Anwendungsbereich

Benachrichtigung betroffener Personen nach Art. 34 DSGVO. Pflicht, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Diese Vorlage ist für die Erst­benachrichtigung (Stufe 1) gedacht — Folge­information mit konkreten technischen Details kann später separat erfolgen.

Die parallele Meldung an die Aufsichts­behörde nach Art. 33 DSGVO ist ein eigener Prozess und nicht Teil dieser Vorlage.

Voraussetzungen

• DSB ist eingebunden und hat die Risiko-Einschätzung („hohes Risiko” ja/nein) mitgetragen.
• Geschäftsführung ist informiert — eine Art-34-Benachrichtigung ist Reputations- und haftungs­relevant, sie wird nicht auf Sachbearbeiter­ebene verschickt.
• Sachverhalt ist verifiziert — keine Spekulation. Wenn der Sachverhalt noch unklar ist, wird eine vorsorgliche Information mit klarem Hinweis auf den vorläufigen Charakter ausgesprochen.
• Liste der betroffenen Personen liegt vor und ist abgesichert (keine ungeprüfte Massen­liste).
• Empfohlene Maßnahmen sind durchdacht — generischer „Bitte ändern Sie Ihr Passwort” reicht nicht, wenn die Daten z. B. Bankdaten sind.
• Externe Kommunikation ist abgestimmt (Presse, Kunden­service, Vertrieb) — Pressemitteilung sollte nicht später kommen als die Betroffenen­information.

Variablen

Vorlagentext

{anrede} {name_betroffener},

wir wenden uns heute mit einer wichtigen Information zum Datenschutz an Sie. Bei {verantwortlicher} hat sich am {vorfall_datum} ein Vorfall ereignet, bei dem auch Ihre personenbezogenen Daten betroffen sind. Wir wurden am {entdeckungsdatum} darauf aufmerksam.

Was ist passiert:

{vorfall_beschreibung}

Welche Daten von Ihnen sind betroffen:

{betroffene_daten}

Welche Folgen das für Sie haben kann:

{voraussichtliche_folgen}

Was wir bereits getan haben:

{ergriffene_massnahmen}

Was Sie selbst tun sollten:

{empfohlene_massnahmen}

Wir bedauern den Vorfall und die damit verbundene Beunruhigung sehr. Für Rückfragen erreichen Sie unseren Datenschutzbeauftragten unter {kontakt_dsb_email} oder telefonisch unter {kontakt_dsb_telefon}.

Mit freundlichen Grüßen

{unterzeichner} {verantwortlicher}

Verbotene Inhalte

Folgendes darf NICHT in die Benachrichtigung aufgenommen werden:

• Beschönigungen. „Es kam zu einem geringfügigen technischen Zwischenfall” oder „Möglicherweise könnten in Ausnahmefällen Daten betroffen sein” — wenn eine Art-34-Pflicht besteht, ist das Risiko hoch, nicht geringfügig.
• Schuldzuweisung an Dritte. „Schuld war ein externer Dienstleister” oder „Es handelt sich um einen kriminellen Angriff von außen” — rechtlich ist der Verantwortliche zur Information verpflichtet, nicht der Angreifer. Solche Sätze wirken wie Entschuldigungs­versuche.
• Werbung oder Vergünstigungen. Kein Goodie, kein Gutschein, kein Newsletter-Verweis. Eine Art-34-Mail ist keine Marketing-Gelegenheit.
• Vorzeitige Entwarnung. „Nach unserer Einschätzung ist eine Schaden­wirkung sehr unwahrscheinlich” — wenn das so wäre, wäre keine Art-34-Mitteilung erforderlich.
• Forderung, Stillschweigen zu bewahren. Sätze wie „Wir bitten Sie, diese Information vertraulich zu behandeln” sind unzulässig.
• Verzicht auf Rückrufkanal. Es muss eine erreichbare Person geben (E-Mail UND Telefon), nicht nur ein anonymes Postfach mit Bearbeitungs­zeit von 14 Tagen.

Beispiel einer fehlerhaften Formulierung (nicht verwenden):

„Aufgrund eines Angriffs durch organisierte Cyberkriminelle aus dem Ausland kann es theoretisch in seltenen Einzelfällen zu einem Missbrauch Ihrer Daten kommen. Wir bitten um Verständnis, dass wir aus ermittlungstaktischen Gründen keine weiteren Auskünfte erteilen können. Als Entschädigung gewähren wir Ihnen einen 10%-Rabatt auf Ihren nächsten Einkauf.”

Begründung: Schuldzuweisung an Dritte, Bagatellisierung („theoretisch”, „seltene Einzelfälle”), Verweigerung weiterer Auskünfte (unzulässig gegenüber Betroffenen), Werbung in einer Art-34-Mitteilung (rufschädigend für die eigene Marke und rechtlich problematisch).

Versandhinweise

• Kanal: Der Kanal, über den die Person normalerweise erreicht wird (E-Mail oder Brief). Bei reinen Telefon-Kontakten zusätzlich schriftliche Nachsendung — Telefon allein dokumentiert nicht.
• Personalisierte Anrede: Wenn der Name bekannt ist, persönliche Anrede verwenden. Massen-Anrede „Sehr geehrte Damen und Herren” nur bei vollständig anonymisiertem Verteiler.
• Einzelversand: Nie BCC mit identifizierenden Daten — eine Datenpannen­information per offenem Verteiler ist die zweite Datenpanne. TPL-007 lesen, falls das passiert.
• Timing: „Unverzüglich” (Art. 34 Abs. 1). Faustregel: maximal 72 Stunden ab Risikoeinschätzung, idealerweise zeitgleich mit der Art-33-Meldung an die Aufsichts­behörde.
• Bestätigung des Versands: Versandprotokoll führen (Datum, Kanal, Empfänger­kreis-Größe). Bei E-Mail an größere Verteiler: Versand­bestätigungen oder Bounce-Statistik dokumentieren.

Aufbewahrung

• Versendete Fassung im Datenpannen-Vorgangs­ordner unter der Vorfalls-Nummer ablegen.
• Verteilung-Liste (anonymisiert oder gehashed) als Beleg, dass die Benachrichtigung tatsächlich verschickt wurde.
• Aufbewahrung: mindestens 5 Jahre nach Erledigung des Vorfalls (gemäß DSK-Empfehlung zur Dokumentations­pflicht nach Art. 33 Abs. 5, Aufsichtsanfrage kann nachgelagert kommen).

Changelog