Bruch der Datensicherheit: Müssen bei einer Datenpanne 42 Aufsichtsbehörden in 72 Stunden benachrichtigt werden?
von , veröffentlicht am 25.10.2022Hacker wird in der Datenbank fündig oder ein kaum geschütztes Laptop mit persönlichen Daten geht verloren – und schon ist ein Verantwortlicher mit Art. 33 DSGVO konfrontiert:
„(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Nach Art. 55 ist das die Aufsichtsbehörde, die für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist. Nach Art. 56 ist das in Sonderzuständigkeit die Behörde, wo sich die "Hauptniederlassung" oder die "einzige Niederlassung" des Verantwortlichen befindet.
Was aber, wenn der Verantwortliche im Ausland sitzt, keine EU-Niederlassung hat und seine in der EU verstreuten Kunden betroffen sind?
Gibt es eine federführende Behörde nach der DSGVO (z.B. weil es eine EU Niederlassung gibt - "one stop shop"), ist die Meldung noch überschaubar. Was aber, wenn nicht (was praktisch häufig vorkommt)?
Der EDSA hat kürzlich seine Guidelines 9/2022 on personal data breach notification under GDPR aktualisiert, das einige Unruhe in der Szene ausgelöst hat. Dort heißt es klipp und klar, dass die Praxis, den Vorfall bei der Datenschutzbehörde zu melden, die für den DSGVO-Vertreter nach Art. 27 zuständig ist, NICHT zulässig ist (Übersetzung – RZ 73):
„Die bloße Anwesenheit eines Vertreters in einem Mitgliedstaat löst jedoch nicht das System der einzigen Anlaufstelle aus. Aus diesem Grund muss die Verletzung jeder einzelnen Behörde gemeldet werden, bei der die betroffenen Personen in ihrem Mitgliedstaat ansässig sind. Diese Benachrichtigung erfolgt in Übereinstimmung mit dem Auftrag, den der für die Verarbeitung Verantwortliche seinem Vertreter erteilt hat, und unter der Verantwortung des für die Verarbeitung Verantwortlichen.“
Was nun? Müsste im obigen Bespiel der ausländische Controller mit Kunden in der EU dann den Bruch der Datensicherheit bei alle 42 Aufsichtsbehörden „binnen 72 Stunden" melden?
Wie kriegt man die Meldungen in den Griff? Wer hat konstruktive Vorschläge?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenVielleicht kommt man doch mit dem One-Shop Stop nach Art. 56 in vielen Fällen hin. Eine Niederlassung reicht ja schon dafür.
Wenn nicht: Notfalls muss man Prioritäten bei der Benachrichtigung setzen, wozu der Art. 33 Abs. 1 ja auch Raum gibt („möglichst“). Welche Länder betroffen sind, kann die IP-Adresse der Betroffenen vielleicht helfen. Am besten zur Zeitersparnis schon vorher Formulare der wahrscheinlich in Frage kommenden DSBs vorrätig halten!