ART. 33, 34 DSGVO
Incident Response Plan
Verfahren zur Reaktion auf Datenschutzvorfälle und Sicherheitsereignisse mit gesetzlichen Meldefristen.
Verantwortlicher: Bastian Barkowski / Flowmatix · Gültig ab: 8. April 2026 · Version: 1.0 · Letzte Aktualisierung: 8. April 2026
Was ist das? Dieser Plan beschreibt die Reaktion auf Datenschutzvorfälle und Sicherheitsereignisse gemäß Art. 33 DSGVO (Meldung an die Aufsichtsbehörde) und Art. 34 DSGVO (Benachrichtigung der Betroffenen).
1. Was ist ein Datenschutzvorfall?
Ein Datenschutzvorfall ist gem. Art. 4 Nr. 12 DSGVO eine "Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt."
Beispiele:
- Unbefugter Zugriff auf das CRM (z.B. durch geknackte Zugangsdaten)
- Diebstahl oder Verlust eines Backup-Mediums
- Versehentliches Senden von Patientendaten an falschen Empfänger
- Hacker-Angriff auf den Server
- Ransomware-Befall
- Datenleck durch Subprocessor (z.B. Hetzner, 360dialog)
- Versehentliche Veröffentlichung interner Daten
2. Reaktionsprozess
Phase 1: Erkennung & Erstbewertung (T+0 bis T+1h)
- Vorfall wird gemeldet an security@flowmatix.io
- Verantwortlicher (Bastian Barkowski) wird umgehend informiert
- Erste Bewertung: Welche Daten sind betroffen? Welcher Umfang?
- Alle betroffenen Systeme werden vom Netz genommen oder isoliert
Phase 2: Eindämmung (T+1h bis T+24h)
- Beweise sichern (Logs, Snapshots)
- Angriffsvektor identifizieren und schließen
- Compromised Accounts deaktivieren
- Passwörter zurücksetzen
- Alle Subprocessoren informieren falls betroffen
Phase 3: Bewertung & Meldung (T+24h bis T+72h)
Risikoanalyse:
| Risiko | Folgen | Aktion |
|---|
| Kein Risiko für Betroffene | Keine Meldung erforderlich, Dokumentation intern | Internes Logging |
| Risiko für Betroffene | Meldung an Aufsichtsbehörde innerhalb 72h | Art. 33 DSGVO Meldung |
| Hohes Risiko für Betroffene | Zusätzlich: Betroffene unverzüglich benachrichtigen | Art. 33 + Art. 34 DSGVO |
Phase 4: Wiederherstellung (T+72h+)
- Systeme aus sauberem Backup wiederherstellen
- Sicherheitslücke schließen
- Monitoring verstärken
- Betroffene Patienten/Kliniken benachrichtigen
Phase 5: Nachbereitung
- Vollständiger Vorfallbericht (intern)
- Lessons Learned dokumentieren
- TOM überprüfen und ggf. anpassen
- Mitarbeiter schulen
3. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
Frist: 72 Stunden ab Kenntnisnahme
Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Telefon: +49 (0)511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web:
lfd.niedersachsen.de
Meldung enthält gemäß Art. 33 Abs. 3 DSGVO:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen
- Kategorien und ungefähre Anzahl der betroffenen Datensätze
- Name und Kontaktdaten des Verantwortlichen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen
4. Benachrichtigung der Betroffenen (Art. 34 DSGVO)
Bei hohem Risiko für Rechte und Freiheiten der Betroffenen erfolgt eine direkte Benachrichtigung:
- Per E-Mail (wenn vorhanden)
- Per Brief (wenn keine E-Mail)
- Falls beides nicht möglich: öffentliche Bekanntmachung
Die Benachrichtigung enthält die unter Art. 34 Abs. 2 DSGVO genannten Informationen.
5. Eskalationsmatrix
| Schweregrad | Beispiel | Eskalation |
|---|
| LOW | Falsch zugestellte E-Mail an einen Empfänger | Internes Logging |
| MEDIUM | Unbefugter Zugriff auf einzelne Patientendaten | Verantwortlicher informieren, Bewertung Art. 33 |
| HIGH | Massendatenleck, Ransomware | Sofort Verantwortlicher + Aufsichtsbehörde + ggf. Betroffene |
| CRITICAL | Verlust der Kontrolle über alle Patientendaten | Sofort alle Stakeholder, externe Hilfe (BSI, Anwalt) |
6. Übungen
Mindestens jährlich wird ein Tabletop-Test des Incident Response Plans durchgeführt. Die Ergebnisse fließen in die Verbesserung der TOM ein.
7. Kontakte