Reicht eine Meldung nach Art
Arbeitsweg
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.
Fokus: Reicht eine Meldung nach Art. 33 DSGVO bei der Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein. Behandelt: Zuständigkeit für Verantwortliche mit Hauptniederlassung in Bayern (nicht-öffentliche Stellen) und für nicht-öffentliche Stellen; Online-Formular und Postweg; Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur I bis VI; Sonderregelungen aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter); Eingangsbestätigung; Aktenzeichen; Nachmeldung. Output: einreichungsfertige Meldung als Fließtext mit Erläuterung der Eingabewege. Abgrenzung: keine Risikobewertung; keine Benachrichtigung Art. 34 DSGVO.
Meldung Art. 33 DSGVO an die BayLDA
Triage — kläre vor der Bearbeitung
- Ist die BayLDA tatsächlich zuständig (Sitzland, Lead Authority Art. 56 DSGVO)?
- Liegt ein nicht-öffentlicher oder öffentlicher Verantwortlicher vor?
- Welcher Eingabeweg ist vorgegeben (Online-Formular versus Post versus E-Mail)?
- Welche Sonderregelung aus BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter) ist zu beachten?
- Ist eine vorläufige Meldung sinnvoll und wann erfolgt die Nachmeldung?
- Was will der Mandant wirklich erreichen? (akzeptierte Erstmeldung in 72 h; keine Rückfragen)
Rechtsgrundlagen
- Art. 33 DSGVO Meldepflicht.
- Art. 55 DSGVO Zuständigkeit der Aufsichtsbehörde.
- BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter) landesrechtliche Sondervorschriften für öffentliche Stellen.
- Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.
Aktuelle Rechtsprechung
Nicht aus Modellwissen; aktuelle Bußgeldpraxis der BayLDA vor Ausgabe verifizieren.
Zentrale Normen
Art. 33; Art. 55; Art. 5 Abs. 2 DSGVO; BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter).
Behördenstammdaten BayLDA
- Name: Bayerisches Landesamt für Datenschutzaufsicht
- Anschrift: Promenade 18; 91522 Ansbach
- Kontakt: [email protected]; Telefon 0981 180093-0
- Online-Meldeformular: lda.bayern.de — Online-Meldeformular Datenpanne
- Sondernorm: BayDSG insbesondere für öffentliche Stellen (Aufsicht Bayerischer Landesbeauftragter)
- Bundesland: Bayern (nicht-öffentliche Stellen)
Hinweis: Adressen und URLs werden vor Versendung über die offizielle Behördenseite verifiziert; sie können sich ändern.
Berliner Struktur als Goldstandard
Die Meldeformular-Vorlage der Berliner Beauftragten für Datenschutz und Informationsfreiheit deckt strukturell alle Pflichtangaben nach Art. 33 Abs. 3 DSGVO ab und wird als inhaltliche Prüfliste verwendet. Die Meldung gliedert sich in sechs Bloecke:
I. Wo ist die Datenpanne passiert?
- Verantwortliche Stelle (Unternehmen, Verein, Praxis, Behörde) — Name, Anschrift, Webseite, Branche.
- Angaben zur meldenden Person — Name, Funktion, dienstliche E-Mail, Telefon.
II. Was ist passiert?
- Art der Datenpanne (Vertraulichkeit, Integritaet, Verfuegbarkeit; konkrete Kategorie).
- Beschreibung — was ist passiert; welche Fehler oder Sicherheitsluecken; welche technischen Systeme und Dienste.
- Auftragsverarbeiter beteiligt — falls ja Name und Anschrift.
- Beginn und Dauer der Datenpanne; ggf. fruehestmoeglichen Zeitpunkt.
- Datum der Kenntnisnahme (loest 72-Stunden-Frist aus).
- Betroffene Datenarten — Namen; Adressen; E-Mail-Adressen; Standort; Geburtsdatum; Passwoerter; Personalausweisnummer; Pass; Steuernummer; Bankdaten; wirtschaftliche Verhältnisse; Straftaten; politische Meinungen; religioese Ueberzeugungen; Gewerkschaftszugehoerigkeit; Gesundheit; Sexualitaet; ethnische Herkunft; Biometrie; Identifikationsnummern; Fotos/Videos; unbekannt.
- Art. 9 DSGVO-Daten ja/nein/nicht bekannt.
- Kategorien betroffener Personen — Mitarbeiter; Nutzer; Kunden; Patienten; Politiker; Kinder/Minderjaehrige; Personen öffentlichen Lebens; andere.
- Anzahl betroffener Personen (Obergrenze).
- Anzahl betroffener Datensaetze.
- Wahrscheinliche Folgen für Betroffene — Geheimnisoffenbarung; wirtschaftliche Nachteile; finanzieller Schaden; Blossstellung; Rufschaedigung; Verlust des Arbeitsplatzes; Existenzgefaehrdung; Lebensgefaehrdung; Diskriminierung; gesellschaftliche Nachteile; Identitaetsdiebstahl; Aufhebung Pseudonymisierung; andere.
III. Welche Gegenmassnahmen wurden ergriffen oder werden vorgeschlagen?
- Bereits eingeleitete und geplante Gegenmassnahmen zur Schadensminderung und zur kuenftigen Verhinderung.
- Vorbestehende technische und organisatorische Maßnahmen sowie Begruendung, weswegen sie nicht ausgereicht haben.
- Information der Betroffenen ja/nein; wie und wann; welche Empfehlungen; bei nein Begruendung zu Art. 34 DSGVO.
IV. Sonstige Mitteilungen an die Aufsichtsbehoerde
- Andere Behörden eingeschaltet (mit Aktenzeichen).
- Strafanzeige (Dienststelle, Aktenzeichen).
- Sonstige Hinweise.
V. Dokumente
- Forensischer Untersuchungsbericht.
- Auflistung der technischen und organisatorischen Maßnahmen.
- Muster Benachrichtigungsschreiben Art. 34 DSGVO.
- Schlüsselmaterial (PGP).
VI. Abschluss
- Vorlaeufige Meldung ja/nein; bei vorläufiger Meldung Ergaenzung binnen 14 Tagen.
Diese sechs Bloecke werden in jeder Behörden-spezifischen Meldung adressiert; die Reihenfolge kann je nach Formular variieren.
Praxisformulierung — Einreichungsablauf
- Erstmeldung über das Online-Formular oder per E-Mail an die unten genannte Adresse.
- Pflichtangaben in der Reihenfolge der Berliner Goldstandard-Struktur (Block I bis VI).
- Anlagen als PDF (forensischer Bericht; TOM-Liste; Muster Benachrichtigung).
- Bei Bedarf vorläufige Meldung mit Hinweis auf Nachreichung binnen 14 Tagen.
- Eingangsbestätigung archivieren; Aktenzeichen in das interne Vorfallregister übernehmen.
Abgrenzung zu anderen Skills
-
dsv-aufnahme-statusinformation bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
-
dsv-meldung-art-33-pflichtangaben deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
-
dsv-benachrichtigung-art-34-betroffene deckt die Benachrichtigung Betroffener ab.
-
dsv-bussgeldverteidigung-art-83 und dsv-schadensersatz-art-82 decken die anwaltliche Nachbearbeitung ab.
-
dsv-meldung-art-33-pflichtangaben liefert die generische Pflichtinhalte-Vorlage.
-
dsv-nachmeldung-aktualisierung-art-33-abs-4 deckt die Nachmeldung ab.