Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Anlage 5 zum AVV · Formblatt 3 TDP

Meldebogen Sicherheitsvorfall

Standardisierte Vorlage zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) gemaess § 4 Nr. 4 des AVV. Entspricht Formblatt 3 der Verhaltensregel Trusted Data Processor (DSZ, Art. 41 DSGVO).

Kontaktstelle fuer Sicherheitsvorfaelle

E-Mail
sicherheit@a7.de (transportverschluesselt, PGP verfuegbar)
PGP-Key
https://a7.de/.well-known/pgp-publickey.txt
security.txt
https://a7.de/.well-known/security.txt (RFC 9116)
Erreichbarkeit
Waehrend Zeiten der Leistungserbringung; Initial-Alert innerhalb 2 Stunden, formale Meldung innerhalb 24 Stunden ab Kenntnis (Art. 33 Abs. 1 DSGVO)

Pflichtangaben im Meldebogen

Bei der Meldung eines Sicherheitsvorfalls werden gegenueber dem Auftraggeber mindestens die folgenden Angaben uebermittelt. Sind einzelne Angaben beim Erstkontakt noch nicht abschliessend bekannt, wird der Zeitpunkt genannt, ab dem sie vorliegen werden; die Meldung erfolgt dann zunaechst als vorlaeufige Meldung.

  1. 1. Kurzbeschreibung des Vorfalls (Stichworte)
  2. 2. Ausfuehrliche Beschreibung des Vorfalls
  3. 3. Darstellung der moeglichen Ursache
  4. 4. Moegliche Folgen fuer die betroffenen Personen unter Angabe der erwarteten Wahrscheinlichkeiten
  5. 5. Vollstaendige Auflistung der betroffenen Datenarten (falls noch nicht abschliessend: Zeitpunkt nennen, ab dem dies bekannt sein wird)
  6. 6. Anzahl betroffener Datensaetze getrennt nach Kategorien der Personengruppen
  7. 7. Anzahl betroffener Personen getrennt nach Kategorien der Personengruppen
  8. 8. Ergriffene Massnahmen zur Schadenseindaemmung
  9. 9. Empfohlene Massnahmen fuer Verantwortlichen oder Betroffene zur Schadensminderung
  10. 10. Ergriffene und geplante Massnahmen zur Wiederholungs-Vermeidung
  11. 11. Datum und Uhrzeit der erstmaligen Kenntnisnahme bei AWARE7 oder beim Unterauftragsverarbeiter
  12. 12. Art der Meldung: ☐ abschliessend · ☐ vorlaeufig (Folgemeldung erwartet am ______)
  13. 13. Kontaktdaten der AWARE7-Kontaktstelle fuer Rueckfragen

Ablauf einer Meldung

  1. Initial-Alert (≤ 2 h ab Kenntnis): Telefonische oder E-Mail-Benachrichtigung an die vom Verantwortlichen benannte Kontaktadresse mit den vorlaeufig bekannten Kernangaben (Kurzbeschreibung, erwartete Schwere, erster Zeitrahmen).
  2. Formale Meldung (≤ 24 h ab Kenntnis): Vollstaendiger Meldebogen gemaess den 13 Pflichtangaben, uebermittelt transportverschluesselt (PGP oder verschluesselter Upload).
  3. Folgemeldung: Bei vorlaeufigen Erstmeldungen Uebersendung der abschliessenden Fassung, sobald Fakten vollstaendig ermittelt sind. Das urspruenglich genannte Faellungsdatum wird eingehalten oder aktiv neu kommuniziert.
  4. Bearbeitung: Die AWARE7-Kontaktstelle fungiert als zentraler Ansprechpartner fuer Rueckfragen, Eskalationen und die Koordination etwaiger Massnahmen (z. B. Nachweise fuer die Meldung an die Datenschutzaufsicht nach Art. 33 DSGVO oder an Betroffene nach Art. 34 DSGVO).
  5. NIS2- oder DORA-Auftraggeber: Auf Verlangen wird der Initial-Alert innerhalb von 4 Stunden zugesichert, um der regulatorischen Meldekette des Verantwortlichen gerecht zu werden.

Download-Vorlagen

Eine ausfuellbare Vorlage des Meldebogens wird Auftraggebern auf Anforderung zugesandt. Die Vorlage orientiert sich wortgleich an Formblatt 3 der Verhaltensregel Trusted Data Processor. Anforderung ueber sicherheit@a7.de.

Version 1.0 · Stand 15. April 2026 · Bestandteil des AVV V2.1. Diese Anlage wird aktualisiert, wenn sich die Anforderungen der Verhaltensregel Trusted Data Processor aendern.