Datenschutz
Verhalten bei einer Datenpanne (Art. 33/34)
Eine Datenpanne („Verletzung des Schutzes personenbezogener Daten") liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig offengelegt, verändert, vernichtet oder zugänglich gemacht wurden. Beispiele: ein verlorenes USB-Stick mit Mitgliederliste, ein versehentlicher CC-Verteiler bei einer Massen-Mail, ein gestohlenes Vorstand-Notebook.
#Pflichten des Verantwortlichen
| Frist | Pflicht | Wann |
|---|---|---|
| 72 Stunden | Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) | Sobald die Verletzung „dem Verantwortlichen bekannt wird" |
| Unverzüglich | Information der Betroffenen (Art. 34 DSGVO) | Wenn ein hohes Risiko für die Rechte der Betroffenen besteht |
| Dauerhaft | Dokumentation auch interner Vorfälle | Auch wenn keine Meldepflicht besteht |
#Wenn der Anbieter eine Panne in der Plattform feststellt
Wir (der SaaS-Betreiber) nutzen einen 4-Schritt-Wizard im Super-Admin-Bereich:
- Vorfall erfassen – Typ, Schweregrad, betroffene Datenkategorien, Personenkategorien, wahrscheinliche Folgen, ergriffene Sofortmaßnahmen.
- Vereine auswählen – welche Mandanten von der Panne betroffen sind.
- Vorschau & Sendelogik – die Pflichtangaben nach Art. 33 Abs. 3 werden in einer E-Mail an den Datenschutz-Kontakt des jeweiligen Vereins gebündelt; PDF-Anhang inklusive.
- Versand – per Knopfdruck. Die Sendung läuft als Job mit Wiederholungs- und Skip-Logik.
Im jeweiligen Verein erscheint ein Datenpannen-Banner auf dem Dashboard, das jedes Vorstandsmitglied einzeln quittieren muss.
#Wenn der Verein eine Panne intern feststellt
Auch eine Panne, die nichts mit der Plattform zu tun hat (z. B. Diebstahl eines Vereins-Notebooks), gehört dokumentiert. In den Vereinseinstellungen gibt es dafür einen Eintrag „Eigene Vorfälle" – mit denselben Pflichtfeldern, aber ohne Versand-Logik. Die Meldung an die Aufsichtsbehörde erfolgt außerhalb der App durch den Vorstand oder die/den DSB.
#Datenschutz-Kontakt pflegen
Damit eine eingehende Panne den richtigen Empfänger erreicht, muss jeder Verein in den Vereinseinstellungen einen DPO-Kontakt hinterlegen (Name, E-Mail, optional Telefon, optional Adresse). Solange das Feld leer ist, fällt der Versand auf die hinterlegte Vereins-Admin-E-Mail zurück.
#Siehe auch
- Aufsichtsbehörden in Deutschland – wo die Meldung nach Art. 33 hin muss
- Runbook für Datenpannen – die operative Sicht des Anbieters