# Datenschutzvorfall-Playbook fuer bestandsuebersicht-acdp.faust-web.de

Incident-/Breach-Readiness 58/100; 5 Szenario(s), 0 kritisch, 2 hoch/kritisch und 3 offene Nachweisposition(en).

> DSGVO: 72-Stunden-Prüfung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten.

> Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.

## 72-Stunden-Playbook
- [ ] **0-4 Stunden / Intake & Triage**: Vorfall erfassen, Kenntniszeitpunkt setzen, Systeme/Anbieter markieren und Beweissicherung starten. Nachweis: Incident-Ticket, Zeitstempel, erste technische Artefakte.
- [ ] **0-24 Stunden / Eindämmung**: Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren; Logs und Konfigurationen sichern. Nachweis: Änderungsprotokoll, Log-Sicherung, Screenshot/Request-Nachweis.
- [ ] **24-48 Stunden / Risiko für Betroffene**: Datenarten, Anzahl Betroffener, Empfänger, Schutzmaßnahmen und mögliche Folgen bewerten. Nachweis: Risikobewertung, Data-Map-Auszug, Vendor-Akte.
- [ ] **bis 72 Stunden / Meldeentscheidung**: Entscheidung zu Aufsichtsbehörde, Betroffeneninformation und Kundenkommunikation dokumentieren. Nachweis: Meldeentscheidung, Begründung, Entwurf der Meldung oder Negativentscheidung.
- [ ] **7-30 Tage / Nachbereitung**: Ursache beheben, TOMs/Consent/Data Map/Vendor-Akten aktualisieren und Wiederholungstest planen. Nachweis: Abnahmekriterium, Re-Scan, aktualisierte Betreiberartefakte.

## Szenarien
- **Security-Header/TLS-Kontrolllücke mit personenbezogenem Webtraffic** (hoch): Webserver-Konfiguration einfrieren, Logs sichern, betroffene Endpunkte identifizieren und Header-/TLS-Fix als Sofortmaßnahme planen.
- **Tracking-/Cookie-Fehlkonfiguration mit möglichem Personenbezug** (hoch): Consent-Zustände reproduzieren, Cookie-/Storage-Werte nicht exportieren, betroffene Anbieter und Zwecke im Cookie-Inventar markieren.
- **PII-, URL- oder Referrer-Leakage auf Formular-/Tracking-Pfaden** (mittel): Betroffene URLs/Requests sichern, Formulardaten aus URLs entfernen, Referrer-Policy verschärfen und Drittanbieter auf Formularseiten blockieren.
- **Anbieter-/Processor-Vorfall oder Drittlandtransfer unklar** (mittel): Vendor Owner kontaktieren, Anbieterakte öffnen, betroffene Dienste/Datenflüsse aus Data Map markieren und vertragliche Breach-Notification-Fristen prüfen.
- **Datenfluss mit hohem Risiko oder unklarem Empfänger** (mittel): Top-Datenflüsse isolieren, betroffene Datenkategorien und Empfänger bestimmen, interne Systeme und Löschfristen aus Betreiberakten ergänzen.

## Nachweise
- [ ] Zeitpunkt der Kenntnisnahme - manuell ergänzen / Startpunkt für 72-Stunden-Prüfung.
- [ ] Betroffene Datenkategorien und Datenflüsse - teilweise vorhanden / Grundlage für Risiko für Betroffene.
- [ ] Betroffene Anbieter/Processor und AVV/DPA - nicht erkannt / Vendor-Fristen und Unterauftragsverarbeiter prüfen.
- [ ] Technische Nachweise und Hash-Manifest - vorhanden / Beweissicherung und nachvollziehbare Methodik.
- [ ] Betroffenen-/DSAR-Kontaktkanal - prüfen / Kommunikation mit Betroffenen vorbereiten.
- [ ] Monitoring-/Change-Alert - fehlt / Wiederholung und neue Signale erkennen.