IT- / Datenschutzrecht

Datenpanne Art. 33/34 DSGVO — 72-h-Meldung

anymize entfernt Mandanten-, Mitarbeiter- und Betroffenen-Klarnamen automatisch aus der Sachverhaltsdarstellung, bevor sie an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So strukturieren Sie eine vollständige Datenpanne-Meldung an die Aufsichtsbehörde unter dem 72-Stunden-Fristdruck, ohne § 43a BRAO oder § 203 StGB zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

Hinweis

Eilfall — die 72-Stunden-Frist läuft

Die Frist nach Art. 33 Abs. 1 DSGVO beginnt mit Kenntnis der Datenpanne, nicht mit Vollkenntnis aller Details. Eine unvollständige Erst-Meldung mit Nachreichung ist zulässig — versäumte Frist nicht. anymize bringt Sie schnell zur Strukturierung und hält Klarnamen aus dem KI-Kontext heraus, damit Sie unter Zeitdruck nicht zwischen Fristtreue und Vertraulichkeit wählen müssen.

01

Anwendungsbereich

Worum geht es hier?

Schriftsätze entwerfen

Datenpanne-Meldungen sind der prototypische Eilfall im Datenschutzrecht: Die Frist beginnt mit Kenntnis und endet 72 Stunden später (Art. 33 Abs. 1 DSGVO). Wer den Sachverhalt unter Druck strukturieren muss, braucht jedes verfügbare Werkzeug — ohne dass dabei Mandanten-, Mitarbeiter- oder Betroffenen-Klarnamen das Haus verlassen. anymize ist der Anonymisierungs-Layer für diesen Eilfall: Sachverhalt rein, pseudonymisierter Text an die KI, Re-Identifikation beim Empfang. Die Meldung steht in Minuten — die anwaltliche Bewertung der Risikoschwere bleibt bei Ihnen.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Fachanwält:in für IT-Recht; externer Datenschutzbeauftragter mit anwaltlicher Beratungsrolle; Compliance-orientierte:r Allround-Anwält:in im Bereitschaftsdienst.
Seniorität
Erfahrene:r Anwält:in — der Eilfall braucht den geübten Blick auf Risiko-Schwellen (Art. 34 Pflicht oder nicht?), Meldekanäle der zuständigen Aufsichtsbehörde und Beweissicherung für die spätere Aufarbeitung.
Kanzleigröße
Einzelkanzlei mit DSGVO-Beratungs-Mandat bis Großkanzlei mit Incident-Response-Team. Der Effizienz-Hebel ist beim Eilfall am höchsten, weil jede freigespielte Minute auf die Frist einzahlt.
Spezifische Kontexte
Mandant meldet eine Datenpanne — Hackerangriff, Phishing-Erfolg, Fehlversand, Diebstahl eines Endgeräts, Fehl-Konfiguration eines Cloud-Speichers. Sie übernehmen die Struktur der 72-h-Meldung und ggf. Art.-34-Betroffenen-Benachrichtigung.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Die 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO ist scharf — Versäumnis kostet Bußgeld und Reputation. Gleichzeitig braucht die Meldung volle Sorgfalt: Art und Kategorien der Daten, Zahl der Betroffenen, Folgen-Bewertung, Gegenmaßnahmen. Wer manuell strukturiert, sitzt mindestens 90 Minuten an einer ersten ordentlichen Meldung. Wer ChatGPT oder Claude direkt nutzen würde, kommt in Minuten zur Vorlage — verletzt aber § 43a BRAO und § 203 StGB, sobald Mandanten-Identität, Betroffenen-Daten und Vorfalls-Details das Haus verlassen. anymize löst genau diesen Konflikt: Mandanten-, Mitarbeiter- und Betroffenen-Klarnamen, IP-Adressen, System-Bezeichnungen werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die Vertraulichkeit ist strukturell gewahrt — auch unter Fristdruck.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Erst-Meldung

~75 Min

Frontier-KI strukturiert die Meldung in unter zehn Minuten. Anwaltliche Würdigung der Risikoschwere und der Art.-34-Pflicht kommen wie gewohnt obendrauf — und gewinnen Zeit, weil die Strukturierung steht.

Frist-Sicherheit

kritisch

Die 72-h-Frist endet endgültig — eine zügige Erst-Meldung mit Nachreichung ist immer besser als knapp am Ablauf. anymize verschafft Stunden, die Sie für die Bewertung statt für das Drafting nutzen.

Vertraulichkeit

strukturell

anymize entfernt 40+ Kategorien personenbezogener Daten — Mandantenname, Mitarbeiter, Betroffene, IP-Adressen, System-Identifier — bevor der Text das Haus verlässt.

Erkennungsrate

>95 %

Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Restmenge kontrollieren Sie im Vorschau-Modus vor dem KI-Aufruf — auch unter Zeitdruck zwei Minuten gut investiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Sachverhalt aufnehmen. Erkenntnis-Datum und -Uhrzeit bestätigen (Frist-Beginn!), betroffene Datenkategorien identifizieren (Art. 9 DSGVO ja/nein), Anzahl Betroffener schätzen, Ursache und Eintrittsweg klären. Bei laufendem Vorfall: technische Eindämmung parallel zur juristischen Strukturierung sicherstellen — die KI-Anleitung ersetzt nicht die Forensik.

Sie

Frist-Beginn dokumentieren · Kenntnislage festhalten

2

anymize anonymisiert automatisch. Über 40 Kategorien personenbezogener Daten — Mandantenname, beteiligte Mitarbeiter, Betroffene, IP-Adressen, Server-/System-Bezeichnungen, IBANs, Aktenzeichen — werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf. Auch unter Zeitdruck: zwei Minuten Spot-Check sind gut investiert.

anymize

§ 43a BRAO Verschwiegenheit · § 203 StGB

3

Frontier-KI strukturiert. Der pseudonymisierte Sachverhalt geht an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem unten stehenden Prompt fragen Sie eine Art.-33-DSGVO-konforme Meldung ab: Beschreibung der Verletzung, Folgen-Bewertung, Gegenmaßnahmen. Die KI sieht keine Klarnamen — sie arbeitet ausschließlich mit den Platzhaltern.

GPT / Claude / Gemini in anymize

Struktur in Minuten · Frist-Schutz

4

anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten einen Meldung-Entwurf, den Sie anwaltlich würdigen: Risikoschwere für die Betroffenen bewerten (Art. 34 DSGVO Pflicht ja/nein?), zuständige Aufsichtsbehörde identifizieren (BfDI / LfDI nach Bundesland des Verantwortlichen), Beweissicherung organisieren.

anymize + Sie

Bidirektionale Anonymisierung · anwaltliche Bewertung

5

Einreichung über das Aufsichtsbehörden-Portal und ggf. Art.-34-Benachrichtigung. Die meisten Aufsichtsbehörden bieten Online-Formulare; die strukturierte Meldung lässt sich direkt übertragen. Bei Art.-34-Pflicht (hohes Risiko für Betroffene) Benachrichtigung in klarer und einfacher Sprache vorbereiten — gleicher Workflow, mit Empfänger-Sicht statt Aufsichtsbehörden-Formular.

Sie

Art. 33 DSGVO · ggf. Art. 34 DSGVO

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt 40+ Kategorien personenbezogener Daten — Mandantenname, Mitarbeiter, Betroffene, IP-Adressen, System-Bezeichnungen, IBANs, Aktenzeichen — mit über 95 % Erkennungsrate.
  • Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. eine IP-Adresse als Server-Identifier vs. als personenbezogenes Datum).
  • Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert beim Empfang — wichtig für die Aufsichtsbehörden-Meldung mit konkreten Daten.
  • Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.

Was Sie als Anwält:in tun

  • Frist-Beginn (Datum + Uhrzeit der Kenntnis) sauber dokumentieren — das ist die wichtigste Einzeltatsache.
  • Vorschau der Anonymisierung sichten — bei Datenpannen ist die Anzahl Betroffener oft eine Schätzung; achten Sie darauf, dass die Schätzung nicht versehentlich anonymisiert wird.
  • Risikoschwere bewerten — Art. 34 DSGVO-Pflicht (hohes Risiko für Betroffene) leistet die KI bewusst nicht, das ist anwaltliche Eigenleistung.
  • Zuständige Aufsichtsbehörde identifizieren (BfDI bei Bundesbehörden / Telekommunikation; LfDI nach Sitz des Verantwortlichen) und Einreichung über das jeweilige Portal.

Daten-Input

Sachverhaltsbeschreibung (Erkenntnis-Datum, Vorfalls-Hergang, betroffene Systeme), Mandanten-Daten (Verantwortlicher, Sitz, ggf. Datenschutzbeauftragter), Schätzung Anzahl Betroffener, betroffene Datenkategorien, Gegenmaßnahmen-Stand. anymize akzeptiert PDFs, Word-Dokumente, E-Mails und Klartext.

Output-Kontrolle

Pseudonymisierter Text geht an die KI. Re-identifizierter Meldung-Entwurf kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Risiko-Bewertung machen Sie.

Freigabeprozess

Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, Risiko-Bewertung, Behörden-Auswahl, Einreichung — alles im üblichen Kanzlei-Workflow. anymize ist der Anonymisierungs-Layer, keine Workflow-Software und kein Ersatz für die Forensik.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt unter Zeitdruck:

1. Sachverhalt in anymize einfügen — die Anonymisierung läuft automatisch (Mandantenname, Mitarbeiter, Betroffene, IP-Adressen werden zu Platzhaltern).

2. Diesen Prompt kopieren und an Ihren Sachverhalt anhängen.

3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.

Frist-Hinweis: Die 72 Stunden beginnen mit Kenntnis. Eine Erst-Meldung mit Nachreichung nach Art. 33 Abs. 4 DSGVO ist zulässig — versäumte Frist nicht.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus. Bei einfachen Vorfällen reicht Fast; bei komplexen Sachverhalten mit mehreren Beteiligten oder Art.-9-Daten Max. Modell-Auswahl (GPT, Claude, Gemini) in anymize.
# Rolle
Du bist Schriftsatz-Strukturierungs-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Strukturiere für den vorliegenden Datenpanne-Sachverhalt eine Erst-Meldung
an die Aufsichtsbehörde nach Art. 33 DSGVO und parallel — falls die
Risiko-Schwelle erreicht ist — eine Betroffenen-Benachrichtigung nach
Art. 34 DSGVO.

Liefere zwei abgegrenzte Output-Blöcke. Die anwaltliche Wertung —
Erreichen der Art.-34-Risiko-Schwelle, Bußgeld-Risiko, Außenkommunikation —
ist NICHT deine Aufgabe.

# Inhalt — Block A: Art.-33-Meldung an die Aufsichtsbehörde

1. Verantwortlicher
   - Name, Sitz, Vertretungsberechtigte:r
   - Datenschutzbeauftragte:r (sofern bestellt) mit Kontakt
   - Aufsichtsbehörden-Aktenzeichen (sofern bekannt)

2. Beschreibung der Verletzung
   - Art der Verletzung (Vertraulichkeit / Integrität / Verfügbarkeit)
   - Eintrittszeitpunkt — soweit bekannt
   - Erkenntniszeitpunkt — Frist-Beginn
   - Eintrittsweg (Hackerangriff, Phishing, Fehlversand,
     Endgerät-Verlust, Fehl-Konfiguration etc.)

3. Kategorien personenbezogener Daten
   - Allgemeine Kategorien (Stammdaten, Kontaktdaten, Finanzdaten etc.)
   - Besondere Kategorien nach Art. 9 DSGVO — separat aufführen
   - Daten von Kindern nach Art. 8 DSGVO — separat aufführen

4. Anzahl Betroffener
   - Datensätze (geschätzt mit Bandbreite)
   - Personen (geschätzt mit Bandbreite)
   - Zugehörigkeit (Mitarbeiter / Mandanten / Geschäftspartner / Endkunden)

5. Wahrscheinliche Folgen für Betroffene
   - Identitätsdiebstahl-Risiko
   - Finanzieller Schaden
   - Diskriminierungs-Risiko
   - Sonstige Folgen
   Markiere die Bewertung der Folgen-Schwere mit [ANWALT-PRUEFUNG]
   — die Schwere-Einstufung ist anwaltliche Eigenleistung.

6. Bereits ergriffene Gegenmaßnahmen
   - Eindämmung (z. B. Zugriff gesperrt, Passwörter geändert)
   - Forensik (intern / extern beauftragt)
   - Beweissicherung
   - Information an interne Stellen

7. Geplante Gegenmaßnahmen
   - Technische Härtung
   - Organisatorische Anpassungen
   - Schulungen
   - Vertragliche Konsequenzen (z. B. Vendor-Wechsel)

8. Zuständige Aufsichtsbehörde
   - Identifikation nach BDSG / EU-Recht
   - BfDI (Bundesbehörden / TK / Post)
   - LfDI nach Sitz des Verantwortlichen

# Inhalt — Block B: Art.-34-Betroffenen-Benachrichtigung
   (nur falls hohes Risiko anzunehmen ist — markiert mit [ANWALT-PRUEFUNG])

In klarer und einfacher Sprache nach Art. 34 Abs. 2 DSGVO:

1. Was ist passiert?
2. Welche Daten sind betroffen?
3. Wahrscheinliche Folgen?
4. Welche Maßnahmen wurden ergriffen?
5. Welche Maßnahmen können Betroffene ergreifen?
6. Kontakt für Rückfragen — Datenschutzbeauftragte:r oder Verantwortlicher

# Format
Markdown. Tabellen für strukturierte Listen (Datenkategorien, Betroffene).
Volle Sätze für Folgen-Bewertung und Gegenmaßnahmen.

# Verbote
KEINE Bewertung der Risiko-Schwelle nach Art. 34 DSGVO.
KEINE Spekulation zum Bußgeld-Risiko.
KEINE Empfehlung zur Außenkommunikation jenseits Art. 34.
KEINE Einschätzung zur Vendor-Haftung oder zur Versicherungs-Deckung.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Original-Sachverhalt nach anymize-Anonymisierung. Mandanten- und Vendor-Klarnamen, Adressen, E-Mails und Vorfalls-Daten sind durch anymize-Platzhalter im Format [[Kategorie-Hash]] ersetzt.
Verantwortlicher:
  [[Unternehmensname-3a8b]], [[Adresse-3a8b]],
  vertreten durch [[Vorname-3a8b]] [[Nachname-3a8b]] (Geschäftsführung).
  Datenschutzbeauftragter: [[Vorname-7c2d]] [[Nachname-7c2d]],
  Kontakt [[Email-7c2d]].

Erkenntnis:
  Datum: [[Datum-1f4e]], Uhrzeit ca. 09:30.
  Quelle der Kenntnis: Meldung des Cloud-Anbieters [[Unternehmensname-9b6a]]
  per E-Mail an [[Email-3a8b]].

Vorfalls-Beschreibung:
  Bei [[Unternehmensname-9b6a]] (Cloud-Speicher-Vendor) wurde am
  [[Datum-2g5f]] eine Fehl-Konfiguration eines S3-Buckets entdeckt:
  Ein für interne Nutzung vorgesehener Bucket war ca. 14 Tage lang
  öffentlich zugreifbar. Der Bucket enthielt Backup-Dateien des CRM
  von [[Unternehmensname-3a8b]].

  Eintrittszeitpunkt geschätzt: [[Datum-3h7g]] (Datum der Konfigurationsänderung
  beim Vendor).

Betroffene Daten:
  - Stammdaten von ca. 8.500 bis 9.200 Endkunden (Vor- und Nachname,
    Adresse, E-Mail, Telefon)
  - Vertragshistorie (Produkte, Bestelldatum, Rechnungsbeträge)
  - Keine besonderen Datenkategorien nach Art. 9 DSGVO
  - Keine Daten von Kindern nach Art. 8 DSGVO
  - Keine IBANs (Zahlungs-Tokens, keine Klar-IBANs)

Bisherige Gegenmaßnahmen:
  - Bucket sofort auf privat gesetzt durch [[Unternehmensname-9b6a]]
  - Forensik durch [[Unternehmensname-9b6a]] läuft
  - Interne IT von [[Unternehmensname-3a8b]] hat Zugriffs-Logs angefordert
  - Aufsichtsbehörde noch nicht informiert
  - Betroffene noch nicht informiert

Geplante Gegenmaßnahmen:
  - Vertragliche Aufarbeitung mit [[Unternehmensname-9b6a]]
  - Wechsel des Cloud-Anbieters wird geprüft
  - Schulung interner IT-Mitarbeiter zum AVV-Audit-Recht
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die anymize-Re-Identifikation hat Mandanten- und Vendor-Klarnamen, Adressen, E-Mails und Vorfalls-Daten wieder eingesetzt — Sie sehen den Output mit den richtigen Daten.
# Datenpanne-Meldung — Strukturierter Entwurf

## Block A — Meldung nach Art. 33 DSGVO

### 1. Verantwortlicher

| Feld | Angabe |
|---|---|
| Name | [[Unternehmensname-3a8b]] |
| Sitz | [[Adresse-3a8b]] |
| Vertretung | [[Vorname-3a8b]] [[Nachname-3a8b]] (Geschäftsführung) |
| Datenschutzbeauftragte:r | [[Vorname-7c2d]] [[Nachname-7c2d]], [[Email-7c2d]] |

### 2. Beschreibung der Verletzung

| Merkmal | Angabe |
|---|---|
| Art | Verletzung der Vertraulichkeit |
| Eintrittszeitpunkt (geschätzt) | [[Datum-3h7g]] |
| Erkenntniszeitpunkt | [[Datum-1f4e]], 09:30 — Frist-Beginn |
| Eintrittsweg | Fehl-Konfiguration eines Cloud-Storage-Buckets durch Sub-Prozessor [[Unternehmensname-9b6a]]; Bucket ca. 14 Tage öffentlich zugreifbar |

### 3. Kategorien personenbezogener Daten

| Kategorie | Umfang |
|---|---|
| Stammdaten (Name, Adresse, E-Mail, Telefon) | ja |
| Vertragshistorie (Produkte, Bestelldatum, Rechnungsbeträge) | ja |
| Besondere Kategorien Art. 9 DSGVO | nein |
| Daten von Kindern Art. 8 DSGVO | nein |
| Zahlungsdaten (Klar-IBANs) | nein (Zahlungs-Tokens) |

### 4. Anzahl Betroffener

- Datensätze (geschätzt): 8.500 bis 9.200
- Personen (geschätzt): identisch
- Zugehörigkeit: Endkunden von [[Unternehmensname-3a8b]]

### 5. Wahrscheinliche Folgen für Betroffene

- Spam und Phishing-Risiko durch öffentliche E-Mail-Adressen [PRUEFUNG]
- Identitätsdiebstahl-Risiko niedrig — keine Ausweis-/Bankdaten betroffen [PRUEFUNG]
- Finanzieller Schaden niedrig — keine Klar-IBANs, keine Kreditkarten [PRUEFUNG]
- Diskriminierungs-Risiko nicht erkennbar — keine Art.-9-Daten

[ANWALT-PRUEFUNG: Schwere-Einstufung der Folgen ist anwaltliche
Einzelfall-Bewertung; sie entscheidet über die Art.-34-Pflicht.]

### 6. Bereits ergriffene Gegenmaßnahmen

- Bucket sofort auf privat gesetzt durch [[Unternehmensname-9b6a]] am [[Datum-1f4e]]
- Forensik durch [[Unternehmensname-9b6a]] läuft — Bericht angefordert
- Zugriffs-Logs durch interne IT von [[Unternehmensname-3a8b]] angefordert
- Beweissicherung intern eingeleitet

### 7. Geplante Gegenmaßnahmen

- Vertragliche Aufarbeitung mit [[Unternehmensname-9b6a]]
- Prüfung Cloud-Anbieter-Wechsel
- Schulung interne IT zum AVV-Audit-Recht
- Prozess-Anpassung: regelmäßige Bucket-Konfigurations-Audits

### 8. Zuständige Aufsichtsbehörde

[ANWALT-PRUEFUNG: Identifikation nach Sitz des Verantwortlichen
[[Adresse-3a8b]] — zuständig ist die LfDI des entsprechenden Bundeslandes.
Bei [[Unternehmensname-9b6a]] mit Sitz außerhalb Deutschlands ggf.
zusätzlich Lead-Aufsicht nach Art. 56 DSGVO prüfen.]

---

## Block B — Betroffenen-Benachrichtigung nach Art. 34 DSGVO

[ANWALT-PRUEFUNG: Erreichen des hohen Risikos für Betroffene anwaltlich
zu bewerten. Falls bejaht, folgender Entwurf für die Benachrichtigung;
falls verneint, Block B verwerfen und Begründung in Akte dokumentieren.]

### Liebe Kundin, lieber Kunde,

am [[Datum-1f4e]] haben wir erfahren, dass es zu einem Datenschutz-Vorfall
gekommen ist, der auch Ihre Daten betreffen kann. Wir möchten Sie offen
informieren.

**Was ist passiert?**
Bei unserem Cloud-Speicher-Anbieter [[Unternehmensname-9b6a]] war eine
Datenablage für etwa 14 Tage öffentlich zugreifbar. Sie enthielt
Sicherungskopien unseres Kundensystems.

**Welche Daten waren betroffen?**
Vorname, Nachname, Adresse, E-Mail-Adresse, Telefonnummer und Ihre
Vertragshistorie bei uns. Keine Bankdaten, keine Ausweis-Daten, keine
Gesundheitsdaten.

**Wahrscheinliche Folgen?**
Das Risiko liegt vor allem in vermehrter Spam- und Phishing-Post. Konkrete
Hinweise auf einen Missbrauch Ihrer Daten haben wir aktuell nicht.

**Welche Maßnahmen haben wir ergriffen?**
Die Datenablage ist seit dem [[Datum-1f4e]] gesperrt. Eine Forensik klärt
den Vorfall auf. Wir haben die zuständige Aufsichtsbehörde informiert.

**Was können Sie tun?**
Achten Sie in den nächsten Wochen besonders auf verdächtige E-Mails. Klicken
Sie nicht auf unbekannte Links. Bei Auffälligkeiten erreichen Sie uns unter
[[Email-7c2d]].

Mit freundlichen Grüßen,
[[Vorname-3a8b]] [[Nachname-3a8b]]
Geschäftsführung [[Unternehmensname-3a8b]]
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 43a BRAO Verschwiegenheit unter Zeitdruck

Eilfall-Drafting darf die Verschwiegenheit nicht aufweichen. anymize entfernt 40+ Kategorien personenbezogener Daten durch Platzhalter, bevor irgendein KI-Anbieter den Sachverhalt sieht — in der gleichen Geschwindigkeit wie ohne Anonymisierung. Sie verlieren keine Zeit, gewinnen aber Vertraulichkeit.

§ 43e BRAO Auftragsverarbeitung

Sie schließen einen AVV mit anymize ab. Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner). Originaldokumente speichern wir nicht — nur die Zuordnung Platzhalter ↔ Originaldaten, mit Aufbewahrungsfrist nach Ihrer Wahl. Beim Eilfall ist die kurze Aufbewahrung sinnvoll, bei späterer Aufarbeitung ggf. länger.

Art. 33 Abs. 1 DSGVO Frist-Beginn

Die 72 Stunden beginnen mit Kenntnis der Datenpanne, nicht mit Vollkenntnis aller Details. Die Erst-Meldung mit Hinweis auf Nachreichung nach Art. 33 Abs. 4 DSGVO ist zulässig und oft angemessen. Versäumte Frist ist nicht heilbar.

Art. 34 DSGVO Risiko-Schwelle

Die Pflicht zur Betroffenen-Benachrichtigung knüpft an „hohes Risiko für die Rechte und Freiheiten“ an. Die Bewertung dieser Schwelle ist anwaltliche Eigenleistung — die KI markiert die Stellen mit [ANWALT-PRUEFUNG], aber die Einstufung treffen Sie. Maßstab: Art und Sensitivität der Daten, Wahrscheinlichkeit und Schwere der Folgen.

Beweissicherung für die Aufarbeitung

Parallel zur Meldung: Logs sichern, Vendor-Korrespondenz archivieren, Mandanten-Mitteilungen dokumentieren. Die Aufsichtsbehörde fragt regelmäßig nach. anymize unterstützt nicht bei der Forensik — das ist Aufgabe der internen IT oder eines externen Dienstleisters.

Lead-Aufsichts-Behörde Art. 56 DSGVO

Bei grenzüberschreitender Verarbeitung kann eine Lead-Aufsichts-Behörde zuständig sein. Die Identifikation ist anwaltliche Aufgabe; die KI dokumentiert Verarbeitungs-Standorte, die Zuständigkeits-Bewertung treffen Sie nach Hauptniederlassung des Verantwortlichen.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Die juristisch entscheidende Frage beim Datenpanne-Eilfall: Sieht der KI-Anbieter den Mandanten, die Vorfall-Details, die Mitarbeiter-Identitäten und die Betroffenen-Daten? Antwort mit anymize: nein. Mandantenname, Vendor-Identität, Mitarbeiter und Betroffene, IP-Adressen, System-Bezeichnungen, IBANs werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei Art.-9-Datenflüssen — etwa wenn Gesundheitsdaten Teil der Datenpanne sind — zusätzlich Art. 9 Abs. 2 lit. f i.V.m. § 43a BRAO. Mandanten-Klarnamen werden aus dem KI-Kontext gehalten, was § 203 StGB strukturell entlastet. Beim Eilfall besonders wichtig: Die Anonymisierung kostet keine Frist-Zeit — sie läuft beim Hochladen automatisch.

Was anymize konkret leistet

  • Erkennt Mandanten-, Mitarbeiter- und Betroffenen-Klarnamen, IP-Adressen, System-Bezeichnungen, IBANs, Aktenzeichen mit über 95 % Genauigkeit.
  • Ersetzt sie durch semantische Platzhalter, bevor der Vorfall-Sachverhalt an GPT, Claude oder Gemini geht.
  • Re-identifiziert die KI-Antwort automatisch — Sie sehen den Meldung-Entwurf mit den richtigen Klarnamen zurück.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
  • Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl. Beim Eilfall ist die kurze Aufbewahrung (24 h) sinnvoll, bei späterer Aufarbeitung kann sie länger gewählt werden.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

In den ersten Minuten

  • Frist-Beginn (Datum + Uhrzeit der Kenntnis) sauber dokumentiert?
  • Forensik parallel zur juristischen Strukturierung gestartet?
  • Mandantschaft über laufendes Drafting informiert?
  • Mit Hochlade-Entscheidung: Anonymisierungs-Vorschau gesichtet?

Vor der Einreichung

  • Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
  • Art.-34-Risiko-Schwelle anwaltlich bewertet?
  • Zuständige Aufsichtsbehörde identifiziert (BfDI / LfDI nach Sitz)?
  • Bei grenzüberschreitender Verarbeitung: Lead-Aufsicht nach Art. 56 DSGVO geprüft?

Nach der Erst-Meldung

  • Beweissicherung organisiert (Logs, Vendor-Korrespondenz, interne Kommunikation)?
  • Nachreichungs-Termin nach Art. 33 Abs. 4 DSGVO geplant?
  • Bei Art.-34-Pflicht: Betroffenen-Benachrichtigung versendet?
  • Mandantschaft über Folge-Mandate beraten (Vendor-Aufarbeitung, AVV-Update)?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI bewertet selbst die Art.-34-Risiko-Schwelle — verboten in der Aufgabe; falls die KI es trotzdem tut, [ANWALT-PRUEFUNG]-Marker durchsetzen.
  • KI „rundet“ Anzahl Betroffener ohne Bandbreite — Aufsichtsbehörden erwarten Schätzungen mit Bandbreite, kein Punkt-Wert.
  • KI nennt eine pauschale Aufsichtsbehörde („die zuständige Behörde“) statt BfDI / LfDI nach Sitz — der Prompt zwingt zur Identifikation.
  • KI vermischt Block A (Aufsicht) und Block B (Betroffene) — gleiche Sachverhalts-Substanz, aber unterschiedliche Adressaten und Sprache. Bei Verstoß den Output verwerfen und neu starten.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen

  • Meldung von Verletzungen an die Aufsichtsbehörde
  • Benachrichtigung der betroffenen Person
  • Federführende Aufsichtsbehörde (Lead-Aufsicht)
  • Sicherheit der Verarbeitung — Maßstab für Gegenmaßnahmen
  • Besondere Kategorien personenbezogener Daten
  • Bußgeld-Bemessung

Berufsrechtliche Grundlagen

  • Anwaltliche Verschwiegenheit
  • Auftragsverarbeitung und IT-Auslagerung
  • Verletzung von Privatgeheimnissen

Sekundärquellen

  • Notification under GDPR
  • Risiko und Folgenabschätzung — Praxis der deutschen Aufsichtsbehörden
  • Mandantentransparenz und KI-Einsatz
  • KI in der anwaltlichen Praxis

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.