Textvorlagen

Lade … Profil

← Zurück zur Vorlagen-Übersicht

Hinweis. Diese Vorlage ist eine allgemeine Hilfestellung. Sie ersetzt keine einzelfallbezogene Prüfung. Vor dem Versand ist die konkrete Situation mit Ihrem Datenschutzbeauftragten abzustimmen.

TPL-016 · v1.0 · Stand: 30.5.2026 · Freigegeben durch DSB · Review-Zyklus 12 Monate · Status freigegeben

Verlust mobiles Endgerät — interne Erstmeldung an DSB und GF

Anlass
Datenpanne (intern)
Empfänger
DSB und Geschäftsführung (intern)
Absender
Betroffene/r Beschäftigte/r oder unmittelbare Führungskraft
Kanal
E-Mail
Rechtsregime
DSGVO
Schwierigkeit
mittel
Schlagwörter
incident, datenpanne, endgeraet, interne-meldung
Rechtsgrundlage
  • Art. 33 DSGVO (Meldepflicht binnen 72 h — interne Meldung ist Vorstufe)

Anwendungsbereich

Strukturierte interne Erstmeldung beim Verlust eines mobilen Endgeräts, das personenbezogene Daten verarbeitet. Eingang ausschließlich beim DSB und der Geschäftsführung — beide entscheiden gemeinsam über die Meldung an die Aufsichts­behörde nach Art. 33 DSGVO und ggf. an Betroffene nach Art. 34 (TPL-006).

Diese Vorlage ist keine externe Kommunikation. Sie dient der Beweis­dokumentation und der Risiko-Einschätzung.

Voraussetzungen

  • Das Gerät war zur dienstlichen Nutzung übergeben.
  • Es ist hinreichend wahrscheinlich, dass personenbezogene Daten auf dem Gerät waren (oder können es nicht ausschließen).
  • Die Meldung erfolgt unverzüglich, in jedem Fall innerhalb von 24 Stunden nach Bemerken — der 72-Stunden-Countdown zur Aufsichts­meldung läuft.
  • Fakten dokumentiert, keine Spekulationen — der Bericht ist Beweismittel und sollte nicht später relativiert werden müssen.
  • Keine voreilige Information weiterer Beschäftigter oder gar Externe — die Eskalations­kette geht erst über DSB / GF.

Variablen

PlatzhalterBeschreibung
{meldungsdatum}Datum der Meldung
{meldungszeit}Uhrzeit der Meldung
{melder_name}Name des Meldenden
{melder_rolle}Funktion des Meldenden
{geraet_typ}Gerätetyp
{geraet_beschreibung}Hersteller, Modell, Inventarnummer
{verlust_zeitpunkt}Zeitpunkt des letzten sicheren Besitzes
{verlust_ort}Ort
{hergang}Tatsächlicher Hergang
{verschluesselung}Verschlüsselungs-Status
{remote_wipe_moeglich}Remote-Wipe-Möglichkeit
{betroffene_daten}Welche Daten waren auf dem Gerät
{meldung_polizei}Polizeiliche Anzeige
{erste_massnahmen}Bereits eingeleitete Maßnahmen

Vorlagentext

An: DSB, Geschäftsführung Betreff: VERTRAULICH — Verlust mobiles Endgerät, interne Erstmeldung

Diese Meldung erfolgt am {meldungsdatum} um {meldungszeit} durch {melder_name} ({melder_rolle}).

Verlustobjekt:

Typ: {geraet_typ}

Beschreibung: {geraet_beschreibung}

Zeitraum / Ort:

Letzter sicherer Besitz: {verlust_zeitpunkt}

Ort: {verlust_ort}

Hergang (Tatsachen, keine Vermutungen):

{hergang}

Sicherheits-Status des Geräts:

Verschlüsselung: {verschluesselung}

Remote-Wipe: {remote_wipe_moeglich}

Auf dem Gerät befindliche personenbezogene Daten:

{betroffene_daten}

Polizei-Status:

{meldung_polizei}

Bereits eingeleitete Maßnahmen:

{erste_massnahmen}

Ich bitte um Mitteilung der weiteren Vorgehensweise und stehe für Rückfragen zur Verfügung. Bis zur Klärung werde ich keine weiteren Personen über den Verlust informieren.

{melder_name}

Verbotene Inhalte

Folgendes darf NICHT in die interne Meldung aufgenommen werden:

  • Schuldvermutungen. „Ich vermute, dass es einer der Kollegen aus dem Großraumbüro war” — Spekulationen über andere Personen sind arbeitsrechtlich und persönlichkeits­rechtlich heikel. Nur Tatsachen.
  • Beschwichtigungen. „Ich gehe davon aus, dass nichts Sensibles darauf war” — irrelevant. Die Bewertung obliegt dem DSB, nicht der meldenden Person.
  • Verzicht auf Meldung wegen Bagatell-Vermutung. „Da ich das Gerät vermutlich nur kurz im Cafe vergessen habe und gleich zurückgehen werde, hatte ich nicht vor, eine offizielle Meldung zu erstellen” — die Meldung erfolgt UNVERZÜGLICH, nicht nach Erfolg oder Misserfolg der Selbstsuche.
  • Information weiterer Personen. Keine Mail an „alle Kollegen” mit dem Hinweis, das Gerät zu suchen. DSB und GF entscheiden über den Kreis der zu Informierenden.
  • Posts in sozialen Medien. Auch nicht „privat” — gilt für die meldende Person und alle informierten Personen.
  • Versprechen an Externe / Kunden / Betroffene. Solange keine Außen­kommunikation freigegeben ist, erfolgt sie nicht.

Beispiel einer fehlerhaften Formulierung (nicht verwenden):

„Mein Diensthandy ist mir im Taxi liegengeblieben. Ich gehe davon aus, dass der Fahrer ein ehrlicher Mensch ist und es bald zurückgibt. Sensible Daten waren nicht darauf, da ich solche Daten grundsätzlich nicht auf dem Handy bearbeite. Ich werde der Polizei vorerst nichts melden und auch die Kunden nicht informieren.”

Begründung: Spekulation („ehrlicher Mensch”), Beschwichtigung („keine sensiblen Daten” — Bewertung gehört zum DSB), eigenmächtiger Verzicht auf Polizei-Meldung und Kunden­information.

Versandhinweise

  • Versand­kanal: Verschlüsselte E-Mail (S/MIME / PGP) an DSB und GF; subsidiär persönliche Übergabe / Telefon.
  • Empfänger eng begrenzt: DSB + GF + Geschäftsführung-Stellvertreter. Niemand sonst.
  • Timing: Innerhalb von 24 Stunden nach Bemerken. Wochenende / Feiertag: per Mobil-Erreichbarkeit DSB / GF.
  • Bestätigungs­wunsch: Lesebestätigung anfordern. Bei Nicht- Antwort binnen 4 Stunden telefonisch nachfassen.

Aufbewahrung

  • Diese interne Meldung im Datenpannen-Vorgangsordner unter einer laufenden Vorfallnummer ablegen.
  • Strikt zugriffsbeschränkt — Personalakt-relevante Aspekte (Verhalten der meldenden Person) sind getrennt zu bewerten und nicht im Datenpannen-Ordner aufzubewahren.
  • Aufbewahrung: mindestens 5 Jahre — verlängerte Frist, weil möglicherweise später Aufsichts- oder Schadens­ersatz-Verfahren folgen können.

Changelog

VersionDatumÄnderungAutor
1.02026-05-30ErstfassungFS/CS