Neues zum Datenschutzrecht
14.4.2023
Meldepflicht bei Datenschutzverletzungen – Neue Leitlinien des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien 09/2022 zu Meldungen von Datenschutzverletzungen veröffentlicht. Gegenstand dieser Leitlinien sind die Melde- und Benachrichtigungspflichten gem. Art. 33 und 34 DSGVO bei einer Verletzung des Datenschutzes.
Die DSGVO schreibt für Verantwortliche eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten vor, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese Verpflichtung ist in Art. 33 DSGVO geregelt. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, muss der Verantwortliche zudem gem. Art. 34 DSGVO die betroffene Person unverzüglich von der Verletzung benachrichtigen.
Bei den Leitlinien 09/2022 handelt es sich jedoch lediglich um eine leicht aktualisierte Fassung der Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250 rev.01), die von der Artikel 29-Datenschutzgruppe beschlossen und im Oktober 2017 mit Beschluss des EDSA übernommen wurden.
Die einzige inhaltliche Änderung der neuen Leitlinien 09/2022 bezieht sich auf die Meldepflichten von nicht in der EU niedergelassenen Verantwortlichen, was in Rn. 73 (Abschnitt II.C.2) zu finden ist. Danach löst das Vorhandensein eines Vertreters in der EU gem. Art. 27 DSGVO in U nicht das sog. One-Stop-Shop-Prinzip aus. Nach diesem Prinzip wäre es für Verantwortliche möglich, sich im Fall einer Meldepflicht gem. Art. 33 DGSVO bei einer Datenschutzverletzung, die Personen in mehreren EU-Mitgliedstaaten betrifft, an eine (federführende) Datenschutzaufsichtsbehörde in einem EU-Mitgliedstatt zu wenden. Der EDSA stellt in seinen Leitlinien 09/2022 jedoch klar, dass in diesen Fällen eine Meldung an alle zuständigen Aufsichtsbehörden in den EU-Mitgliedsstaaten zu erfolgen hat, deren Personen von der Datenschutzverletzung betroffen sind.
Fazit und Praxishinweis
Der Praxisnutzen der neuen Leitlinien 09/2022 ist begrenzt, sofern Sie bereits mit dem „Vorgänger“ (WP250 rev.01) gearbeitet haben. Denn die einzige wesentliche inhaltliche Änderung bezieht sich auf nicht in der EU niedergelassene Verantwortliche (s.o.). Der Rest des Dokuments ist, abgesehen von redaktionellen Änderungen, unverändert geblieben, worauf der EDSA in Rz. 2 der Leitlinien 09/2022 explizit hinweist.
Was ich in den Leitlinien 09/2022 allerdings vermisse, ist ein Hinweis auf die Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten. Gegenstand dieser Leitlinien sind explizit Beispiele für Meldungen nach Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO). Sie ergänzen nunmehr die Leitlinien 09/2022. Denn jede Bezugnahme auf die Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250 rev.01) soll nunmehr als Bezugnahme auf die Leitlinien 9/2022 ausgelegt werden (Rz. 1 der Leitlinien 09/2022).
Ein Verweis auf die Leitlinien 01/2021 wäre nicht nur wegen der inhaltlichen Verknüpfung, sondern auch aufgrund deren Praxisrelevanz angezeigt. Die Leitlinien 01/2021 behandeln eine Vielzahl von Fallkonstellationen und bieten eine Hilfestellung beim Umgang mit Datenschutzverletzungen sowie bei der Entscheidungsfindung, ob eine Meldung an die Aufsicht und eine Nachricht an die betroffenen erfolgen muss oder nicht (zu den Leitlinien 01/2021 s. Datenschutz-News 7.1.2022).
Sollten Sie Fragen zu Datenschutzverletzungen, zur Melde- und Benachrichtigungspflicht oder zu sonstigen datenschutzrechtlichen Aspekten haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht