Datenpanne Revdsg 72h

T+1 bis T+4 h — Erstanalyse

• Was ist passiert? (Ereignis, Ursache)
• Welche Daten? (Kategorien, Betroffene-Anzahl)
• Wer hatte/hat Zugriff?
• Wo waren die Daten?
• Zeitraum der Exposition
• Hohes Risiko für Betroffene? (Sensibilität, Umfang, Identifizier- barkeit, Sonderkategorien Art. 5 lit. c)

T+4 bis T+24 h — Bewertung + Gegenmassnahmen

• Technische Massnahmen (Patch, Rotation, Revoke)
• Organisatorische Massnahmen (Schulung, Prozessänderung)
• Beweise sichern (Logs!)
• Externe Hilfe? (Forensik, Anwalt, Versicherer)
• Meldung an Versicherung (Cyber-Police)

T+24 bis T+72 h — EDÖB-Meldung

Meldung an EDÖB (via Online-Formular) wenn hohes Risiko:

• Ereignis, Ursache, Zeitpunkt
• Kategorien + Anzahl Betroffene
• Kategorien + Anzahl Daten
• Folgen
• Getroffene / geplante Massnahmen
• Kontaktstelle (DSB intern)

Nicht meldepflichtig: geringes Risiko (aber intern dokumentieren).

T+72 h — Meldung an Betroffene (wenn erforderlich)

Art. 24 Abs. 2 revDSG: Information wenn zum Schutz der Betroffenen erforderlich oder wenn EDÖB es verlangt.

• Klar, einfach
• Welche Daten betroffen
• Welche Folgen möglich
• Was sollen Betroffene tun (Passwort ändern, etc.)
• Kontaktstelle
• Was wurde unternommen

T+72 h bis T+30d — Nachbereitung

• Root Cause Analyse
• Prozess-Anpassungen
• Schulung
• IKS-Kontrolle ergänzen
• Lessons Learned

Regeln

• Dokumentation vollständig — Art. 24 Abs. 5 revDSG: Pflicht auch ohne Meldung (interne Liste aller Datenpannen!)
• Keine Vertuschung — Strafdrohung!
• Keine vorschnelle Kommunikation — Fakten vor PR
• Kooperation mit EDÖB — zügig, vollständig
• Strafrechtlicher Aspekt: bei Hacking-Verdacht Polizei + CLO

Output

• dms://compliance/incidents/{yyyy-mm-dd}-{id}/:
  • timeline.md (exakte Zeiten)
  • analysis.md
  • edoeb-meldung.pdf (falls)
  • betroffene-info.pdf (falls)
  • rca.md
  • evidence/ (Logs, Screenshots — nicht veränderbar)

Referenzen

• revDSG Art. 24 (Meldepflicht)
• revDSG Art. 5 lit. h (Verletzung Datensicherheit)
• VDSG zu TOM
• EDÖB-Leitfaden „Meldung Datensicherheits-Verletzungen"