Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Anlage 5 zum AVV · Formblatt 3 TDP

Meldebogen Sicherheitsvorfall

Standardisierte Vorlage zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) gemäß § 4 Nr. 4 des AVV. Entspricht Formblatt 3 der Verhaltensregel Trusted Data Processor (DSZ, Art. 41 DSGVO).

Kontaktstelle für Sicherheitsvorfälle

E-Mail
sicherheit@a7.de (transportverschlüsselt, PGP verfügbar)
PGP-Key
https://a7.de/.well-known/pgp-publickey.txt
security.txt
https://a7.de/.well-known/security.txt (RFC 9116)
Erreichbarkeit
Während Zeiten der Leistungserbringung; Initial-Alert innerhalb 2 Stunden, formale Meldung innerhalb 24 Stunden ab Kenntnis (Art. 33 Abs. 1 DSGVO)

Pflichtangaben im Meldebogen

Bei der Meldung eines Sicherheitsvorfalls werden gegenüber dem Auftraggeber mindestens die folgenden Angaben übermittelt. Sind einzelne Angaben beim Erstkontakt noch nicht abschließend bekannt, wird der Zeitpunkt genannt, ab dem sie vorliegen werden; die Meldung erfolgt dann zunächst als vorläufige Meldung.

  1. 1. Kurzbeschreibung des Vorfalls (Stichworte)
  2. 2. Ausführliche Beschreibung des Vorfalls
  3. 3. Darstellung der möglichen Ursache
  4. 4. Mögliche Folgen für die betroffenen Personen unter Angabe der erwarteten Wahrscheinlichkeiten
  5. 5. Vollständige Auflistung der betroffenen Datenarten (falls noch nicht abschließend: Zeitpunkt nennen, ab dem dies bekannt sein wird)
  6. 6. Anzahl betroffener Datensätze getrennt nach Kategorien der Personengruppen
  7. 7. Anzahl betroffener Personen getrennt nach Kategorien der Personengruppen
  8. 8. Ergriffene Maßnahmen zur Schadenseindämmung
  9. 9. Empfohlene Maßnahmen für Verantwortlichen oder Betroffene zur Schadensminderung
  10. 10. Ergriffene und geplante Maßnahmen zur Wiederholungs-Vermeidung
  11. 11. Datum und Uhrzeit der erstmaligen Kenntnisnahme bei AWARE7 oder beim Unterauftragsverarbeiter
  12. 12. Art der Meldung: ☐ abschließend · ☐ vorläufig (Folgemeldung erwartet am ______)
  13. 13. Kontaktdaten der AWARE7-Kontaktstelle für Rückfragen

Ablauf einer Meldung

  1. Initial-Alert (≤ 2 h ab Kenntnis): Telefonische oder E-Mail-Benachrichtigung an die vom Verantwortlichen benannte Kontaktadresse mit den vorläufig bekannten Kernangaben (Kurzbeschreibung, erwartete Schwere, erster Zeitrahmen).
  2. Formale Meldung (≤ 24 h ab Kenntnis): Vollständiger Meldebogen gemäß den 13 Pflichtangaben, übermittelt transportverschlüsselt (PGP oder verschlüsselter Upload).
  3. Folgemeldung: Bei vorläufigen Erstmeldungen Übersendung der abschließenden Fassung, sobald Fakten vollständig ermittelt sind. Das ursprünglich genannte Fälligkeitsdatum wird eingehalten oder aktiv neu kommuniziert.
  4. Bearbeitung: Die AWARE7-Kontaktstelle fungiert als zentraler Ansprechpartner für Rückfragen, Eskalationen und die Koordination etwaiger Maßnahmen (z. B. Nachweise für die Meldung an die Datenschutzaufsicht nach Art. 33 DSGVO oder an Betroffene nach Art. 34 DSGVO).
  5. NIS2- oder DORA-Auftraggeber: Auf Verlangen wird der Initial-Alert innerhalb von 4 Stunden zugesichert, um der regulatorischen Meldekette des Verantwortlichen gerecht zu werden.

Download-Vorlagen

Eine ausfüllbare Vorlage des Meldebogens wird Auftraggebern auf Anforderung zugesandt. Die Vorlage orientiert sich wortgleich an Formblatt 3 der Verhaltensregel Trusted Data Processor. Anforderung über sicherheit@a7.de.

Version 1.0 · Stand 15. April 2026 · Bestandteil des AVV V2.1. Diese Anlage wird aktualisiert, wenn sich die Anforderungen der Verhaltensregel Trusted Data Processor aendern.