---
name: dsv-lessons-learned-nachbereitung
description: "Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls: Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Frist"
---

# Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; DSGVO; BDSG; TTDSG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Strukturiert die Lessons-Learned-Nachbereitung eines Datenschutzvorfalls. Behandelt: Post-Mortem-Workshop; Ursachenanalyse Root Cause; Maßnahmenkatalog; Verantwortlichkeiten und Fristen; Update interner Richtlinien; Awareness-Schulung; Übung tabletop oder ernst; Kommunikation an Geschäftsleitung; Erfolgsmessung. Output: Workshop-Leitfaden und Maßnahmen-Tracker. Abgrenzung: keine VVT- oder DSFA-Pflege; keine Bußgeldverteidigung.

### Lessons Learned und Nachbereitung Datenschutzvorfall

## Triage — kläre vor der Bearbeitung

1. Wer nimmt am Post-Mortem teil (Just Culture sicherstellen)?
2. Welche Wahrheits-Suche-Kultur ist möglich (No-Blame)?
3. Welche Ursachenanalyse-Methode (5-Why; Ishikawa) passt?
4. Welcher Maßnahmen-Tracker wird verwendet?
5. Wer überwacht die Umsetzung mit Fristen?
- Was will der Mandant wirklich erreichen? (echte Verbesserung; Bußgeldmilderung; Compliance-Reife)

## Rechtsgrundlagen

- **Art. 24 DSGVO** Verantwortung.
- **Art. 32 DSGVO** TOM.
- **Art. 5 Abs. 2 DSGVO** Rechenschaftspflicht.
- **Art. 33 Abs. 5 DSGVO** Dokumentation.

## Aktuelle Rechtsprechung

Nicht aus Modellwissen; insbesondere zu Bußgeldmilderungen bei nachweislicher Lessons-Learned-Umsetzung vor Ausgabe verifizieren.

## Zentrale Normen

Art. 5 Abs. 2; Art. 24; Art. 32; Art. 33 Abs. 5 DSGVO.

## Praxisformulierung — Workshop-Ablauf

1. Eröffnung — Ziel; Just Culture; Vertraulichkeit.
2. Zeitleiste rekonstruieren — minutiös.
3. Ursachenanalyse — 5-Why oder Ishikawa.
4. Maßnahmen ableiten — technisch und organisatorisch.
5. Verantwortlichkeiten und Fristen festlegen.
6. Schulung und Awareness planen.
7. Übungstermin Tabletop in sechs Monaten festsetzen.
8. Erfolgsmessung definieren — KPIs.
9. Bericht an Geschäftsleitung mit klarem Maßnahmenstatus.
10. Anonymisierte Lessons-Learned-Notiz für Branchenaustausch (optional).

## Abgrenzung zu anderen Skills

- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.

- `dsv-vvt-update-nach-vorfall` und `dsv-dsfa-update-nach-vorfall` decken die Compliance-Aktualisierung ab.
- `dsv-bussgeldverteidigung-art-83` deckt die Verteidigung ab.