Neue Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten

Kein One-Stop-Shop für nicht in der EU niedergelassene Verantwortliche mit Vertretern in der EU

Der Europäische Datenschutzausschuss (EDSA)  hat kürzlich neue Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten nach der Datenschutz-Grundverordnung (DS-GVO) zur öffentlichen Konsultation veröffentlicht (Originaltitel: „Guidelines 9/2022 on personal data breach notification under GDPR“, hier abrufbar). Hierbei handelt es sich um eine Überarbeitung der bereits zuvor veröffentlichten Leitlinien der Artikel-29-Datenschutzgruppe, die der EDSA adaptiert hat (WP250rev.01). Die Leitlinien beinhalten Hinweise zu den sich aus Artikeln 33 und 34 DS-GVO ergebenden Pflichten, Verletzungen des Schutzes personenbezogener Daten (Datenschutzvorfälle) an Behörden zu melden und betroffene Personen zu benachrichtigen.

Die neuen Leitlinien beinhalten im Wesentlichen eine Änderung dahingehend, dass bei nicht in der EU niedergelassenen Verantwortlichen, für die die DS-GVO Anwendung findet, die bloße Präsenz eines Vertreters in der EU im Sinne des Art. 27 DS-GVO nicht die Vorzüge des sog. One-Stop-Shop-Prinzips auslöst. Dies hat zur Folge, dass solche nicht in der EU niedergelassenen Verantwortlichen mit Vertretern in der EU, meldepflichtige Datenschutzvorfälle, die Personen in mehreren Mitgliedsstaaten betreffen, allen zuständigen Datenschutzaufsichtsbehörden melden müssen. In solchen Fällen müssen die Datenschutzvorfälle somit an Behörden mehrerer Mitgliedsstaaten gemeldet werden.

In den neuen Leitlinien heißt es hierzu in Rz. 73:
„However, the mere presence of a representative in a Member State does not trigger the one-stop- shop system. For this reason, the breach will need to be notified to every single authority for which affected data subjects reside in their Member State. This notification shall be done in compliance with the mandate given by the controller to its representative and under the responsibility of the controller.“

Zu betonen ist, dass es sich hierbei um eine Fassung für die öffentliche Konsultation handelt. Möglicherweise wird aufgrund des Feedbacks im Konsultationsverfahren noch etwas an den Leitlinien geändert.

Wir von SKW Schwarz beraten regelmäßig bei Datenschutzvorfällen und ermitteln hierbei für unsere Mandanten selbstverständlich auch, an welche Behörden meldepflichtige Vorfälle zu melden sind.