Datenpanne nach Art. 33 DSGVO melden: Betroffenendaten in der Meldung anonymisieren – DSGVO-konform anonymisieren (Art. 33 DSGVO)
Bei einer Verletzung des Schutzes personenbezogener Daten verlangt Art. 33 DSGVO die Meldung an die Aufsichtsbehörde binnen 72 Stunden; weil Meldeentwürfe und forensische Anhänge die Daten der betroffenen Personen enthalten, pseudonymisiert anonym.legal diese PII, damit der Vorfall intern abgestimmt und dokumentiert werden kann, ohne den Personenbezug breit zu streuen.
When this applies
Ihr Unternehmen stellt eine Verletzung des Schutzes personenbezogener Daten fest und muss die Meldung an die zuständige Aufsichtsbehörde vorbereiten. Art. 33 Abs. 1 DSGVO verlangt die Meldung möglichst binnen 72 Stunden nach Bekanntwerden, sofern die Verletzung nicht voraussichtlich zu keinem Risiko führt. In der knappen Reaktionsphase werden Meldeentwurf, forensische Auswertungen und Listen der betroffenen Datensätze parallel zwischen IT, Datenschutz und Geschäftsleitung abgestimmt. Weil diese Unterlagen die PII der betroffenen Personen enthalten, entsteht der Bedarf, den Personenbezug zu schützen, ohne die für die Behörde maßgebliche Sachbeschreibung des Vorfalls zu schmälern.
How anonym.legal handles it
- Meldeentwurf, betroffene Datensätze und forensische Logs werden im Originalformat eingelesen, ohne deren Struktur zu verändern.
- Die Engine durchsucht die Unterlagen und erkennt Namen, Konto- und Kontaktdaten, Kennungen und weitere PII der betroffenen Personen aus über 285 unterstützten Entitätstypen.
- Diese Personendaten werden konsistent pseudonymisiert, sodass dieselbe betroffene Person über Entwurf und Anhänge hinweg eindeutig zuordenbar bleibt.
- Art, Umfang, Ursache und Zeitpunkt des Vorfalls bleiben im Klartext erhalten, damit die meldepflichtigen Angaben nach Art. 33 Abs. 3 DSGVO unverändert verfügbar sind.
- Die Zuordnung von Pseudonym zu Klarname wird in einer verschlüsselten Mapping-Tabelle mit EU-Datenresidenz festgehalten.
- Die pseudonymisierte Fassung lässt sich intern revisionssicher abstimmen, während die für die Behörde bestimmte Meldung bei Bedarf mit dem Schlüssel re-identifiziert werden kann.
What you provide
- Entwurf der Verletzungsmeldung
- Forensische Logs und Auswertungen zum Vorfall
- Liste der betroffenen Datensätze und Personen
Limitations & cautions
- Ob eine meldepflichtige Verletzung vorliegt und welche Angaben die Behörde verlangt, bewertet anonym.legal nicht.
- Die Wahrung der 72-Stunden-Frist nach Art. 33 DSGVO liegt allein in Ihrer Verantwortung und wird von der Software nicht überwacht.
- Reversible Pseudonymisierung ist keine Anonymisierung; der Bestand bleibt mit dem Schlüssel re-identifizierbar und ist entsprechend zu sichern.
FAQ
Bleiben Art und Umfang der Panne im Entwurf erhalten?
Ja, die sachliche Beschreibung des Vorfalls — Art, Umfang, Ursache und mögliche Folgen — bleibt vollständig erhalten; nur die Personendaten der Betroffenen werden pseudonymisiert. So bleibt der Entwurf für die nach Art. 33 DSGVO geforderten Angaben aussagekräftig.
Kann ich forensische Logdateien direkt verarbeiten?
Ja, anonym.legal verarbeitet Logexporte und erkennt darin enthaltene Kennungen, IP-Adressen und Personendaten. Diese werden konsistent pseudonymisiert, sodass die technische Nachvollziehbarkeit der Auswertung erhalten bleibt.
Wie viele betroffene Personen kann ich gleichzeitig aufbereiten?
anonym.legal verarbeitet umfangreiche Datensätze und pseudonymisiert alle erkannten Personen konsistent über die Unterlagen hinweg. Dieselbe Person erhält dabei dokumentübergreifend dasselbe Pseudonym, sodass die Zusammenhänge der Meldung erhalten bleiben.
Verbleibt die Re-Identifikationstabelle innerhalb der EU?
Ja, die verschlüsselte Mapping-Tabelle wird mit EU-Datenresidenz innerhalb der europäischen Infrastruktur gespeichert. So lässt sich der Vorfall intern aufbereiten, ohne den Personenbezug breit zu streuen oder aus der EU zu verlagern.