Dokumentation von Datenschutzvorfällen – ein Muster

Datenschutzvorfälle in Organisationen gehören – leider – dazu. Ob diese lediglich intern zu dokumentieren sind oder meldepflichtig gegenüber der Behörde oder sogar gegenüber den Betroffenen sind, zeigt sich meist erst, nachdem alle Informationen zusammengetragen und bewertet wurden. Das nachfolgende Muster soll dazu dienen, alle für diese Bewertung erforderlichen Informationen zu erfassen.

Erfassungsbogen Datenschutzvorfall

Muster/Vorlage zur Dokumentation von Datenschutzvorfällen (z. B. „Verletzung des Schutzes personenbezogener Daten“)

Hinweis: Dieses Muster dient der strukturierten Erfassung, Bewertung und Dokumentation von Datenschutzvorfällen. Bitte an Ihre internen Prozesse (Incident Response, IT-Security, Informationssicherheit, Legal/DSB) anpassen.

 

0. Dokumentensteuerung

Organisation / Einheit

____________________________________________

Vorfall-ID

____________________________________________

Dokumentversion / Stand

____________________________________________

Erstellt am / von

________________________ / ________________________

Zuletzt aktualisiert am / von

________________________ / ________________________

Status

☐ Entwurf  ☐ In Bearbeitung  ☐ Abgeschlossen  ☐ Wiedereröffnet

 

1. Basisdaten zum Vorfall

Datum/Uhrzeit Feststellung (Entdeckung)

________________________ / ________________________

Datum/Uhrzeit „Kenntniserlangung“ (Awareness)

________________________ / ________________________

Meldeweg (wie bekannt geworden?)

☐ intern  ☐ extern  ☐ Hinweis Betroffene  ☐ AV/Partner  ☐ Sonstiges: __________

Meldende Person / Kontakt

____________________________________________

Incident Owner (fachlich) / Kontakt

____________________________________________

IT/Security Ansprechpartner / Kontakt

____________________________________________

Datenschutzbeauftragte:r eingebunden?

☐ ja  ☐ nein  | Name/Kontakt: ________________________________

Ort/Standort(e) / betroffene Gesellschaft(en)

____________________________________________

 

2. Kurzbeschreibung

Was ist passiert? (Kurzfassung)

____________________________________________________________________________
____________________________________________________________________________

Betroffene Systeme/Anwendungen

____________________________________________________________________________

Betroffene Geschäftsprozesse

____________________________________________________________________________

Aktueller Stand (laufend/abgestellt/unter Beobachtung)

____________________________________________________________________________

 

3. Klassifikation des Vorfalls

Art der Beeinträchtigung (Mehrfachauswahl möglich):

  • ☐ Vertraulichkeit (unbefugte Offenlegung/Zugriff)
  • ☐ Integrität (unbefugte Veränderung/Manipulation)
  • ☐ Verfügbarkeit (Verlust/Unzugänglichkeit, z. B. Ransomware)
  • ☐ Sonstiges (bitte beschreiben)

 

Klassifikation/Schweregrad (intern)

☐ niedrig  ☐ mittel  ☐ hoch  ☐ kritisch  | Kriterien/Begründung: ________________________________

Sicherheitsvorfall ohne Personenbezug?

☐ ja  ☐ nein  ☐ unklar  | Begründung/Prüfschritte:_____________________________________

 

4. Betroffene personenbezogene Daten

Kategorien betroffener Personen

☐ Kunden  ☐ Interessenten  ☐ Beschäftigte  ☐ Bewerbende  ☐ Lieferanten  ☐ Nutzer  ☐ Sonstige: __________

Kategorien personenbezogener Daten

☐ Stamm-/Kontaktdaten  ☐ Vertrags-/Transaktionsdaten  ☐ Kommunikationsdaten
☐ Nutzungs-/Logdaten  ☐ Zahlungsdaten  ☐ Standortdaten  ☐ Bild/Ton
☐ Sonstige: ____________________________________________

Besondere Kategorien (Art. 9 DSGVO)?

☐ nein  ☐ ja (welche?): ____________________________________________

Daten zu Straftaten/Verurteilungen (Art. 10 DSGVO)?

☐ nein  ☐ ja (welche?): ____________________________________________

Umfang (Schätzung) betroffener Personen

__________ Personen (oder: ☐ unbekannt)

Umfang (Schätzung) betroffener Datensätze

__________ Datensätze (oder: ☐ unbekannt)

Betroffene Länder/Regionen

____________________________________________

Auftragsverarbeiter/Subdienstleister beteiligt?

☐ nein  ☐ ja (wer?): ____________________________________________

 

5. Ursache und Angriffs-/Fehlerbild

Vermutete Ursache

☐ menschlicher Fehler  ☐ technischer Defekt  ☐ Fehlkonfiguration  ☐ Angriff (z. B. Phishing/Malware)
☐ Verlust/Diebstahl  ☐ unbefugter interner Zugriff  ☐ unbefugter externer Zugriff  ☐ Sonstiges: __________

Beschreibung der Ursache (Details)

____________________________________________________________________________
____________________________________________________________________________

Betroffene Schwachstelle(n) / CVE / Fehlkonfiguration

____________________________________________________________________________

Hinweise auf Exfiltration/Abfluss?

☐ nein  ☐ ja  ☐ unklar  | Indikatoren: ____________________________________________

 

6. Sofortmaßnahmen (Containment) und Abhilfe

Unverzügliche Maßnahmen (was/wann?)

____________________________________________________________________________
____________________________________________________________________________

Zugänge gesperrt / Passwörter zurückgesetzt?

☐ ja  ☐ nein  ☐ n/a  | Details: ____________________________________________

Systeme isoliert / Offline genommen?

☐ ja  ☐ nein  ☐ n/a  | Details: ____________________________________________

Wiederherstellung/Backup genutzt?

☐ ja  ☐ nein  ☐ n/a  | Details: ____________________________________________

Forensik/Log-Sicherung durchgeführt?

☐ ja  ☐ nein  ☐ geplant  | Nachweis: ____________________________________________

 

7. Risiko- und Folgenabschätzung

Bewerten Sie die (voraussichtlichen) Risiken für die Rechte und Freiheiten natürlicher Personen (z. B. Identitätsdiebstahl, finanzielle Nachteile, Diskriminierung, Rufschädigung, Verlust der Vertraulichkeit).

Wahrscheinlichkeit

☐ niedrig  ☐ mittel  ☐ hoch  | Begründung: ____________________________________________

Schadensausmaß

☐ niedrig  ☐ mittel  ☐ hoch  | Begründung: ____________________________________________

Gesamtrisiko

☐ unwahrscheinlich  ☐ Risiko  ☐ hohes Risiko  | Ergebnis/Begründung: ________________________________

Besonders schutzbedürftige Betroffene?

☐ nein  ☐ ja (z. B. Kinder, Beschäftigte, vulnerable Gruppen): ________________________________

Wahrscheinliche Folgen (Beschreibung)

____________________________________________________________________________
____________________________________________________________________________

Bereits vorhandene Schutzmaßnahmen (z. B. Verschlüsselung)

____________________________________________________________________________

 

8. Entscheidung: Meldung an die Aufsichtsbehörde

Dokumentieren Sie die Entscheidung zur Meldung, einschließlich Zeitpunkt der Kenntniserlangung und der 72-Stunden-Betrachtung.

Meldung erforderlich?

☐ ja  ☐ nein  ☐ unklar (in Prüfung)

Begründung (insb. Risikoabwägung)

____________________________________________________________________________
____________________________________________________________________________

Zuständige Aufsichtsbehörde

____________________________________________

Datum/Uhrzeit Meldung

________________________ / ________________________

Falls > 72 Std.: Gründe für Verzögerung

____________________________________________________________________________

Aktenzeichen / Referenz der Behörde

____________________________________________

 

8.1 Inhalt der Meldung (Checkliste)

Erforderliche Mindestangaben (i. d. R. nach Art. 33 Abs. 3 DSGVO):

  • ☐ Beschreibung der Art der Verletzung (inkl. Kategorien betroffener Personen und Daten)
  • ☐ Name/Kontakt DSB oder Anlaufstelle
  • ☐ Beschreibung der wahrscheinlichen Folgen
  • ☐ Beschreibung der ergriffenen/ vorgeschlagenen Maßnahmen (inkl. Abhilfemaßnahmen)

 

Kurztext „Art der Verletzung“ (für Meldung)

____________________________________________________________________________

____________________________________________________________________________

Kontaktstelle/DSB (für Meldung)

____________________________________________

Wahrscheinliche Folgen (für Meldung)

____________________________________________________________________________

Maßnahmen (für Meldung)

____________________________________________________________________________

 

9. Entscheidung: Benachrichtigung der betroffenen Personen

Prüfen Sie, ob ein „hohes Risiko“ vorliegt und ob ggf. Ausnahmen greifen (z. B. wirksame Verschlüsselung).

Benachrichtigung erforderlich?

☐ ja  ☐ nein  ☐ unklar (in Prüfung)

Begründung / Ausnahmegrund

☐ keine  ☐ Verschlüsselung/Unlesbarkeit  ☐ nachträgliche Maßnahmen verhindern Risiko
☐ unverhältnismäßiger Aufwand (dann öffentliche Bekanntmachung)  ☐ Sonstiges: __________

Kommunikationskanal(e)

☐ E-Mail  ☐ Brief  ☐ In-App  ☐ Telefon  ☐ Website/Öffentliche Mitteilung  ☐ Sonstiges: __________

Datum/Uhrzeit Benachrichtigung

________________________ / ________________________

Textbaustein / Kernbotschaft (klar & verständlich)

____________________________________________________________________________
____________________________________________________________________________

Empfohlene Maßnahmen für Betroffene (z. B. Passwortwechsel)

____________________________________________________________________________

 

10. Kommunikation & Stakeholder

Geschäftsführung informiert (wann/wie?)

____________________________________________________________________________

IT/Security, Legal, Compliance, HR informiert

____________________________________________________________________________

PR/Kommunikation eingebunden?

☐ ja  ☐ nein  | Details: ____________________________________________

Versicherung/Provider/Partner informiert?

☐ ja  ☐ nein  | Details: ____________________________________________

 

11. Auftragsverarbeiter-Konstellation (falls einschlägig)

Vorfall bei Auftragsverarbeiter festgestellt?

☐ ja  ☐ nein  ☐ unklar

Meldung AV → Verantwortlicher (wann?)

________________________ / ________________________

Ansprechpartner AV / Ticket-ID

____________________________________________

Subunternehmer/Subprozessor betroffen?

☐ nein  ☐ ja (wer?): ____________________________________________

 

12. Abschluss, Maßnahmenplan & Lessons Learned

Vorfall behoben am

________________________ / ________________________

Kurzfazit (Ursache/Impact)

____________________________________________________________________________
____________________________________________________________________________

Korrekturmaßnahmen (kurzfristig)

____________________________________________________________________________

Präventionsmaßnahmen (mittel-/langfristig)

____________________________________________________________________________

Erforderliche Policy-/Prozessänderungen

____________________________________________________________________________

Schulung/Unterweisung erforderlich?

☐ ja  ☐ nein  | Zielgruppe/Datum: ____________________________________________

 

13. Anlagen / Nachweise

Anlagenliste (z. B. Logs, Screenshots, E-Mails, Forensikbericht, Meldung an Behörde)

1) ____________________________________________
2) ____________________________________________
3) ____________________________________________
4) ____________________________________________

 

14. Freigaben

Incident Owner (Name/Datum/Unterschrift)

____________________________________________

IT/Security (Name/Datum/Unterschrift)

____________________________________________

Datenschutzbeauftragte:r (Name/Datum/Unterschrift)

____________________________________________

Geschäftsführung (Name/Datum/Unterschrift)

____________________________________________

 

 

 

Ereignisprotokoll / Timeline

Datum/Uhrzeit

Maßnahme / Ereignis

Verantwortlich

Notizen / Nachweis

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Unser Leistungsspektrum.