---
name: dsv-stakeholder-mapping
description: "Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher: Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Ver"
---

# Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Kartiert alle internen und externen Stakeholder eines Datenschutzvorfalls inklusive Informationsbedarf, Zeitpunkt und Verantwortlicher. Behandelt: Geschäftsleitung; Datenschutzbeauftragter; IT-Sicherheit; Betriebsrat; Auftragsverarbeiter; gemeinsam Verantwortliche; Cyberversicherung; Aufsichtsbehörde; Strafverfolgungsbehörden; Betroffene; Großkunden mit Vertragsklauseln; Presse; Sozialmedien. Output: Stakeholder-Matrix mit Eskalations- und Informationsplan. Abgrenzung: keine konkreten Schreiben.

### Stakeholder-Mapping nach Datenschutzvorfall

## Triage — kläre vor der Bearbeitung

1. Welche Vertragsbeziehungen verlangen frühzeitige Information (Banken, Großkunden, Auftragsverarbeiter)?
2. Welche Aufsichtsbehörde ist primär, welche zusätzlich (Sektoraufsicht BaFin, BSI § 8b BSIG)?
3. Ist der Konzern grenzüberschreitend tätig — Lead-Authority nach Art. 56 DSGVO?
4. Gibt es Betriebsrat und welche Beteiligungsrechte?
5. Welche Sozialmedien-Kanäle hat der Mandant?
- Was will der Mandant wirklich erreichen? (kein Stakeholder vergessen; keine Doppelkommunikation)

## Rechtsgrundlagen

- **Art. 26 DSGVO** gemeinsam Verantwortliche.
- **Art. 28 DSGVO** Auftragsverarbeiter.
- **Art. 33 DSGVO** Meldepflicht.
- **Art. 56 DSGVO** federführende Aufsichtsbehörde.
- **§ 8b BSIG** Meldepflicht bei kritischen Infrastrukturen.

## Aktuelle Rechtsprechung

Nicht aus Modellwissen; insbesondere zur Abgrenzung gemeinsam Verantwortlicher und reiner Auftragsverarbeitung vor Ausgabe verifizieren.

## Zentrale Normen

Art. 26; Art. 28; Art. 33; Art. 56 DSGVO; § 8b BSIG; § 109 TKG.

## Praxisformulierung — Stakeholder-Matrix-Spalten

Stakeholder; Rolle; Pflicht oder freiwillig; Zeitpunkt; Verantwortlicher intern; Format der Information; abgestimmte Kernbotschaft; Eskalationsstufe.

## Abgrenzung zu anderen Skills

- `dsv-aufnahme-statusinformation` bildet die strukturierte Erstaufnahme; dieser Skill setzt darauf auf.
- `dsv-meldung-art-33-pflichtangaben` deckt die Behördenmeldung ab; bei Bedarf zusätzlich ziehen.
- `dsv-benachrichtigung-art-34-betroffene` deckt die Benachrichtigung Betroffener ab.
- `dsv-bussgeldverteidigung-art-83` und `dsv-schadensersatz-art-82` decken die anwaltliche Nachbearbeitung ab.
