DSGVO · Art. 33-34 · Aufsichtsbehörde

Datenschutzverletzungs-Meldung: was in 72 Stunden zu tun ist.

Eine Verletzung personenbezogener Daten muss der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden (DSGVO Art. 33). Anwaltskanzleien decken die Pflicht ab; fast niemand deckt den technischen Teil ab: zu verstehen, was wirklich exfiltriert wurde, und die Beweise zu sammeln. Diesen Teil deckt Fortgale ab.

72hMeldung an die Behörde
Art. 33-34DSGVO · betroffene Personen
10 Mio. EURSanktion · oder 2% Umsatz
Compliance
DSGVO · Art. 33-34
Aufsichtsbehörde
ISO/IEC 27001
Forensik-Standards
MITRE ATT&CK
NIST IR
Chain of Custody
Datenschutzverletzung ≠ NIS2-Vorfall

Zwei getrennte Pflichten, oft gleichzeitig.

Dieselbe Verletzung kann zwei verschiedene Meldungen auslösen, an verschiedene Behörden, mit verschiedenen Fristen. Sie zu verwechseln ist ein Risiko.

DSGVO ·

Behörde · personenbezogene Daten

Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33), Benachrichtigung der betroffenen Personen bei hohem Risiko (Art. 34), Verzeichnis der Verletzungen. Pflicht des Verantwortlichen.

NIS2 ·

CSIRT · Cyber-Vorfall

Für wesentliche und wichtige Einrichtungen: Frühwarnung 24 Stunden an das nationale CSIRT. Siehe NIS2 erklärt.

Gemeinsam ·

Wenn beide zutreffen

Ein Ransomware-Angriff mit Exfiltration personenbezogener Daten löst typischerweise sowohl das CSIRT als auch die Aufsichtsbehörde aus. Sie müssen parallel behandelt werden.

Der Teil, den Kanzleien nicht abdecken

Eine Meldung ist nur so gut wie die Beweise dahinter.

Die Behörde fragt nach der Art der Verletzung, den betroffenen Daten und Personen, den Folgen und den getroffenen Maßnahmen. All das stammt aus technisch-forensischer Arbeit, nicht aus rechtlicher Arbeit.

01 ·

Welche Daten exfiltriert

Forensische Analyse von Logs, Verkehr und Artefakten, um das, was herauskopiert wurde, von dem zu unterscheiden, was nur verschlüsselt oder aufgerufen wurde. Die faktische Grundlage der Meldung.

02 ·

Beweise für die Meldung

Sammlung und Sicherung von Beweisen, Angriffs-Timeline, IOCs, betroffener Perimeter: das Material, das die Meldung präzise und belastbar macht.

Realer Fall · feststellen, was exfiltriert wurde

In Operation Storming Tide rekonstruierte das Fortgale-Team die mehrstufige Kette und blockierte die RClone-Exfiltration: festzustellen, was tatsächlich herausgeholt wurde, ist genau das, was eine präzise Meldung braucht.

Zur Analyse →

Kunden in 22 Ländern auf 3 Kontinenten →

FAQ · Datenschutzverletzungs-Meldung

Die Fragen zur Meldung.

Unterschied zwischen Meldung an die Behörde und an das CSIRT?

Zwei getrennte Pflichten: Aufsichtsbehörde (DSGVO Art. 33, personenbezogene Daten, 72h) und nationales CSIRT (NIS2, Cyber-Vorfall, Frühwarnung 24h). Ein Ransomware-Fall mit Exfiltration personenbezogener Daten kann beide auslösen. Siehe NIS2 erklärt.

Innerhalb welcher Frist muss die Verletzung gemeldet werden?

Innerhalb von 72 Stunden nach Bekanntwerden (Art. 33). Ist das Risiko für die betroffenen Personen hoch, müssen auch sie informiert werden (Art. 34). Jede Verletzung muss im Verzeichnis der Verletzungen erfasst werden.

Was macht Fortgale und was der DSB oder Rechtsbeistand?

Fortgale deckt den technisch-forensischen Teil ab: was geschah, welche Daten exfiltriert, Beweise, Eindämmung. Die rechtliche Bewertung und der Akt der Meldung verbleiben beim Verantwortlichen und beim DSB oder Rechtsbeistand.

Wie stellt man fest, was exfiltriert wurde?

Mit forensischer Analyse von Logs, Netzwerkverkehr und Artefakten: Man rekonstruiert, was der Angreifer tatsächlich herauskopiert hat, und unterscheidet es von dem, was nur verschlüsselt wurde. Es ist die Grundlage einer belastbaren Meldung.

Welche Sanktionen bei Nichtmeldung?

Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Eine rechtzeitige Meldung, gestützt auf solide technische Beweise, ist auch eine Form des Schutzes bei der Bewertung durch die Behörde.

Haben Sie eine Datenschutzverletzung im Gang?

Die richtige Meldung entsteht aus soliden Beweisen.

Sprechen Sie mit unseren Analysten: Wir stellen fest, was exfiltriert wurde, sammeln die Beweise für die Meldung an die Aufsichtsbehörde und dämmen den Vorfall ein. Die rechtliche Bewertung verbleibt bei Ihrem DSB oder Rechtsbeistand, wir liefern die technische Grundlage.

Antwortzeit: < 1 Werktag.