Incident / Breach Response / DSGVO 72h

dsc.bund.de: Datenschutzvorfall und 72-Stunden-Workflow

Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).

DSGVO: 72-Stunden-Prüfung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten.
Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.

66 einsatzbereit mit Lücken

Risiko Data Map Anbieterpruefung Nachweise Regulatory Watch JSON CSV Playbook MD

66Readiness 5Szenarien 0kritisch 1hoch/kritisch 3Nachweise offen 5Playbook 3Meldechecks

Szenarien

Welche Datenschutzvorfälle vorbereitet werden sollten

JSON exportieren

Security-Header/TLS-Kontrolllücke mit personenbezogenem Webtraffic hoch · Score 66 · IT/Security

2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.

Webserver-Konfiguration einfrieren, Logs sichern, betroffene Endpunkte identifizieren und Header-/TLS-Fix als Sofortmaßnahme planen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.

PII-, URL- oder Referrer-Leakage auf Formular-/Tracking-Pfaden mittel · Score 50 · IT/Datenschutz

0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.

Betroffene URLs/Requests sichern, Formulardaten aus URLs entfernen, Referrer-Policy verschärfen und Drittanbieter auf Formularseiten blockieren. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.

Anbieter-/Processor-Vorfall oder Drittlandtransfer unklar mittel · Score 44 · Vendor Owner/Legal

0 Anbieter, 0 AVV-/DPA-Prüfung(en), 0 Transferfrage(n).

Vendor Owner kontaktieren, Anbieterakte öffnen, betroffene Dienste/Datenflüsse aus Data Map markieren und vertragliche Breach-Notification-Fristen prüfen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.

Datenfluss mit hohem Risiko oder unklarem Empfänger mittel · Score 38 · Datenschutz/IT

14 Datenfluss-Kanten, 0 hohes Risiko, 0 Transfer-Kante(n).

Top-Datenflüsse isolieren, betroffene Datenkategorien und Empfänger bestimmen, interne Systeme und Löschfristen aus Betreiberakten ergänzen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.

Tracking-/Cookie-Fehlkonfiguration mit möglichem Personenbezug niedrig · Score 34 · Marketing/IT

2 Cookie(s) inventarisiert: 0 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).

Consent-Zustände reproduzieren, Cookie-/Storage-Werte nicht exportieren, betroffene Anbieter und Zwecke im Cookie-Inventar markieren. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.

72 Stunden

Playbook fuer Intake, Scope und Meldeentscheidung

Playbook exportieren

0-4 Stunden · Intake & Triage Incident Lead

Vorfall erfassen, Kenntniszeitpunkt setzen, Systeme/Anbieter markieren und Beweissicherung starten.

Incident-Ticket, Zeitstempel, erste technische Artefakte.

0-24 Stunden · Eindämmung IT/Security

Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren; Logs und Konfigurationen sichern.

Änderungsprotokoll, Log-Sicherung, Screenshot/Request-Nachweis.

24-48 Stunden · Risiko für Betroffene Datenschutz/Legal

Datenarten, Anzahl Betroffener, Empfänger, Schutzmaßnahmen und mögliche Folgen bewerten.

Risikobewertung, Data-Map-Auszug, Vendor-Akte.

bis 72 Stunden · Meldeentscheidung DSB/Legal

Entscheidung zu Aufsichtsbehörde, Betroffeneninformation und Kundenkommunikation dokumentieren.

Meldeentscheidung, Begründung, Entwurf der Meldung oder Negativentscheidung.

7-30 Tage · Nachbereitung Programm-Owner

Ursache beheben, TOMs/Consent/Data Map/Vendor-Akten aktualisieren und Wiederholungstest planen.

Abnahmekriterium, Re-Scan, aktualisierte Betreiberartefakte.

Nachweise

Was im Vorfall sofort dokumentiert werden muss

Zeitpunkt der Kenntnisnahme manuell ergänzen · Incident Intake

Startpunkt für 72-Stunden-Prüfung.

Betroffene Datenkategorien und Datenflüsse teilweise vorhanden · Data Map

Grundlage für Risiko für Betroffene.

Betroffene Anbieter/Processor und AVV/DPA nicht erkannt · Vendor Due Diligence

Vendor-Fristen und Unterauftragsverarbeiter prüfen.

Technische Nachweise und Hash-Manifest vorhanden · Audit Evidence

Beweissicherung und nachvollziehbare Methodik.

Betroffenen-/DSAR-Kontaktkanal prüfen · Privacy Rights

Kommunikation mit Betroffenen vorbereiten.

Monitoring-/Change-Alert fehlt · Monitoring

Wiederholung und neue Signale erkennen.