--- name: dsv-aufnahme-statusinformation description: "Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform: Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten i..." --- # Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform ## Aktenstart statt Formularstart Wenn zu **Art Besondere Aufnahme Statusinformation** bereits Unterlagen, ein Ordner, ein ZIP, ein PDF-Buendel, E-Mails, Screenshots, Tabellen oder Entwuerfe vorliegen, lies diese zuerst aus. Bilde fuer **Datenschutzrecht** eine Arbeitshypothese zu Beteiligten, Rolle des Nutzers, Verfahrensstand, Fristen, Betrags-/Datumslogik, Belegen und naechstem sinnvollen Output. Frage nicht routinemaessig nach Angaben, die sich aus der Akte ergeben. Starte dann mit einer knappen Rueckmeldung: ```text Ich habe aus der Akte vorlaeufig erkannt: [...] Unsicher sind noch: [...] Als naechsten Schritt schlage ich vor: [...] ``` Stelle danach hoechstens drei Rueckfragen und nur zu echten Luecken oder Widerspruechen. Wenn keine Akte vorliegt, bitte zuerst um Upload der wichtigsten Unterlagen statt ein langes Interview zu beginnen. ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. **Fokus:** Erstellt nach einem gemeldeten Datenschutzvorfall eine knappe Statusinformation an Mandant und Datenschutzbeauftragten in Fließtextform. Behandelt: Vorgangsbezeichnung; Zeitpunkt der Kenntnisnahme; Eingang Service-Desk und Datenschutzpostfach; Sachverhaltskurzfassung; 72-Stunden-Endpunkt als Datum und Uhrzeit; Ampelstatus grün gelb rot schwarz mit Begründung; aktuelle Einschätzung; Bewertung Meldepflicht nach Art. 33 DSGVO; Bewertung Informationspflicht nach Art. 34 DSGVO; nächster Schritt mit Verantwortlichem. Output: Fließtext-Memo 100-300 Wörter; matter-of-factly; Reasoning vor Conclusion in jedem Feld. Abgrenzung: keine Behördenmeldung; keine Risikobewertung im engeren Sinne. ### Datenschutzvorfall — Erstaufnahme als Statusinformation ## Triage — kläre vor der Bearbeitung 1. Wann genau wurde der Vorfall durch wen bemerkt und an welche interne Stelle gemeldet? 2. Welche Datenkategorien und welcher Personenkreis sind potenziell betroffen? 3. Ist der 72-Stunden-Lauf nach Art. 33 Abs. 1 DSGVO bereits angestoßen oder läuft er noch? 4. Welche Sofortmaßnahmen wurden bereits getroffen und welche stehen aus? 5. Wer ist Empfänger der Statusinformation — Geschäftsleitung, Datenschutzbeauftragter, Vorstand, externer Berater? - Was will der Mandant wirklich erreichen? (Lagebild, Entscheidungsgrundlage Meldung, Eskalation, Dokumentation) ## Rechtsgrundlagen - **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden ab Kenntniserlangung an die zuständige Aufsichtsbehörde. - **Art. 33 Abs. 5 DSGVO** Dokumentationspflicht jedes Vorfalls unabhängig von der Meldepflicht. - **Art. 34 DSGVO** Benachrichtigung der betroffenen Personen bei voraussichtlich hohem Risiko. - **§ 42 BDSG** Strafvorschriften bei vorsätzlicher unbefugter Offenlegung. - **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht des Verantwortlichen. ## Aktuelle Rechtsprechung Rechtsprechung wird nicht aus Modellwissen zitiert; aktuelle Entscheidungen des EuGH und BGH zur Auslegung der 72-Stunden-Frist und zum Kenntnisbegriff sind vor Ausgabe über die unten genannten Quellen zu verifizieren. ## Zentrale Normen Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 3; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; § 42 BDSG. ## Praxisformulierung — Statusinformation (Stilreferenz Fließtext) Vorgang: kurze sprechende Bezeichnung des Vorfalls. Kenntnisnahme: Wer hat wann was durch welche Wahrnehmung erkannt — Reasoning vor Conclusion. Eingang Service-Desk: Zeitpunkt und Ticketnummer mit kurzer Begründung der Zuordnung. Eingang Datenschutzpostfach: Zeitpunkt der formalen Weiterleitung an die Datenschutzorganisation. Sachverhalt: drei bis fünf Sätze; was ist passiert; welche Systeme; welche Datenkategorien; welcher Personenkreis. 72-Stunden-Endpunkt: konkretes Datum und Uhrzeit mit Bezug auf den Kenntnisnahmezeitpunkt. Ampelstatus: 🟢 unkritisch / 🟡 beobachtet / 🔴 meldepflichtig / ⚫ benachrichtigungspflichtig — mit kurzer Erläuterung. Aktuelle Einschätzung: technische und organisatorische Lage; eingrenzbar oder nicht. Bewertung: Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten; Reasoning vor Conclusion. Meldepflicht Art. 33: ja / nein / noch offen mit Begründung. Informationspflicht Art. 34: ja / nein / noch offen mit Begründung. Nächster Schritt: konkret, mit Verantwortlichem und Zeitpunkt. ## Abgrenzung zu anderen Skills - `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf. - `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen. - `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab. - `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.