Datenpannen-Frist-Wizard

Eine Verletzung des Schutzes personenbezogener Daten löst nach Art. 33 Abs. 1 DSGVO eine Meldepflicht an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnisnahme aus, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei voraussichtlich hohem Risiko kommt nach Art. 34 DSGVO eine zusätzliche Benachrichtigung der Betroffenen hinzu. Der Wizard bildet folgende Prüfschritte ab:

1. Frist: Berechnung der Restzeit zur 72-Stunden-Meldung an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt ab dem Zeitpunkt der Kenntnisnahme.
2. Risikobewertung: Einstufung als „voraussichtlich kein Risiko", „voraussichtlich Risiko" oder „voraussichtlich hohes Risiko" nach EDSA-Guidelines 9/2022. Faktoren: Art der Verletzung, Sensibilität der Daten, Identifizierbarkeit, Schwere der Folgen, Anzahl der Betroffenen.
3. Meldepflicht: Ergebnis zur Meldung an die Aufsichtsbehörde mit Hinweis auf die Pflichtangaben nach Art. 33 Abs. 3 DSGVO.
4. Benachrichtigungspflicht: Bei hohem Risiko Hinweis auf Art. 34 DSGVO; Prüfung der Ausnahmen nach Art. 34 Abs. 3 DSGVO (Verschlüsselung, Folgemaßnahmen, unverhältnismäßiger Aufwand).
5. Sektorale Schnittstellen: Hinweise auf parallele Meldepflichten nach NIS-2 (24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Schlussbericht innerhalb eines Monats) und KI-VO (schwerer Vorfall nach Art. 73 KI-VO). Die DORA (VO (EU) 2022/2554) ist nur relevant, soweit eine Stelle in den Anwendungsbereich des Art. 2 DORA fällt (Finanzunternehmen und IKT-Drittdienstleister); für Hochschulen regelmäßig nicht einschlägig.
6. Bußgeldprivileg: Hinweis auf § 31 Abs. 2 Satz 1 DSAG LSA – gegen öffentliche Stellen in Sachsen-Anhalt werden außerhalb des Wettbewerbs keine Geldbußen verhängt.

1. Datenpanne beschreiben: Tragen Sie ein, was passiert ist, wann die Verletzung erkannt wurde und wie viele Betroffene voraussichtlich betroffen sind.
2. Datentypen wählen: Wählen Sie aus, ob normale personenbezogene Daten, besondere Kategorien nach Art. 9 DSGVO oder strafrechtliche Daten nach Art. 10 DSGVO betroffen sind.
3. Risikobewertung: Beantworten Sie die Indikatorfragen nach EDSA-Guidelines 9/2022; der Wizard schlägt eine Risikostufe vor, die anschließend angepasst werden kann.
4. Ergebnis lesen: Der Wizard zeigt die Restzeit zur 72-Stunden-Frist, die Meldepflicht an die Aufsichtsbehörde und die Benachrichtigungspflicht gegenüber Betroffenen sowie die einschlägigen NIS-2-/DORA-/KI-VO-Hinweise an.
5. Workpaper drucken: Klick auf „Druckansicht" erzeugt ein Workpaper für die Vorfallsakte mit Eingaben, Datum, Risikostufe und Begründung.

Datenverarbeitung: Sämtliche Eingaben werden ausschließlich lokal im Browser verarbeitet (localStorage für Wiederaufnahme, kein Server-Roundtrip). Es findet keine Übermittlung an Anbieter, Tracker oder Analyse-Dienste statt.

• Art. 33, 34 DSGVO (Verordnung (EU) 2016/679)
• § 31 Abs. 2 Satz 1 DSAG LSA (Bußgeldprivileg für öffentliche Stellen außerhalb des Wettbewerbs)
• EDSA-Guidelines 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO
• Richtlinie (EU) 2022/2555 (NIS-2) – 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Schlussbericht binnen eines Monats
• Verordnung (EU) 2022/2554 (DORA) – Meldepflichten bei IKT-bezogenen Vorfällen, nur für Stellen im Anwendungsbereich des Art. 2 DORA (Finanzunternehmen und IKT-Drittdienstleister)
• Art. 73 VO (EU) 2024/1689 (KI-VO) – Meldung schwerer Vorfälle
• Vertiefende Themenseite: Datenpannen