---
name: datenschutz-erstgespraech-mandantenmatrix-7-fragen
description: "Strukturiertes Erstgespraech im Datenschutzmandat. Sieben gezielte Fragen ordnen den Sachverhalt in eine Mandantenmatrix ein: Rolle nach Art. 4 DSGVO Verantwortlicher oder Auftragsverarbeiter oder gemeinsam Verantwortlicher Art. 26 DSGVO Anlass Aufsichtsbehoerde Betroffener Anwalt Gegner Fristlage Art. 12 III DSGVO Risikolage Datenkategorien Art. 9 10 DSGVO Vorgeschichte und Mandatsziel. Liefert sofort Mandatsfragebogen-Antwortpattern Risikoampel und Folge-Skill-Empfehlung. Abgrenzung: keine Subsumtion ersetzt die Spezial-Skills."
---

# Datenschutz Erstgespraech — Mandantenmatrix mit sieben Fragen

## Zweck

Dieser Skill fuehrt das erste Gespraech mit dem Mandanten in einem Datenschutzfall. Ziel ist nicht eine sofortige rechtliche Bewertung, sondern die saubere Einordnung des Falls in eine **Mandantenmatrix**, aus der hervorgeht: Welche Rolle hat der Mandant? Welche Frist laeuft? Welcher Folge-Skill ist als naechstes zu starten? Der Skill ersetzt keine Subsumtion, sondern ist die Weiche.

## Wann brauchen Sie diesen Skill / Kaltstart-Fragen

Sie brauchen diesen Skill **immer dann**, wenn ein neues Datenschutzmandat eingeht und unklar ist, welcher Spezial-Skill greift. Typische Anlaesse:

- Mandant erhaelt ein Auskunftsersuchen nach Art. 15 DSGVO.
- Mandant meldet eine moegliche Datenpanne.
- Aufsichtsbehoerde hat angeschrieben (Pruefung, Anhoerung, Bussgeldbescheid).
- Betroffener klagt auf Schadensersatz nach Art. 82 DSGVO.
- Beschwerde nach Art. 77 DSGVO ist eingegangen.

Stellen Sie genau **diese sieben Fragen** in der Reihenfolge. Springen Sie nicht vor.

1. **Rolle:** Welche Rolle hat der Mandant in der Datenverarbeitung? Verantwortlicher (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO) oder gemeinsam Verantwortlicher (Art. 26 DSGVO)? Wer hat ueber Zweck und Mittel entschieden?
2. **Anlass:** Wer hat den Vorgang ausgeloest? Aufsichtsbehoerde, Betroffener selbst, Konkurrent, Gegnervertreter, eigene interne Pruefung, Whistleblower?
3. **Frist:** Welche Frist laeuft jetzt? Art. 12 III DSGVO (ein Monat ab Eingang Antrag, Verlaengerung bis drei Monate gesamt), Art. 33 DSGVO (72 Stunden ab Kenntnis), Anhoerungsfrist im Bussgeldverfahren, Klagefrist?
4. **Risikoklasse:** Welche Datenkategorien sind betroffen? Allgemeine personenbezogene Daten, besondere Kategorien (Art. 9 DSGVO Gesundheit Religion Gewerkschaft sexuelle Orientierung biometrische Daten), Strafrechtsdaten (Art. 10 DSGVO), Minderjaehrigen-Daten (Art. 8 DSGVO)?
5. **Vorgeschichte:** Gab es schon Vorgaenge in derselben Sache? Frueheres Bussgeld, frueherer Auskunftsantrag, fruehere Beschwerde, frueherer Schadensersatzprozess?
6. **Mandatsziel:** Was will der Mandant erreichen? Behoerdenkommunikation deeskalieren, Bussgeld senken, Schadensersatz abwehren, Auskunft formal erteilen, Klage einreichen?
7. **Geheimhaltung und Mitwirkung:** Wer im Mandantenhaus weiss bereits Bescheid? Geschaeftsfuehrung, Datenschutzbeauftragter (Art. 37 DSGVO), Betriebsrat, IT-Leitung? Wer entscheidet?

## Rechtlicher Rahmen

- **Art. 4 DSGVO** Begriffsbestimmungen (Verantwortlicher, Auftragsverarbeiter, Empfaenger, Dritter, Verletzung).
- **Art. 5 DSGVO** Grundsaetze, insbesondere Rechenschaftspflicht (Abs. 2).
- **Art. 12 III DSGVO** Bearbeitungsfrist Betroffenenanfragen — ein Monat, Verlaengerung um zwei Monate moeglich bei Komplexitaet oder Zahl der Antraege, **Begruendungspflicht innerhalb des ersten Monats**.
- **Art. 26 DSGVO** Gemeinsam Verantwortliche.
- **Art. 28 DSGVO** Auftragsverarbeitung.
- **Art. 33, 34 DSGVO** Datenpanne und Benachrichtigung.
- **Art. 77 DSGVO** Beschwerderecht.
- **Art. 82 DSGVO** Schadensersatz materieller und immaterieller Schaden.
- **Art. 83 DSGVO** Bussgelder bis 4 Prozent Jahresumsatz oder 20 Mio. EUR.
- **§ 40 BDSG** Aufsichtsbehoerden der Laender.
- **§ 13 BDSG** Bestellung BfDI.

## Mandantenfuehrung Schritt-fuer-Schritt

1. **Zuerst:** Aktenzeichen anlegen, Mandantenvollmacht klaeren, schriftlich oder per Mail bestaetigen, dass Mandat angenommen ist. Kostenhinweis nach § 49b BRAO und RVG erteilen.
2. **Als zweites:** Sieben Fragen in dieser Reihenfolge stellen. Antworten in der Matrix erfassen (siehe Mustertexte).
3. **Als drittes:** Risikoampel setzen (gruen, gelb, rot).
4. **Als viertes:** Folge-Skill aus dem datenschutzrecht-Plugin auswaehlen (Auskunft, Datenpanne, Bussgeld, Schadensersatz, Beschwerde, Loeschpflicht).
5. **Nicht voreilig:** Noch nichts an Aufsichtsbehoerde melden. Erst Mandantenfreigabe. Auch keine Loeschung. Auch keine schriftliche Stellungnahme.

## Trade-off-Matrix

| Situation | Vorteil sofort handeln | Nachteil sofort handeln |
|---|---|---|
| Datenpanne unklar | Frist 72h laeuft (Art. 33 DSGVO) | vorschnelle Meldung erzeugt Bussgeldrisiko durch Selbstbelastung |
| Auskunftsersuchen schwammig | schnelle Antwort signalisiert Kooperation | unvollstaendige Antwort triggert Beschwerde nach Art. 77 |
| Behoerdenanschreiben | Reaktion vor Anhoerungsende | unueberlegte Stellungnahme wird Bussgeldakte |
| Schadensersatzklage | Klageerwiderung in Frist | vorzeitige Anerkenntnis schliesst Verteidigung aus |

## Mustertexte

### Mandantenfragebogen (Versendetext per Mail)

> Sehr geehrte Damen und Herren,
>
> in dem oben bezeichneten Datenschutzmandat benoetigen wir zur Erstbewertung bitte Antworten auf die folgenden sieben Fragen. Bitte beantworten Sie jede Frage stichpunktartig. Anhaenge nehmen wir gerne entgegen. Wir bitten um Rueckmeldung bis [Datum].
>
> 1. Welche Rolle hatte Ihr Unternehmen in der Datenverarbeitung (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher)?
> 2. Wer hat den Vorgang ausgeloest (Aufsichtsbehoerde, Betroffener, Konkurrent, intern)?
> 3. Welche Frist laeuft aktuell? Wann ist Kenntnis von dem Vorgang erlangt worden?
> 4. Welche Datenkategorien sind betroffen (allgemein, besondere Kategorien Art. 9 DSGVO, Strafrechtsdaten Art. 10 DSGVO, Minderjaehrige)?
> 5. Gab es bereits frueher Vorgaenge in derselben Sache?
> 6. Welches Mandatsziel verfolgen Sie?
> 7. Wer im Haus ist informiert und entscheidungsbefugt?
>
> Mit freundlichen Gruessen
> [Name], Rechtsanwalt

### Interne Mandantenmatrix (Aktenkopf)

```
Mandant: [Firma]
Aktenzeichen: [Az]
Rolle: [Verantwortlicher / Auftragsverarbeiter / Gemeinsam Verantwortlicher]
Anlass: [Aufsicht / Betroffener / Konkurrent / Intern]
Frist: [Datum, Norm]
Risikoklasse: [Art. 6 / Art. 9 / Art. 10 / Art. 8 Minderjaehrige]
Vorgeschichte: [keine / Verweis Akte XY]
Mandatsziel: [...]
Risikoampel: [gruen / gelb / rot]
Folge-Skill: [datenschutz-auskunftsersuchen-art-15-praxis / datenschutz-datenpanne-art-33-34-72h-incident-response / ...]
```

## Typische Fehler

- Sofort an Aufsichtsbehoerde schreiben, bevor der Mandant intern entschieden hat. Loest Bussgeldakte aus.
- Loeschung anordnen, bevor klar ist, ob Sperrung nach § 17 BDSG oder Aufbewahrung nach § 257 HGB / § 147 AO erforderlich.
- Rolle nach Art. 4 DSGVO nicht sauber geklaert. Konsequenz: falsche Pflichten, falsche Adressaten.
- Frist nach Art. 12 III DSGVO uebersehen, weil das Schreiben des Betroffenen formlos kam.
- Mandant nicht ueber Risiko einer Selbstbelastung im Bussgeldverfahren aufgeklaert.

**Was triggert die Aufsichtsbehoerde besonders?** Leerformelhafte Antworten, fehlende Rechtsgrundlage (Art. 6 DSGVO), kein Bezug zu technischen und organisatorischen Massnahmen (Art. 32 DSGVO), fehlende Mandantenbeteiligung.

## Querverweise

- `datenschutz-auskunftsersuchen-art-15-praxis`
- `datenschutz-datenpanne-art-33-34-72h-incident-response`
- `datenschutz-bussgeldverfahren-art-83-dsgvo-verteidigung`
- `datenschutz-schadensersatz-art-82-dsgvo-gerichtsstreit`
- `datenschutz-beschwerde-art-77-aufsichtsbehoerde`
- `datenschutz-mandantenkommunikation-aufsichtsbehoerde`

## Quellen Stand 06/2026

- Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4, 5, 12, 26, 28, 33, 34, 77, 82, 83.
- BDSG in der ab 25.05.2018 geltenden Fassung.
- EDSA, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten, angenommen 28.03.2023.
- BRAO § 43a, § 49b; RVG-Hinweise zur Vertretung in Datenschutzmandaten.
- Kein Modellwissen zu konkreten Aufsatzfundstellen. Verifizierung vor Versand in amtliche Quellen.