_________________________ (Adresse)
Sehr geehrte/r Herr/Frau _________________________,
vielen Dank für die Anfrage. Der von Ihnen beschriebene Vorfall dürfte nach vorläufiger Einschätzung und vorbehaltlich der abschließenden Prüfung eine sog. Verletzung des Schutzes personenbezogener Daten (auch "Data Breach" genannt) darstellen, der eine Meldepflicht an die zuständige Aufsichtsbehörde auslöst.
Es ist wichtig, dass wir einen zeitnahen Termin zur Besprechung des Vorfalls und des weiteren Vorgehens vereinbaren, da das Gesetz eine unverzügliche Meldung, spätestens aber binnen 72 Stunden nach Bekanntwerden des Vorfalls, verlangt. Bis dahin muss muss der Sachverhalt so aufbereitet sein, dass die Frage einer Meldepflicht beantwortet werden und eine Meldung erfolgen kann. Soweit dies nicht vollständig möglich ist, muss jedenfalls ein ausreichendes Maß an Dokumentation vorhanden sein, damit eine sog. Vorabmeldung durchgeführt und die weiteren Sachverhaltselemente unverzüglich nachträglich gemeldet werden können.
Mit dieser E-Mail möchte ich daher nur in der gebotenen Kürze einerseits auf die Eilbedürftigkeit dieser Thematik hinweisen und Sie andererseits bitten, die notwendigen Vorbereitungen für den Termin zu treffen, damit die Meldung innerhalb der knapp bemessenen Frist erledigt werden kann.
Zunächst ist es wichtig, ein möglichst genaues chronologische Protokoll der Ereignisse zu erstellen, das auch alle involvierten Personen aufführt, mit denen im Zweifel Rücksprache gehalten werden kann. In dem Protokoll ist außerdem deutlich zu machen, wann in Ihrem Unternehmen bei welchen Personen Kenntnis von dem möglichen Data Breach erlangt wurde. Außerdem muss daraus hervorgehen, welche Auswirkungen der Data Breach hatte, insbesondere wie viele Datensätze und Personen betroffen sind, um welche Datenkategorien es sich handelt und ob hierunter (auch) besonders sensible Daten (z.B. Gesundheitsdaten, Bankdaten) fallen. Bitte lassen Sie mir dieses Protokoll rechtzeitig vor unserer Besprechung zukommen und fügen Sie gegebenenfalls dazugehörige Unterlagen (z.B. Screenshots, E-Mails etc.) bei. Direkt involvierte Schlüsselpersonen sollten bestenfalls zum Zeitpunkt unseres Termins verfügbar sein, damit wir sie gegebenenfalls kurzfristig hinzuziehen können.
[Optional, wenn aus der Mandatsanfrage hervorgeht, dass eine IT-Schwachstelle für den Data Breach ganz oder teilweise ursächlich gewesen sein könnte (z.B. bei Malware- und sog. Ransomware-Attacken): Nach Ihren Schilderungen könnte eine Schwachstelle oder Fehlkonfiguration der Unternehmens-EDV (z.B. Firewall, Antiviren-Software, Zugriffsrechte) für den Vorfall mitursächlich gewesen sein. In solchen Fällen ist es aus hiesiger Sicht ratsam, unverzüglich einen IT-Notdienst, der in der IT-forensischen Sicherung und Begutachtung versiert ist, hinzuzuziehen, wenn Sie dieses Know-how nicht durch entsprechende Beschäftigte abbilden können. Die etwaigen EDV-seitigen Ursachen und die etwaig daraus resultierenden Maßnahmen zur Behebung müssen für die Aufsichtsbehörde dokumentiert werden.]
Im Gespräch oder unmittelbar danach kann die finale Bewertung, ob es sich um einen meldepflichtigen Vorfall handelt, vorgenommen und die Meldung als solche (soweit möglich) vorbereitet werden. Falls Sie zur Zusammenstellung der Dokumentation noch Rückfragen haben, rufen Sie mich gerne an. Ansonsten bitte ich Sie, einen Gesprächstermin vor Ort oder z.B. per Videokonferenz kurzfristig mit meinem Sekretariat abzustimmen.
Mit freundlichen Grüßen
_________________________
(Rechtsanwalt)