Mitgliederverwaltung Mitgliederverwaltung – Dokumentation

Datenschutz

Runbook für Datenpannen (Anbieter)

Diese Seite richtet sich an den Anbieter (Super-Admin) der Mitgliederverwaltung. Sie ergänzt die rechtliche Übersicht in Datenpanne (Art. 33/34) um den operativen Ablauf.

#Phase 1 — Erkennung (T0)

Mögliche Auslöser: Sentry-Alert über Cross-Tenant-Leak, Bericht eines Vereins, eigener Audit-Befund, externer Hinweis.

  1. Vorfall sofort als „T0" markieren (Zeitstempel der ersten Kenntnisnahme – die 72-Stunden-Uhr läuft).
  2. Im Super-Admin-Bereich /super/breaches einen neuen Vorfall anlegen, Status: Draft.
  3. Sicherheitsrelevante Logs/Snapshots sichern, bevor Aufräumarbeiten beginnen.

#Phase 2 — Eindämmung (T0 + 1 h)

  1. Sofortmaßnahmen umsetzen (Abschalten betroffener Endpoints, Token rotieren, Sessions invalidieren, Daten zurückrollen).
  2. Den Vorfall im Wizard mit den ergriffenen Maßnahmen anreichern.
  3. Bei Bedarf Hosting-Provider (Hetzner) und ggf. den DSB einbeziehen.

#Phase 3 — Bewertung (T0 + 6 h)

Beurteilung in vier Achsen:

  • Welche Daten? (Stammdaten / Bankverbindung / Sondergesicherte / nur Pseudonyme)
  • Wie viele Personen? (Schätzung)
  • Welche Folgen sind realistisch? (z. B. Identitätsdiebstahl, finanzieller Schaden, Reputation)
  • Welche Mandanten sind betroffen?

Basierend darauf: Niedriges Risiko → keine Information der Betroffenen, aber dokumentieren. Hohes Risiko → Information nach Art. 34.

#Phase 4 — Meldung an die Aufsichtsbehörde (T0 + ≤ 72 h)

Lead-Aufsichtsbehörde des Anbieters: Berliner Beauftragte für Datenschutz und Informationsfreiheit. Meldeformular: https://www.datenschutz-berlin.de.

Pflichtangaben nach Art. 33 Abs. 3:

  • Art der Verletzung
  • Kategorien & ungefähre Anzahl betroffener Personen
  • Kategorien & ungefähre Anzahl betroffener Datensätze
  • Voraussichtliche Folgen
  • Ergriffene oder vorgeschlagene Maßnahmen

Diese Angaben werden im Wizard erfasst und stehen anschließend als PDF-Export bereit (für die Anlage zur Behörden-Meldung).

#Phase 5 — Information der Vereine

Nach Freigabe wird der Versand-Job ausgelöst. Pro betroffenem Verein:

  1. Eine E-Mail an die DpoContact-Adresse mit allen Art.-33-Feldern (Anhang: PDF).
  2. Ein Datenpannen-Banner auf dem Dashboard.
  3. Ein Status-Eintrag in der Verein-Detailansicht (für die Akte des Vereins).

#Phase 6 — Information der Betroffenen (nur bei hohem Risiko)

Wenn die Bewertung „hohes Risiko" ergibt, muss auch das einzelne Mitglied informiert werden (Art. 34). In der Regel macht das der Verein als Verantwortlicher; der Anbieter unterstützt mit Mustertexten und einer Liste der konkret betroffenen Mitglieder pro Verein.

#Phase 7 — Abschluss

  1. Nachbetrachtung dokumentieren (Was war die Ursache? Was ändern wir?).
  2. Vorfall im Wizard auf Closed setzen – das friert die finalen Daten ein und macht den Eintrag revisionsfest.
  3. Lessons learned in das interne Sicherheitskonzept übernehmen.