Internes Dokument · nicht öffentlich verlinkt

Datenpannen-Prozess (Data Breach Response)

KiNi WebApp · Verantwortlicher: Stefan Eschbach (Kleinunternehmer, § 19 UStG) · Lehmattweg 3, 79664 Wehr · info@kini.solutions · Tel. 0171 333 63 25
Stand: 2026-05-28 · Grundlage: Art. 33, 34 DSGVO · Anlage zum AVV

⏱ Meldefrist: Eine meldepflichtige Verletzung ist der zuständigen Aufsichtsbehörde ohne unangemessene Verzögerung, möglichst binnen 72 Stunden nach Bekanntwerden zu melden (Art. 33 Abs. 1 DSGVO).

1. Was ist eine „Datenpanne"?

Eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Beispiele:

2. Rollen

3. Ablauf im Ernstfall

Schritt 1 — Erkennen & Sofortmaßnahmen (Stunde 0): Vorfall identifizieren, betroffene Systeme eingrenzen, Schaden begrenzen (z. B. kompromittierte Zugänge sperren, Passwörter/Keys rotieren, betroffene Instanz isolieren). Zeitpunkt der Kenntnisnahme notieren – ab hier läuft die 72-Stunden-Frist.
Schritt 2 — Dokumentieren (Stunde 0–4): Im Vorfalls-Protokoll festhalten: Was ist passiert? Wann erkannt? Welche Datenkategorien und wie viele Betroffene? Welche Mandanten? Mutmaßliche Ursache? Bereits getroffene Maßnahmen?
Schritt 3 — Risiko bewerten (Stunde 0–24): Einschätzen, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Kein/geringes Risiko → interne Dokumentation genügt (Art. 33 Abs. 5). Risiko → Meldung. Hohes Risiko → zusätzlich Benachrichtigung der Betroffenen (Art. 34).
Schritt 4 — Kunden informieren (unverzüglich): Betroffene Mandanten (Verantwortliche) per E-Mail an die hinterlegte Admin-Adresse benachrichtigen, mit allen Informationen aus Schritt 2 + 3, damit der Kunde seine Meldepflichten erfüllen kann.
Schritt 5 — Aufsichtsbehörde (binnen 72 h, sofern meldepflichtig): Der Verantwortliche meldet an die zuständige Landes-Aufsichtsbehörde. Für KiNi Solutions (Sitz Baden-Württemberg): Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), baden-wuerttemberg.datenschutz.de. Inhalt nach Art. 33 Abs. 3: Art der Verletzung, Kategorien/Zahl der Betroffenen und Datensätze, Kontaktstelle, wahrscheinliche Folgen, ergriffene/geplante Maßnahmen.
Schritt 6 — Betroffene benachrichtigen (bei hohem Risiko, Art. 34): In klarer, einfacher Sprache: Beschreibung der Verletzung, Kontaktstelle, wahrscheinliche Folgen, ergriffene Maßnahmen und Empfehlungen (z. B. Passwort ändern).
Schritt 7 — Nachbereitung: Ursache dauerhaft beheben, TOM anpassen, Vorfall im Verzeichnis der Datenschutzverletzungen ablegen (auch bei nicht gemeldeten Fällen – Rechenschaftspflicht Art. 33 Abs. 5).

4. Kontakte

FunktionKontakt
Auftragsverarbeiter / interne KoordinationStefan Eschbach · info@kini.solutions · 0171 333 63 25
Auftragsverarbeiter / Vertretung (Urlaub/Krankheit)Die Vertretung in Abwesenheit erfolgt durch eine im SaaS-Vertrag benannte Notfall-Kontaktstelle. Bei Nichterreichbarkeit unter den oben genannten Kontaktdaten gilt die Meldung als zugegangen, sobald sie an info@kini.solutions eingegangen ist; eine automatische Eingangs-/Abwesenheitsbestätigung wird beim ersten erreichbaren Zeitpunkt verarbeitet.
Aufsichtsbehörde (Sitz KiNi)LfDI Baden-Württemberg · baden-wuerttemberg.datenschutz.de
Sub-Verarbeiter HostingHetzner Online GmbH (Meldewege laut deren AVV; Vorfälle werden vom Auftragsverarbeiter weitergeleitet)
Sub-Verarbeiter MailversandPostmark / ActiveCampaign (eskalierte Vorfälle werden binnen 24 h an den Auftraggeber gemeldet, Art. 28 Abs. 4 DSGVO)
Sub-Verarbeiter Push-DiensteApple / Google / Mozilla (Vorfälle werden über deren Status-Pages monitoring-seitig erfasst; betreffende Mandanten erhalten Information per Mail)
Sub-Verarbeiter ZahlungStripe Payments Europe Ltd.

5. Verzeichnis der Datenschutzverletzungen

Jeder Vorfall – ob gemeldet oder nicht – wird mit folgenden Angaben dokumentiert und mindestens 3 Jahre aufbewahrt: laufende Nummer, Datum der Kenntnisnahme, Beschreibung, betroffene Datenkategorien und Anzahl, Risikobewertung, Meldung (ja/nein, Datum), getroffene Maßnahmen.


Internes Nachweisdokument gemäß Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Nicht zur Veröffentlichung bestimmt.