# Datenschutzvorfall-Playbook fuer anrufer.info

Incident-/Breach-Readiness 34/100; 4 Szenario(s), 1 kritisch, 2 hoch/kritisch und 3 offene Nachweisposition(en).

> DSGVO: 72-Stunden-Pruefung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten.

> Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.

## 72-Stunden-Playbook
- [ ] **0-4 Stunden / Intake & Triage**: Vorfall erfassen, Kenntniszeitpunkt setzen und Beweissicherung starten. Nachweis: Incident-Ticket, Zeitstempel, erste Artefakte.
- [ ] **0-24 Stunden / Eindaemmung**: Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren. Nachweis: Aenderungsprotokoll, Log-Sicherung.
- [ ] **24-48 Stunden / Scope & Risiko**: Datenarten, Personenanzahl, Empfaenger, Anbieter, Transfer und Eintrittswahrscheinlichkeit bestimmen. Nachweis: Data Map, Anbieterakte, Log-Auszug, Betroffenenrisiko.
- [ ] **bis 72 Stunden / Meldeentscheidung**: Entscheidung zu Behoerde, Betroffeneninformation und Kundenkommunikation dokumentieren. Nachweis: Meldeentscheidung oder Negativentscheidung.

## Szenarien
- **Security-Header/TLS-Kontrollluecke mit personenbezogenem Webtraffic** (kritisch): Webserver-Konfiguration einfrieren, Logs sichern und Header-/TLS-Fix planen.
- **Tracking-/Cookie-Fehlkonfiguration mit moeglichem Personenbezug** (hoch): Consent-Zustaende reproduzieren, Anbieter und Zwecke im Cookie-Inventar markieren.
- **Anbieter-/Processor-Vorfall oder Drittlandtransfer unklar** (mittel): Vendor Owner kontaktieren, Anbieterakte oeffnen und vertragliche Breach-Fristen pruefen.
- **Datenfluss mit hohem Risiko oder unklarem Empfaenger** (mittel): Top-Datenfluesse isolieren, betroffene Datenkategorien und Empfaenger bestimmen.

## Nachweise
- [ ] Zeitpunkt der Kenntnisnahme - manuell ergaenzen / Startpunkt fuer 72-Stunden-Pruefung.
- [ ] Betroffene Datenkategorien und Datenfluesse - fehlt / Grundlage fuer Risiko fuer Betroffene.
- [ ] Betroffene Anbieter/Processor und AVV/DPA - nicht erkannt / Vendor-Fristen und Unterauftragsverarbeiter pruefen.
- [ ] Technische Nachweise und Hash-Manifest - fehlt / Beweissicherung und nachvollziehbare Methodik.
- [ ] Betroffenen-/DSAR-Kontaktkanal - teilweise vorhanden / Kommunikation mit Betroffenen vorbereiten.