--- name: dsv-dsfa-update-nach-vorfall description: "Aktualisiert die Datenschutz-Folgenabschätzung nach Art: 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanal..." --- # Aktualisiert die Datenschutz-Folgenabschätzung nach Art ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. **Fokus:** Aktualisiert die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO im Nachgang eines Datenschutzvorfalls. Behandelt: Erforderlichkeit der DSFA bei voraussichtlich hohem Risiko; Anpassung der Risikoanalyse; Abhilfemaßnahmen; Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei verbleibendem hohem Risiko; Verknüpfung mit VVT und Vorfallregister. Output: DSFA-Update-Vorlage mit Pflichtfeldern. Abgrenzung: keine neue DSFA; kein Verfahrensverzeichnis. ### Datenschutz-Folgenabschätzung nach Datenschutzvorfall aktualisieren ## Triage — kläre vor der Bearbeitung 1. Gab es bisher eine DSFA für die betroffene Verarbeitung? 2. Welche Risiken haben sich realisiert oder offenbart? 3. Welche Abhilfemaßnahmen sind nachhaltig wirksam? 4. Bleibt nach Maßnahmen ein hohes Risiko bestehen? 5. Ist Konsultation Art. 36 DSGVO erforderlich? - Was will der Mandant wirklich erreichen? (rechtskonforme Fortführung der Verarbeitung; Behördenkonsens) ## Rechtsgrundlagen - **Art. 35 DSGVO** DSFA. - **Art. 36 DSGVO** vorherige Konsultation. - **Art. 32 DSGVO** TOM. - **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht. - **BfDI- und LDA-DSFA-Listen** (Black- und Whitelist). ## Aktuelle Rechtsprechung Nicht aus Modellwissen; insbesondere zu Anforderungen an die DSFA-Aktualisierung nach Vorfall vor Ausgabe verifizieren. ## Zentrale Normen Art. 5 Abs. 2; Art. 32; Art. 35; Art. 36 DSGVO. ## Praxisformulierung — DSFA-Update-Felder 1. Beschreibung der Verarbeitung mit Bezug auf VVT. 2. Bewertung der Notwendigkeit und Verhältnismäßigkeit. 3. Bewertung der Risiken — vorher und nachher. 4. Geplante Maßnahmen — vor und nach Vorfall. 5. Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich ja/nein mit Begründung. 6. Stellungnahme des Datenschutzbeauftragten. 7. Versionsstand mit Datum und Bearbeiter. ## Abgrenzung zu anderen Skills - `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf. - `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen. - `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab. - `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab. - `dsv-vvt-update-nach-vorfall` deckt das VVT ab.