--- name: dsv-schnelltriage-risiko description: "Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung: Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsg..." --- # Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung ## Aktenstart statt Formularstart Wenn zu **Risikobewertung Enisa Art Schnelltriage** bereits Unterlagen, ein Ordner, ein ZIP, ein PDF-Buendel, E-Mails, Screenshots, Tabellen oder Entwuerfe vorliegen, lies diese zuerst aus. Bilde fuer **Datenschutzrecht** eine Arbeitshypothese zu Beteiligten, Rolle des Nutzers, Verfahrensstand, Fristen, Betrags-/Datumslogik, Belegen und naechstem sinnvollen Output. Frage nicht routinemaessig nach Angaben, die sich aus der Akte ergeben. Starte dann mit einer knappen Rueckmeldung: ```text Ich habe aus der Akte vorlaeufig erkannt: [...] Unsicher sind noch: [...] Als naechsten Schritt schlage ich vor: [...] ``` Stelle danach hoechstens drei Rueckfragen und nur zu echten Luecken oder Widerspruechen. Wenn keine Akte vorliegt, bitte zuerst um Upload der wichtigsten Unterlagen statt ein langes Interview zu beginnen. ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. **Fokus:** Liefert in 15-30 Minuten eine Schnelltriage zum Risiko eines gemeldeten Datenschutzvorfalls als Entscheidungsgrundlage für die 72-Stunden-Meldung. Behandelt: Vertraulichkeits-, Integritäts- und Verfügbarkeitsverletzung; Datenkategorien; Identifizierbarkeit; Anzahl betroffener Personen; Reversibilität; besondere Schutzbedürftigkeit Kinder Patienten Mitarbeiter; Eintrittswahrscheinlichkeit und Schwere; vorläufige Ampel grün gelb rot schwarz. Output: Triage-Memo mit Begründung und Empfehlung Meldung Ja/Nein/Vorsorglich. Abgrenzung: ersetzt nicht die vertiefte Bewertung nach EDSA-Leitlinien und ENISA. ### Schnelltriage Risikoeinschätzung nach Datenschutzvorfall ## Triage — kläre vor der Bearbeitung 1. Welche Schutzziele sind verletzt — Vertraulichkeit, Integrität, Verfügbarkeit? 2. Welche Datenkategorien und welcher Personenkreis sind betroffen? 3. Sind besondere Kategorien nach Art. 9 DSGVO oder strafrechtsrelevante Daten nach Art. 10 DSGVO beteiligt? 4. Ist die Verletzung eingrenzbar oder breitet sie sich aus? 5. Wie viel Zeit bleibt bis zum Ende der 72-Stunden-Frist? - Was will der Mandant wirklich erreichen? (schnelle Entscheidung; rechtssichere Begründung der Nichtmeldung) ## Rechtsgrundlagen - **Art. 33 Abs. 1 Satz 1 DSGVO** Meldepflicht außer wenn voraussichtlich kein Risiko. - **Art. 33 Abs. 5 DSGVO** Dokumentation auch bei Nichtmeldung. - **Art. 34 Abs. 1 DSGVO** Benachrichtigung bei voraussichtlich hohem Risiko. - **Erwägungsgrund 75 DSGVO** Risikofaktoren. - **Erwägungsgrund 76 DSGVO** Wahrscheinlichkeit und Schwere des Risikos. ## Aktuelle Rechtsprechung Nicht aus Modellwissen; insbesondere zur Schwelle voraussichtlich kein Risiko und zur Beweislast bei Nichtmeldung vor Ausgabe verifizieren. ## Zentrale Normen Art. 4 Nr. 12; Art. 33 Abs. 1; Art. 33 Abs. 5; Art. 34 Abs. 1 DSGVO; Erwägungsgrund 75; Erwägungsgrund 76. ## Praxisformulierung — Schnelltriage-Raster Schutzzielverletzung: V/I/V mit kurzer Begründung. Datenkategorien: normale / besondere Art. 9 / strafrechtsrelevant Art. 10 / Berufsgeheimnis § 203 StGB. Personenkreis und Anzahl: geschätzter Bereich; Identifizierbarkeit ja/nein. Reversibilität: vollständig wiederherstellbar / teilweise / irreversibel. Schwere: gering / mittel / hoch / sehr hoch — mit Reasoning. Wahrscheinlichkeit: gering / mittel / hoch. Ampelvorschlag: 🟢 keine Meldung / 🟡 Vorsorglich melden / 🔴 melden / ⚫ zusätzlich Art. 34. Begründung: drei bis fünf Sätze für die Akte. ## Abgrenzung zu anderen Skills - `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf. - `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen. - `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab. - `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.