Loading…
Eine Verletzung des Schutzes personenbezogener Daten setzt eine regulatorische Uhr in Gang, die weder für Wochenenden, Feiertage noch für die Verfügbarkeit von Führungskräften stehen bleibt. Nach Artikel 33 DSGVO haben Sie 72 Stunden ab Kenntnisnahme, um die Aufsichtsbehörde zu benachrichtigen. DPDPA Rule 7, PDPA Section 26B und LGPD Resolution 15/2024 legen ähnliche Fristen fest.
Dieses Playbook unterteilt die 72 Stunden in fünf benannte Phasen – Erkennung, Eindämmung, Bewertung, Dokumentation, Einreichung – mit konkreten Ergebnissen an jedem Kontrollpunkt. Nutzen Sie es als Runbook: Wenn es brennt, möchten Sie keine Prozesse schreiben. Sie möchten sie ausführen.
Artikel 33 besagt „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde.“ Kenntnisnahme liegt vor, wenn der Verantwortliche eine hinreichende Gewissheit hat, dass ein Sicherheitsvorfall eingetreten ist und personenbezogene Daten betroffen sind. Es ist nicht:
Die EDPB-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten gestatten einen kurzen Untersuchungszeitraum bis zur Kenntnisnahme, doch dieser Zeitraum sollte kurz sein – eine Angelegenheit von Stunden, nicht von Tagen.
Ziel: Bestätigen, dass ein Vorfall eingetreten ist, forensische Beweise sichern, das Reaktionsteam aktivieren.
Ergebnis bei T+6h: Einseitige Vorfallzusammenfassung – was geschehen ist, wann, welche Systeme, welche Datenkategorien betroffen sein könnten, welche bekannten Unbekannten bestehen.
Ziel: Den Schaden stoppen, betroffene Systeme isolieren und zeitkritische externe Parteien benachrichtigen.
Ergebnis bei T+24h: Eindämmungsbestätigung; vorläufige Umfangsbeschreibung.
Ziel: Das Ausmaß und den wahrscheinlichen Schaden bestimmen – dies bestimmt jede nachgelagerte Entscheidung.
Ergebnis bei T+48h: Schadensrisikobewertung; Entscheidungsmatrix für die Meldung; ausgefüllter Entwurf einer Meldevorlage.
Ziel: Das Dokument erstellen, das Sie einreichen werden, den internen Datensatz festschreiben, Stakeholder informieren.
Ergebnis bei T+72h: Einreichungsbereite Meldung; vollständiger interner Datensatz.
Ziel: Die Aufsichtsbehörden innerhalb der gesetzlichen Frist benachrichtigen und betroffene Personen informieren, sofern erforderlich.
Ergebnis bei T+72h+: Eingangsbestätigung der Einreichung; an betroffene Personen versandte Mitteilungen (oder dokumentierte Entscheidung, nicht zu kommunizieren); Nachbesprechung des Vorfalls innerhalb von 14 Tagen geplant.
| Aufsichtsbehörde | Gesetzliche Frist | Schwelle |
|---|---|---|
| EU-Aufsichtsbehörde (DSGVO) | 72 Stunden ab Kenntnisnahme (Art. 33) | Sofern voraussichtlich kein Risiko für die Rechte und Freiheiten entsteht |
| ICO (UK GDPR) | 72 Stunden ab Kenntnisnahme | Gleiche risikobasierte Schwelle |
| CPPA / California AG (CCPA) | „Schnellstmöglich“ (Cal. Civ. Code §1798.82) | Bei mehr als 500 betroffenen kalifornischen Einwohnern wird eine Meldung an den AG ausgelöst |
| Data Protection Board of India (DPDPA) | Unverzüglich; Einzelheiten in Rule 7 | Alle Verletzungen des Schutzes personenbezogener Daten |
| CERT-In (India IT Act 2022 Directions) | 6 Stunden ab Feststellung | Benannte Vorfallkategorien (Ransomware, DDOS, Defacement usw.) |
| PDPC (Singapore PDPA) | 72 Stunden, nachdem die Bewertung eine meldepflichtige Verletzung bestätigt hat | Erheblicher Schaden ODER 500+ Personen |
| ANPD (Brazil LGPD) | 3 Werktage ab Bestätigung (Res. 15/2024) | Risiko oder relevanter Schaden für betroffene Personen |
| PPC (Japan APPI) | Unverzüglich (in der Regel Tage, nicht Wochen) | Leck sensibler Daten, finanzieller Verlust, böswillige Absicht oder 1.000+ Datensätze |
Das häufigste organisatorische Versäumnis ist eine unklare Zuständigkeit zwischen dem DPO und dem General Counsel für die eigentliche Behördenmeldung. Klären Sie dies im Voraus – die meisten Teams legen standardmäßig fest, dass der DPO unter dem Anwaltsgeheimnis des Counsel entwirft, wobei der DPO als benannte Kontaktperson in der Meldung selbst auftritt.
Artikel 34 DSGVO löst die Kommunikation mit betroffenen Personen aus, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Der Maßstab ist höher als die Meldeschwelle für die Aufsichtsbehörde. Beispiele, die eine Benachrichtigung rechtfertigen:
Artikel 34(3) nennt drei Ausnahmen von der direkten Kommunikation: Verschlüsselung, die die Daten für Unbefugte unverständlich macht, Maßnahmen, die das hohe Risiko beseitigen, oder ein unverhältnismäßiger Aufwand, der durch eine öffentliche Bekanntmachung ersetzt werden kann.
Inhalt der Benachrichtigung (Artikel 34(2)): Art der Verletzung, Name und Kontaktdaten des DPO, wahrscheinliche Folgen, ergriffene Maßnahmen. In einfacher Sprache.
Nein. Artikel 33 ist in Stunden angegeben, nicht in Werktagen. Einige Aufsichtsbehörden (LGPD, Singapore PDPA) definieren Fristen in Werktagen; prüfen Sie das jeweilige Regelwerk.
Artikel 33(1) gestattet eine spätere Meldung „zusammen mit einer Begründung für die Verzögerung“. Aufsichtsbehörden akzeptieren dies, prüfen es jedoch genau. Wiederkehrende Verzögerungen sind ein Auslöser für die Durchsetzung.
Artikel 33(2) verpflichtet den Auftragsverarbeiter, den Verantwortlichen „unverzüglich“ zu benachrichtigen. Ihr AV-Vertrag legt wahrscheinlich eine engere Frist fest (oft 24–48 Stunden). Die Meldung an die Aufsichtsbehörde ist die Pflicht des Verantwortlichen, doch der Auftragsverarbeiter muss ihm genügend Informationen und Zeit geben, um die 72-Stunden-Frist einzuhalten.
Bei allem, was wesentlich ist, ja. Externer Rechtsbeistand begründet das Anwaltsgeheimnis über die Arbeitsergebnisse der Untersuchung und reduziert die Offenlegungsrisiken in späteren Rechtsstreitigkeiten erheblich. Eine günstige Versicherung.
Vierteljährliche Tabletop-Übung mit einem realistischen, injects-basierten Szenario, zeitlich auf 90 Minuten verdichtet, um das 72-Stunden-Fenster zu simulieren. Erfassen Sie die Entscheidungsverzögerung bei jedem Phasenübergang. Verwenden Sie denselben Inhaltssatz nach Artikel 33(3), den Sie auch im Ernstfall einreichen würden.
RegulatoryBridge betreibt eine 24×7-Reaktion auf Datenpannen – Incident Commander, Behördenmeldung, Kommunikation mit betroffenen Personen – unter dem Schutz des Anwaltsgeheimnisses. Aktivierung innerhalb von Minuten.