Verfahren bei Datenschutzverletzung

INCIDENT RESPONSE PLAN

Verfahren bei Datenschutzverletzungen gemäß Art. 33/34 DSGVO

meisterwork GmbH
Version: 1.0
Stand: 01.11.2025

1. Zweck und Geltungsbereich

Dieser Plan regelt das Vorgehen bei Verletzungen des Schutzes personenbezogener Daten ("Datenschutzverletzungen") bei der meisterwork GmbH. Er stellt sicher, dass:

• Vorfälle schnell erkannt und eingedämmt werden

• Gesetzliche Meldepflichten erfüllt werden

• Betroffene angemessen informiert werden

• Aus Vorfällen gelernt wird

Geltungsbereich: Alle Mitarbeiter, Händler und Subauftragsverarbeiter

2. Definition Datenschutzverletzung

Eine Datenschutzverletzung liegt vor bei:

• Vernichtung: Unbeabsichtigter oder unrechtmäßiger Datenverlust

• Verlust: Daten sind nicht mehr verfügbar

• Veränderung: Unbefugte Manipulation von Daten

• Unbefugte Offenlegung: Zugriff durch unberechtigte Personen

• Unbefugter Zugang: Eindringen in Systeme

Beispiele:

• Hackerangriff auf Server

• Verlust von Datenträgern

• Versehentlicher E-Mail-Versand an falschen Empfänger

• Ransomware-Befall

• Unbefugter Mitarbeiterzugriff

• SQL-Injection oder andere Sicherheitslücken

• Hinweis: Bei Problemen mit Zahlungsdaten ist Stripe als Zahlungsdienstleister separat zu informieren

3. Organisationsstruktur

3.1 Incident Response Team

Teamleiter Datenschutz:

• Name: Georg Kitz

• Telefon: +43 720 317 836

• E-Mail: support@bessa.app

• Stellvertreter: Daniel Lichtenegger

Technischer Leiter:

• Name: Richard Marktl

• Verantwortlich für: Technische Eindämmung

Kommunikationsverantwortlicher:

• Name: Daniel Lichtenegger

• Verantwortlich für: Externe Kommunikation

3.2 Erreichbarkeit

• Telefon: +43 720 317 836

• E-Mail: support@bessa.app

4. Verfahrensschritte

PHASE 1: SOFORTMASSNAHMEN (0-4 Stunden)

1.1 Entdeckung und Erstbewertung

Wer: Jeder Mitarbeiter, der einen Vorfall entdeckt
Was:

• Sofortige Meldung an Incident Response Team

• Keine eigenmächtigen Aktionen

• Beweise sichern (Screenshots, Logs)

Meldungsinhalt:

• Zeitpunkt der Entdeckung

• Art des Vorfalls

• Betroffene Systeme/Daten

• Bereits eingetretene Schäden

• Erste Einschätzung des Umfangs

1.2 Eindämmung

Wer: Technischer Leiter
Was:

• [ ] Betroffene Systeme isolieren

• [ ] Zugänge sperren

• [ ] Weitere Ausbreitung verhindern

• [ ] Backup-Status prüfen

• [ ] Forensische Kopien erstellen

1.3 Erste Dokumentation

Wer: Teamleiter Datenschutz
Was: Dokumentation in Incident-Log:

• Zeitstempel aller Aktionen

• Beteiligte Personen

• Durchgeführte Maßnahmen

• Kommunikation

Kontakt für Vorfälle: support@bessa.app

PHASE 2: ANALYSE UND BEWERTUNG (4-24 Stunden)

2.1 Detailanalyse

Umfang bestimmen:

• [ ] Anzahl betroffener Datensätze

• [ ] Kategorien betroffener Personen

• [ ] Art der betroffenen Daten

• [ ] Sensitivität der Daten

• [ ] Zeitraum des unbefugten Zugriffs

Ursachenanalyse:

• [ ] Wie kam es zum Vorfall?

• [ ] Technisches Versagen?

• [ ] Menschliches Versagen?

• [ ] Böswillige Handlung?

2.2 Risikobewertung

Risikomatrix:

Hinweis:

• Da keine sensitiven Zahlungsdaten (Kreditkarten, Bankdaten) im bessa-System gespeichert werden, ist das Risiko bei Datenschutzverletzungen reduziert. Zahlungsdaten werden ausschließlich über Stripe verarbeitet.

• Hotellerie: Es werden keine Ausweis- oder Meldedaten in bessa verarbeitet, nur Abrechnungsdaten für Zusatzleistungen und ggf. Kundenbindungsdaten.

Entscheidungsbaum:

• Hohes Risiko → Meldung an Behörde UND Betroffene

• Mittleres Risiko → Meldung an Behörde, Betroffene nach Einzelfallprüfung

• Niedriges Risiko → Meldung an Behörde, i.d.R. keine Information Betroffener

PHASE 3: MELDUNG (24-72 Stunden)

3.1 Behördenmeldung (Art. 33 DSGVO)

Frist: Innerhalb von 72 Stunden nach Kenntnisnahme

An: Zuständige Datenschutzbehörde

• Österreich: datenschutzbehoerde@dsb.gv.at

• Deutschland: poststelle@bfdi.bund.de

Inhalt der Meldung:

1. Art der Verletzung

2. Kategorien und ungefähre Zahl der Betroffenen

3. Kategorien und ungefähre Zahl der Datensätze

4. Name/Kontakt des Datenschutzbeauftragten

5. Wahrscheinliche Folgen

6. Ergriffene/vorgeschlagene Maßnahmen

Vorlage: Siehe Anhang A

3.2 Information Betroffener (Art. 34 DSGVO)

Wann: Bei hohem Risiko für Rechte und Freiheiten

Ausnahmen von der Informationspflicht:

• Daten waren verschlüsselt

• Nachträgliche Maßnahmen eliminieren hohes Risiko

• Unverhältnismäßiger Aufwand (dann öffentliche Bekanntmachung)

Inhalt:

• Verständliche Beschreibung der Verletzung

• Kontaktdaten für weitere Informationen

• Wahrscheinliche Folgen

• Ergriffene Maßnahmen

• Empfehlungen für Betroffene

Kommunikationskanäle:

• Direkte E-Mail (bevorzugt)

• Brief

• Website-Mitteilung

• App-Notification

PHASE 4: WIEDERHERSTELLUNG (1-7 Tage)

4.1 Systembereinigung

• [ ] Schadsoftware entfernen

• [ ] Sicherheitslücken schließen

• [ ] Patches einspielen

• [ ] Passwörter zurücksetzen

4.2 Datenwiederherstellung

• [ ] Aus Backups wiederherstellen

• [ ] Integrität prüfen

• [ ] Funktionsfähigkeit testen

4.3 Wiederinbetriebnahme

• [ ] Schrittweise Aktivierung

• [ ] Verstärktes Monitoring

• [ ] Kommunikation an Nutzer

PHASE 5: NACHBEREITUNG (7-30 Tage)

5.1 Lessons Learned

Durchführung: Innerhalb von 2 Wochen nach Vorfall

Teilnehmer:

• Incident Response Team

• Betroffene Abteilungen

• Geschäftsführung

Agenda:

1. Zeitlicher Ablauf

2. Was lief gut?

3. Was lief schlecht?

4. Verbesserungsvorschläge

5. Maßnahmenplan

5.2 Dokumentation

Abschlussbericht enthält:

• Vollständige Chronologie

• Ursachenanalyse

• Auswirkungen

• Durchgeführte Maßnahmen

• Kosten

• Verbesserungsmaßnahmen

5.3 Präventionsmaßnahmen

• [ ] Sicherheitsrichtlinien aktualisieren

• [ ] Technische Maßnahmen verstärken

• [ ] Mitarbeiterschulungen

• [ ] Prozesse anpassen

5. Spezielle Szenarien

5.1 Ransomware-Angriff

1. Sofort: Netzwerk trennen

2. Backup-Integrität prüfen

3. Keine Lösegeldzahlung ohne Rechtsberatung

4. Strafanzeige erstatten

5. BSI/CERT kontaktieren

5.2 Datenleck durch Mitarbeiter

1. Zugriffsrechte sofort entziehen

2. Arbeitsrechtliche Schritte prüfen

3. Umfang der Kenntnisnahme ermitteln

4. Ggf. Strafanzeige

5.3 Verlust von Hardware

1. Remote-Wipe wenn möglich

2. Passwörter ändern

3. Verschlüsselungsstatus prüfen

4. Polizeimeldung bei Diebstahl

5.4 Fehlversand von E-Mails

1. Rückruf-Versuch

2. Empfänger um Löschung bitten

3. Vertraulichkeitsvereinbarung anfordern

4. Betroffene informieren

5.5 Hotellerie-spezifische Szenarien

Unbefugter Zugriff auf Abrechnungsdaten:

1. Sofort Zugriff sperren

2. Umfang der eingesehenen Daten ermitteln

3. Betroffene Hotels/Gäste informieren

4. Verstärkte Zugriffskontrollen implementieren

Fehlerhafte Zimmerzuordnung:

1. Korrektur in System vornehmen

2. Betroffene Rechnungen korrigieren

3. Interne Dokumentation

4. Prozesse überprüfen

5.6 Steuerberater-spezifische Szenarien

Unbefugter Zugriff durch Steuerberater/Buchhalter:

1. Sofort Zugriff sperren

2. Mandanten informieren

3. Umfang der eingesehenen Daten ermitteln

4. Dokumentation für Berufsaufsicht

5. Ggf. Meldung an Steuerberaterkammer

Kompromittierte Steuerberater-Zugangsdaten:

1. Sofortige Passwort-Zurücksetzung

2. Überprüfung aller Zugriffe

3. Information an betroffene Mandanten

4. Zwei-Faktor-Authentifizierung aktivieren

5. Sicherheitsschulung für Kanzlei

6. Kommunikationsplan

6.1 Interne Kommunikation

• Mitarbeiter: Über Intranet/E-Mail

• Händler: Sofortige Information per E-Mail

• Geschäftsführung: Persönliche Information

6.2 Externe Kommunikation

Kommunikationsmatrix:

6.3 Kommunikationsvorlagen

• Siehe Anhang B-E

7. Kontaktliste

Interne Kontakte

Externe Kontakte

8. Technische Hilfsmittel

8.1 Monitoring-Tools

• AWS CloudWatch

• Intrusion Detection System

• Log-Analyse-Tools

8.2 Dokumentationstools

• Incident-Tracking-System (Jira)

• Verschlüsselte Kommunikation

• Sichere Dokumentenablage

9. Schulung und Übungen

9.1 Schulungsplan

• Quartal 1: Allgemeine Sensibilisierung

• Quartal 2: Phishing-Simulation

• Quartal 3: Incident-Response-Übung

• Quartal 4: Lessons Learned Workshop

9.2 Übungsszenarien

• Tabletop-Übung (halbjährlich)

• Technische Simulation (jährlich)

• Kommunikationsübung (jährlich)

10. Wartung des Plans

• Review: Jährlich oder nach größeren Vorfällen

• Verantwortlich: Teamleiter Datenschutz

• Nächste Überprüfung: [Datum]

ANHÄNGE

Anhang A: Meldungsvorlage Datenschutzbehörde

Betreff: Meldung einer Datenschutzverletzung gemäß Art. 33 DSGVO

Sehr geehrte Damen und Herren,

hiermit melden wir eine Verletzung des Schutzes personenbezogener Daten:

1. Kontaktdaten des Verantwortlichen:

• meisterwork GmbH

• [Weitere Details]

2. Zeitpunkt und Art der Verletzung:

• Datum/Uhrzeit der Verletzung: [Datum]

• Datum/Uhrzeit der Kenntnisnahme: [Datum]

• Art: [Unbefugter Zugriff/Verlust/Vernichtung]

3. Betroffene Personen und Datenkategorien:

• Anzahl betroffener Personen: [ca. X]

• Kategorien: [Kunden/Mitarbeiter/etc.]

• Datenkategorien: [Name, E-Mail, etc.]

[Weitere Details gemäß Art. 33 DSGVO]

Anhang B: Informationsschreiben Betroffene

[Vorlage für Betroffeneninformation]

Anhang C: Interne Eskalationsmatrix

[Wer wird wann informiert]

Anhang D: Checklisten

[Detaillierte Checklisten für jede Phase]

Anhang E: Rechtliche Grundlagen

• DSGVO Art. 33 - Meldung an Aufsichtsbehörde

• DSGVO Art. 34 - Information Betroffener

• DSGVO Art. 32 - Sicherheit der Verarbeitung

Dokumentenhistorie:

Freigabe:
Geschäftsführung: _________________ Datum: _______