Datenpannen-Meldeverfahren

Eine Datenpanne im Sinne der DSGVO liegt vor, wenn personenbezogene Daten infolge einer Sicherheitsverletzung

• unrechtmäßig offengelegt oder einem Dritten zugänglich gemacht werden,
• verloren gehen, vernichtet werden oder unzugänglich werden, oder
• unautorisiert verändert werden.

Beispiele aus dem konkreten Kontext der Software: ein offengelegter API-Schlüssel mit Zugriff auf Mandanten-Daten, ein Bug, der mandantenfremde Daten in einer Antwort ausgespielt hätte, ein verlorenes Backup-Medium, ein erfolgreich genutzter Phishing-Versuch gegen einen Master-Administrator.

Mögliche Erkennungspfade:

• Sentry-Alarm bei ungewöhnlichem Anstieg der Fehlerrate oder bei einem als security-relevant markierten Stack-Trace.
• Auffälligkeiten im Audit-Log (gehäufte Fehlversuche, ungewöhnliche IP, Zugriffe auf fremde Mandanten).
• Meldungen eines Sub-Auftragsverarbeiters (Vercel, Supabase, Cloudflare R2, Anthropic, Resend, Postmark) gemäß § 33 DSGVO.
• Meldungen eines Mandanten oder eines betroffenen Mieters/Eigentümers.
• Externe Meldung (Sicherheitsforscher, Bug-Bounty, Aufsichtsbehörde).

Sobald eine Beobachtung den Verdacht einer Datenpanne begründet, wird sie unverzüglich an die Ilya Piontek als verantwortliche Person für Datenschutz beim Auftragnehmer gemeldet. Diese:

• bewertet, ob personenbezogene Daten betroffen sind,
• bestimmt den Umfang (welche Mandanten, welche Datenkategorien, wie viele Betroffene),
• klassifiziert das Risiko für die Rechte und Freiheiten der Betroffenen (gering / wahrscheinlich / hoch — Art. 33 Abs. 1, Art. 34 Abs. 1 DSGVO),
• startet die internen Sofortmaßnahmen (Token-Rotation, Konto-Sperrung, Abdichten der Lücke, ggf. Restore aus Backup),
• dokumentiert die Beobachtung im internen Vorfall-Register (Art. 33 Abs. 5 DSGVO — Rechenschaftspflicht).

Sobald uns eine Datenpanne bekannt wird, die Daten eines Mandanten betrifft, informieren wir den betroffenen Mandant unverzüglich, in der Regel innerhalb von 24 Stunden. Die Meldung erfolgt schriftlich an die im Mandant-Konto hinterlegte E-Mail-Adresse des Mandant-Administrators und enthält mindestens:

• Beschreibung der Art der Datenpanne,
• betroffene Datenkategorien und ungefähre Anzahl der betroffenen Datensätze,
• wahrscheinliche Folgen,
• ergriffene oder vorgeschlagene Maßnahmen zur Abhilfe,
• Kontaktdaten der Person, die weitere Auskünfte erteilen kann.

Diese Information versetzt den Mandanten in die Lage, seinerseits seinen Pflichten aus Art. 33 Abs. 1 DSGVO (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) und Art. 34 DSGVO (Benachrichtigung der Betroffenen, falls erforderlich) nachzukommen.

Soweit die Datenpanne Verarbeitungstätigkeiten betrifft, in denen der Auftragnehmer selbst als Verantwortlicher agiert (siehe VVT Teil A — Konto-, Authentisierungs- und Vertragsdaten der Mandanten), gilt zusätzlich:

• Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis (Art. 33 Abs. 1 DSGVO), sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
• Direkte Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko besteht (Art. 34 Abs. 1 DSGVO), in klarer und einfacher Sprache, unter Beachtung der Ausnahmen des Art. 34 Abs. 3 DSGVO.

Zuständige Aufsichtsbehörde am Sitz des Auftragnehmers ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Jede Datenpanne wird im internen Vorfall-Register vollständig dokumentiert (Art. 33 Abs. 5 DSGVO — Rechenschaftspflicht), unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erforderlich war. Das Register enthält:

• Zeitachse: Erkennung → Klassifizierung → Meldung an Mandant → Behebung,
• betroffene Mandanten, Datenkategorien und ggf. Anzahl der Betroffenen,
• technische Ursache (Bug, Konfigurationsfehler, externer Angriff, …),
• ergriffene Sofort- und nachhaltige Maßnahmen,
• Anpassungen am TOM-Dokument, falls sich strukturelle Lücken zeigen.

Stand des Verfahrens: 2026-05-08. Wesentliche Änderungen werden in derselben Pull-Request umgesetzt, in der das Verfahren angepasst wird, und im Audit-Log sichtbar.