Internes Dokument · nicht öffentlich verlinkt
Datenpannen-Prozess (Data Breach Response)
⏱ Meldefrist: Eine meldepflichtige Verletzung
ist der zuständigen Aufsichtsbehörde ohne unangemessene
Verzögerung, möglichst binnen 72 Stunden nach Bekanntwerden
zu melden (Art. 33 Abs. 1 DSGVO).
1. Was ist eine „Datenpanne"?
Eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Beispiele:
- Unbefugter Zugriff auf Datenbank oder Server (Hack, gestohlene Zugangsdaten)
- Versehentliche Offenlegung von Daten an falsche Empfänger (z. B. Fehlversand, falsche Mandanten-Zuordnung)
- Verlust / Diebstahl eines Geräts mit Zugriff auf die Systeme
- Ransomware / Datenverlust ohne funktionierendes Backup
- Fehlkonfiguration, die Daten öffentlich zugänglich macht
2. Rollen
- Auftragsverarbeiter (KiNi / Stefan Eschbach): erkennt und bewertet technische Vorfälle, informiert betroffene Kunden unverzüglich (Art. 33 Abs. 2 DSGVO).
- Verantwortlicher (Kunde / Mandant): entscheidet über die Meldung an die Aufsichtsbehörde und ggf. Benachrichtigung der Betroffenen. KiNi unterstützt mit allen erforderlichen Informationen.
3. Ablauf im Ernstfall
Schritt 1 — Erkennen & Sofortmaßnahmen
(Stunde 0): Vorfall identifizieren, betroffene Systeme
eingrenzen, Schaden begrenzen (z. B. kompromittierte Zugänge sperren,
Passwörter/Keys rotieren, betroffene Instanz isolieren). Zeitpunkt der
Kenntnisnahme notieren – ab hier läuft die 72-Stunden-Frist.
Schritt 2 — Dokumentieren (Stunde 0–4):
Im Vorfalls-Protokoll festhalten: Was ist passiert? Wann erkannt? Welche
Datenkategorien und wie viele Betroffene? Welche Mandanten? Mutmaßliche
Ursache? Bereits getroffene Maßnahmen?
Schritt 3 — Risiko bewerten (Stunde 0–24):
Einschätzen, ob ein Risiko für die Rechte und Freiheiten natürlicher
Personen besteht. Kein/geringes Risiko → interne Dokumentation genügt
(Art. 33 Abs. 5). Risiko → Meldung. Hohes Risiko → zusätzlich
Benachrichtigung der Betroffenen (Art. 34).
Schritt 4 — Kunden informieren
(unverzüglich): Betroffene Mandanten (Verantwortliche) per
E-Mail an die hinterlegte Admin-Adresse benachrichtigen, mit allen
Informationen aus Schritt 2 + 3, damit der Kunde seine Meldepflichten
erfüllen kann.
Schritt 5 — Aufsichtsbehörde (binnen 72 h,
sofern meldepflichtig): Der Verantwortliche meldet an die
zuständige Landes-Aufsichtsbehörde. Für KiNi Solutions (Sitz
Baden-Württemberg): Landesbeauftragter für den Datenschutz und die
Informationsfreiheit Baden-Württemberg (LfDI BW),
baden-wuerttemberg.datenschutz.de.
Inhalt nach Art. 33 Abs. 3: Art der Verletzung, Kategorien/Zahl der
Betroffenen und Datensätze, Kontaktstelle, wahrscheinliche Folgen,
ergriffene/geplante Maßnahmen.
Schritt 6 — Betroffene benachrichtigen (bei
hohem Risiko, Art. 34): In klarer, einfacher Sprache:
Beschreibung der Verletzung, Kontaktstelle, wahrscheinliche Folgen,
ergriffene Maßnahmen und Empfehlungen (z. B. Passwort ändern).
Schritt 7 — Nachbereitung: Ursache
dauerhaft beheben, TOM anpassen, Vorfall im Verzeichnis der
Datenschutzverletzungen ablegen (auch bei nicht gemeldeten Fällen –
Rechenschaftspflicht Art. 33 Abs. 5).
4. Kontakte
| Funktion | Kontakt |
|---|---|
| Auftragsverarbeiter / interne Koordination | Stefan Eschbach · info@kini.solutions · 0171 333 63 25 |
| Auftragsverarbeiter / Vertretung (Urlaub/Krankheit) | Die Vertretung in Abwesenheit erfolgt durch eine im SaaS-Vertrag benannte Notfall-Kontaktstelle. Bei Nichterreichbarkeit unter den oben genannten Kontaktdaten gilt die Meldung als zugegangen, sobald sie an info@kini.solutions eingegangen ist; eine automatische Eingangs-/Abwesenheitsbestätigung wird beim ersten erreichbaren Zeitpunkt verarbeitet. |
| Aufsichtsbehörde (Sitz KiNi) | LfDI Baden-Württemberg · baden-wuerttemberg.datenschutz.de |
| Sub-Verarbeiter Hosting | Hetzner Online GmbH (Meldewege laut deren AVV; Vorfälle werden vom Auftragsverarbeiter weitergeleitet) |
| Sub-Verarbeiter Mailversand | Postmark / ActiveCampaign (eskalierte Vorfälle werden binnen 24 h an den Auftraggeber gemeldet, Art. 28 Abs. 4 DSGVO) |
| Sub-Verarbeiter Push-Dienste | Apple / Google / Mozilla (Vorfälle werden über deren Status-Pages monitoring-seitig erfasst; betreffende Mandanten erhalten Information per Mail) |
| Sub-Verarbeiter Zahlung | Stripe Payments Europe Ltd. |
5. Verzeichnis der Datenschutzverletzungen
Jeder Vorfall – ob gemeldet oder nicht – wird mit folgenden Angaben dokumentiert und mindestens 3 Jahre aufbewahrt: laufende Nummer, Datum der Kenntnisnahme, Beschreibung, betroffene Datenkategorien und Anzahl, Risikobewertung, Meldung (ja/nein, Datum), getroffene Maßnahmen.