Der Europäische Datenschutzausschuss (EDSA) hat am 4. April 2023 die aktualisierten Leitlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft die Meldepflichten von nicht in der EU niedergelassenen Unternehmen, die nach der DSGVO jedoch dennoch in den Anwendungsbereich der DSGVO fallen. Dieser Beitrag fasst die Updates des EDSA zusammen und wirft einen Blick auf die rechtlichen Aussagen.
Der Inhalt im Überblick
Was wurde aktualisiert?
Unternehmen, die nicht in der EU niedergelassen sind, aber nach Art. 3 dennoch in den Anwendungsbereich der DSGVO fallen, müssen im Regelfall einen Vertreter in der EU benennen (Art. 27 DSGVO). Im Falle einer Datenschutzverletzung ist jedoch nicht immer klar, wie der Verantwortliche in diesem Fall die Meldung vornehmen soll. Hier hat EDSA in der endgültigen Fassung der Leitlinien (im Folgenden „Leitlinien 9/2022“) klargestellt, dass betroffene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Die Meldungen obliegen dem Verantwortlichen; der EU-Vertreter kann jedoch in das Meldeverfahren einbezogen werden, wenn dies ausdrücklich im schriftlichen Auftrag festgelegt wurde (Art. 27 Abs. 5 DSGVO).
Die WP29 Leitlinien vor Wirksamwerden der DSGVO
Bereits vor Wirksamwerden der DSGVO hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Leitlinien zur Meldung von Datenschutzverletzung verabschiedet, in dem die einschlägigen Abschnitte der DSGVO analysiert wurden (im Folgenden „WP 250“).
WP 29 empfahlt darin,
„dass Datenschutzverletzungen an die Aufsichtsbehörde in dem Mitgliedstaat gemeldet werden, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist.“
Als Nachfolger der WP29 hatte EDSA diese Leitlinien am 25. Mai 2018 formell bestätigt.
EDSA: Aktualisierung zu Meldepflichten nicht in der EU niedergelassener Unternehmen
Während der öffentlichen Konsultation wurden die EDSA-Leitlinien in Bezug auf die Meldepflichten von nicht in der EU niedergelassenen Unternehmen aktualisiert (Abschnitt 73). Dazu wurde das Feedback bis zum 29. November 2022 im Rahmen des öffentlichen Konsultationsverfahren eingeholt.
Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das „One-Stop-Shop“-Prinzip auslöst, das es in mehreren Mitgliedsstaaten der EU niedergelassenen Unternehmen ermöglicht, sich für die Meldung von Datenschutzverletzungen an eine einzige federführende Aufsichtsbehörde zu wenden. Stattdessen müssen nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden.
Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen.
Die Konsultation bezieht sich ausschließlich auf diesen inhaltlich aktualisierten Abschnitt zu Meldepflichten nicht in der EU niedergelassener Unternehmen. Es sollten jedoch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Was ist ein Datenschutzvorfall?
Als Datenschutzvorfall gilt grundsätzlich jeder Verlust, jede Vernichtung, Veränderung, oder jede unbefugte Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten, wonach der Schutz personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO verletzt wird.
Der EDSA weist darauf hin, dass nicht alle Art von Sicherheitsvorfall es sich um eine Datenschutzverletzung i.S.v. Art. 4 Nr. 12 DSGVO handelt.
Nur wenn der Schutz personenbezogener Daten verletzt wird, also die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten beeinträchtigt ist, ist die DSGVO anwendbar. Beispiele für Verletzungen der Verfügbarkeit können unbefugte oder unbeabsichtigte Verluste des Zugangs zu personenbezogenen Daten oder unbeabsichtigte oder unrechtmäßige Vernichtungen personenbezogener Daten sein.
Risikobewertung bei einer Datenschutzverletzung
Die Risikobewertung bei einer Datenschutzverletzung ist unerlässlich. Laut EDSA sollten bei der Risikobewertung die folgenden Faktoren berücksichtigt werden:
- Art der Datenschutzverletzung
- Art, Sensibilität und Umfang personenbezogener Daten
- Identifizierbarkeit betroffener Personen
- Schwere der Folgen für die betroffenen Personen
- Besondere Eigenschaften der betroffenen Person
- Besondere Eigenschaften des Verantwortlichen
- Die Zahl der betroffenen Personen
- Allgemeine Aspekte, z.B. die Empfehlungen von der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA).
In den Leitlinien 9/2022 werden auch einige Bespiele für Risikobestimmungen genannt. So sollte eine Verletzung als Risiko eingestuft werden, wenn das sensible personenbezogene Daten betrifft. Hingegen könnte eine Verletzung als kein Risiko betrachtet werden, wenn die Daten durch einen dem Standard der Technik entsprechenden Algorithmus verschlüsselt waren und Datensicherungen existieren, der eindeutige Schlüssel nicht beeinträchtigt wurde und sich die Daten zeitnah wiederherstellen lassen. Mehr Beispielen finden Sie in unserem Artikel: Datenschutzverstoß und Datenpanne: Beispiele und Vorgehen.
Meldung an die Aufsichtsbehörde
Nach Art. 33 Abs. 1 DSGVO muss der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden meldet, nachdem ihm die Verletzung „bekannt“ wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Wann wird dem Verantwortlichen eine Datenpanne „bekannt“?
Laut Leitlinie 9/2022 wird einem Verantwortlichen eine Datenschutzverletzung „bekannt“, wenn er hinreichend sicher ist, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist dabei nicht erforderlich, dass eine Datenschutzverletzung tatsächlich stattgefunden hat.
Beispielsweise wird der Verantwortliche bei einem verlorenen USB-Stick, auf dem personenbezogene Daten unverschlüsselt gespeichert sind, in dem Moment bekannt, wenn er den Verlust des USB-Sticks bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten eines Kunden des Verantwortlichen erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt. Nähere Informationen zur Fristberechnung können Sie in unserem Artikel „Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage“ nachlesen.
Wer trägt die Meldepflicht?
Der Verantwortliche trägt die Meldepflicht im Falle einer Datenverletzung. Bei gemeinsam für die Verarbeitung Verantwortlichen sollte in den vertraglichen Vereinbarungen gemäß Art. 26 DSGVO ausdrücklich geregelt werden, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt; Auftragsverarbeiter melden Datenschutzverletzungen unverzüglich dem Verantwortlichen, aber nicht direkt gegenüber der Aufsichtsbehörde.
An wen sollte die Datenpanne gemeldet werden?
Die Datenschutzverletzungen sollten an die zuständige Aufsichtsbehörde gemeldet werden. Die meisten Aufsichtsbehörden bieten ein praktisches Online-Formular zum direkten Ausfüllen und Absenden an. Die Links zu den entsprechenden Aufsichtsbehörden für die Meldung finden Sie in unserem Artikel „Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen„.
Im Falle einer grenzüberschreitenden Verarbeitung muss der Verantwortliche, der eine Niederlassung in der EU hat, an die zuständige federführende Aufsichtsbehörde melden. Diese muss nicht unbedingt an dem Ort der betroffenen Personen oder des Vorfalls ansässig sein sondern kann aufgrund des „One-Stop-Shop“-Prinzips die alleinige Ansprechpartnerin für den Verantwortlichen sein. Falls der Verantwortliche nicht sicher ist, welche Aufsichtsbehörde die federführende ist, sollte er die Datenschutzverletzung zumindest an die lokale Aufsichtsbehörde des Ortes melden, an dem sich der Vorfall ereignet hat.
Unternehmen, die nicht in der EU niedergelassen sind und Datenschutzverletzungen melden müssen, die Personen in mehreren Mitgliedstaaten betreffen, sollten sich an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedstaaten wenden, wie in den aktualisierten Leitlinien erläutert.
Welche Informationen sollten bereitgestellt werden?
Bei der Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss der Verantwortliche nach Maßgabe von Artikel 33 Abs. 3 DSGVO zumindest folgende Informationen bereistellen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
In der DSGVO werden keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Der EDSA schlägt jedoch vor, dass die Kategorien von betroffenen Personen sich auf die verschiedenen Arten von Personen beziehen sollten, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, wie z.B. Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw..
Benachrichtigung der betroffenen Person
Der EDSA hat einige Beispiele genannt, die bei Entscheidung helfen können, ob eine Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Ein Beispiel wäre, wenn aufgrund eines Cyberangriffs medizinische Unterlagen in einem Krankenhaus für 30 Stunden unzugänglich waren.
Die Leitlinien gegen auch Vorschläge zur Form der Benachrichtigung. Transparente Kommunikationsmethoden können direkte Mitteilungen (z.B. E-Mail, SMS, Direktnachrichten), auffällige Website-Banner oder Benachrichtigungen, postalische Mitteilungen sowie auffällige Anzeigen in Printmedien sein. Der Verantwortliche kann je nach Umständen möglicherweise mehrere Kommunikationswege statt nur eines Kontaktkanals nutzen.
Interne Richtlinien sind zu empfehlen
Nicht in der EU niedergelassene Unternehmen, die in den Anwendungsbereich der DSGVO fallen, sollten nun bei der Meldung von Datenschutzverletzungen den angenommenen Abschnitt des EDSA berücksichtigen. In der Praxis kann es zu enormen Aufwänden führen, Datenschutzverletzungen an mehrere verschiedenen Behörden zu melden. Um diesen Melde- und Benachrichtigungspflichten im Ernstfall rechtszeitig gerecht zu werden, sind interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen immer zu empfehlen. Effektive und regelmäßig überprüfte Prozesse zum Umgang mit Datenschutzvorfällen sind essentiell für eine schnelle Bewältigung und fristgemäße Meldung von Datenschutzverletzungen.
Hallo, danke für die Information, die wirklich gut und verständlich dargestellt ist. Ein Hinweis: Bei meinen Recherchen bin ich übrigens auf einen sehr, sehr ähnlich klingenden Beitrag gestoßen und zwar unter https://www.datenschutzticker.de/2023/04/meldung-von-datenpannen-aktualisierung-der-leitlinien/ Schreiben sie auch für diese Rechtsanwaltskanzlei? Vermutlich nicht, aber dort gibt es keine Namensangabe und ich dachte, das könnte Sie interessieren…
Viele Grüße
DSB