--- name: dsv-erstgespraech-vorfallmeldung description: "Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung: Behan..." --- # Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. **Fokus:** Führt das anwaltliche oder DSB-Erstgespräch nach einem gemeldeten Datenschutzvorfall mit Geschäftsleitung oder Fachabteilung. Behandelt: Zeitstrahl der Kenntnisnahme; betroffene Systeme und Verarbeitungen; Datenkategorien und Schutzbedarfsklassen; geschätzte Anzahl betroffener Personen; Auftragsverarbeiter-Konstellation; Konzernbezug Art. 56 DSGVO; bereits eingeleitete Sofortmaßnahmen; Beweissicherung; Pressekontakte; aufsichtsbehördliche Vorkontakte. Output: strukturiertes Gesprächsprotokoll mit Lücken-Liste. Abgrenzung: keine eigene Risikobewertung; keine Behördenmeldung. ### Erstgespräch nach gemeldetem Datenschutzvorfall — Fragenkatalog ## Triage — kläre vor der Bearbeitung 1. Wer nimmt am Erstgespräch teil — Geschäftsleitung, DSB, IT-Leitung, externer Forensiker, Versicherer? 2. Liegt eine schriftliche Vorfallmeldung vor oder erfolgt sie mündlich? 3. Ist der Vorfall bereits öffentlich oder droht öffentliche Wahrnehmung? 4. Ist eine Cyberversicherung im Spiel und welche Meldepflichten bestehen dort? 5. Gibt es einen Auftragsverarbeitervertrag oder eine gemeinsame Verantwortlichkeit? - Was will der Mandant wirklich erreichen? (Lagebild, Meldepflichtprüfung, Bußgeldverteidigung, Haftungsminimierung) ## Rechtsgrundlagen - **Art. 33 Abs. 1 DSGVO** Meldepflicht binnen 72 Stunden. - **Art. 33 Abs. 2 DSGVO** Meldepflicht des Auftragsverarbeiters an den Verantwortlichen. - **Art. 28 Abs. 3 lit. f DSGVO** Unterstützungspflicht des Auftragsverarbeiters. - **Art. 56 DSGVO** Federführende Aufsichtsbehörde bei grenzüberschreitender Verarbeitung. - **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht. ## Aktuelle Rechtsprechung Nicht aus Modellwissen; insbesondere zu Kenntnisbegriff Art. 33 Abs. 1 DSGVO und Reichweite der Meldepflicht des Auftragsverarbeiters vor Ausgabe verifizieren. ## Zentrale Normen Art. 4 Nr. 12; Art. 28; Art. 33; Art. 34; Art. 56 DSGVO; § 42 BDSG. ## Praxisformulierung — Fragenblöcke Zeitstrahl: Wann wurde was durch wen wahrgenommen — minutengenau wenn möglich. Betroffene Verarbeitungen: Welche Verarbeitungstätigkeiten nach VVT sind tangiert? Datenkategorien: Art. 9 DSGVO, Art. 10 DSGVO, Sozialdaten, Berufsgeheimnis § 203 StGB, Kinderdaten? Personenkreis: Mitarbeiter, Kunden, Patienten, Mandanten, Schüler — geschätzte Anzahl. Auftragsverarbeiter: Liegt AV-Vertrag vor; wer hat zuerst Kenntnis erlangt? Konzernbezug: Hauptniederlassung in welchem EU-Mitgliedstaat? Sofortmaßnahmen: Welche technischen und organisatorischen Schritte sind bereits erfolgt? Beweissicherung: Logs, Images, Zeugen, Chain of Custody. Externe Kommunikation: Presse, Kunden, Aufsichtsbehörde bereits angesprochen? Versicherung: Cyberpolice; Meldepflicht-Trigger? ## Abgrenzung zu anderen Skills - `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf. - `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen. - `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab. - `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.