage, Frist, Owner, Freigabe, Inhalt und Follow-up. Fuer Kunden pruefen Sie DPA und Vertrag, nicht nur die DSGVO-Frist.

7. Nachweispaket vorbereiten

Bewahren Sie Timeline, Logs, Tickets, Screenshots, Scope-Analyse, Rollenbewertung, Risikoentscheidung, Benachrichtigungen, Remediation, Root Cause und Verbesserungen auf. Diese Nachweise werden in Kundengesprächen, Audits und moeglichen Fragen der Aufsicht relevant.

8. Nach der Meldung sauber schliessen

Stellen Sie sicher, dass fehlerhafte Konfigurationen, Rechte, Codepfade oder Lieferantenprobleme behoben wurden, Kunden Updates erhielten, Kommunikationspflichten erneut geprueft wurden, Nachweise aufbewahrt werden und Produkt-, Security-, Support- und Vendor-Workflows angepasst wurden.

FAQ

Was muessen Teams verstehen?

Die Meldung ist ein zeitkritischer Workflow mit Security-Fakten, Datenschutzbewertung, rechtlichen Schwellen, Kundenpflichten, Nachweisen, Remediation und klarer Verantwortung.

Wann gilt sie fuer SaaS-Teams?

Sie gilt, wenn eine Sicherheitsverletzung personenbezogene Daten durch Verlust, Veraenderung, unbefugte Offenlegung, unbefugten Zugriff oder Unverfuegbarkeit betrifft.

Was sollte zuerst dokumentiert werden?

Erkennungszeit, moeglicher Kenntniszeitpunkt, betroffene Systeme, betroffene Daten, Unternehmensrolle, Eindämmung, Entscheidungsowner, offene Fakten und naechster Review-Termin.

Quellen

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.